Docker コンテナーでのスキャンの構成

9.2.5 から使用可能です。Docker または Podman コンテナーにインストールされているソフトウェアのディスカバリーは、デフォルトで有効です。一部の環境では、非デフォルト・インストール・パスを指定したり、ディレクトリーをスキャンから除外したりするための追加ステップを実行する必要が生じることがあります。

BigFix Inventory では、要件とコンテナーにインストールされているソフトウェアがどのようにレポートされるかについて詳しくは、「Docker コンテナーでのソフトウェアの検出」を参照してください。
エンジン用の非デフォルト・インストール・パスの指定
注: Docker がデフォルトのインストール・パスにインストールされているかどうかを確認するには、次のコマンドを実行します。
$ docker version
コマンドの結果が Docker バージョンの場合、Docker はデフォルトのインストール・パスにインストールされます。その他の結果は、Docker がデフォルト以外のパスにインストールされていることを示します。
Docker または Podman が非デフォルト・パスまたは Podman にインストールされている場合、ソフトウェアを正常にディスカバーできるように、BigFix クライアントの設定としてそのパスを追加します。
  1. エンジンのインストールを確認してください。
    1. Docker がデフォルトのインストール・パスにインストールされているかどうかを確認するには、次のコマンドを実行します。
      $ docker version

      コマンドの結果が Docker バージョンの場合、Docker はデフォルトのインストール・パスにインストールされます。その他の結果は、Docker がデフォルト以外のパスにインストールされていることを示します。

    2. Podman がデフォルトのインストール・パスにインストールされているかどうか、および docker コマンドが podman コマンドに正しくリダイレクトされているかどうかを確認するには、次のコマンドを実行します。
      $ docker version
      注: このコマンドは、直接 podman コマンドを参照するのではなく、docker コマンドを意図的に参照して、リダイレクション構成の正確性を確認します。

      コマンドの結果が Podman バージョンの場合、Podman はデフォルトのインストール・パスにインストールされ、podman コマンドは正しくリダイレクトされます。その他の結果は、Podman が非デフォルトのパスにインストールされているか、podman コマンドが正しくリダイレクトされないことを示しています。

  2. BigFix コンソールにログインし、「コンピューター管理」 > 「コンピューター」をクリックします。
  3. Docker または Podmanがインストールされているコンピューターを右クリックし、「コンピューター設定の編集」をクリックします。
  4. コンピューター設定を追加します。名前を DOCKER_EXEC として指定し、値として絶対パス (例えば、/usr/bin/docker または /usr/bin/podman) を指定します。
追加のコマンド・オプションの指定
デフォルトでは、スキャンは、オプションなしで docker コマンドを実行します。Docker または Podman に用意されている追加オプション (例えば、-H (接続先デーモン・ソケット)) を使用する場合は、BigFix クライアントの新規設定としてそのオプションを追加します。すべてのオプションを単一の設定で入力します。
  1. BigFix コンソールにログインし、「コンピューター管理」 > 「コンピューター」をクリックします。
  2. Docker または Podmanがインストールされているコンピューターを右クリックし、「コンピューター設定の編集」をクリックします。
  3. コンピューター設定を追加します。名前を DOCKER_OPTS として指定し、値としてオプション (例えば、-H unix:///var/run/docker.sock) を指定します。
スキャンからのディレクトリーの除外
デフォルトの Docker ファイル・システム・ディレクトリー /var/lib/docker とデフォルトの Podman ファイル・システム・ディレクトリー /var/lib/containers は、スキャンから除外されます。エンジン・ファイル・システム・ディレクトリーをカスタム・ディレクトリーに変更する場合は、ディスカバリー結果が重複する可能性があるため、スキャンから手動で除外する必要があります。詳しくは、こちらを参照してください: 除外ディレクトリー