Prisma Cloud Compute ： 如何配置阿里云容器镜像服务（ACR）进行镜像扫描？

1. 如何设置阿里云容器镜像服务（ACR）
2. 如何使用“Docker Push”在 ACR 中推送映像
3. 如何在 Prisma 云计算中配置 ACR 注册表以实现成功扫描
4. 导致扫描错误的常见错误配置

• Prisma 云计算（SaaS 和自托管）
• 阿里云容器镜像服务（ACR）个人版

1. 如何设置阿里云容器镜像服务（ACR）

• 登录 阿里云 控制台

• 访问“ 容器注册表 ”部分

• 在本实验示例中，我们开启了容器镜像服务个人版（它会要求你允许 AliyunContainerRegistryReadOnly 权限）

注：您可以 根据业务需求选择企业版

• 在“访问凭据”下设置密码以登录您的容器注册表实例（供日后使用）

• 创建 命名空间 - 允许您通过唯一标识存储库来有效地管理存储库集合

• 默认情况下，会创建一个存储库类型为“Private”的命名空间（可以根据您的业务需求更改为 Public）

• 创建一个存储库，选择创建的命名空间，存储库类型（在我们的例子中是私有的）和 存储库 名称（例如alibaba-registry）

• 选择存储库的代码源（例如。在我们的例子中选择了本地存储库）

• 完成后，阿里云将为您的注册表创建一个唯一的端点 URL：注册表 URL / 命名空间 / 存储库名称
• 如“详细信息”选项卡下所示，复制 Docker 命令（稍后使用）！

第12章 | © 2023 帕洛

• 目前，我们的 ACR 中没有图像标记

13 | . 保留所有权利。

2. 如何使用“Docker Push”在 ACR 中推送映像

• 使用之前创建的 Credential 登录阿里云 Docker Registry

• 使用任何现有映像 ID 使用注册表 URL 标记映像（要推送）（运行“docker images”以获取映像 ID）

• 使用“Docker images”命令确认标记

• 使用“Docker Push”命令将映像推送到 ACR

• 您可以通过在容器注册表的“标记”部分下查看是否已成功推送映像

3. 如何在 Prisma 云计算中配置 ACR 注册表以成功扫描

• 在 Prisma 云控制台的 Compute > Manage > Authentication > Credentials store 下配置相同的阿里云凭证

（注意：选择键入“基本身份验证”）

• 转到“ 计算>防御>漏洞>映像>注册表设置”>“添加注册表”
• 注册表网址 ： https://registry-intl.<region>.aliyuncs.com
• 存储库：命名空间/存储库名称，例如。paloalto/阿里巴巴注册中心
• 凭据 ：选择在凭据存储中创建的凭据

• 扫描程序范围：选择将扫描注册表的 Defender 扫描程序

• 填写所有必填（和可选）字段后，单击“添加并扫描”
• 您应该会看到以下消息“注册表设置已成功更新”

• 单击右上角的“扫描”标签以查看扫描进度

• 成功的扫描结果可在以下位置查看： Compute > Monitor > Vulnerabilities > Images > Registries

• 注册表详细信息包括注册表 URL 和扫描注册表的扫描程序 （Defender）

• 可以在控制台和 Defender 日志中查看扫描详细信息

导致扫描错误的常见错误配置

• 注册表 URL 配置为：Registry-FQDN / Namespace / Repository-name（应为 Registry-FQDN）

• 此配置会导致 “无法检索存储库...404 未找到“ 错误

• 存储库配置为：Repository_Name （应为 Namespace/Repository_Name）

• 此配置会导致 “无法检索存储库”。401 未经授权“ 错误

引用

1. 阿里云容器镜像服务（ACR）
2. Prisma Cloud Compute ： 扫描阿里云容器镜像服务