容器資產全景功能從叢集、容器、鏡像、應用等資產維度為您提供安全可視化的管控能力和雲上容器資產的網路拓撲,協助您提升管理容器資產安全的效率。使用該功能您可以輕鬆掌控容器資產的安全狀態,並瞭解容器資產間的網路連接情況。本文介紹如何查看您的容器資產全景。
前提條件
容器資產全景展示的鏡像漏洞資訊是從鏡像安全掃描功能擷取的。如果有擷取容器安全風險的需求,您需要先開通鏡像安全掃描功能,並執行鏡像安全掃描操作。具體操作,請參見開通服務和執行鏡像安全掃描。
如果您未開通鏡像安全掃描功能,使用容器資產全景功能時,您只能查看當前叢集所在伺服器上存在的漏洞風險和叢集網路拓撲圖,無法查看叢集中存在的容器漏洞風險。為了提升容器運行環境的安全性,建議您開通鏡像安全掃描功能。
背景資訊
Security Center會每分鐘自動重新整理容器資產全景頁面的容器網路拓撲圖和叢集的安全風險資訊,以確保您查看到最新的網路拓撲圖和安全風險資訊。
版本限制
僅Security Center的旗艦版支援該功能,其他版本不支援。購買和升級Security Center服務的具體操作,請參見購買Security Center和升級與降配。
應用情境
滿足等保合規要求
提供雲上資產的網路拓撲圖,可協助您滿足等保合規要求。
可視化能力
提供公網暴露連接埠的可視化能力,從叢集、容器、鏡像、應用等資產維度提供可視化安全管控能力。
操作步驟
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國或全球(不含中國)。
在左側導覽列,選擇 。
在資產總覽頁面,單擊容器資產全景頁簽。
在容器資產全景頁簽,查看您資產中的容器資產全景。
容器資產全景頁簽由以下7個功能區域組成,您可以單擊對應連結,查詢每個地區具體包含的資料和支援的操作說明:
查看您資產整體狀態的安全評分(圖示①)
在容器資產全景頁簽左側,可查看Security Center根據您資產整體的安全狀態計算出的安全評分。您可單擊立即處理可展開安全風險處理面板處理您資產中的安全風險。安全評分越高說明您資產的安全隱患越少。關於安全評分更多資訊,請參見安全評分。
查看叢集、應用、容器、節點、鏡像數量和存在風險的資產數量(圖示②)
在容器資產全景頁簽左側,可查看您資產中的叢集、應用、容器、節點、鏡像的數量和存在安全風險的各類型資產數量(紅色數字表示存在風險的資產數量)。單擊對應資產類型名稱,可跳轉至資產中心頁面查看該類型資產的詳細資料。
切換叢集網路拓撲的顯示視角(圖示③)
在容器資產全景頁簽,支援互連網視角、叢集視角這兩種叢集網路拓撲的顯示視角。您可以單擊叢集拓撲圖上方的互連網視角、叢集視角切換拓撲圖的顯示視角。
查看叢集的基本資料和安全情況(圖示④)
在容器資產全景頁簽,單擊要查看的叢集表徵圖,右側面板會通過不同的頁簽為您展示該叢集的叢集資訊、叢集風險、鏡像資訊和防護策略。
叢集資訊
在叢集資訊頁簽,您可以查看該叢集的叢集名稱、叢集類型等叢集基本資料,還可查看該叢集中包含的命名空間、容器組、節點、應用和鏡像的數量。
叢集風險
在叢集風險頁簽,您可以查看該叢集存在的安全警示、基準風險、鏡像應用漏洞等安全風險。單擊對應安全風險右側的詳情,跳轉到該資產的詳情或鏡像安全掃描頁面的漏洞列表,查看並處理檢測出的安全風險詳情。處理安全風險的具體操作,請參見查看和處理警示事件、漏洞修複概述、查看鏡像安全掃描結果。
鏡像資訊
在鏡像資訊頁簽,您可以查看該叢集的鏡像列表。單擊未接入Security Center的鏡像倉的右側的立即接入,可跳轉到鏡像安全掃描頁面,您可以在鏡像安全掃描頁面將該鏡像倉接入Security Center。接入鏡像倉的具體操作,請參見接入鏡像倉庫。
防護策略
在防護策略頁簽,您可以查看該叢集的防禦詳情(包括近7天攔截警示數、規則總數、防禦狀態)。單擊建立規則展開建立規則面板,可以為該叢集新增防護策略。
設定叢集網路拓撲顯示的時間範圍(圖示⑤)
在容器資產全景頁簽,預設顯示最近7天的容器資產全景資料流量情況。您可以通過容器資產全景頁簽右上方的日曆,按照您的需求篩選容器資產全景資料流量顯示的時間範圍。可選擇的時間範圍為最近1~7天。
開啟或關閉所有叢集的網路拓撲(圖示⑥)
叢集的網路拓撲開關預設開啟。開啟網路拓撲功能會消耗少量的CPU資源,如果您無需查看叢集的網路拓撲,您可以單擊容器資產全景頁簽右上方表徵圖,並單擊表徵圖關閉所有叢集的網路拓撲。關閉網路拓撲後,如果您需要再次查看所有叢集的網路拓撲,可以重新開啟該開關。
說明建議您開啟所有叢集的網路拓撲圖,及時擷取容器叢集網路拓撲中各節點的風險狀態。
匯出容器資產全景(圖示⑦)
您可以單擊容器資產全景頁簽右上方的表徵圖,匯出容器資產全景。匯出的容器資產全景為PNG格式。
查看叢集內的容器資產全景
查看叢集內的容器資產全景有以下兩種方法:
在叢集的叢集資訊頁簽,單擊容器資產全景右側的查看,可查看該叢集內的網路拓撲圖。
在容器資產全景頁簽,單擊要查看目的地組群表徵圖下方的表徵圖,可查看該叢集內的網路拓撲圖。
在叢集內部容器資產全景頁面,網路拓撲圖以應用為節點,展示了該叢集下所有容器之間的通訊鏈路。
頁面左側為您提供了僅顯示有連線應用程式、顯示連接埠資訊、隱藏連接線這三個功能,您可按照您對容器內網路拓撲圖的展示需求,開啟或關閉相應的功能。
頁面左側還為您顯示了該叢集下的全部命名空間。您可通過單擊命名空間右側的表徵圖隱藏或顯示該命名空間,也可通過單擊該命名空間右側的表徵圖,展開或收合該命名空間。
說明對於超大叢集,進入叢集容器資產全景預設為收合狀態。
單擊容器資產全景中的應用表徵圖,可以查看該應用的pod資訊、鏡像資訊和網路連接。在pod資訊資訊頁簽,將滑鼠懸浮在pod名稱上,會彈出pod詳情對話方塊,單擊對話方塊中的查看資產,可跳轉到資產中心頁面查看該容器組的漏洞風險、警示風險等資訊。