Security Centerを使用してイメージをスキャンする前に、Security Centerにイメージリポジトリを追加する必要があります。 このトピックでは、Security Centerにイメージリポジトリを追加する方法について説明します。

背景情報

Container Registryのイメージリポジトリ、Harborリポジトリ、Quayリポジトリなど、次のタイプのイメージリポジトリをSecurity Centerに追加できます。 ハーバーリポジトリとQuayリポジトリは、サードパーティのイメージリポジトリです。

前提条件

コンテナーイメージスキャン機能が有効になっています。 詳細については、「コンテナーイメージスキャンの有効化」をご参照ください。

Container RegistryのイメージリポジトリをSecurity Centerに追加する

Container Registryには、Enterprise EditionとPersonal Editionがあります。 Container Registry Enterprise EditionとContainer Registry Personal Editionの両方のイメージリポジトリ内のイメージに関する情報をSecurity Centerに同期できます。 ただし、Security CenterはContainer Registry Enterprise Editionのイメージのみをスキャンできます。 仮想プライベートクラウド (VPC) 経由でインスタンスへのアクセスを設定した後、Container Registry Enterprise EditionインスタンスのイメージリポジトリをSecurity Centerに追加できます。 詳細については、「t1841679.html#task1305」をご参照ください。

サードパーティのイメージリポジトリをSecurity Centerに追加する

サードパーティのイメージリポジトリがVPCとデータセンターで構成されるハイブリッドクラウドにデプロイされている場合は、トラフィック転送ルールを設定してから、イメージリポジトリをSecurity Centerに追加する必要があります。 詳細については、「トラフィック転送ルールを設定し、ハイブリッドクラウドにデプロイされたイメージリポジトリを追加する」をご参照ください。

イメージリポジトリのアクセス制御ポリシーを作成する場合は、イメージリポジトリが存在するリージョンからのアクセスがアクセス制御ポリシーで許可されていることを確認してください。


  2. [コンテナー] ページで、[画像] タブをクリックし、[統合] をクリックします。
  3. [イメージリポジトリの統合] パネルで、次のパラメーターを設定し、[次へ] をクリックします。
    パラメーター 説明
    プライベートリポジトリ型 サードパーティのイメージリポジトリのタイプ。 有効な値: harborquay
    イメージリポジトリのタイプに基づいて、プライベートリポジトリのタイプを指定します。
    エディション サードパーティのイメージリポジトリのバージョン。 設定可能な値は以下のとおりです。
    • V1: イメージリポジトリのバージョンが1.X. Xの場合、このオプションを選択します。
    • V2: イメージリポジトリのバージョンが2.X. X以降の場合、このオプションを選択します。
    通信タイプ Security Centerがサードパーティのイメージリポジトリと通信するために使用するプロトコル。
    ネットワークタイプ サードパーティのイメージリポジトリのネットワークタイプ。
    RegionId サードパーティのイメージリポジトリが存在するリージョンのID。
    IP サードパーティのイメージリポジトリのIPアドレス。
    サードパーティのイメージリポジトリがハイブリッドクラウドにデプロイされている場合は、IPパラメーターを設定する必要があります。
    ドメイン サードパーティのイメージリポジトリのドメイン名。
    速度制限 1時間あたりにセキュリティセンターに追加できる画像の数。 デフォルト値: 10
    重要 1時間に大量の画像を追加すると、サービスに悪影響を及ぼす可能性があります。 ほとんどの場合、このパラメーターをUnlimitedに設定しないことを推奨します。
    ユーザー名 サードパーティのイメージリポジトリへのアクセスに使用されるユーザー名。
    パスワード サードパーティのイメージリポジトリへのアクセスに使用されるパスワード。
    サードパーティのイメージリポジトリがSecurity Centerに追加されます。 次に、[イメージセキュリティ] ページで [スキャン設定] をクリックすると、追加されたイメージリポジトリに関する情報が表示されるパネルに表示されます。

トラフィック転送ルールを設定し、ハイブリッドクラウドにデプロイされたイメージリポジトリを追加する

サードパーティのイメージリポジトリがVPCとデータセンターで構成されるハイブリッドクラウドにデプロイされている場合は、トラフィック転送ルールを設定してから、イメージリポジトリをSecurity Centerに追加する必要があります。 トラフィック転送ルールを設定し、イメージリポジトリをSecurity Centerに追加するには、次の手順を実行します。

  1. ECS (Elastic Compute Service) インスタンスを指定し、ECSインスタンス宛てのトラフィックをサードパーティのイメージリポジトリが存在するオンプレミスサーバーに転送するようにトラフィック転送ルールを設定します。

    次のコマンド例では、ECSインスタンスのポートAのトラフィックは、192.168.XX.XXのIPアドレスを使用するオンプレミスサーバーのポートBに転送されます。

    • CentOS 7のコマンド例
      • ファイアウォール-cmdを使用する
        firewall-cmd -- permanent -- add-forward-port=<port A>:proto=tcp:toaddr=<192.168.XX.XX>:toport=<Port B>
      • iptablesを使う:
        1. ポート転送を有効にします。 
          # echo "1" > /proc/sys/net/ipv4/ip_forward
        2. ポート転送を設定します。 
          # iptables -t nat -A PREROUTING -p tcp -- dport <ポートA> -j DNAT -- 宛先 <192.168.XX.XX >:< ポートB>
    • Windowsのコマンド例
      netshインターフェイスportproxy追加v4tov4 listenport=<ポートA> listenaddress=* connectaddress=<192.168.XX.XX> connectport=<ポートB> protocol=tcp
  2. サードパーティのイメージリポジトリをSecurity Centerに追加します。

    転送ルールを設定したECSインスタンスのアドレスにIPを設定していることを確認してください。 詳細については、「サードパーティのイメージリポジトリをSecurity Centerに追加する」をご参照ください。

エラーコード

エラーコード エラーメッセージ 対応策
FailedToVerifyUsernameOrPwd ユーザー名またはパスワードが無効な場合に返されるエラーメッセージ。 ユーザー名とパスワードが有効かどうかを確認します。
RegistryVersionError イメージリポジトリのバージョンが無効な場合に返されるエラーメッセージ。 イメージリポジトリのバージョンが有効かどうかを確認します。
UserDoesNotHaveAdminRole 管理者権限がない場合に返されるエラーメッセージ。 ハーバーリポジトリがデプロイされているサーバーにログオンし、管理者権限を取得します。
NetworkConnectError ネットワーク接続がタイムアウトした場合に返されるエラーメッセージ。 ネットワークに接続できるかどうか、ポート80またはポート443が有効かどうかを確認します。

次のタスク

イメージリポジトリがSecurity Centerに追加されると、イメージリポジトリ内のイメージはSecurity Centerによって保護されます。 画像に関する情報は、コンテナーページの [画像] タブで確認できます。 詳細については、「コンテナーに関するセキュリティ情報の表示」をご参照ください。

Security Centerを使用して、イメージリポジトリ内のイメージのリスクをスキャンする必要があります。 詳細については、「t1986095.html#task_1986095」をご参照ください。