华为云 容器安全服务 帮助中心，为用户提供产品简介、购买、用户指南、常见问题等技术文档，帮助您快速上手使用容器安全服务。

查看更多 →

效防止容器运行时安全风险事件的发生。 本指南指导您快速上手容器安全服务。 Step1 开启集群防护 步骤 ① 登录华为云控制台。在控制台页面中选择“安全与合规> 容器安全服务”，购买容器安全配额。 ② 在左侧导航树中选择“防护列表”，在“集群列表”中单击“开启防护”，开启需要防护的集群。

查看更多 →

本。 下载地址：https://github.com/opencontainers/runc/releases。 检测与解决方案 华为云容器安全服务（CGS）支持对该逃逸漏洞的预防与逃逸行为监测能力。 CGS实时监测容器集群节点中的容器运行状，并对异常事件进行告警和提供解决方案。

查看更多 →

一个镜像可以启动多个容器。 应用可以包含一个或一组容器。 图1 镜像、容器、应用的关系 部署架构 容器安全服务部署架构如图2所示，关键组件功能说明如表1所示。 图2 容器安全服务部署架构 表1 容器安全服务关键组件功能说明 组件 说明 CGS Container CGS作为一个容器运行在每个

查看更多 →

8（或更高版本）的用户建议升级到 2.16.0 版本； Java 7 的用户建议升级到2.12.2版本，此版本是安全版本。 华为云容器安全服务CGS，能够检测私有镜像是否存在该漏洞，基础版免费向客户开放。在华为云容器安全CGS控制台，镜像安全->镜像漏洞->私有镜像仓库漏洞，可以查看私有镜像仓库中的漏洞情况。具体方法参见管理私有镜像仓库漏洞。

查看更多 →

容器安全服务的日志路径 CGS日志保存于宿主机系统的 /var/log/shield目录下。 日志文件中包含“shield.log”、“message.log”和“defender_audit.log”。 shield.log：记录CGS运行日志、错误日志等信息。 message

查看更多 →

容器安全服务支持多个帐号共享使用吗？ 容器安全服务不支持多个帐号共享使用。例如，如果您在某个区域通过注册华为云创建了2个帐号（“domain1”和“domain2”），当您在“domain1”帐号下购买了容器安全服务，则“domain2”帐号不能使用“domain1”的容器安全服务。

查看更多 →

容器安全服务支持跨区域使用吗？ 容器安全服务不支持跨区域（Region）使用。购买的容器安全配额必须与CCE和SWR区域一致，您才能使用容器安全服务。 如果您购买的容器安全配额在“华北-北京四”，而CCE和SWR在“华东-上海一”，则您将不能使用容器安全服务。 父主题： 产品咨询

查看更多 →

容器安全服务shield插件是否会影响业务？ 不会影响业务。 容器安全服务shield插件以daemonset插件方式安装，容器化方式运行在集群的每个集群节点上，启动时需要预分配固定资源（CPU：0.3core、内存：300m），启动后只对启动的容器进行监控，不影响您的业务。 父主题：

查看更多 →

容器安全服务支持线下及跨平台部署吗？ 容器安全服务暂不支持线下及跨平台部署。 容器安全服务支持对华为云上的云容器引擎（CCE）集群进行安全防护和对 容器镜像服务 （SWR）镜像仓库中的镜像进行安全扫描。 父主题： 产品咨询

查看更多 →

Administrator 容器安全服务（CGS）管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest策略，在同项目中勾选依赖的策略。 CGS FullAccess 容器安全服务所有权限。 系统策略 无。 CGS ReadOnlyAccess 容器安全服务只读访问权限，拥有该权限的用户仅能查看容器安全服务。

查看更多 →

认证、权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。 通过IAM，您可以在华为云帐号中给员工创建IAM用户，并授权控制员工对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有容器安全服务的使用权限，但是不希望员工拥有删除CGS等高危操作的权

查看更多 →

哪些区域可以使用容器安全服务？ 容器安全服务支持的区域说明如下： 华北-北京一 华北-北京四 华南-广州 华东-上海一 华东-上海二 西南-贵阳一 容器安全服务需要获取CCE和SWR的数据，因此，在购买容器安全配额时，请您先确认您选择的区域是否与CCE和SWR所在区域一致，若不在同一区域，您将无法使用容器安全服务。

查看更多 →

容器安全服务如何切换至主机安全服务？ 您可将原容器安全迁移至主机安全服务控制台实现 服务器 负载的统一管理，同时可享受新增的功能特性。 新版&旧版功能说明 目前容器安全服务已整合至主机安全服务控制台进行统一管理，优化了既有功能的能力，同时新增了部分新功能。 表1 新版&旧版CGS功能说明

查看更多 →

什么是容器安全服务的按需计费？ 在开启集群防护时，已购买的包周期防护配额小于当前已开启防护的集群节点个数，超出的节点，每小时按照差额执行按需扣费。 按需计费：按需是每小时计费，先使用后付费。使用方式比较灵活，可以即开即停。 实例从“开启防护”开启计费到“关闭防护”结束计费，按实际使用时长（小时）计费。

查看更多 →

如何关闭集群防护 容器集群节点的Shield状态离线如何处理？ 无服务授权权限和创建委托失败的原因？ 容器安全服务的漏洞库多久更新一次？ 容器安全服务的日志处理机制是什么？ 容器安全服务的日志路径 容器安全服务shield插件是否会影响业务？

查看更多 →

服务授权 容器安全服务支持云容器引擎服务（CCE）集群进行安全防护和对容器 镜像服务 （SWR）镜像仓库中的镜像进行安全扫描。 首次使用容器安全服务的用户需要进行服务授权。 约束与限制 容器安全服务不支持跨区域使用。待检测的镜像和待防护的集群必须和容器安全服务在同一区域。 已获取登录

查看更多 →

新增以下FAQ： 容器安全服务的日志处理机制是什么？ 容器安全服务的日志路径 容器安全服务shield插件是否会影响业务？ 2020-06-18 第十四次正式发布。 新增容器安全服务的漏洞库多久更新一次？ 2020-06-05 第十三次正式发布。 哪些区域可以使用容器安全服务？，新增支持使用CGS的区域。

查看更多 →

支持按“包年/包月”的方式进行购买。 区域 在下拉框中选择区域。 须知： 容器安全服务不支持跨区域使用。待检测的镜像和待防护的集群必须和容器安全服务在同一区域。 支持使用容器安全服务的区域，请查看哪些区域可以使用容器安全服务。 版本选择 支持“企业版”。 防护节点数 购买容器安全的配额。 说明：

查看更多 →

容器安全服务的日志处理机制是什么？ 容器安全服务每隔10分钟更新一次log文件，如果文件大于30M，则将最近30M的日志信息写入对应的日志备份文件，当前日志文件内容清空。 日志备份文件的文件名为日志源文件名加上“ .last ”后缀，如 “shield.log”的备份文件为 “shield

查看更多 →

查看恶意文件检测详情 容器安全服务能自动检测私有镜像仓库恶意文件，为您展示资产中存在的安全威胁，大幅降低您使用镜像的安全风险。 检测周期 容器安全服务每日凌晨自动执行一次全面的检测。 前提条件 已购买企业版容器安全服务。 操作步骤 登录管理控制台。 在页面上方选择“区域”后，单击，选择“安全与合规

查看更多 →