架构
目录
系统架构
摘要
本文档提供了 Alauda 容器安全架构在 Kubernetes 环境中的简要概述。
Alauda 容器安全采用分布式、基于容器的架构,以实现对 Alauda 容器平台或 Kubernetes 集群的可扩展、低影响的安全性。
关键组件
- 中央服务:部署在单个集群上,提供管理、API 和用户界面(Alauda 容器安全门户)。包括 Central、Central DB(PostgreSQL 13)和 Scanner V4 漏洞扫描器。
- 受保护集群服务:部署在每个受保护的集群上。包括传感器(集群监控和策略执行)、准入控制器(策略准入)、收集器(运行时和网络数据收集)以及可选的扫描组件。
扫描器概述
- Scanner V4:自 4.7 版本以来的默认和唯一支持的扫描器。支持特定于语言和操作系统的镜像扫描。由索引器、匹配器和数据库组成。
漏洞来源
- Scanner V4:Red Hat VEX、Red Hat CVE 映射、OSV、NVD 及其他操作系统来源。
部署说明
- Operator 在每个集群上安装轻量级的 Scanner V4,以实现集成的注册表扫描。
- Helm 安装需要
scannerV4.disable=false以启用轻量级的 Scanner V4。 - 如果 Central 和受保护集群服务共享命名空间,则仅 Central 部署 Scanner V4 组件。
外部集成
- 第三方系统(CI/CD、SIEM、日志记录、电子邮件)
- roxctl CLI
- 镜像注册表(自动/手动集成)
- definitions.stackrox.io(漏洞信息源)
- collector-modules.stackrox.io(内核模块)
组件交互
Alauda 容器安全与 Scanner V4
| 组件 | 方向 | 组件 | 描述 |
|---|---|---|---|
| Central | ⮂ | Scanner V4 Indexer | 镜像索引和报告生成 |
| Central | ⮂ | Scanner V4 Matcher | 漏洞匹配和报告 |
| Sensor | ⮂ | Scanner V4 Indexer | 委托的镜像索引 |
| Scanner V4 Indexer | → | 镜像注册表 | 拉取镜像元数据和层 |
| Scanner V4 Matcher | → | Scanner V4 Indexer | 获取索引报告 |
| Scanner V4 Indexer | → | Scanner V4 DB | 存储索引结果 |
| Scanner V4 Matcher | → | Scanner V4 DB | 存储和更新漏洞数据 |
| Sensor | ⮂ | Central | 配置和事件同步 |
| Collector | ⮂ | Sensor | 发送运行时/网络数据 |
| 准入控制器 | ⮂ | Sensor | 策略执行和扫描请求 |
| 准入控制器 | → | Central | 如果 Sensor 不可用则进行直接通信 |
默认端口和协议
| 连接 | 类型 | 端口 | 备注 |
|---|---|---|---|
| Central ↔ Scanner V4 Indexer | gRPC | 8443 | |
| Central ↔ Sensor | TCP/gRPC | 443 | 双向,Sensor 发起 |
| Central ↔ CLI | gRPC/HTTPS | 443 | 参见 roxctl 以获取选项 |
| Central ↔ 漏洞信息源 | HTTPS | 443 | definitions.stackrox.io |
| Collector → Sensor | gRPC | 443 | |
| Collector (合规性) → Sensor | gRPC | 8444 | 如果启用节点扫描 |
| Scanner V4 Indexer → Central | HTTPS | 443 | |
| Scanner V4 Indexer/Matcher → DB | TCP | 5432 | |
| Sensor ↔ 准入控制器 | gRPC | 443 | 双向 |