集群巡检
更新时间 2025-07-03 21:54:34
最近更新时间: 2025-07-03 21:54:34
本节介绍集群巡检用户指南。
前提条件
操作步骤
配置集群巡检
登陆分布式容器云平台,在左侧导航栏中选择集群资源 > 集群管理,进入注册集群列表页。
在注册集群列表中点击需要配置巡检的集群,进入单集群管理页面。
在单集群管理页面导航栏中选择运维管理 > 集群巡检 > 添加 ,进入集群巡检配置页面。
在集群巡检配置页面,设置定时规则 ,阅读注意事项后选择我已知晓并同意 ,然后点击确定。
查看巡检结果
登陆分布式容器云平台,在左侧导航栏中选择集群资源 > 集群管理,进入注册集群列表页。
在注册集群列表中点击需要查看巡检结果的集群,进入单集群管理页。
在单集群管理页面导航栏中选择运维管理 > 集群巡检 ,选择需要查看的报告,点击查看详情。
报告详情页会展示集群的风险项,可以对风险项的级别、风险类型、命名空间进行筛选,每个风险项都会给出异常影响及解决方案。
支持的巡检项
| 检查项 | 描述 | 级别 |
|---|---|---|
| PrivilegeEscalationAllowed | 允许特权升级 | 紧急 |
| CanImpersonateUser | role/clusterrole 有伪装成其他用户权限 | 警告 |
| CanDeleteResources | role/clusterrole 有删除 kubernetes 资源权限 | 警告 |
| CanModifyWorkloads | role/clusterrole 有修改 kubernetes 资源权限 | 警告 |
| NoCPULimits | 资源没有设置 CPU 使用限制 | 警告 |
| NoCPURequests | 资源没有设置预留 CPU | 警告 |
| HighRiskCapabilities | 开启了高危功能,例如 ALL/SYS_ADMIN/NET_ADMIN | 紧急 |
| HostIPCAllowed | 开启了主机 IPC | 紧急 |
| HostNetworkAllowed | 开启了主机网络 | 紧急 |
| HostPIDAllowed | 开启了主机PID | 紧急 |
| HostPortAllowed | 开启了主机端口 | 紧急 |
| ImagePullPolicyNotAlways | 镜像拉取策略不是 always | 警告 |
| ImageTagIsLatest | 镜像标签是 latest | 警告 |
| ImageTagMiss | 镜像没有标签 | 紧急 |
| InsecureCapabilities | 开启了不安全的功能,例如 KILL/SYS_CHROOT/CHOWN | 警告 |
| NoLivenessProbe | 没有设置存活状态检查 | 警告 |
| NoMemoryLimits | 资源没有设置内存使用限制 | 警告 |
| NoMemoryRequests | 资源没有设置预留内存 | 警告 |
| NoPriorityClassName | 没有设置资源调度优先级 | 通知 |
| PrivilegedAllowed | 以特权模式运行资源 | 紧急 |
| NoReadinessProbe | 没有设置就绪状态检查 | 警告 |
| NotReadOnlyRootFilesystem | 没有设置根文件系统为只读 | 警告 |
| NotRunAsNonRoot | 没有设置禁止以 root 用户启动进程 | 警告 |
| CertificateExpiredPeriod | 将检查 ApiServer 证书的到期日期少于30天 | 紧急 |
| EventAudit | 事件检查 | 警告 |
| NodeStatus | 节点状态检查 | 警告 |
| DockerStatus | docker 状态检查 | 警告 |
| KubeletStatus | kubelet 状态检查 | 警告 |
