容器DevSecOps全链路体验
1. 创建一个ACR EE实例-高级版
本步骤将指导您如何创建一个ACR EE实例-高级版,相关操作,请参考创建企业版实例。。
- 登录容器镜像服务控制台。
- 在顶部菜单栏,选择所需地域。例如选择华东1(杭州)。
- 在左侧导航栏,单击实例列表。
- 在实例列表页面,单击创建企业版实例。
- 在创建企业版实例页面,完成基本信息的配置,然后单击立即购买。
参数 |
说明 |
地域 |
选择企业版实例所在的地域。 |
实例规格 |
选择实例规格。本实验中选择高级版。更多信息,请参见什么是容器镜像服务ACR。 |
实例名称 |
输入实例名称。 |
实例存储 |
支持默认和自定义。 默认:默认将在您账号下创建OSS Bucket托管容器镜像。 自定义:可自定义选择已有OSS Bucket托管容器镜像。 |
选择Bucket |
选择已有Bucket托管容器镜像。 说明:仅设置实例存储为自定义时,需要设置该项。 |
安全扫描 |
提供镜像安全扫描功能,支持选择以下两种安全扫描引擎: Trivy扫描引擎:开源扫描引擎,支持检测系统漏洞和应用漏洞,不支持一键修复系统漏洞功能。 云安全扫描引擎:阿里云自研的扫描引擎,支持检测系统漏洞、应用漏洞、基线检查和恶意样本,支持一键修复系统漏洞功能。 |
仓库配额 |
基础版默认仓库配额为1000,标准版为3000,高级版为5000,您可以在这里按需额外增加仓库配额。 |
命名空间配额 |
基础版默认命名空间配额为15,标准版为25,高级版为50,您可以在这里按需额外增加命名空间配额。 |
购买时长 |
目前支持选择1、2、3、6个月和1~5年。 说明:您还可以设置是否到期自动续费。 |
- 在确认订单页面确认并选中我已阅读并同意容器镜像服务企业版服务协议,单击去支付。
- 在支付页面底部查看实例的总费用,如无疑问,根据提示完成支付。
- 在实例列表页面新建实例的运行状态为启动中。大约2到3分钟后,状态会变为运行中。
2. 配置专有网络的访问控制
- 本步骤将指导您如何完成企业版实例的初始化操作,添加一个VPC作为云安全中心访问企业版实例的通道。相关操作,请参考配置 VPC 访问控制。
- 登录容器镜像服务控制台。
- 在顶部菜单栏,选择所需地域。
- 在左侧导航栏,选择实例列表。
- 在实例列表页面,单击目标企业版实例。
- 在企业版实例管理页面左侧导航栏中,选择仓库管理>访问控制。
说明:如果您需要为Helm Chart配置访问控制,请选择Helm Chart>访问控制。
- 在专有网络页签下,单击添加专有网络。
- 在添加专有网络对话框中,分别选择已有专有网络和已有交换机,并单击确定。
说明:只需要绑定一台交换机与专有网络,该专有网络下的ECS都可以访问企业版实例。
待该专有网络的状态由创建中变为已生效后,说明专有网络添加成功。
- 可选:查看云解析PrivateZone的解析Zone。
创建专有网络成功后,ACR会自动在云解析PrivateZone中创建解析Zone,为您解析域名。您可以在云解析PrivateZone查看解析Zone。
- 登录云解析DNS控制台。
- 在控制台左侧导航栏单击PrivateZone。
在权威Zone页签下查看解析Zone。
3. 上传源码
- 本步骤将指导您如何在Codeup中上传源码。
- 登录Codeup。
- 在代码库页面,单击添加库>导入代码库。
- 在导入代码库对话框中,选择URL导入,源代码库地址按如下填写,单击确定。
https://github.com/susanna8930/workshop.git
耐心等待片刻并刷新页面,返回如下页面,表示代码导入成功。
4. 绑定代码源
本步骤将指导您如何绑定企业版实例与源代码托管平台,便于您后续进行构建镜像等操作。
- 创建阿里云Codeup个人访问令牌。
- 登录Codeup。
- 在云效Codeup页面单击个人账号,然后单击个人设置。
- 在个人设置页面左侧导航栏,单击个人访问令牌。
- 在个人访问令牌页面,单击创建访问令牌。
- 在创建访问令牌页面,设置名称、过期时间,选择授予的权限,然后单击立即创建。
以下为创建访问令牌需要授予的最小权限。
- 用户相关信息的只读权限:read:user
- 代码库的只读权限:read:repo
- 代码库分支的只读权限:read:repo:branch
- 代码库标签的只读权限:read:repo:tag
- 代码库Webhook的全部读写权限:read:repo:webhook、write:repo:webhook
- 代码组的全部读权限:read:group
- 企业相关信息的只读权限:read:org
创建完成后,您可以查看到创建的访问令牌。
- 查看HTTPS克隆账号名。
在个人设置页面左侧导航栏,单击HTTPS密码,查看克隆账号。
- 绑定阿里云Codeup代码平台。
- 登录容器镜像服务控制台。
- 在顶部菜单栏,选择所需地域。
- 在左侧导航栏,选择实例列表。
- 在实例列表页面单击目标企业版实例。
- 在企业版实例管理页面选择仓库管理>代码源。
- 在代码源页面单击阿里云Codeup操作列下的绑定账号。
- 在对话框中设置参数,然后单击确定。
- 地址:无需填写。
说明:绑定阿里云Codeup时,系统会自动识别该地址。
- 用户名称:输入步骤二获取的HTTPS克隆账号名。
- 个人访客令牌:输入步骤一创建的访问令牌。
在代码源页面阿里云Codeup操作列显示已绑定,说明绑定成功。
5. 创建源代码仓库
本步骤将指导您如何传几个源代码仓库。
- 在企业版实例管理页面左侧导航栏,选择仓库管理>镜像仓库,单击创建镜像仓库。
- 创建命名空间为demo,仓库名称为workshop,设置仓库类型为公开。
说明:仅Workshop示意,不建议生产环境开启。
- 选择预先导入的Codeup代码仓库,默认开启代码变更自动构建镜像,单击创建镜像仓库。
- 在镜像仓库页面,单击目标仓库右侧操作列中的管理。
- 在左侧导航栏中,单击构建。
- 在构建规则设置区域单击添加规则,根据如下配置构建规则,然后单击确定。
- 构建信息页面:选择 Branch 类型,从下拉框中选择 master 分支。
- 镜像版本页面:填写镜像版本 v1.0,点击保存。
创建完成后,可在源代码仓库查看对应的构建规则,单击立即构建,可从Codeup上拉取容器镜像进行构建。
6. 创建云原生应用交付链
- 本步骤将指导您如何创建云原生应用交付链。
- 在企业版实例管理页面左侧导航栏中,选择云原生交付链 > 交付链。
- 在创建交付链页面基本信息区域,输入以下信息。
- 交付链名称:设置交付链的名称。
- (可选)交付链描述:设置交付链的基本描述。
- 交付链作用范围:选择前面创建的源代码仓库。
- 在交付链的安全扫描节点,配置以下信息。
- 安全引擎:选择云安全中心安全引擎。
- 是否阻断:选择阻断。
- 是否删除:选择不删除。
- 漏洞等级:选择高危,漏洞个数:1个。
7. 修改Codeup源代码,触发交付链自动构建及安全扫描
本步骤将指导您如何修改Codeup源代码,触发交付链自动构建及安全扫描。
- 在Codeup,任意修改hello-world.go的文件内容。
- 在交付链的执行记录页面,查看当前交付链的执行情况。稍等片刻,发现交付链已被阻断,执行状态为取消。
- 单击操作详情,查看容器镜像的漏洞情况。
8. 一键修复容器镜像,再次触发交付链流程
本步骤将指导您如何一键修复容器镜像,再次触发交付链流程。
- 单击一键修复,选择不覆盖,将以_fixed为后缀形成新的容器镜像版本,然后单击立即修复。
- 在交付链的执行记录页面,查看当前交付链的执行情况。稍等片刻,发现容器镜像已修复完成,顺着交付链完成了后续流程。
- 单击安全扫描节点,发现镜像漏洞已经全部修复完成了。
实验链接:https://developer.aliyun.com/adc/scenario/3aac1509cd4d46cd808598afe567fa1e