云原生安全开源项目CNSI(项目代号:Narrows)发布了0.3版本,新增了“Exporter”( 导出器)的组件,帮助用户更简单的拓展潜在的数据消费者。同时该版本将kube-bench的错误配置项扫描器 (misconfiguration scanner) 的部署形式由CronJob变为DaemonSet的形式,并且可以自动监听配置文件的变化,在文件改变时自动触发扫描。
除此之外,在这个release中,允许用户可以不通过克隆代码,直接使用Helm命令安装部署Narrows。
(详细信息请见:https://github.com/vmware-tanzu/cloud-native-security-inspector/tree/0.3.0/src/tools/installation/charts/cnsi/README.md )
其他更新包括e2e-framework的测试框架被首次引入到项目中,用以进行基本流程的测试。之前版本中通过Custom Resources(自定义资源)方式在Kubernetes中保存扫描报告的功能,在此版本中被移除。所有的报告都会通过“Exporter”组件默认导入到OpenSearch中存储。
新引入的Exporter组件
在0.3.0的版本中,我们新增了一个叫做”Exporter”的组件,主要作用是用来解耦扫描器(Scanner)和扫描报告的消费者(Consumer)。在之后,扫描器只聚焦于安全检测和生成对应的扫描报告。而”Exporter”主要负责将扫描器生成的报告发送给数据消费者。
这种调整使得用户可以以较少的代码修改,从而为Narrows灵活的自定义新的数据消费者。Exporter做为一个可以独立运行和部署的模块,其代码在路径src/pkg/exporter路径下。对应的Dockerfile是src/Dockerfile.exporter。它可以被src/tools/installation/yaml/data-exporter.yaml文件部署(也可以通过Helm的方式部署安装,详见README),以Deployment的形式运行在Kubernetes集群中,可以使用http://cnsi-exporter-service.[namespace].svc.cluster.local:6780/forward这个endpoint来进行访问。
导出器(Exporter)会作为一个web服务运行,并监听在这个端口(endpoint)上,当它收到扫描器发来的post请求时,会解析请求中的负载(payload),并按照扫描器(Scanner)和导出器(Exporter)之间约定的格式(protocol)进行解析。
在这个格式(protocol)中,包含了扫描器的名称,数据消费者的有关配置(URL,credentials等)和要导出的报告的具体内容。
在目前的导出器(Exporter)中,封装了OpenSearch和VAC Governor的http client。可以根据格式(protocol)中设置的值进行处理。
关于VMware Application Catalog Governor
VAC是VMware Application Catalog缩写,它构建于Bitnami的生态之上。它提供一系列的预打包和验证的开源容器镜像,可以根据客户选择而定制。VAC提供的镜像目录可以提高开发人员的敏捷性,帮助他们发现、迭代和快速上线。VAC Governor是一个为VAC提供软件检测能力的组件。目前Project Narrows已经可以与VAC Governor进行集成,从而在用户许可的情况下,将一部分工作负载信息收集至VAC Governor。
(详细信息请见:https://github.com/vmware-tanzu/cloud-native-security-inspector/tree/0.3.0/docs/GOVERNOR.md)
Narrows已经由VMware公司开源,采用商业化友好的阿帕奇 2.0软件许可,方便用户作扩展和创新。欢迎广大用户参与到我们的开源项目中,并期待您的使用和反馈。如果您对Narrows开源项目感兴趣,希望与我们更密切地合作,或者希望进行测试和试用、提出建议或bug,请发邮件至narrows @ vmware.com。
内容来源|公众号:VMware 中国研发中心
本文作者:Simon Zhao (赵仁明),VMware云原生实验室架构师。10年+ 云平台、数据平台、人工智能基础设施平台研发经验。目前主要关注云原生与人工智能领域的开源及创新项目。