Alauda Security Service

简体中文

架构

目录

系统架构概述关键组件 Scanner 概览漏洞来源部署说明外部集成组件交互 Alauda Security Service 与 Scanner V4 默认端口和协议

系统架构

概述

本文档简要概述了适用于 Kubernetes 环境的 Alauda Security Service 架构。

Alauda Security Service 采用分布式、基于容器的架构，为 Kubernetes 集群提供可扩展、低影响的安全能力。

关键组件

Central Services：部署在单个集群上，提供管理、API 和 UI（Alauda Security Service Portal）。包括 Central、Central DB（PostgreSQL 13）以及 Scanner V4 漏洞扫描器。
受保护集群服务：部署在每个受保护集群上。包括 Sensor（集群监控和策略执行）、Admission Controller（策略准入）、Collector（运行时和网络数据收集）以及可选的扫描器组件。

Scanner 概览

Scanner V4：自 4.7 版本起的默认且唯一受支持的扫描器。支持按语言和操作系统特定的镜像扫描。由 Indexer、Matcher 和 DB 组成。

漏洞来源

Scanner V4 从多个来源获取漏洞情报，包括供应商数据、OSV、NVD 以及操作系统特定的 feed。

部署说明

operator 会在每个集群上安装一个轻量级 Scanner V4，用于集成的镜像仓库扫描。
使用 Helm 安装时，需要设置 scannerV4.disable=false 以启用轻量级 Scanner V4。
如果 Central 和受保护集群服务共享同一个 namespace，则仅由 Central 部署 Scanner V4 组件。

外部集成

第三方系统（CI/CD、SIEM、日志、电子邮件）
roxctl CLI
镜像仓库（自动/手动集成）
definitions.stackrox.io（漏洞 feed）
collector-modules.stackrox.io（内核模块）

具体的集成集合取决于你的部署模型以及平台中配置的集成。

组件交互

Alauda Security Service 与 Scanner V4

组件	方向	组件	描述
Central	⮂	Scanner V4 Indexer	镜像索引和报告生成
Central	⮂	Scanner V4 Matcher	漏洞匹配和报告
Sensor	⮂	Scanner V4 Indexer	委派式镜像索引
Scanner V4 Indexer	→	Image Registries	拉取镜像元数据和层
Scanner V4 Matcher	→	Scanner V4 Indexer	获取索引报告
Scanner V4 Indexer	→	Scanner V4 DB	存储索引结果
Scanner V4 Matcher	→	Scanner V4 DB	存储并更新漏洞数据
Sensor	⮂	Central	配置和事件同步
Collector	⮂	Sensor	发送运行时/网络数据
Admission controller	⮂	Sensor	策略执行和扫描请求
Admission controller	→	Central	当 Sensor 不可用时直接通信

这些交互是概念性的。具体的运行时拓扑会因扫描是本地、委派式还是与 Central 共享而有所不同。

默认端口和协议

连接	类型	端口	备注
Central ↔ Scanner V4 Indexer	gRPC	8443
Central ↔ Sensor	TCP/gRPC	443	双向通信，Sensor 发起连接
Central ↔ CLI	gRPC/HTTPS	443	选项请参见 `roxctl`
Central ↔ 漏洞 feed	HTTPS	443	definitions.stackrox.io
Collector → Sensor	gRPC	443
Scanner V4 Indexer → Central	HTTPS	443
Scanner V4 Indexer/Matcher → DB	TCP	5432
Sensor ↔ Admission Controller	gRPC	443	双向通信