Alauda Container Security
  • 简体中文

    • 架构

    目录

    系统架构

    摘要

    本文档提供了 Alauda 容器安全架构在 Kubernetes 环境中的简要概述。

    Alauda 容器安全采用分布式、基于容器的架构,以实现对 Alauda 容器平台或 Kubernetes 集群的可扩展、低影响的安全性。

    关键组件

    • 中央服务:部署在单个集群上,提供管理、API 和用户界面(Alauda 容器安全门户)。包括 Central、Central DB(PostgreSQL 13)和 Scanner V4 漏洞扫描器。
    • 受保护集群服务:部署在每个受保护的集群上。包括传感器(集群监控和策略执行)、准入控制器(策略准入)、收集器(运行时和网络数据收集)以及可选的扫描组件。

    扫描器概述

    • Scanner V4:自 4.7 版本以来的默认和唯一支持的扫描器。支持特定于语言和操作系统的镜像扫描。由索引器、匹配器和数据库组成。

    漏洞来源

    • Scanner V4:Red Hat VEX、Red Hat CVE 映射、OSV、NVD 及其他操作系统来源。

    部署说明

    • Operator 在每个集群上安装轻量级的 Scanner V4,以实现集成的注册表扫描。
    • Helm 安装需要 scannerV4.disable=false 以启用轻量级的 Scanner V4。
    • 如果 Central 和受保护集群服务共享命名空间,则仅 Central 部署 Scanner V4 组件。

    外部集成

    • 第三方系统(CI/CD、SIEM、日志记录、电子邮件)
    • roxctl CLI
    • 镜像注册表(自动/手动集成)
    • definitions.stackrox.io(漏洞信息源)
    • collector-modules.stackrox.io(内核模块)

    组件交互

    Alauda 容器安全与 Scanner V4

    组件方向组件描述
    CentralScanner V4 Indexer镜像索引和报告生成
    CentralScanner V4 Matcher漏洞匹配和报告
    SensorScanner V4 Indexer委托的镜像索引
    Scanner V4 Indexer镜像注册表拉取镜像元数据和层
    Scanner V4 MatcherScanner V4 Indexer获取索引报告
    Scanner V4 IndexerScanner V4 DB存储索引结果
    Scanner V4 MatcherScanner V4 DB存储和更新漏洞数据
    SensorCentral配置和事件同步
    CollectorSensor发送运行时/网络数据
    准入控制器Sensor策略执行和扫描请求
    准入控制器Central如果 Sensor 不可用则进行直接通信

    默认端口和协议

    连接类型端口备注
    Central ↔ Scanner V4 IndexergRPC8443
    Central ↔ SensorTCP/gRPC443双向,Sensor 发起
    Central ↔ CLIgRPC/HTTPS443参见 roxctl 以获取选项
    Central ↔ 漏洞信息源HTTPS443definitions.stackrox.io
    Collector → SensorgRPC443
    Collector (合规性) → SensorgRPC8444如果启用节点扫描
    Scanner V4 Indexer → CentralHTTPS443
    Scanner V4 Indexer/Matcher → DBTCP5432
    Sensor ↔ 准入控制器gRPC443双向