将 Docker Scout 与 Azure 容器注册表集成

通过将 Docker Scout 与 Azure 容器注册表（ACR）集成，可以查看 ACR 存储库中托管的镜像的镜像见解。集成 Docker 后使用 ACR 进行 Scout 并为存储库激活 Docker Scout，推送镜像添加到存储库中，会自动触发镜像分析。您可以查看镜像 Insights 中使用 Docker Scout Dashboard 或docker scoutCLI 命令。

运作方式

为了帮助你将 Azure 容器注册表与 Docker Scout 集成，你可以使用自定义 Azure Resource Manager （ARM）模板，该模板会自动创建 Azure 中为你提供必要的基础结构：

用于镜像推送和删除事件的 EventGrid 主题和订阅。
注册表的只读授权令牌，用于列出存储库，并摄取镜像。

在 Azure 中创建资源后，您可以启用集成对于集成 ACR 实例中的镜像存储库。启用存储库，推送新镜像会自动触发镜像分析。这分析结果显示在 Docker Scout Dashboard 中。

如果您在已包含镜像的存储库上启用集成，则 Docker Scout 会自动拉取并分析最新的镜像版本。

ARM 模板

下表描述了配置资源。

注意
创建这些资源会在 Azure 帐户上产生少量的经常性成本。表中的 Cost （成本）列表示资源，集成每个推送 100 个镜像的 ACR 注册表时日。
Egress 成本因使用情况而异，但约为 0.1 USD/GB，并且前 100 GB 是免费的。

天蓝色	资源	成本
事件网格系统主题	订阅 Azure 容器注册表事件（镜像推送和镜像删除）	自由
事件订阅	通过 Webhook 订阅将事件网格事件发送到 Scout	每 1M 条消息 0.60 USD。前 100 公里免费。
Registry Token	用于 Scout 列出存储库并从注册表中提取镜像的只读令牌	自由

以下 JSON 文档显示了 Docker Scout 用于创建的 ARM 模板 Azure 资源。

{
   "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "DockerScoutWebhook": {
         "metadata": {
            "description": "EventGrid's subscription Webhook"
         },
         "type": "String"
      },
      "RegistryName": {
         "metadata": {
            "description": "Name of the registry to add Docker Scout"
         },
         "type": "String"
      },
      "systemTopics_dockerScoutRepository": {
         "defaultValue": "docker-scout-repository",
         "metadata": {
            "description": "EventGrid's topic name"
         },
         "type": "String"
      }
   },
   "resources": [
      {
         "apiVersion": "2023-06-01-preview",
         "identity": {
            "type": "None"
         },
         "location": "[resourceGroup().location]",
         "name": "[parameters('systemTopics_dockerScoutRepository')]",
         "properties": {
            "source": "[extensionResourceId(resourceGroup().Id , 'Microsoft.ContainerRegistry/Registries', parameters('RegistryName'))]",
            "topicType": "Microsoft.ContainerRegistry.Registries"
         },
         "type": "Microsoft.EventGrid/systemTopics"
      },
      {
         "apiVersion": "2023-06-01-preview",
         "dependsOn": [
            "[resourceId('Microsoft.EventGrid/systemTopics', parameters('systemTopics_dockerScoutRepository'))]"
         ],
         "name": "[concat(parameters('systemTopics_dockerScoutRepository'), '/image-change')]",
         "properties": {
            "destination": {
               "endpointType": "WebHook",
               "properties": {
                  "endpointUrl": "[parameters('DockerScoutWebhook')]",
                  "maxEventsPerBatch": 1,
                  "preferredBatchSizeInKilobytes": 64
               }
            },
            "eventDeliverySchema": "EventGridSchema",
            "filter": {
               "enableAdvancedFilteringOnArrays": true,
               "includedEventTypes": [
                  "Microsoft.ContainerRegistry.ImagePushed",
                  "Microsoft.ContainerRegistry.ImageDeleted"
               ]
            },
            "labels": [],
            "retryPolicy": {
               "eventTimeToLiveInMinutes": 1440,
               "maxDeliveryAttempts": 30
            }
         },
         "type": "Microsoft.EventGrid/systemTopics/eventSubscriptions"
      },
      {
         "apiVersion": "2023-01-01-preview",
         "name": "[concat(parameters('RegistryName'), '/docker-scout-readonly-token')]",
         "properties": {
            "credentials": {},
            "scopeMapId": "[resourceId('Microsoft.ContainerRegistry/registries/scopeMaps', parameters('RegistryName'), '_repositories_pull_metadata_read')]"
         },
         "type": "Microsoft.ContainerRegistry/registries/tokens"
      }
   ],
   "variables": {}
}

集成注册表

转到 ACR 集成页面 Docker Scout 仪表板。
在 How to integrate 部分中，输入 Registry hostname 的注册表。
选择 Next（下一步）。
选择“部署到 Azure”，在 Azure 中打开模板部署向导。
如果您尚未登录 Azure 帐户，系统可能会提示您登录 Azure 帐户已登录。
在模板向导中，配置您的部署：
- 资源组：输入用于容器注册表。Docker Scout 资源必须部署到与注册表相同的资源组。
- Registry name：该字段预先填充了 Registry 主机名。
选择“查看 + 创建”，然后选择“创建”以部署模板。
等待部署完成。
在 Deployment details （部署详细信息）部分中，单击新创建的资源类型 Container registry token。为此令牌生成新密码。
或者，使用 Azure 中的搜索功能导航到要集成的容器注册表资源，然后为创建的访问令牌生成新密码。
复制生成的密码并返回 Docker Scout 仪表板以完成集成。
将生成的密码粘贴到 Registry token 字段中。
选择 Enable integration（启用集成）。

选择 Enable integration （启用集成）后，Docker Scout 将执行连接测试以验证集成。如果验证成功，则您是已重定向到 Azure 注册表摘要页，其中显示了您的所有 Azure 当前组织的集成。

接下来，为 Repository settings （存储库设置）中要分析的存储库激活 Docker Scout。

激活存储库后，Docker 会分析您推送的镜像侦察员。分析结果将显示在 Docker Scout Dashboard 中。如果您的存储库已包含镜像，Docker Scout 会拉取并分析 latest image version 自动。

删除集成

重要
在 Docker Scout Dashboard 中删除集成不会自动删除在 Azure 中创建的资源。

要删除 ACR 集成：

转到 Docker Scout 仪表板上的 ACR 集成页。
找到要删除的 ACR 集成，然后选择 Remove 按钮。
在打开的对话框中，选择 Remove 进行确认。
在 Docker Scout 控制面板中删除集成后，还要删除与集成相关的 Azure 资源：
- 这docker-scout-readonly-token容器注册表的令牌。
- 这docker-scout-repository事件网格系统主题。

将 Docker Scout 与 Azure 容器注册表集成

运作方式

ARM 模板

集成注册表

删除集成

APP信息