在离线模式下使用 Alauda Security Service

Alauda Security Service 可以部署在没有互联网访问的环境中。在离线模式下，Central 和 Scanner 会继续运行，而无需访问公共端点，但漏洞定义必须手动提供。

启用离线模式

使用 operator 自定义资源安装 Central 服务时，将出站连接策略设置为 Offline：

spec:
  egress:
    connectivityPolicy: Offline

此设置与 Alauda Security Service for StackRox 安装中记录的安装流程一致。

更新漏洞定义

Scanner 维护本地漏洞数据库。在在线模式下，Central 会从互联网检索最新的漏洞数据，Scanner 再与 Central 同步。在离线模式下，您必须通过向 Central 上传定义文件来手动更新漏洞数据，然后 Scanner 再从 Central 获取这些数据。

默认情况下，Scanner 每 5 分钟检查一次 Central 中的新数据。
离线数据源大约每 3 小时更新一次。

下载定义文件

使用以下命令下载定义文件：

roxctl scanner download-db --scanner-db-file scanner-vuln-updates.zip

或者从以下地址下载：
https://install.stackrox.io/scanner/scanner-vuln-updates.zip

将定义文件上传到 Central

您可以使用 API token 或管理员密码将漏洞定义数据库上传到 Central。

使用 API Token

前提条件：
- 具有管理员角色的 API token
- 已安装 roxctl CLI

操作步骤：

export ROX_API_TOKEN=<api_token>
export ROX_CENTRAL_ADDRESS=<address>:<port_number>
roxctl scanner upload-db \
  -e "$ROX_CENTRAL_ADDRESS" \
  --scanner-db-file=<compressed_scanner_definitions.zip>

使用密码

roxctl scanner upload-db \
  -e <address>:<port_number> \
  --scanner-db-file=<compressed_scanner_definitions.zip> \
  --password <admin_password>

运维说明

将下载的捆绑包文件保留在离线软件分发路径中，以便可以与镜像内容和部署清单一起发布。
在较大的环境中，请按固定计划更新捆绑包，以减少实际扫描结果与当前漏洞定义之间的偏差。
最新版本对离线漏洞捆绑包的处理更加高效，但从 operator 的角度看，上传操作流程保持不变。

#在离线模式下使用 Alauda Security Service

#目录

#启用离线模式

#更新漏洞定义

#下载定义文件

#将定义文件上传到 Central

#使用 API Token

#使用密码

#运维说明