雲原生安全開源項目CNSI(項目代號:Narrows)發佈了0.3版本,新增了“Exporter”( 導出器)的組件,幫助用戶更簡單的拓展潛在的數據消費者。同時該版本將kube-bench的錯誤配置項掃描器 (misconfiguration scanner) 的部署形式由CronJob變爲DaemonSet的形式,並且可以自動監聽配置文件的變化,在文件改變時自動觸發掃描。
除此之外,在這個release中,允許用戶可以不通過克隆代碼,直接使用Helm命令安裝部署Narrows。
(詳細信息請見:https://github.com/vmware-tanzu/cloud-native-security-inspector/tree/0.3.0/src/tools/installation/charts/cnsi/README.md )
其他更新包括e2e-framework的測試框架被首次引入到項目中,用以進行基本流程的測試。之前版本中通過Custom Resources(自定義資源)方式在Kubernetes中保存掃描報告的功能,在此版本中被移除。所有的報告都會通過“Exporter”組件默認導入到OpenSearch中存儲。
新引入的Exporter組件
在0.3.0的版本中,我們新增了一個叫做”Exporter”的組件,主要作用是用來解耦掃描器(Scanner)和掃描報告的消費者(Consumer)。在之後,掃描器只聚焦於安全檢測和生成對應的掃描報告。而”Exporter”主要負責將掃描器生成的報告發送給數據消費者。
這種調整使得用戶可以以較少的代碼修改,從而爲Narrows靈活的自定義新的數據消費者。Exporter做爲一個可以獨立運行和部署的模塊,其代碼在路徑src/pkg/exporter路徑下。對應的Dockerfile是src/Dockerfile.exporter。它可以被src/tools/installation/yaml/data-exporter.yaml文件部署(也可以通過Helm的方式部署安裝,詳見README),以Deployment的形式運行在Kubernetes集羣中,可以使用http://cnsi-exporter-service.[namespace].svc.cluster.local:6780/forward這個endpoint來進行訪問。
導出器(Exporter)會作爲一個web服務運行,並監聽在這個端口(endpoint)上,當它收到掃描器發來的post請求時,會解析請求中的負載(payload),並按照掃描器(Scanner)和導出器(Exporter)之間約定的格式(protocol)進行解析。
在這個格式(protocol)中,包含了掃描器的名稱,數據消費者的有關配置(URL,credentials等)和要導出的報告的具體內容。
在目前的導出器(Exporter)中,封裝了OpenSearch和VAC Governor的http client。可以根據格式(protocol)中設置的值進行處理。
關於VMware Application Catalog Governor
VAC是VMware Application Catalog縮寫,它構建於Bitnami的生態之上。它提供一系列的預打包和驗證的開源容器鏡像,可以根據客戶選擇而定製。VAC提供的鏡像目錄可以提高開發人員的敏捷性,幫助他們發現、迭代和快速上線。VAC Governor是一個爲VAC提供軟件檢測能力的組件。目前Project Narrows已經可以與VAC Governor進行集成,從而在用戶許可的情況下,將一部分工作負載信息收集至VAC Governor。
(詳細信息請見:https://github.com/vmware-tanzu/cloud-native-security-inspector/tree/0.3.0/docs/GOVERNOR.md)
Narrows已經由VMware公司開源,採用商業化友好的阿帕奇 2.0軟件許可,方便用戶作擴展和創新。歡迎廣大用戶參與到我們的開源項目中,並期待您的使用和反饋。如果您對Narrows開源項目感興趣,希望與我們更密切地合作,或者希望進行測試和試用、提出建議或bug,請發郵件至narrows @ vmware.com。
內容來源|公衆號:VMware 中國研發中心
本文作者:Simon Zhao (趙仁明),VMware雲原生實驗室架構師。10年+ 雲平臺、數據平臺、人工智能基礎設施平臺研發經驗。目前主要關注雲原生與人工智能領域的開源及創新項目。