【译】如何使用docker-compose安装anchore
如何使用docker-compose安装anchore,本篇译自Install with Docker Compose。
Preface
在本节中,您将学习如何启动和运行独立的Anchore引擎安装,以便与Docker Compose一起进行试用、演示和检查。
Requirements
以下说明假设您使用的是运行Docker v1.12或更高版本的系统,以及至少支持Docker compose配置格式v2的Docker compose版本。
独立安装将需要至少4GB的RAM和足够的可用磁盘空间来支持您要分析的最大容器映像(我们建议最大容器为映像大小3倍)。对于小的映像/测试(基本的Linux发行版映像、数据库映像等),5GB到10GB的磁盘空间应该足够。
本机环境
[root@localhost ~]# cat /etc/redhat-release
CentOS Linux release 7.6. (Core)
[root@localhost ~]# docker -v
Docker version 19.03., build 9013bf583a
[root@localhost ~]# docker-compose -v
docker-compose version 1.24., build
安装使用步骤
设置安装路径
创建用于存储配置文件的目录。
# mkdir ~/aevolume
# cd ~/aevolume
拷贝配置文件
下载最新的Anchore引擎容器映像,其中包含部署所需的docker-compose.yaml和配置文件。
# docker pull docker.io/anchore/anchore-engine:latest
接下来,将包含的docker-compose.yaml复制到~/aevolume/目录。
# docker create --name ae docker.io/anchore/anchore-engine:latest
# docker cp ae:/docker-compose.yaml ~/aevolume/docker-compose.yaml
# docker rm ae
完成这些步骤后,~/aevolume/工作区现在应该如下所示:
# cd ~/aevolume
# find .
.
./docker-compose.yaml
下载和运行容器
下载docker-compose.yaml中列出的容器,并使用docker compose cli运行整个安装程序。
注意:默认情况下,所有服务(包括捆绑的数据库实例)都是暂时的,如果关闭/重新启动,数据将丢失。
# cd ~/aevolume # 如果一直在这个~/aevolumn,可以不用切换
# docker-compose pull # 拉取镜像
# docker-compose up -d # 运行容器
验证服务可用性
几分钟后(取决于系统速度),您的Anchore引擎服务应该启动并运行,准备使用。您可以验证容器是否与Docker合成一起运行。
刚启动
如果立即查看状态,可以看到目前是处于启动状态starting...
[root@localhost aevolume]# docker-compose ps
Name Command State Ports
-----------------------------------------------------------------------------------------------------------------
aevolume_anchore-db_1 docker-entrypoint.sh postgres Up /tcp
aevolume_engine-analyzer_1 /docker-entrypoint.sh anch ... Up (health: starting) /tcp
aevolume_engine-api_1 /docker-entrypoint.sh anch ... Up (health: starting) 0.0.0.0:->/tcp
aevolume_engine-catalog_1 /docker-entrypoint.sh anch ... Up (health: starting) /tcp
aevolume_engine-policy-engine_1 /docker-entrypoint.sh anch ... Up (health: starting) /tcp
aevolume_engine-simpleq_1 /docker-entrypoint.sh anch ... Up (health: starting) /tcp
启动完成
启动完成之后的状态是Up (healthy)。
[root@localhost aevolume]# docker-compose ps
Name Command State Ports
--------------------------------------------------------------------------------------------------------
aevolume_anchore-db_1 docker-entrypoint.sh postgres Up /tcp
aevolume_engine-analyzer_1 /docker-entrypoint.sh anch ... Up (healthy) /tcp
aevolume_engine-api_1 /docker-entrypoint.sh anch ... Up (healthy) 0.0.0.0:->/tcp
aevolume_engine-catalog_1 /docker-entrypoint.sh anch ... Up (healthy) /tcp
aevolume_engine-policy-engine_1 /docker-entrypoint.sh anch ... Up (healthy) /tcp
aevolume_engine-simpleq_1 /docker-entrypoint.sh anch ... Up (healthy) /tcp
[root@localhost aevolume]#
如果提示unhealthy,那基本上是凉了,我在Ubuntu 18.10上装的时候提示unhealthy。
可以运行命令以获取Anchore引擎服务的状态:
[root@localhost aevolume]# docker-compose exec engine-api anchore-cli system status
Service policy_engine (anchore-quickstart, http://engine-policy-engine:8228): up
Service catalog (anchore-quickstart, http://engine-catalog:8228): up
Service analyzer (anchore-quickstart, http://engine-analyzer:8228): up
Service simplequeue (anchore-quickstart, http://engine-simpleq:8228): up
Service apiext (anchore-quickstart, http://engine-api:8228): up Engine DB Version: 0.0.
Engine Code Version: 0.5.
【注1】第一次运行anchore引擎时,漏洞数据需要一些时间(10分钟以上,具体取决于网络速度)才能同步到引擎中。为了获得最佳体验,请等到核心漏洞数据馈送完成后再继续。您可以使用cli检查提要同步的状态:
【注2】国内连接可能有问题,如果获取到的结果为空[],说明“网络有问题”。
[root@localhost aevolume]# docker-compose exec engine-api anchore-cli system feeds list
Feed Group LastSync RecordCount
nvdv2 nvdv2:cves None
vulnerabilities alpine:3.10 --24T10::28.863794
vulnerabilities alpine:3.3 --24T10::30.419939
vulnerabilities alpine:3.4 --24T10::31.636178
vulnerabilities alpine:3.5 --24T10::32.463535
vulnerabilities alpine:3.6 --24T10::34.712758
vulnerabilities alpine:3.7 --24T10::35.736285
vulnerabilities alpine:3.8 --24T10::36.873816
vulnerabilities alpine:3.9 --24T10::40.829436
vulnerabilities amzn: --24T10::42.072979
vulnerabilities centos: --24T10::43.330519
vulnerabilities centos: --24T10::44.793265
vulnerabilities centos: --24T10::46.020503
vulnerabilities centos: --24T10::48.220903
vulnerabilities debian: --24T10::49.230547
vulnerabilities debian: --24T10::38.252045
vulnerabilities debian: --24T10::39.583650
vulnerabilities debian: --24T10::05.533995
vulnerabilities debian: --24T10::50.416781
vulnerabilities debian:unstable --24T10::54.364496
vulnerabilities ol: --24T10::55.540285
vulnerabilities ol: --24T10::56.853690
vulnerabilities ol: --24T10::58.064640
vulnerabilities ol: --24T10::59.457818
vulnerabilities ubuntu:12.04 --24T10::00.744212
vulnerabilities ubuntu:12.10 --24T10::01.919411
vulnerabilities ubuntu:13.04 --24T10::03.075236
vulnerabilities ubuntu:14.04 --24T10::52.005554
vulnerabilities ubuntu:14.10 --24T10::53.374428
vulnerabilities ubuntu:15.04 --24T10::04.390020
vulnerabilities ubuntu:15.10 --24T10::13.443607
vulnerabilities ubuntu:16.04 --24T10::15.202243
vulnerabilities ubuntu:16.10 --24T10::16.851464
vulnerabilities ubuntu:17.04 --24T10::18.700772
vulnerabilities ubuntu:17.10 --24T10::19.923028
vulnerabilities ubuntu:18.04 --24T10::23.690570
vulnerabilities ubuntu:18.10 --24T10::25.060819
vulnerabilities ubuntu:19.04 --24T10::26.393018
vulnerabilities ubuntu:19.10 --24T10::27.653338
一旦您看到所有漏洞组的记录计数值>0,系统即已完全填充并准备好显示漏洞结果。请注意,feed同步是增量的,因此下次启动anchore引擎时,它将立即就绪。cli工具包括一个有用的实用工具,它将一直阻止,直到feed成功完成同步:
【注】国内的情况,远远不止10分钟。
[root@localhost aevolume]# docker-compose exec engine-api anchore-cli system wait
Starting checks to wait for anchore-engine to be available timeout=-1.0 interval=5.0
API availability: Checking anchore-engine URL (http://localhost:8228)...
API availability: Success.
Service availability: Checking for service set (catalog,apiext,policy_engine,simplequeue,analyzer)...
Service availability: Success.
Feed sync: Checking sync completion for feed set (vulnerabilities)...
Feed sync: Success.
使用Anchore
开始使用anchore引擎服务来分析镜像。下面是一个简短的示例,它演示了添加容器镜像以进行分析、等待分析完成、然后对分析的镜像运行内容报告、漏洞扫描和策略评估的基本工作流。
添加镜像
[root@localhost aevolume]# docker-compose exec engine-api anchore-cli image add docker.io/library/debian:
Image Digest: sha256:81e88820a7759038ffa61cff59dfcc12d3772c3a2e75b7cfe963c952da2ad264
Parent Digest: sha256:2259b099d947443e44bbd1c94967c785361af8fd22df48a08a3942e2d5630849
Analysis Status: analyzed
Image Type: docker
Analyzed At: --24T08::47Z
Image ID: 10fcec6d95c4a29f49fa388ed39cded37e63a1532a081ae2386193942fc12e21
Dockerfile Mode: Guessed
Distro: debian
Distro Version:
Size:
Architecture: amd64
Layer Count: Full Tag: docker.io/library/debian:
Tag Detected At: --24T08::36Z
分析镜像
我这里是已经分析过的。
[root@localhost aevolume]# docker-compose exec engine-api anchore-cli image wait docker.io/library/debian:
Image Digest: sha256:81e88820a7759038ffa61cff59dfcc12d3772c3a2e75b7cfe963c952da2ad264
Parent Digest: sha256:2259b099d947443e44bbd1c94967c785361af8fd22df48a08a3942e2d5630849
Analysis Status: analyzed
Image Type: docker
Analyzed At: --24T08::47Z
Image ID: 10fcec6d95c4a29f49fa388ed39cded37e63a1532a081ae2386193942fc12e21
Dockerfile Mode: Guessed
Distro: debian
Distro Version:
Size:
Architecture: amd64
Layer Count: Full Tag: docker.io/library/debian:
Tag Detected At: --24T08::36Z
查看镜像信息
可以使用如下命令:
[root@localhost aevolume]# docker-compose exec engine-api anchore-cli image content docker.io/library/debian:
os: available
files: available
npm: available
gem: available
python: available
java: available
我们用os命令来查看操作系统信息:
[root@localhost aevolume]# docker-compose exec engine-api anchore-cli image content docker.io/library/debian: os
Package Version License
apt 0.9.7.9+deb7u7 GPLv2+
base-files .1wheezy11 Unknown
...
查看漏洞信息
[root@localhost aevolume]# docker-compose exec engine-api anchore-cli image vuln docker.io/library/debian: all
Vulnerability ID Package Severity Fix CVE Refs Vulnerability URL
CVE-- tar-1.26+dfsg-0.1+deb7u1 Negligible None https://security-tracker.debian.org/tracker/CVE-2005-2541
CVE-- login-:4.1.5.1-+deb7u1 Negligible None https://security-tracker.debian.org/tracker/CVE-2007-5686
CVE-- passwd-:4.1.5.1-+deb7u1 Negligible None https://security-tracker.debian.org/tracker/CVE-2007-5686
CVE-- libssl1.0.0-1.0.1t-+deb7u4 Negligible None https://security-tracker.debian.org/tracker/CVE-2007-6755
...
评估镜像
[root@localhost aevolume]# docker-compose exec engine-api anchore-cli evaluate check docker.io/library/debian:
Image Digest: sha256:81e88820a7759038ffa61cff59dfcc12d3772c3a2e75b7cfe963c952da2ad264
Full Tag: docker.io/library/debian:
Status: pass # 镜像检测通过
Last Eval: --24T11::03Z
Policy ID: 2c53a13c--11e8-82ef-23527761d060
注意:本文档旨在作为快速入门指南。在与Anchore进一步探讨扫描、策略评估、镜像内容报告、CI/CD集成和其他功能之前,强烈建议您通过阅读概述部分来加深对基本原理、概念和正确使用的理解,从而提高学习水平。
测试nginx
我们可按前述步骤对其它镜像进行测试,我们选取一个旧版本nginx:1.11.1。
[root@localhost aevolume]# docker pull nginx:1.11.1 # 拉取镜像
[root@localhost aevolume]# docker-compose exec engine-api anchore-cli image add nginx:1.11.1 # 添加分析
Image Digest: sha256:0fe6413f3e30fcc5920bc8fa769280975b10b1c26721de956e1428b9e2f29d04
Parent Digest: sha256:0fe6413f3e30fcc5920bc8fa769280975b10b1c26721de956e1428b9e2f29d04
Analysis Status: analyzed
Image Type: docker
Analyzed At: --24T11::55Z
Image ID: 0d409d33b27e47423b049f7f863faa08655a8c901749c2b25b93ca67d01a470d
Dockerfile Mode: Guessed
Distro: debian
Distro Version:
Size:
Architecture: amd64
Layer Count: Full Tag: docker.io/nginx:1.11.
Tag Detected At: --24T11::48Z
[root@localhost aevolume]# docker-compose exec engine-api anchore-cli evaluate check nginx:1.11.
Image Digest: sha256:0fe6413f3e30fcc5920bc8fa769280975b10b1c26721de956e1428b9e2f29d04
Full Tag: docker.io/nginx:1.11.
Status: pass # 检测通过
Last Eval: --24T11::40Z
Policy ID: 2c53a13c--11e8-82ef-23527761d060
# 因为漏洞比较多,很多可忽略的Negligible和未知Unknown漏洞,我们直接正则过滤
[root@localhost aevolume]# docker-compose exec engine-api anchore-cli image vuln nginx:1.11. all | grep High
[root@localhost aevolume]# docker-compose exec engine-api anchore-cli image vuln nginx:1.11. all | grep Medium
[root@localhost aevolume]# docker-compose exec engine-api anchore-cli image vuln nginx:1.11. all | grep Low
CVE-- libssl1.0.0-1.0.1k-+deb8u5 Low 1.0.1t-+deb8u8 https://security-tracker.debian.org/tracker/CVE-2018-0739
CVE-- openssl-1.0.1k-+deb8u5 Low 1.0.1t-+deb8u8 https://security-tracker.debian.org/tracker/CVE-2018-0739
发现只有两个低危Low漏洞,因此检测通过。
但总感觉不对... nginx:1.11.1自身存在很多漏洞,绝对不止两个低危漏洞的。
【译】如何使用docker-compose安装anchore的更多相关文章
- 手把手教你 Docker Compose安装DOClever
一.什么是Docker Compose以及Docker Compose的安装和使用 查看我的另外一篇博客:Docker Compose的安装和使用 二.DOClever是什么 DOClever是一个可 ...
- Docker Compose 安装 on centos7
本文演示如何在CentOS7上安装Docker Compose. 1 在线安装 1.1 下载安装包 $ curl -L https://github.com/docker/compose/releas ...
- Docker Compose安装以及入门
Docker Compose 是 Docker 官方编排(Orchestration)项目之一,负责快速在集群中部署分布式应用. Compose 简介 Compose 项目是 Docker 官方的开源 ...
- 使用 docker compose 安装 tidb
目标 : 单机上通过 Docker Compose 快速一键部署一套 TiDB 测试集群 前提条件: 1.centos版本在7.3 以上 2.安装git 3.安装docker Docker versi ...
- centos docker compose安装
docker compose离线安装 通过联网机器下载docker-compose离线安装包(参见Downloads部分) https://github.com/docker/compose/rele ...
- docker和docker compose安装使用、入门进阶案例
一.前言 现在可谓是容器化的时代,云原生的袭来,导致go的崛起,作为一名java开发,现在慌得一批.作为知识储备,小编也是一直学关于docker的东西,还有一些持续继承jenkins. 提到docke ...
- Docker Compose安装部署Jenkins
流水线可以让项目发布流程更加清晰,docker可以大大减少Jenkins配置. 1.前言 数据卷挂载到 /var 磁盘目录下,因为该磁盘空间较大,后面需要挂载容器数据卷,以防内存吃紧. 为了可以留存启 ...
- Docker Compose安装Registry后配置WebUI与客户端
场景 Docker 私服Registry简介与使用Docker-Compose安装Registry: https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article ...
- docker compose安装gitea
docker-compose.yml version: "3.4" networks: gitea: external: false services: server: image ...
随机推荐
- Docker 遇到的一些错误
1.version Base not defined in file libdevmapper.so.1.02 在 Centos 6.5 上安装docker-io之后,使用/etc/init.d/do ...
- Spring之junit测试集成
简介 Spring提供spring-test-5.2.1.RELEASE.jar 可以整合junit. 优势:可以简化测试代码(不需要手动创建上下文,即手动创建spring容器) 使用spring和j ...
- oracle创建jobs定时任务报错:ora-01008:not all variables bound
原脚本(直接从jobs拖出生成的DDL): begin sys.dbms_job.submit(job => :job, what => 'xx ...
- webpack4分包方案
webpack4放弃了 commonsChunkPlugin,使用更方便灵活智能的 splitChunks 来做分包的操作. 下面有几个例子,并且我们假设所有的chunks大小至少为30kb(采用sp ...
- MySQL必知必会(Select)
SELECT prod_name FROM products; SELECT prod_id, prod_name, prod_price FROM products; SELECT * FROM p ...
- Sring+mybatis模拟银行转账
实体类: package com.bjsxt.pojo; import java.io.Serializable; public class Account implements Serializab ...
- unity3d 动态添加地面贴图 草地
TerrainData.splatPrototypes = ]{ new SplatPrototype() { texture=Caodi, //Texture2D的贴图 normalMap=null ...
- 基于iCamera测试宽动态全局摄像头mt9v034或mt9v032小结
基于iCamera测试宽动态全局摄像头mt9v034或mt9v032小结 先看看硬件特点 主要是:全局快门.宽动态 然后看看硬件测试,usb采集出图 再看看寄存器配置 主要测试,可以修改分辨率,修改曝 ...
- Python 3 对象关系映射(ORM)
ORM 对象关系映射 Object Relational Mapping 表 ---> 类 字段 ---> 属性 记录 ---> 对象 # mysql_client.py impor ...
- display:none和visibility:hidden两者的区别
display与元素的隐藏 如果给一个元素设置了display: none,那么该元素以及它的所有后代元素都会隐藏,它是前端开发人员使用频率最高的一种隐藏方式.隐藏后的元素无法点击,无法使用屏幕阅读器 ...