使用最新的JFrog产品?hth华体会最新官方网站
JFrog平台用户指南
JFrog x光2。x文档
要获取最新版本,请访问JFrog统一平台
屏幕显示您添加到Xray的Artifactory实例列表,显示如下:
ID |
您在注册实例时提供的Artifactory ID。 |
Artifactory URL |
注册Artifactory实例的URL,包括“/ Artifactory”路径(如截图所示)。 |
许可证 |
指示所选Artifactory实例中的Xray许可证是否有效。 |
索引文件数 |
参数指示已为Artifactory实例建立索引的文件数量为分析指定的存储库在Artifactory |
添加新实例
要添加一个新实例,请单击新实例链接并填写显示的表单。
Artifactory ID |
此Artifactory实例的逻辑标识符。 |
描述 |
此实例的描述。 |
Artifactory URL |
访问此实例的URL。 |
代理启用 |
设置完成后,Xray将通过HTTP连接到这个Artifactory实例代理中定义的管理模块。 |
管理用户 |
在此实例中具有admin权限的用户。 |
管理员密码 |
管理密码。 |
测试连接 |
测试Xray和Artifactory(双向)之间的连接,以确保已正确配置。 |
指定分析存储库
为了避免冗长而密集的分析过程,Xray不分析连接的Artifactory实例中的所有存储库。相反,在您创建一个新的Artifactory实例之后,Xray将显示该实例中的存储库,以便您可以选择应该为哪些存储库建立索引以进行分析。
一旦您在Artifactory中为分析指定了存储库,它们将出现在存储库选项卡下索引资源2022世界杯阿根廷预选赛赛程在Artifactory Instance页(在管理模块下Artifactory).
您现在可以在选定的存储库中为工件建立索引,以进行分析索引的工件.
为分析指定构建
为了避免冗长而密集的分析过程,Xray不分析连接的Artifactory实例中的所有构建。相反,在您创建一个新的Artifactory实例之后,在构建选项卡的索引资源2022世界杯阿根廷预选赛赛程面板中,您可以选择应该为哪些构建建立分析索引。
想扫描所有构建?
如果你想要x射线扫描所有构建,在美元XRAY_HOME / config / xray_config.yaml
,设置indexAllBuilds:真
并重新启动x光。
管理用户
Xray支持两种管理用户的方式:
- 通过身份验证提供者
- 定义用户在内部
通过认证提供者管理用户
从版本1.9开始,您可以将一个已连接的Artifactory实例设置为身份验证提供者.在本例中,Artifactory将首先尝试通过为该实例设置的方法(LDAP/Crowd或SAML)对用户进行身份验证。
详情请参阅身份验证.
内部管理用户
使用身份验证提供程序不是必须的,您总是可以在Xray内部定义用户。
的目录下可以查看已注册Xray的用户列表管理模块下用户.
用户名 |
用户应该使用该用户名登录到Xray |
电子邮件 |
用户的电子邮件。这是为该用户的监视者发送通知的默认电子邮件。 |
管理 |
指示此用户是否具有管理权限 |
创建和编辑用户
单击,添加新用户新用户,或者单击显示表中的现有用户,编辑其详细信息。
用户名 |
该用户应该登录的用户名,或用于运行REST API调用的用户名 |
电子邮件 |
用户的电子邮件 |
管理 |
设置后,该用户将拥有管理权限,因此可以访问更广泛的特性和REST API调用 |
密码 |
用户的密码。用户将需要它来登录或运行REST API调用。 |
配置邮件服务器
Xray就发生的不同事件向用户发送电子邮件通知。
SaaS用户
此配置不适用于自动配置默认邮件服务器的SaaS用户。
一些例子:
- 监视者可以通过电子邮件.
- 用户可能会收到帐户信息更改的通知
要启用邮件通知,您需要将邮件服务器详细信息配置在Xray下面管理|邮件如下所述。
宿主 |
邮件服务器的主机名。 |
港口 |
邮件服务器的端口。 |
用户名 |
邮件服务器认证的用户名。 |
密码 |
与邮件服务器进行身份验证的密码。 |
从(可选) |
要在所有外发邮件中使用的“从”地址头。 |
主题的前缀 |
用于所有外发邮件主题的前缀。 |
Artifactory URL(可选) |
在所有外发邮件中使用的Artifactory URL表示到Artifactory的链接。 |
使用SSL / TLS |
设置后,在连接到邮件服务器时使用传输层安全性。 |
发送测试邮件 |
单击,将测试消息发送到指定邮箱。 |
配置人
配置手表时的一个选项是让它们调用webhook, webhook是您可以定义的私有url,用于在发出违规时执行自定义操作。
的webhook中显示管理模块下人则.
点击一个网络钩子编辑它的细节,或新Webhook定义一个新的。
一般 |
|
Webhook名字 |
webhook的标识符。这是将被任何使用的名称手表在违规的情况下调用webhook |
URL |
这个webhook调用的URL。关于Xray提供给webhook的载荷详情,请参考Webhook载荷. |
描述 |
免费文本描述 |
基本认证 |
|
用户名/密码 |
webhook要求的用户名和密码 |
自定义标题 |
可能需要添加任何自定义头文件来调用webhook |
索引的工件
JFrog Xray提供了关于它索引的组件中的问题和漏洞的信息。在正常操作期间,当标记为分析的存储库中的组件发生更改时,组件的数据库将不断更新并重新索引,但是,要建立初始数据库,您需要手动调用标记为分析的存储库的索引。
在管理模块,在Artifactory,您可以查看已连接Artifactory实例的列表。单击要对其存储库建立索引的实例。该实例的详细信息页面显示了标记为索引的存储库列表。
这指数状态列将指示哪些存储库的索引是最新的,以及哪些需要被索引。你可以点击计算启动单个存储库的索引,或检查多个存储库并单击现在指数一次为多个存储库启动索引。
资源密集型
根据存储库的大小,索引是一项资源密集型操作,因此我们建议分别调用存储库上的索引,以避免对系统造成过多的负载。
同步数据库
使用防火墙?
如果您正在使用防火墙,为了允许数据库同步成功完成,您需要将以下url添加到防火墙的白名单:
要测试同步能力,运行以下REST API端点:
https://jxray.jfrog.io/api/v1/system/ping
为了让Xray扫描您的索引工件,它必须从它所连接的各种提要中摄取有关问题和漏洞的数据。主提要来自全球数据库服务器由JFrog维护(额外的提要包括您可能通过x射线的直接连接集成与外部供应商)。有两种方法使Xray与全局数据库服务器同步:
- 在线:在在线模式下,Xray每天通过互联网连接自动与全局数据库服务器同步
- 离线:在脱机模式下,您手动从全局数据库服务器下载文件,然后将它们上传到Xray
配置与全局数据库服务器的同步管理模块,选择数据库同步.
网络同步
要立即开始以便Xray可以扫描您的工件,您可以通过选择手动调用初始同步开始同步在状态面板。从那时起,Xray将定期自动同步问题和漏洞,每天一次。
离线同步
如果出于任何原因,您不想维护到全局数据库服务器的实时internet连接,请选择离线在同步模式面板以获取有关如何获取最新可用数据的详细说明。
版本兼容JFrog CLI
的离线数据库同步需要使用JFrog CLI.
从x光版本2.1.2,要做离线同步,你必须有JFrog CLI版本1.16.2或更高版本。
暂停和恢复同步
使用来自全局数据库服务器的最新数据更新Xray可能是一项资源密集型操作。在更新过程中,您可以单击相应的链接状态面板可以随时暂停操作以释放资源,然后稍后恢复操作。2022世界杯阿根廷预选赛赛程
使用自签名证书使用SSL
当连接到其他应用程序和服务时,Xray能够在安全连接上工作。例如,它通过HTTPS连接到Artifactory。作为HTTPS协议的一部分,Xray能够通过验证其SSL证书来验证站点的身份,但是,在受信任连接的情况下,站点可能使用无法验证的自签名证书(在Artifactory/Xray连接中可能就是这种情况)。
从2.0版本开始,sslInsecure
参数已从xray_config.yaml
文件。此配置已移动到一般设置在x射线UI中。
配置HTTPS设置
您可以通过HTTP、HTTPS或两者都配置对Xray的访问(至少需要其中一种)。
要配置使用HTTPS访问Xray,请粘贴您的SSL密钥而且SSL认证以下目录下的文件:XRAY_HOME /数据/ ssl / serverCerts美元
然后去管理模块>HTTP的设置,点击刷新查看已添加的SSL文件,并单击保存。
使用SSL |
设置后,Xray将通过设置的相应端口通过HTTPS访问。 |
HTTPS端口 |
设置HTTPS服务器的端口。默认值是8000,在xray_config配置文件中配置。yaml文件。 |
SSL密钥路径 |
通过HTTPS访问密钥文件的完整路径。 (注意:这只能通过将您的证书插入 XRAY_HOME /数据/ ssl / serverCerts美元 文件夹中。参见上图) |
SSL证书路径 |
通过HTTPS访问的证书文件的完整路径。(支持。cer、。crt、。csr、。pem格式) (注意:这只能通过将您的证书插入 XRAY_HOME /数据/ ssl / serverCerts美元 文件夹中。参见上图) |
对于基于docker的安装,请将证书复制到您的xray-server容器使用以下命令:
/var/opt/jfrog/xray/data/ssl/serverCerts . docker cp:/var/opt/jfrog/xray/data/ssl/serverCerts . docker cp
在使用自签名证书的情况下,在管理模块,在一般设置.然后,将证书导入Artifactory.
设置证书后,更新“x光基URL”并重新启动Xray。
当将默认端口更改为使用1024以下的端口时,例如,要在80端口上运行服务器监听,请使用以下命令:
setcap cap_net_bind_service = ep / opt / jfrog / x光/ bin /服务器
对于Docker安装,在xray-server容器中以root身份执行以下命令:
setcap cap_net_bind_service = ep / opt / jfrog xray-server /服务器
配置一个代理
根据您的组织的策略,您可能需要配置Xray以通过代理访问外部资源2022世界杯阿根廷预选赛赛程管理模块下代理。
一般设置
Xray构建在一组微服务之上,这些微服务在索引工件、与Artifactory通信、管理事件和通知等领域执行操作。
基本配置
x光基URL |
可以通过它访问Xray的基本URL。基础URL格式为:PROTOCOL://IP_OR_HOST:8000 例如, 注意,Xray Base URL不应该被定义为“localhost”或“127.0.0.1”,也不应该包含“/web”元素。例如,以下基本url将不会工作: x射线访问URL不是它的基URL 注意不要将Xray的访问URL与其基URL混淆。 Xray的访问URL是: 如果您在Xray Base URL字段中设置了访问URL,那么连接的Artifactory实例将不能与Xray通信 |
队列的工人
队列的工人提供了几个您可以配置的参数,通过改变执行不同任务的工作人员的数量来调整Xray的性能。
指数 |
管理工件索引的工作人员的数量。 |
二进制文件管理器 |
管理与Artifactory沟通的工人数量。 |
事件 |
处理Artifactory发给Xray的事件的工人数量。 |
坚持 |
管理构建工件关系图所需的持久存储的工作人员的数量。 |
警报 |
管理警报的工作人员的数量。 |
分析 |
参与的工人人数扫描分析. |
影响分析 |
涉及的工人数量在影响分析来确定一个报告了问题的组件如何影响系统中的其他组件。 |
通知 |
管理通知的工作者的数量。 |
系统参数
SSL不安全 |
切换跳过Xray自签名证书验证的启用 |
邮件没有SSL |
在连接到邮件服务器时切换传输层安全性的使用 |
马克斯磁盘使用情况 |
x射线允许的磁盘使用百分比。当达到指定值时,Xray将不下载用于索引的包 |
监测采样间隔 |
执行CPU、磁盘使用情况、重启等监视任务的间隔。 |
队列消息最大TTL |
在消息队列系统中接受的重试次数 |
工作时间间隔 |
指定节点作业的运行间隔 |
有关调整这些参数如何影响系统性能的详细信息,请联系JFrog支持.
更改第三方服务凭据
Xray与许多第三方服务一起工作,例如各种数据库,这些数据库预先配置了默认凭证,供Xray访问。下面几节介绍如何更改这些默认凭据。
MongoDB
要更改Xray用于访问其内部MongoDB数据库的默认凭据,您需要以“Xray”用户登录数据库,使用安装Xray时建立的密码。
如果最初安装的Xray版本是2.8.8或更高版本,则默认密码为“password”。
如果最初安装的x射线版本是释放2.8.9或更新后,默认密码是安装过程生成的随机字符串,然后由Xray master.key加密。生成的密码存储在/根文件夹中的文本文件称为MongoDB_Admin_pass.txt
.根据Xray的安装方式,它可能在本地用户的主目录中:~ / MongoDB_Admin_pass.txt
登录MongoDB数据库修改密码的方法如下:
#以x射线用户访问MongoDB $ mongo——port 27017 -u " Xray " -p ""——authenticationDatabase " Xray " #切换到x射线数据库$ use Xray #更新凭证$ db。updateUser("xray",{pwd: " "}) #用新的凭据登录验证更新是否成功$ mongo——port 27017 -u "xray" -p " "——authenticationDatabase "xray"
PostgreSQL
如果要更改Xray访问内部PostgreSQL数据库的默认凭证,需要以“Xray”用户登录数据库,并按如下方法修改密码:
$ psql -d xraydb -U Xray -W #安全地修改用户“Xray”的密码。输入密码,然后在提示符下重新输入密码。验证更新是否成功,使用新的凭据登录$ psql -d xraydb -U xray -W
RabbitMQ
Xray是预安装在RabbitMQ上的,使用它的默认凭证:用户:客人,密码:客人
要更改默认凭据,请执行以下步骤:
#修改默认密码$ rabbitmqctl change_password guest#验证更新成功$ rabbitmqctl authenticate_user guest
加固秘密安全
Xray使用一组加密参数(秘密)用于连接外部资源,如它使用的不同数据库。2022世界杯阿根廷预选赛赛程虽然这些秘密可能存储在Xray配置文件中,但这也带来了它们被暴露的风险。
为了保证秘密不被暴露,从2.5版在x射线装置运行Kubernetes,你可以在第一次启动Xray时预加载临时文件中的秘密。一旦Xray读取并成功使用机密,文件将被删除。
下面的代码片段显示了可以包含在这个临时文件中的参数示例。这些是Xray连接到它所使用的不同数据库的连接字符串。
mqBaseUrl: amqp://: @rabbitmq:5672/ mongodb:// : @mongodb:27017/?authSource = xray&authMechanism = SCRAM-SHA-1 postgresqlUrl: postgres: / / <用户名>:<密码> @postgres: 5432 / xraydb吗?sslmode =禁用
虽然我们建议只包含敏感信息,如加密连接字符串,但该文件可能包含任何Xray配置参数,并且指定的任何参数(包括环境变量和系统属性)将覆盖Xray配置文件中的相应参数。
一旦文件准备好,从它创建一个Kubernetes秘密。例如:
kubectl创建秘密通用
——from-file= / TEMP .xray_config.yml - 使用init容器,将secret作为卷预加载到每个Xray服务的临时路径。
您还需要挂载x光数据量
来/var/opt/jfrog/xray/data
- 在init容器中,将临时文件复制到
/var/opt/jfrog/xray/data/.secrets/.temp.xray_config.yml
- 开始x光。在启动期间,如果临时配置文件存在,Xray将从其中读取所有参数,然后删除该文件。如果Xray未能删除该文件,Xray将不会启动,并将发出错误。
需要重新启动整个吊舱
由于临时文件是在x射线启动时删除的,所以如果x射线服务容器崩溃并重新启动,则需要完全重新启动pod。
这是已知的豆荚生命周期的限制。目前不支持在集装箱崩溃时自动启动吊舱。
观看视频
观看此屏幕播放并学习如何排除Xray安装的相关问题代理连接、数据库、网络和计算资源。2022世界杯阿根廷预选赛赛程
配置PostgreSQL连接池
配置PostgreSQL的如下参数xray_config.yml文件以提高系统性能。
maxOpenConnServer: 30
maxIdleConnServer: 15
maxOpenConnPersist: 30
maxIdleConnPersist: 15
maxOpenConnAnalysis: 30
maxIdleConnAnalysis: 15
maxOpenConnIndexer: 30
maxIdleConnIndexer: 15