使用最新的JFrog产品?hth华体会最新官方网站
JFrog平台用户指南


跳到元数据的末尾
转到元数据开始

概述

要设置初始x射线配置,可以从一个可选的初始阶段开始加强保密措施在支持的版本和平台上,然后我们建议浏览新员工培训向导它将在你第一次运行Xray时自动调用。

一旦您完成了登录向导,您可以随时根据需要执行以下步骤来更新和添加您的配置。

  1. 连接到其他Artifactory实例而且指定存储库应该进行分析

  2. 管理用户

  3. 配置邮件服务器

  4. 配置人

  5. 定义策略

  6. 定义表

  7. 索引的工件

  8. 同步数据库


x光配置文件

Xray的配置参数存储在它的配置文件中,该文件位于$ {XRAY_DATA}/ config / xray_config.yaml

x光安装文件

Xray的安装文件将放在$ {XRAY_HOME} (/ opt / jfrog / x光)适用于所有Linux版本。

在使用Docker安装时,${回家}/ .xray而不是使用。


连接到Artifactory

您可以将Xray连接到JFrog Artifactory的多个实例。当建立Xray和Artifactory之间的连接时,一个具有“admin”特权的用户被调用x光是在Artifactory中自动创建的,它允许Xray访问它需要的数据,以执行不同的分析和功能。

在开始此过程之前,请确保您还没有调用用户x光

要查看连接的Artifactory实例列表,请在管理模块,选择Artifactory

连接Artifactory服务

页面内容




屏幕显示您添加到Xray的Artifactory实例列表,显示如下:

ID
您在注册实例时提供的Artifactory ID。
Artifactory URL
注册Artifactory实例的URL,包括“/ Artifactory”路径(如截图所示)。
许可证
指示所选Artifactory实例中的Xray许可证是否有效。
索引文件数
参数指示已为Artifactory实例建立索引的文件数量为分析指定的存储库在Artifactory

添加新实例

要添加一个新实例,请单击新实例链接并填写显示的表单。

Artifactory ID
此Artifactory实例的逻辑标识符。
描述
此实例的描述。
Artifactory URL
访问此实例的URL。
代理启用
设置完成后,Xray将通过HTTP连接到这个Artifactory实例代理中定义的管理模块。
管理用户
在此实例中具有admin权限的用户。
管理员密码
管理密码。
测试连接
测试Xray和Artifactory(双向)之间的连接,以确保已正确配置。

指定分析存储库

为了避免冗长而密集的分析过程,Xray不分析连接的Artifactory实例中的所有存储库。相反,在您创建一个新的Artifactory实例之后,Xray将显示该实例中的存储库,以便您可以选择应该为哪些存储库建立索引以进行分析。

为索引选择存储库

一旦您在Artifactory中为分析指定了存储库,它们将出现在存储库选项卡下索引资源2022世界杯阿根廷预选赛赛程在Artifactory Instance页(在管理模块下Artifactory).

索引库

您现在可以在选定的存储库中为工件建立索引,以进行分析索引的工件

为分析指定构建

为了避免冗长而密集的分析过程,Xray不分析连接的Artifactory实例中的所有构建。相反,在您创建一个新的Artifactory实例之后,在构建选项卡的索引资源2022世界杯阿根廷预选赛赛程面板中,您可以选择应该为哪些构建建立分析索引。

配置索引构建

想扫描所有构建?

如果你想要x射线扫描所有构建,在美元XRAY_HOME / config / xray_config.yaml,设置indexAllBuilds:真并重新启动x光。



管理用户

Xray支持两种管理用户的方式:

  1. 通过身份验证提供者
  2. 定义用户在内部

通过认证提供者管理用户

从版本1.9开始,您可以将一个已连接的Artifactory实例设置为身份验证提供者.在本例中,Artifactory将首先尝试通过为该实例设置的方法(LDAP/Crowd或SAML)对用户进行身份验证。

详情请参阅身份验证

内部管理用户

使用身份验证提供程序不是必须的,您总是可以在Xray内部定义用户。

的目录下可以查看已注册Xray的用户列表管理模块下用户

用户

用户名
用户应该使用该用户名登录到Xray
电子邮件
用户的电子邮件。这是为该用户的监视者发送通知的默认电子邮件。
管理
指示此用户是否具有管理权限

创建和编辑用户

单击,添加新用户新用户,或者单击显示表中的现有用户,编辑其详细信息。

创建和编辑用户

用户名
该用户应该登录的用户名,或用于运行REST API调用的用户名
电子邮件
用户的电子邮件
管理
设置后,该用户将拥有管理权限,因此可以访问更广泛的特性和REST API调用
密码

用户的密码。用户将需要它来登录或运行REST API调用。



配置邮件服务器

Xray就发生的不同事件向用户发送电子邮件通知。

SaaS用户

此配置不适用于自动配置默认邮件服务器的SaaS用户。

一些例子:

  • 监视者可以通过电子邮件
  • 用户可能会收到帐户信息更改的通知

要启用邮件通知,您需要将邮件服务器详细信息配置在Xray下面管理|邮件如下所述。

邮件配置

宿主
邮件服务器的主机名。
港口
邮件服务器的端口。
用户名
邮件服务器认证的用户名。
密码
与邮件服务器进行身份验证的密码。
从(可选)

要在所有外发邮件中使用的“从”地址头。

主题的前缀
用于所有外发邮件主题的前缀。
Artifactory URL(可选)

在所有外发邮件中使用的Artifactory URL表示到Artifactory的链接。

使用SSL / TLS

设置后,在连接到邮件服务器时使用传输层安全性。

发送测试邮件
单击,将测试消息发送到指定邮箱。

配置人

配置手表时的一个选项是让它们调用webhook, webhook是您可以定义的私有url,用于在发出违规时执行自定义操作。

的webhook中显示管理模块下人则

人则

点击一个网络钩子编辑它的细节,或新Webhook定义一个新的。

新webhook

一般
Webhook名字
webhook的标识符。这是将被任何使用的名称手表在违规的情况下调用webhook
URL
这个webhook调用的URL。关于Xray提供给webhook的载荷详情,请参考Webhook载荷
描述
免费文本描述

基本认证
用户名/密码
webhook要求的用户名和密码

自定义标题
可能需要添加任何自定义头文件来调用webhook

索引的工件

JFrog Xray提供了关于它索引的组件中的问题和漏洞的信息。在正常操作期间,当标记为分析的存储库中的组件发生更改时,组件的数据库将不断更新并重新索引,但是,要建立初始数据库,您需要手动调用标记为分析的存储库的索引。

管理模块,在Artifactory,您可以查看已连接Artifactory实例的列表。单击要对其存储库建立索引的实例。该实例的详细信息页面显示了标记为索引的存储库列表。

索引库

指数状态列将指示哪些存储库的索引是最新的,以及哪些需要被索引。你可以点击计算启动单个存储库的索引,或检查多个存储库并单击现在指数一次为多个存储库启动索引。

资源密集型

根据存储库的大小,索引是一项资源密集型操作,因此我们建议分别调用存储库上的索引,以避免对系统造成过多的负载。

同步数据库

使用防火墙?

如果您正在使用防火墙,为了允许数据库同步成功完成,您需要将以下url添加到防火墙的白名单:

要测试同步能力,运行以下REST API端点:

https://jxray.jfrog.io/api/v1/system/ping


为了让Xray扫描您的索引工件,它必须从它所连接的各种提要中摄取有关问题和漏洞的数据。主提要来自全球数据库服务器由JFrog维护(额外的提要包括您可能通过x射线的直接连接集成与外部供应商)。有两种方法使Xray与全局数据库服务器同步:

  • 在线:在在线模式下,Xray每天通过互联网连接自动与全局数据库服务器同步
  • 离线:在脱机模式下,您手动从全局数据库服务器下载文件,然后将它们上传到Xray

配置与全局数据库服务器的同步管理模块,选择数据库同步

网络同步

要立即开始以便Xray可以扫描您的工件,您可以通过选择手动调用初始同步开始同步状态面板。从那时起,Xray将定期自动同步问题和漏洞,每天一次。

数据库同步

离线同步

如果出于任何原因,您不想维护到全局数据库服务器的实时internet连接,请选择离线同步模式面板以获取有关如何获取最新可用数据的详细说明。

版本兼容JFrog CLI

的离线数据库同步需要使用JFrog CLI

从x光版本2.1.2,要做离线同步,你必须有JFrog CLI版本1.16.2或更高版本。


离线同步

暂停和恢复同步

使用来自全局数据库服务器的最新数据更新Xray可能是一项资源密集型操作。在更新过程中,您可以单击相应的链接状态面板可以随时暂停操作以释放资源,然后稍后恢复操作。2022世界杯阿根廷预选赛赛程


使用自签名证书使用SSL

当连接到其他应用程序和服务时,Xray能够在安全连接上工作。例如,它通过HTTPS连接到Artifactory。作为HTTPS协议的一部分,Xray能够通过验证其SSL证书来验证站点的身份,但是,在受信任连接的情况下,站点可能使用无法验证的自签名证书(在Artifactory/Xray连接中可能就是这种情况)。

从2.0版本开始,sslInsecure参数已从xray_config.yaml文件。此配置已移动到一般设置在x射线UI中。



配置HTTPS设置

您可以通过HTTP、HTTPS或两者都配置对Xray的访问(至少需要其中一种)。

要配置使用HTTPS访问Xray,请粘贴您的SSL密钥而且SSL认证以下目录下的文件:XRAY_HOME /数据/ ssl / serverCerts美元

然后去管理模块>HTTP的设置,点击刷新查看已添加的SSL文件,并单击保存。

使用SSL
设置后,Xray将通过设置的相应端口通过HTTPS访问。
HTTPS端口
设置HTTPS服务器的端口。默认值是8000,在xray_config配置文件中配置。yaml文件。
SSL密钥路径
通过HTTPS访问密钥文件的完整路径。
(注意:这只能通过将您的证书插入XRAY_HOME /数据/ ssl / serverCerts美元文件夹中。参见上图)
SSL证书路径
通过HTTPS访问的证书文件的完整路径。(支持。cer、。crt、。csr、。pem格式)
(注意:这只能通过将您的证书插入XRAY_HOME /数据/ ssl / serverCerts美元文件夹中。参见上图)

对于基于docker的安装,请将证书复制到您的xray-server容器使用以下命令:

/var/opt/jfrog/xray/data/ssl/serverCerts . docker cp  :/var/opt/jfrog/xray/data/ssl/serverCerts . docker cp  

在使用自签名证书的情况下,在管理模块,在一般设置.然后,将证书导入Artifactory

设置证书后,更新“x光基URL”并重新启动Xray。

当将默认端口更改为使用1024以下的端口时,例如,要在80端口上运行服务器监听,请使用以下命令:

setcap cap_net_bind_service = ep / opt / jfrog / x光/ bin /服务器

对于Docker安装,在xray-server容器中以root身份执行以下命令:

setcap cap_net_bind_service = ep / opt / jfrog xray-server /服务器


配置一个代理

根据您的组织的策略,您可能需要配置Xray以通过代理访问外部资源2022世界杯阿根廷预选赛赛程管理模块下代理。

配置一个代理


一般设置

Xray构建在一组微服务之上,这些微服务在索引工件、与Artifactory通信、管理事件和通知等领域执行操作。

基本配置

x光基URL

可以通过它访问Xray的基本URL。基础URL格式为:PROTOCOL://IP_OR_HOST:8000

例如,http://10.120.12.123:8000http://XRAY_HOST:8000

注意,Xray Base URL不应该被定义为“localhost”或“127.0.0.1”,也不应该包含“/web”元素。例如,以下基本url将不会工作http://127.0.0.1:8000,http://10.120.12.123:8000/web/#/home

x射线访问URL不是它的基URL

注意不要将Xray的访问URL与其基URL混淆。

Xray的访问URL是:/web/#/home

如果您在Xray Base URL字段中设置了访问URL,那么连接的Artifactory实例将不能与Xray通信

队列的工人

队列的工人提供了几个您可以配置的参数,通过改变执行不同任务的工作人员的数量来调整Xray的性能。

指数
管理工件索引的工作人员的数量。
二进制文件管理器
管理与Artifactory沟通的工人数量。
事件
处理Artifactory发给Xray的事件的工人数量。
坚持
管理构建工件关系图所需的持久存储的工作人员的数量。
警报
管理警报的工作人员的数量。
分析
参与的工人人数扫描分析
影响分析
涉及的工人数量影响分析确定一个报告了问题的组件如何影响系统中的其他组件。
通知
管理通知的工作者的数量。

系统参数

SSL不安全
切换跳过Xray自签名证书验证的启用
邮件没有SSL
在连接到邮件服务器时切换传输层安全性的使用
马克斯磁盘使用情况
x射线允许的磁盘使用百分比。当达到指定值时,Xray将不下载用于索引的包
监测采样间隔
执行CPU、磁盘使用情况、重启等监视任务的间隔。
队列消息最大TTL
在消息队列系统中接受的重试次数
工作时间间隔
指定节点作业的运行间隔

有关调整这些参数如何影响系统性能的详细信息,请联系JFrog支持

更改第三方服务凭据

Xray与许多第三方服务一起工作,例如各种数据库,这些数据库预先配置了默认凭证,供Xray访问。下面几节介绍如何更改这些默认凭据。

MongoDB

要更改Xray用于访问其内部MongoDB数据库的默认凭据,您需要以“Xray”用户登录数据库,使用安装Xray时建立的密码。

如果最初安装的Xray版本是2.8.8或更高版本,则默认密码为“password”。

如果最初安装的x射线版本是释放2.8.9或更新后,默认密码是安装过程生成的随机字符串,然后由Xray master.key加密。生成的密码存储在/根文件夹中的文本文件称为MongoDB_Admin_pass.txt.根据Xray的安装方式,它可能在本地用户的主目录中:~ / MongoDB_Admin_pass.txt

登录MongoDB数据库修改密码的方法如下:

#以x射线用户访问MongoDB $ mongo——port 27017 -u " Xray " -p ""——authenticationDatabase " Xray " #切换到x射线数据库$ use Xray #更新凭证$ db。updateUser("xray",{pwd: ""}) #用新的凭据登录验证更新是否成功$ mongo——port 27017 -u "xray" -p ""——authenticationDatabase "xray"

PostgreSQL

如果要更改Xray访问内部PostgreSQL数据库的默认凭证,需要以“Xray”用户登录数据库,并按如下方法修改密码:

$ psql -d xraydb -U Xray -W #安全地修改用户“Xray”的密码。输入密码,然后在提示符下重新输入密码。验证更新是否成功,使用新的凭据登录$ psql -d xraydb -U xray -W

RabbitMQ

Xray是预安装在RabbitMQ上的,使用它的默认凭证:用户:客人,密码:客人

要更改默认凭据,请执行以下步骤:

#修改默认密码$ rabbitmqctl change_password guest  #验证更新成功$ rabbitmqctl authenticate_user guest 

加固秘密安全

Xray使用一组加密参数(秘密)用于连接外部资源,如它使用的不同数据库。2022世界杯阿根廷预选赛赛程虽然这些秘密可能存储在Xray配置文件中,但这也带来了它们被暴露的风险。

为了保证秘密不被暴露,从2.5版在x射线装置运行Kubernetes,你可以在第一次启动Xray时预加载临时文件中的秘密。一旦Xray读取并成功使用机密,文件将被删除。

下面的代码片段显示了可以包含在这个临时文件中的参数示例。这些是Xray连接到它所使用的不同数据库的连接字符串。

mqBaseUrl: amqp://:@rabbitmq:5672/ mongodb://:@mongodb:27017/?authSource = xray&authMechanism = SCRAM-SHA-1 postgresqlUrl: postgres: / / <用户名>:<密码> @postgres: 5432 / xraydb吗?sslmode =禁用

虽然我们建议只包含敏感信息,如加密连接字符串,但该文件可能包含任何Xray配置参数,并且指定的任何参数(包括环境变量和系统属性)将覆盖Xray配置文件中的相应参数。

  1. 一旦文件准备好,从它创建一个Kubernetes秘密。例如:

    kubectl创建秘密通用——from-file=/ TEMP .xray_config.yml
  2. 使用init容器,将secret作为卷预加载到每个Xray服务的临时路径。
    您还需要挂载x光数据量/var/opt/jfrog/xray/data

  3. 在init容器中,将临时文件复制到/var/opt/jfrog/xray/data/.secrets/.temp.xray_config.yml

  4. 开始x光。在启动期间,如果临时配置文件存在,Xray将从其中读取所有参数,然后删除该文件。如果Xray未能删除该文件,Xray将不会启动,并将发出错误。


需要重新启动整个吊舱

由于临时文件是在x射线启动时删除的,所以如果x射线服务容器崩溃并重新启动,则需要完全重新启动pod。

这是已知的豆荚生命周期的限制。目前不支持在集装箱崩溃时自动启动吊舱。



观看视频

观看此屏幕播放并学习如何排除Xray安装的相关问题代理连接、数据库、网络和计算资源。2022世界杯阿根廷预选赛赛程


配置PostgreSQL连接池

配置PostgreSQL的如下参数xray_config.yml文件以提高系统性能。

maxOpenConnServer: 30
maxIdleConnServer: 15
maxOpenConnPersist: 30
maxIdleConnPersist: 15
maxOpenConnAnalysis: 30
maxIdleConnAnalysis: 15
maxOpenConnIndexer: 30
maxIdleConnIndexer: 15



  • 没有标签