Installation de Helmfile avec prise en charge du registre local

Ce guide explique comment installer AppScan 360° à l'aide de Helmfile tout en utilisant un registre local (privé). Cette approche est idéale pour les clients qui souhaitent dupliquer des artefacts du registre HCL Harbor officiel dans leur propre environnement, que ce soit pour des raisons de sécurité, de conformité ou d'installations hors ligne (isolés).

Fonctions clés :

  • Synchronisation des artefacts : Script permettant de copier des images Docker et des graphiques Helm de HCL Harbor vers votre registre privé.

  • Personnalisation : Configuration basée sur YAML pour remplacer les emplacements de registre.

Déploiement automatisé : Déploiement à commande unique à l'aide de Helmfile.

Configuration système requise et composants

Avant de commencer l'installation, assurez-vous que les composants suivants sont disponibles.

1. Source d'artefact (HCL Harbor)

Le registre officiel HCL Harbor (hclcr.io) héberge les fichiers source :

  • Images AppScan 360° Docker.

  • Graphiques Helm (versions .tgz).

2. Environnement cible (registre client)

Vous devez disposer d'un registre privé (par exemple, registry.customer.local/as360).

  • Exigences : Le registre doit être compatible avec OCI.

  • Limitation : L'envoi d'artefacts à la racine du registre n'est actuellement pas pris en charge.

3. Outils

Les outils suivants sont fournis dans le bundle d'installation :

  • Helmfile : Orchestre le déploiement des composants (ASCP, ASRA, DTCS, SCA).

  • copy-artifacts.sh : Script qui lit à partir d'un fichier artifactList pour copier des images et des graphiques de HCL Harbor vers votre registre local.

4. Informations d'identification

Assurez-vous que vous disposez d'un accès authentifié aux deux registres :

  • HCL Harbor : Informations d'identification en lecture seule.Procédure d'installation

  • Registre client : Informations d'identification Lire/Écrire.

Procédure d'installation

Étape 1 : Se procurer le bundle d'installation

Téléchargez et extrayez le package d'installation fourni par HCL. La structure des répertoires se présente comme suit :
AppScan-360-Helm-Files
├── Copy Artifacts
│   ├── artifactList.txt        # List of images/charts 
to sync
│   ├── copy-artifacts.sh       # The synchronization 
script
├── Helm.d
│   ├── helmfile-ASCP.yaml.gotmpl
│   ├── helmfile-ASRA.yaml.gotmpl
│   ├── helmfile-SCA.yaml.gotmpl
│   ├── helmfile-DTSC.yaml.gotmpl
│   └── helmFileCustomization
│       └── singular-singular.clusterKit-Sample.yaml  # 
Main config file
├── helmfile.yaml.gotmpl

└── README.md

Étape 2 : Synchroniser les artefacts avec le registre local

Si vous utilisez un registre privé (mode hors ligne/isolé), vous devez d'abord copier les fichiers requis depuis HCL Harbor.

Exécutez le script de synchronisation situé dans le dossier Copier les artefacts :
./copy-artifacts.sh

Entrées de script :

  1. Registre de destination : Saisissez l'URL et le référentiel de votre registre (registry.customer.local/as360, par exemple).

  2. Liste d'artefacts : Le script lit automatiquement le fichier imalist (contenant les sections [IMAGES] et [HELM]).

Réussite : Cette étape garantit que toutes les images Docker et les graphiques Helm sont reproduits dans votre environnement.

Étape 3 : Configurer les remplacements du registre

Vous devez mettre à jour le fichier de configuration pour indiquer à Helmfile de consulter votre registre local au lieu de HCL Harbor.

  1. Ouvrez helmFileCustomization/singular-singular.clusterKit-Sample.yaml.

  2. Localisez la section Singular File.

  3. Mettez à jour les champs du registre et du référentiel avec vos informations locales.

Exemple de configuration :
helm:
  package:
     registry: 'registry.customer.local'
     context: 'as360/charts'
workload:
  affiliatedSidecarsProject: appscan360
  container:
    image:
      registry: 'registry.customer.local'
      repository: 'as360/images'
      pullPolicy: IfNotPresent

Fonctionnement :

  • Logique principale : Le système lit les détails du registre à partir de ce fichier de personnalisation.

  • Logique de secours : En l'absence de ces informations ou si le fichier n'est pas configuré, le système utilise par défaut l'extraction directe depuis HCL Harbor (utile pour les clients existants qui migrent les configurations).

Étape 4 : Exécuter l'installation

Une fois les artefacts synchronisés et la configuration mise à jour, exécutez le déploiement.

Exécutez la commande suivante à partir de la racine du répertoire d'installation :

helmfile sync

Que se passe-t-il ensuite ?

Helmfile lit votre fichier de personnalisation et déploie ASCP, ASRA, DTSC et SCA en utilisant les images et graphiques du registre local que vous avez spécifié.

Inclure l'analyse de la composition logicielle (SCA)

L'analyse de la composition logicielle (SCA) est incluse lorsque vous installez AppScan 360° avec un paramètre.
Remarque : Par défaut, l'analyse de la composition logicielle (SCA) n'est pas incluse dans AppScan 360° ; vous devez l'activer.
Pour inclure l'analyse de la composition logicielle (SCA) :
includeSCA=true helmfile sync
Pour désactiver SCA, vous devez désinstaller AppScan 360° complètement :
includeSCA=true helmfile destroy
Pour activer les mises à jour automatiques de la base de données des vulnérabilités de l'analyse de la composition logicielle (SCA), définissez les variables d'environnement suivantes qui pointent vers le registre HCL Harbor avec les informations d'identification appropriées.
export SCA_AUTOUPDATER_REGISTRY_USERNAME=<HCL_HARBOR_USERNAME>
export SCA_AUTOUPDATER_REGISTRY_PASSWORD=<HCL_HARBOR_PASSWORD>
Important : Si vous ne configurez pas de mises à jour automatiques, vous devez mettre à jour manuellement la base de données des vulnérabilités.