コンテナイメージのスキャン
Aqua Trivy ツールを使用して、コンテナイメージのスキャンを有効にします。
始める前に
注:
パターンは Linux オペレーティングシステムのみをサポートし、Linux MID サーバーで実行されます。
次のセットアップを確認します。
- ディスカバリーとサービスマッピングパターン、1.7.0 以降 (2023 年 8 月ストアリリース)
- CMDB CI クラスモデル、1.43.0 以降。
- ヴィジビリティコンテンツ、6.7.2 以降
- コンテナイメージのスキャンを正常に実行するには、環境内のすべての MID サーバーが、特定の機能用に構成されており、[すべて] に設定されていないことを確認します。機能の設定の詳細については、「MID Server capabilities」を参照してください。
- MID サーバーの要件:
- 8 GB RAM と 4 GB JVM
- コンテナイメージをスキャンするように構成されたMID サーバー 機能
- イメージリポジトリにアクセスできます
- Aqua Trivy 0.44.0 以降が MID サーバーにインストールされています。最後に検証されたバージョンは 0.51.0 です。Aqua Trivy のインストールの詳細については、Now Support ナレッジベースの記事「Container Image scan feature overview (コンテナイメージのスキャン機能の概要) [KB1218504]」を参照してください。
- Docker または Kubernetes のコンテナイメージと環境レコードを収集する場合は、コンテナイメージのスキャン機能を有効にする前に、まず Docker ディスカバリーまたは Kubernetes ディスカバリーを実行する必要があります。詳細については、「Kubernetes 検出」と「Docker の仮想化」を参照してください。
- ディスカバリーとサービスマッピングパターンのバージョン 1.18.0 以降、コンテナイメージのスキャン機能は、以下もサポートしています。
- プロキシ MID サーバーを使用して、パブリック、自己ホスト型プライベート、および Amazon Elastic Container Registry (Amazon ECR) リポジトリのコンテナイメージをスキャンする。プロキシ MID サーバーを使用するには、MID サーバーのプロキシパラメーターが正しく設定されていることを確認してください。詳細については、「MID Server parameters」を参照してください。
- 自己ホスト型プライベートリポジトリのコンテナイメージをスキャンする。このリポジトリをスキャンするには、コンテナイメージリポジトリの認証情報を作成する必要があります。詳細については、「Create and test your credentials」と「Container image repository credentials」を参照してください。
- パブリックリポジトリとプライベートリポジトリの両方で Amazon ECR からイメージレコードを収集する。この Amazon ECR イメージレコードを収集するには、コンテナイメージのスキャンを有効にする前に、まず Amazon ECS リソースディスカバリーを実行する必要があります。Amazon ECS リソースディスカバリー用に作成された AWS クラウドサービスアカウントは、コンテナイメージのスキャンにも使用されます。Amazon ECS リソースディスカバリーの詳細については、「Amazon ECS リソースディスカバリー」を参照してください。
必要なロール:admin
手順
タスクの結果
スキャンコンテナイメージパターンがイメージ OS パッケージを検索し、イメージ CI クラスに基づいてアプリケーションレコードを作成します。[コンテナイメージ OS パッケージ] テーブルは、イメージレコードにあります。パターンは、構成アイテム (CI) 間の関係も作成します。収集されるデータの詳細については、「コンテナイメージの検出」を参照してください。