
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
container-auto-scan镜像旨在简化Lacework账户/组织中活跃容器的漏洞评估流程。通过该镜像,用户可自动触发对环境中近期活跃容器的漏洞扫描,支持Lacework平台扫描和Inline Scanner两种模式,适用于已集成容器注册表和未集成注册表的场景,帮助用户及时发现容器安全风险。
--rescan强制重新扫描--registry指定特定注册表--days或--hours调整回溯周期--org-level参数可遍历组织内所有账户执行扫描-d参数可作为守护进程每20分钟执行一次扫描--auto-integrate-inline-scanner可自动创建/复用Inline Scanner集成使用Docker容器运行
最简单的方式是通过Docker容器运行,利用Lacework CLI配置文件提供API凭证:
bashdocker run -v ~/.lacework.toml:/home/user/.lacework.toml docker.xuanyuan.run/lacework/container-auto-scan
上述命令会将本地Lacework CLI配置文件挂载到容器中,使用默认配置文件中的默认配置文件执行扫描。可通过-p <profile>参数指定不同的配置文件:
bashdocker run -v ~/.lacework.toml:/home/user/.lacework.toml docker.xuanyuan.run/lacework/container-auto-scan -p my-profile
也可直接通过参数提供凭证:
bashdocker run docker.xuanyuan.run/lacework/container-auto-scan --account my-account --api-key MY_KEY --api-secret MY_SECRET
从源码运行
若克隆了项目仓库,可直接运行Python脚本:
bashusage: ./auto-scan.py [-h] [--account ACCOUNT] [--subaccount SUBACCOUNT] [--api-key API_KEY] [--api-secret API_SECRET] [-p PROFILE] [--proxy-scanner PROXY_SCANNER] [--cache-timeout] [--days DAYS] [--hours HOURS] [--registry REGISTRY] [--rescan] [--list-only] [--inline-scanner] [--inline-scanner-path INLINE_SCANNER_PATH] [--inline-scanner-access-token INLINE_SCANNER_ACCESS_TOKEN] [--inline-scanner-only] [--inline-scanner-prune] [-d] [--debug]
版本0.3及以上支持使用Lacework Inline Scanner评估容器,适用于未集成到Lacework的容器注册表或公开镜像。需使用container-auto-scan-inline镜像,该镜像支持Docker-in-Docker,以root用户运行。
基本用法
bashdocker run -v ~/.lacework.toml:/root/.lacework.toml -v /var/run/docker.sock:/var/run/docker.sock docker.xuanyuan.run/lacework/container-auto-scan-inline --inline-scanner-access-token <SCANNER_ACCESS_TOKEN_HERE>
仅使用Inline Scanner
bashdocker run -v ~/.lacework.toml:/root/.lacework.toml -v /var/run/docker.sock:/var/run/docker.sock docker.xuanyuan.run/lacework/container-auto-scan-inline --inline-scanner-only --inline-scanner-access-token <SCANNER_ACCESS_TOKEN_HERE>
版本0.5及以上支持自动管理Inline Scanner集成及访问令牌,使用--auto-integrate-inline-scanner参数:
bashdocker run -v ~/.lacework.toml:/root/.lacework.toml -v /var/run/docker.sock:/var/run/docker.sock docker.xuanyuan.run/lacework/container-auto-scan-inline --org-level --auto-integrate-inline-scanner
注意事项
container-auto-scan-inline/root/目录--inline-scanner-access-token参数、LW_ACCESS_TOKEN环境变量或--auto-integrate-inline-scanner自动生成-v /root/.docker/config.json:/root/.docker/config.json如需持续运行,可使用Kubernetes Deployment。示例manifest位于项目的manifests/目录,将Lacework API凭证存储为Kubernetes Secret,并以守护进程模式运行:
yaml# 示例Kubernetes部署配置(详细内容请参考项目manifests目录) apiVersion: apps/v1 kind: Deployment metadata: name: container-auto-scan spec: replicas: 1 selector: matchLabels: app: container-auto-scan template: metadata: labels: app: container-auto-scan spec: containers: - name: container-auto-scan image: docker.xuanyuan.run/lacework/container-auto-scan-inline args: ["-d", "--auto-integrate-inline-scanner"] volumeMounts: - name: docker-sock mountPath: /var/run/docker.sock - name: lacework-config mountPath: /root/.lacework.toml subPath: lacework.toml volumes: - name: docker-sock hostPath: path: /var/run/docker.sock - name: lacework-config secret: secretName: lacework-credentials
| 短参数 | 长参数 | 默认值 | 说明 |
|---|---|---|---|
-h | --help | 显示帮助信息并退出 | |
--account | None | Lacework账户名 | |
--subaccount | None | Lacework子账户名 | |
--api-key | None | Lacework API密钥 | |
--api-secret | None | Lacework API密钥密钥 | |
-p | --profile | None | Lacework CLI配置文件 |
--proxy-scanner | None | Lacework代理扫描器地址:http(s)://[address]:[port] | |
--cache-timeout | 24 | 扫描结果缓存小时数,超时后重新扫描 | |
--days | None | 搜索活跃容器的天数 | |
--hours | 0 | 搜索活跃容器的小时数 | |
--registry | None | 要扫描的容器注册表域名(逗号分隔) | |
--rescan | 对已扫描过的容器重新发起扫描请求 | ||
--list-only | 仅列出集成/指定注册表中的活跃容器(不执行扫描) | ||
--auto-integrate-inline-scanner | 自动创建和复用Inline Scanner集成 | ||
--inline-scanner | None | 使用本地Inline Scanner评估镜像,而非Lacework平台(无论注册表是否集成,都会尝试扫描) | |
--inline-scanner-path | None | Inline Scanner可执行文件路径(默认:lw-scanner需在PATH中) | |
--inline-scanner-access-token | None | Inline Scanner认证令牌(生产环境建议使用--inline-scanner参数配合LW_ACCESS_TOKEN环境变量) | |
--inline-scanner-only | 仅使用Inline Scanner(默认:平台扫描为主,未配置注册表的容器使用Inline Scanner) | ||
--inline-scanner-prune | 扫描完成后,从本地Docker注册表中清理镜像(相当于docker rmi) | ||
--org-level | 遍历组织中的每个账户(仅平台扫描支持) | ||
-d | --daemon | 以守护进程模式运行(每20分钟执行一次) | |
--debug | 启用调试日志 |
| 环境变量 | 描述 | 是否必填 |
|---|---|---|
LW_PROFILE | Lacework CLI配置文件(配置于~/.lacework.toml) | 否 |
LW_ACCOUNT | Lacework账户/组织域名(如<account>.lacework.net) | 否 |
LW_SUBACCOUNT | Lacework子账户 | 否 |
LW_API_KEY | Lacework API访问密钥 | 否 |
LW_API_SECRET | Lacework API访问密钥密钥 | 否 |
| 环境变量 | 描述 | 是否必填 |
|---|---|---|
LW_ACCESS_TOKEN | Lacework Inline Scanner认证令牌 | 否 |
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
来自真实用户的反馈,见证轩辕镜像的优质服务