オンボーディングコンテナレジストリ

コンテナレジストリをオンボードしてCloudGuardし、このレジストリに保存されているコンテナイメージをImage Assuranceでスキャンすることができます。CloudGuard では、オンボードするコンテナレジストリはそれぞれKubernetes クラスタに接続する必要があります。Image Scan エージェントがコンテナレジストリをスキャンできるように、この接続されたクラスタでImage Assurance を有効にする必要があります。この目的のために、既存のKubernetes クラスタのいずれかを使用するか、新しいクラスタをコンテナレジストリと一緒にオンボードすることができます。

- コンテナレジストリは、Check Point アーリーアベイラビリティプログラムを通じてお客様が利用できます。機能に参加してテストする場合は、ea_support@checkpoint.com にあるEAP チームにお問い合わせください。

前提条件

Image Assurance エージェントをAzure Container Registry に接続するには、アクセスの詳細を指定する必要があります。

コンテナレジストリをCloudGuard にオンボードするには、次の2 つの認証方法のいずれかを選択します。

  • Service Principal - Azure リソースにアクセスするためのアプリケーション、ホストサービス、および自動ツールのユーザID。このオプションにより、CloudGuardは必ずしもAzureではない接続クラスタからAzureコンテナレジストリをスキャンできます。

  • Managed Identity - Azure AD 認証をサポートするリソースにアクセスするアプリケーションのID。このオプションにより、CloudGuardはAzureクラスタからAzureコンテナレジストリをスキャンできます。

オンボーディング

コンテナレジストリをオンボードしてCloudGuardするには:

  1. CloudGuard ポータルで、Asset メニューを選択し、Environments ページに移動し、Add New をクリックしてContainer Registry を選択します。

  2. Container Registry Onboarding ウィザードで、レジストリの詳細を入力します。

    1. Enter a name for the registry - 必要に応じて、レジストリの新しい名前を入力するか、デフォルトで指定された名前を使用します。この名前を使用すると、後でCloudGuard 内でレジストリを識別できます。

    2. Choose a cluster to host the scanner - レジストリスキャンエージェントを実行できるクラスタ環境を選択します。

      • 既存のクラスタ- リストから既存のクラスタを選択します。

      • 新しいクラスタ- 新しいKubernetes クラスタのオンボード

      - レジストリスキャンを行うには、ホスティングクラスタ環境で Image Assurance が有効になっている必要があります。

    3. Choose Registry type - Azureコンテナレジストリのみがサポートされます。

    4. Login Server - Azure レジストリの完全修飾名を<acrName>.azurecr.io 形式で入力します。

    5. Authentication Method - 詳細については、 のAzureドキュメントを参照してください。

      • Azure AD サービスプリンシパル

        • Pull Secret Name - Image Assurance エージェントがデプロイされているのと同じネームスペースにイメージプルシークレットを作成します。

          シークレットを作成するには、次を実行します。

          コピー 
          kubectl create secret docker-registry <secret-name> \ --namespace <namespace> \ --docker-server=<container-registry-name>.azurecr.io \ --docker-username=<service-principal-ID> \ --docker-password=<service-principal-password> 

        • Tenant ID - Azure AD テナントID を入力します。

          テナントID を取得するには、次を実行します。

          コピー 
          az account list --query [].tenantId --output tsv 

      • Azure 管理対象ユーザID

        • Application client IDを入力します。

          アプリケーションクライアントID を取得するには、次を実行します。

          コピー 
          az aks show --resource-group <resource-group> --name <cluster-name> --query identityProfile.kubeletidentity.clientId --output tsv

          - ロールがレジストリからプルする権限(AcrPull)を持っていることを確認すること。

  3. Nextをクリックします。 クラスタ設定の続行。

このステップでは、前のステップでホストに対してこのオプションを選択した場合に、新しいクラスタをオンボードしてImage Assurance エージェントを実行できます。既存のクラスタをオンボーディングする場合は、サービスアカウントの認証情報のみを指定する必要があります。

  1. 後でCloudGuard に表示されるように、クラスタの名前を入力します。

  2. 画面上の指示に従って、次の手順を実行します。

    • 次のいずれかの方法でサービスアカウントを定義します。

      • 関連付けられたAPI キーを持つ既存のサービスアカウントを選択します。

      • サービスアカウントを手動で入力する

      • Add Service Account をクリックして新しいアカウントを作成します。

    • エージェントがデプロイされるKubernetes ネームスペースの名前を入力するか、デフォルト名- checkpoint を保持します。

    • デフォルトでKubernetes クラスタに必要なモニタリングとセキュリティチェックの種類を選択します。これらの機能は後で追加できます。専用ページの各機能の詳細については:

    3. ポスチャー管理とImage Assuranceは、オンボードレジストリのエージェントを実行する必要があるため、このクラスタには必須です。

  3. Next をクリックすると、次の手順に進みます。

この手順は、レジストリを新しいクラスタまたは更新が必要な既存のクラスタに関連付けることを選択した場合に表示されます。

CloudGuard には、新しいレジストリとその関連クラスタの内容が表示されます。

  1. 画面上の指示に従ってHelm コマンドをコピーし、Helm 3 を使用してクラスタで実行します。

  2. Nextをクリックします。。

CloudGuard には、新しいレジストリとその関連クラスタの詳細が表示されます。レジストリのオンボーディングにクラスタのオンボーディングまたは更新が含まれている場合、このページにはクラスタのオンボーディングの概要が表示されます。クラスタのデプロイには数分かかり、クラスタとレジストリステータスで進行状況を確認できます。

クラスタオンボードのサマリの詳細については、 を参照してください。

  • Finishをクリックします。。

CloudGuard がオンボードレジストリを開きます。「スキャンクラスタ」タブで、レジストリの現在の状態と、レジストリをスキャンするクラスタを確認します。

関連するKubernetes クラスタには、スキャンするレジストリの情報が、Image Assurance ページのリストに含まれています。

追加リンク

Image Assurance

オンボーディングKubernetes クラスタ

Azure のドキュメント: