更新时间:2024-03-28 GMT+08:00
容器集群防护概述
容器集群防护功能支持在容器镜像启动时检测其中存在的不合规基线、漏洞和恶意文件,并可根据检测结果告警和阻断未授权或含高危安全风险的容器镜像运行。
用户可根据自身业务场景灵活配置容器集群防护策略,加固集群安全防线,防止含有漏洞、恶意文件和不合规基线等安全威胁的镜像部署到集群,降低容器生产环境的安全风险。
使用约束
使用容器集群防护功能须满足以下条件:
- 容器集群为云容器引擎(Cloud Container Engine,简称CCE)服务中购买的集群,且集群版本为1.20及以上版本。
- 容器节点服务器已开启HSS容器版防护,购买HSS的操作,请参见购买主机安全防护配额。
- 服务器已安装Agent的版本为以下版本,升级Agent的操作,请参见Agent升级。
- Linux:3.2.7及以上版本。
- Windows:4.0.19及以上版本。
- 操作集群内的资源对象需要获取对应的操作权限,因此使用容器集群防护功能时,用户账号需要具备以下两类权限之一:
- IAM权限:Tenant Administrator或CCE Administrator。
- 命名空间权限(Kubernetes RBAC授权):运维权限。权限配置详细操作请参见配置命名空间权限。