使用最新的JFrog产品?hth华体会最新官方网站
JFrog平台用户指南
JFrog x射线x文档
要获得最新版本,请访问JFrog统一平台
跳到元数据的末尾
进入元数据的开始
概述
要设置初始的x射线配置,可以从可选的初始阶段开始加强保密工作在受支持的版本和平台上,然后我们建议查看新员工培训向导它会在你第一次运行Xray时自动调用。
完成“登录向导”后,您可以根据需要随时执行以下步骤来更新和添加配置。
x射线配置文件
x射线的配置参数存储在其配置文件,位于$ {XRAY_DATA}/ config / xray_config.yaml
x射线安装文件
x射线的安装文件将放在$ {XRAY_HOME} (/ opt / jfrog / x光)
使用Docker安装时,${回家}/ .xray改为使用。
连接到Artifactory
你可以将x射线连接到JFrog Artifactory的几个实例。当Xray和Artifactory之间建立连接时,调用具有“admin”权限的用户x光在Artifactory中自动创建,允许x射线访问所需的数据,以执行不同的分析和功能。
在开始此过程之前,请确保您还没有调用用户x光.
中查看已连接的Artifactory实例的列表管理模块,选择Artifactory.
页面内容
屏幕显示你添加到x射线显示的Artifactory实例列表:
ID |
注册实例时提供的Artifactory ID。 |
Artifactory URL |
注册Artifactory实例的URL,包括“/ Artifactory”路径(如截图所示)。 |
许可证 |
指示所选Artifactory实例中的x射线许可证是否有效。 |
索引文件数量 |
属性指示已为Artifactory实例索引的文件数指定用于分析的存储库在Artifactory |
添加新实例
要添加新实例,请单击新实例链接并填写显示的表单。
Artifactory ID |
这个Artifactory实例的逻辑标识符。 |
描述 |
此实例的描述。 |
Artifactory URL |
访问此实例的URL。 |
代理启用 |
设置后,Xray将通过HTTP连接到这个Artifactory实例代理定义在管理模块。 |
管理用户 |
在此实例中具有管理员权限的用户。 |
管理员密码 |
admin密码。 |
测试连接 |
测试Xray和Artifactory之间的连接(在两个方向上),以确保已正确配置。 |
为分析指定存储库
为了避免冗长而密集的分析过程,Xray不会分析连接的Artifactory实例中的所有存储库。相反,在创建一个新的Artifactory实例之后,Xray将显示该实例中的存储库,以便您可以选择应该对哪些存储库进行索引以进行分析。
一旦您在Artifactory中指定了用于分析的存储库,它们将出现在存储库选项卡下索引资源2022世界杯阿根廷预选赛赛程在Artifactory实例页面(在管理模块下Artifactory).
您现在可以为所选存储库中的工件建立索引,以便进行分析索引的工件.
为分析指定构建
为了避免冗长而密集的分析过程,Xray不会分析连接的Artifactory实例中的所有构建。创建了一个新的Artifactory实例之后,在构建的标签。索引资源2022世界杯阿根廷预选赛赛程面板中,您可以选择应该为分析建立索引的构建。
想扫描所有构建?
如果您想用x射线扫描所有构建,请在美元XRAY_HOME / config / xray_config.yaml,设置indexAllBuilds:真并重新启动x射线。
管理用户
Xray支持两种用户管理方式:
- 通过身份验证提供者
- 内部定义用户
通过认证提供程序管理用户
从版本1.9开始,您可以将一个连接的Artifactory实例设置为身份验证提供者.在这种情况下,Artifactory将首先尝试通过为该实例设置的方法(无论是LDAP/Crowd还是SAML)对用户进行身份验证。
详情请参阅身份验证.
内部管理用户
使用身份验证提供者并不是强制性的,您总是可以在Xray内部定义用户。
的目录下可以查看已注册Xray的用户列表管理模块下用户.
用户名 |
用户应该使用该用户名登录到Xray |
电子邮件 |
用户的电子邮件。这是默认的电子邮件,通知将发送给该用户的观察者。 |
管理 |
指示此用户是否具有管理员权限 |
创建和编辑用户
单击,添加新用户新用户,或单击显示表格中的现有用户,编辑其详细信息。
用户名 |
该用户应该登录的用户名,或用于运行REST API调用的用户名 |
电子邮件 |
用户邮箱 |
管理 |
设置后,该用户将拥有管理特权,因此可以访问更广泛的功能和REST API调用 |
密码 |
用户的密码。用户将需要它来登录或运行REST API调用。 |
配置邮件服务器
Xray为发生的不同事件向用户发送电子邮件通知。
SaaS用户
此配置对于自动配置默认邮件服务器的SaaS用户不可用。
一些例子是:
- 观察者可以通过以下方式发送警报电子邮件.
- 用户可能会收到帐户信息更改的通知
要启用邮件通知,您需要在下面配置Xray邮件服务器详细信息Admin |邮件如下所述。
宿主 |
邮件服务器的主机名。 |
港口 |
邮件服务器的端口。 |
用户名 |
邮件服务器认证的用户名。 |
密码 |
与邮件服务器进行身份验证的密码。 |
从(可选) |
在所有外发邮件中使用的“from”地址头。 |
主题的前缀 |
用于所有外发邮件主题的前缀。 |
Artifactory URL(可选) |
在所有外发邮件中使用的Artifactory URL来表示到Artifactory的链接。 |
使用SSL / TLS |
设置后,在连接到邮件服务器时使用传输层安全性。 |
发送测试邮件 |
单击,发送测试信息到指定邮箱。 |
配置人
配置手表时的一个选项是让它们调用webhook,这些webhook是您可以定义的私有url,以便在发出违规时执行自定义操作。
中显示webhook管理模块下人则.
点击一个网络钩子来编辑它的详细信息,或者点击新Webhook定义一个新的。
一般 |
|
Webhook名字 |
webhook的标识符。这是将被任何使用的名称手表想要调用webhook的情况下违反 |
URL |
这个webhook调用的URL。有关Xray提供给webhook的有效载荷详情,请参阅Webhook载荷. |
描述 |
自由文本描述 |
基本认证 |
|
用户名/密码 |
webhook要求的用户名和密码 |
自定义标题 |
调用webhook时可能需要添加的任何自定义头 |
索引的工件
JFrog Xray提供了关于它所索引的组件的问题和漏洞的信息。在正常操作期间,当对标记为分析的存储库中的组件进行更改时,组件的数据库将不断更新并重新索引,但是,要设置初始数据库,您需要手动调用标记为分析的存储库的索引。
在管理模块,在Artifactory,可以查看已连接的Artifactory实例列表。单击要为其存储库建立索引的实例。该实例的详细信息页面显示了标记为索引的存储库列表。
这指数状态列将指示为哪些存储库建立索引是最新的,以及需要为哪些存储库建立索引。你可以点击计算启动单个存储库的索引,或选中多个存储库,单击现在指数一次启动多个存储库的索引。
资源密集型
根据存储库的大小,索引是一项资源密集型操作,因此我们建议分别在存储库上调用索引,以避免系统负载过重。
同步数据库
使用防火墙?
如果您正在使用防火墙,为了允许数据库同步成功完成,您需要将以下url添加到防火墙的白名单:
要测试同步的能力,运行以下REST API端点:
https://jxray.jfrog.io/api/v1/system/ping
为了让Xray扫描索引的工件,它必须从连接到的各种feed中摄取有关问题和漏洞的数据。主要提要来自全局数据库服务器由JFrog维护(额外的feed包括你可能通过Xray的直接连接集成与外部供应商)。有两种方法来同步Xray与全局数据库服务器:
- 在线:在在线模式下,x射线通过互联网连接每天自动与全球数据库服务器同步
- 离线:在脱机模式下,您手动从全局数据库服务器下载文件,然后将它们上传到Xray
若要配置与全局数据库服务器的同步,请在管理模块,选择数据库同步.
网络同步
要立即开始以便x射线扫描您的工件,您可以通过选择手动调用初始同步开始同步在状态面板。从那时起,Xray将定期自动同步问题和漏洞,每天一次。
离线同步
如果出于任何原因,您不想保持到全局数据库服务器的实时internet连接,请选择离线在同步模式面板获取有关如何获取最新可用数据的详细说明。
版本兼容JFrog CLI
离线数据库同步需要使用JFrog CLI.
x射线版本2.1.2,要做离线同步,必须有JFrog CLI版本1.16.2或更高版本。
暂停和恢复同步
使用来自全局数据库服务器的最新数据更新Xray可能是一项资源密集型操作。更新过程中,您可以单击状态面板随时暂停操作以释放资源,然后稍后恢复操作。2022世界杯阿根廷预选赛赛程
使用自签名证书使用SSL
当连接到其他应用程序和服务时,Xray能够在安全连接上工作。例如,它通过HTTPS连接到Artifactory。作为HTTPS协议的一部分,Xray能够通过验证其SSL证书来验证站点的身份,然而,在受信任连接的情况下,站点可能使用无法验证的自签名证书(这可能是Artifactory/Xray连接中的情况)。
从2.0版开始,sslInsecure参数已从xray_config.yaml文件。此配置已移动到一般设置在x射线界面。
配置HTTPS设置
您可以通过HTTP、HTTPS或两者配置对Xray的访问(至少需要其中一种)。
要配置使用HTTPS访问x射线,请粘贴您的SSL密钥而且SSL认证以下目录下的文件:XRAY_HOME /数据/ ssl / serverCerts美元
然后转到管理模块>HTTP的设置,点击刷新查看已添加的SSL文件,单击“保存”。
使用SSL |
设置后,x射线将通过设置的相应端口的HTTPS访问。 |
HTTPS端口 |
设置HTTPS服务器的端口。默认值是8000,在xray_config. conf文件中配置。yaml文件。 |
SSL密钥路径 |
通过HTTPS访问密钥文件的完整路径。 (注意:这只能通过将证书插入到 XRAY_HOME /数据/ ssl / serverCerts美元文件夹中。参见上面的说明) |
SSL证书路径 |
通过HTTPS访问的证书文件的完整路径。(支持格式:.cer, .crt, .csr, .pem) (注意:这只能通过将证书插入到 XRAY_HOME /数据/ ssl / serverCerts美元文件夹中。参见上面的说明) |
对于基于docker的安装,请将证书复制到您的xray-server容器使用以下命令:
docker cp:/var/opt/jfrog/xray/data/ssl/serverCerts . docker cp :/var/opt/jfrog/xray/data/ssl/serverCerts . docker
在使用自签名证书的情况下,在管理模块,在一般设置.然后,将证书导入Artifactory.
设置证书后,更新“x射线基础URL”到HTTPS并重新启动x射线。
当将默认端口更改为1024以下的端口时,例如,在80端口上运行服务器监听,使用以下命令:
Setcap cap_net_bind_service=ep /opt/jfrog/xray/bin/server . Setcap cap_net_bind_service=ep /opt/jfrog/xray/bin/server . Setcap
对于Docker安装,exec以root身份进入xray-server容器,并运行以下命令:
Setcap cap_net_bind_service=ep /opt/jfrog/xray-server/server . Setcap cap_net_bind_service=ep /opt/jfrog/xray-server/server . Setcap
配置代理
类型中配置的代理访问外部资源,这取决于您组织的策略2022世界杯阿根廷预选赛赛程管理模块下代理。
一般设置
Xray构建在一组微服务之上,这些微服务在索引工件、与Artifactory通信、管理事件和通知等领域执行其操作。
基本配置
x射线基础URL |
可以访问x射线的基本URL。base URL格式为:PROTOCOL://IP_OR_HOST:8000 例如, 注意,Xray Base URL不应该定义为“localhost”或“127.0.0.1”,也不应该包含“/web”元素。例如,下面的基本url不会起作用: x射线访问URL不是它的基础URL 注意不要混淆Xray的访问URL和基本URL。 x射线的访问URL是: 如果您在Xray Base URL字段中设置了访问URL,则连接的Artifactory实例将无法与Xray通信 |
队列的工人
队列的工人提供了几个参数,您可以通过更改执行不同任务的工作人员的数量来调整Xray的性能。
指数 |
管理工件索引的工作人员的数量。 |
二进制文件管理器 |
管理与Artifactory沟通的工人数量。 |
事件 |
由Artifactory发给x射线的处理事件的工人数量。 |
坚持 |
管理构建工件关系图所需的持久存储的工作人员的数量。 |
警报 |
管理警报的工作人员的数量。 |
分析 |
参与的工人数量扫描分析. |
影响分析 |
涉及的工人数量在影响分析来确定报告问题的组件如何影响系统中的其他组件。 |
通知 |
管理通知的工作人员的数量。 |
系统参数
SSL不安全 |
切换跳过Xray的自签名证书验证的启用 |
无SSL邮件 |
在连接到邮件服务器时切换传输层安全性的使用 |
最大磁盘使用率 |
x射线允许的磁盘使用百分比。当达到指定值时,Xray将不下载包进行索引 |
监测采样间隔 |
执行CPU、磁盘使用情况、重启等监控任务的间隔。 |
队列消息最大TTL |
消息队列系统中接受的重试次数 |
工作时间间隔 |
运行节点特定作业的时间间隔 |
有关调整这些参数如何影响系统性能的详细信息,请联系JFrog支持.
更改第三方服务凭证
Xray与许多第三方服务一起工作,例如各种数据库,这些数据库预先配置了用于Xray访问的默认凭据。下面几节将展示如何更改这些默认凭据。
MongoDB
要更改Xray访问其内部MongoDB数据库所使用的默认凭据,您需要以“Xray”用户登录数据库,并使用安装Xray时建立的密码。
如果最初安装的Xray版本为2.8.8或更早版本,则默认密码为“password”。
如果Xray最初安装的版本为释放2.8.9或更新的版本,默认密码是由安装过程生成的随机字符串,然后由Xray master.key加密。生成的密码存储在/根文件夹中的文本文件称为MongoDB_Admin_pass.txt.根据Xray的安装方式,它可能在本地用户的主目录中:~ / MongoDB_Admin_pass.txt
登录MongoDB数据库修改密码的方法如下:
#以x射线用户访问MongoDB $ MongoDB——port 27017 -u " Xray " -p ""——authenticationDatabase " Xray " #切换到x射线数据库$ use Xray #更新凭据$ db。updateUser("xray",{pwd: " "}) #用新的凭据登录验证更新成功$ mongo——port 27017 -u "xray" -p " "——authenticationDatabase "xray"
PostgreSQL
修改Xray访问内部PostgreSQL数据库的默认凭据,需要以“Xray”用户登录数据库并修改密码,如下所示:
$ psql -d xraydb -U Xray -W #安全修改用户“Xray”的密码在提示符下输入并重新输入密码。通过使用新的凭证登录$ psql -d xraydb -U xray -W来验证更新是否成功
RabbitMQ
Xray预安装在RabbitMQ中,使用默认凭证:用户:客人,密码:客人
要更改默认凭据,请遵循以下步骤:
#修改默认密码$ rabbitmqctl change_password guest#确认更新成功$ rabbitmqctl authenticate_user guest . txt
加固机密安全
Xray使用一组加密参数(秘密)来连接到外部资源,例如它使用的不同数据库。2022世界杯阿根廷预选赛赛程虽然这些秘密可能存储在x射线配置文件中,但这存在暴露它们的风险。
为了不让秘密暴露,从2.5版开始,在x射线安装运行Kubernetes,你可以在第一次启动Xray时预加载临时文件中的机密文件。一旦Xray读取并成功使用秘密,文件就会被删除。
下面的代码片段显示了可以包含在这个临时文件中的参数示例。这些是Xray连接到它使用的不同数据库的连接字符串。
mqBaseUrl: amqp://: @rabbitmq:5672/ mongoUrl: mongodb:// : @mongodb:27017/?authSource=xray&authMechanism= sra - sha -1 postgresqlUrl: postgres:// : @postgres:5432/xraydb?sslmode =禁用
虽然我们建议只包含加密连接字符串等敏感信息,但此文件可能包含任何Xray配置参数,并且指定的任何参数(包括环境变量和系统属性)将覆盖Xray配置文件中的相应参数。
一旦文件准备好,从它创建一个Kubernetes秘密。例如:
kubectl create secret generic
——from-file= / TEMP .xray_config.yml - 使用init容器,将secret作为卷预加载到每个Xray服务的临时路径中。
您还需要挂载x光数据量来/var/opt/jfrog/xray/data - 在init容器中,将临时文件复制到
/var/opt/jfrog/xray/data/.secrets/.temp.xray_config.yml - 开始x光。在启动过程中,如果临时配置文件存在,Xray将从中读取所有参数,然后删除该文件。如果Xray删除文件失败,Xray将不会启动,并将发出一个错误。
需要完全重启吊舱
由于临时文件是在Xray启动时删除的,因此如果Xray服务容器崩溃并重新启动,则需要完整的pod重新启动。
这是豆荚生命周期的一个已知限制。目前不支持容器崩溃时自动重启pod。
观看录像
观看此截屏并学习如何排除与x射线安装相关的问题代理连接、数据库、网络和计算资源。2022世界杯阿根廷预选赛赛程
配置PostgreSQL连接池
配置PostgreSQL的以下参数xray_config.yml文件提高系统性能。
maxOpenConnServer: 30
maxIdleConnServer: 15
maxOpenConnPersist: 30
maxIdleConnPersist: 15
maxOpenConnAnalysis: 30
maxIdleConnAnalysis: 15
maxOpenConnIndexer: 30
maxIdleConnIndexer: 15
概述
内容的工具