Архитектура
Содержание
Системная архитектураАннотацияКлючевые компонентыОбзор сканераИсточники уязвимостейПримечания по развертываниюВнешние интеграцииВзаимодействие компонентовAlauda Container Security с Scanner V4Стандартные порты и протоколыСистемная архитектура
Аннотация
В этом документе представлен краткий обзор архитектуры Alauda Container Security для Kubernetes-сред.
Alauda Container Security использует распределённую архитектуру на основе контейнеров для масштабируемой и малозатратной безопасности на платформе Alauda Container Platform или кластерах Kubernetes.
Ключевые компоненты
- Центральные сервисы: Развёрнуты в одном кластере, обеспечивают управление, API и UI (Alauda Container Security Portal). Включают Central, Central DB (PostgreSQL 13) и сканер уязвимостей Scanner V4.
- Сервисы защищённого кластера: Развёрнуты в каждом защищаемом кластере. Включают Sensor (мониторинг кластера и применение политик), Admission Controller (приём политик), Collector (сбор данных времени выполнения и сети) и опциональные компоненты сканера.
Обзор сканера
- Scanner V4: Стандартный и единственный поддерживаемый сканер с версии 4.7. Поддерживает сканирование образов с учётом языка и ОС. Состоит из Indexer, Matcher и DB.
Источники уязвимостей
- Scanner V4: Red Hat VEX, Red Hat CVE Map, OSV, NVD и дополнительные источники ОС.
Примечания по развертыванию
- Оператор устанавливает лёгкий Scanner V4 на каждый кластер для интегрированного сканирования реестров.
- Для установки через Helm требуется
scannerV4.disable=falseдля включения лёгкого Scanner V4. - Если Central и сервисы защищённого кластера используют одно пространство имён, компоненты Scanner V4 развёртываются только в Central.
Внешние интеграции
- Системы третьих сторон (CI/CD, SIEM, логирование, email)
- CLI roxctl
- Реестры образов (автоматическая/ручная интеграция)
- definitions.stackrox.io (потоки уязвимостей)
- collector-modules.stackrox.io (модули ядра)