容器安全服务_容器安全服务文档介绍内容-天翼云

Hypervisor安全
用户使用虚拟机时,只能访问属于自己的虚拟机的资源(如硬件、软件和数据),不能访问其他虚拟机的资源,保证了虚拟机的数据隔离和安全。 CPU隔离 CPU虚拟化是Hypervisor中最核心的部分,内存虚拟化和IO虚拟化都依赖于CPU虚拟化的正确实现。 X86架构中为了保护指令的运行,提供了指令的4个不同特权级别,术语称为Ring,优先级从高到低依次为: Ring 0:最高特权级别,被用于运行操作系统内核。 Ring 1:用于操作系统服务。 Ring 2:用于操作系统服务。

来自：
帮助文档
弹性云主机
用户指南
安全
数据保护技术
Hypervisor安全
集群网络地址段规划实践
本节介绍了云容器引擎的最佳实践:集群网络地址段规划实践。在云容器引擎创建集群时,需要根据具体业务需求规划VPC大小和数量、子网大小和数量、容器网段和服务网段。本文介绍集群各类地址作用,以及如何规划地址段。约束与限制使用VPN方式访问集群时,需注意VPN网络与集群所在的VPC网段、容器网段和服务网段不能冲突。集群各网段基本概念VPC网段虚拟私有云(Virtual Private Cloud,VPC)是隔离的、私密的网络环境,可以自定义网络地址、路由表、安全组等。

来自：
帮助文档
云容器引擎
最佳实践
网络
集群网络地址段规划实践
安全使用IAM
为了提高帐号安全性,建议您仅使用密码登录控制台即可,不要给帐号创建第二个身份凭证(访问密钥),避免因访问密钥泄露带来的信息安全风险。不将访问密钥嵌入到代码中当您使用API、CLI、SDK等开发工具来访问云服务时,请勿直接将访问密钥嵌入到代码中,减少访问密钥被泄露的风险。

来自：
帮助文档
统一身份认证（一类节点）
最佳实践
安全使用IAM
创建安全组与添加安全组规则
预设安全组:通用Web服务器适用场景: 外部远程登录安全组内实例; 外部使用ping命令验证安全组内实例的网络连通性; 安全组内实例用作Web服务器对外提供网站访问服务。方向类型和协议端口源地址/目的地址规则说明入方向 TCP: 22 (IPv4) 0.0.0.0/0 针对TCP(IPv4)协议,允许外部所有IP访问安全组内实例的SSH(22)端口,用于远程登录Linux实例。

来自：
帮助文档
虚拟私有云
用户指南
安全组
创建安全组与添加安全组规则
最佳实践概述
提供多种认证方式,增加访问安全性提供访问流量控制策略,增加后端服务的安全性与直接访问容器应用相比,API网关提供流量控制,确保后端服务稳定运行。支持多实例负载均衡,合理利用资源,增加系统可靠性流程图本手册介绍如何通过API网关访问CCE中的工作负载。 []()图1通过API网关访问CCE工作负载(由实例组成)

来自：
帮助文档
API网关
最佳实践
APIG开放CCE云容器应用
最佳实践概述
设置安全组
本文主要介绍设置安全组操作场景为了保障数据库的安全性和稳定性,在使用文档数据库实例之前,您需要开通需访问数据库的IP地址和端口。本文将主要介绍设置安全组的操作步骤。注意事项安全组的默认规则是在出方向上的数据报文全部放行,同一个安全组内的弹性云主机和文档数据库可互相访问。安全组创建后,您可以在安全组中定义各种访问规则,当文档数据库服务加入该安全组后,即受到这些访问规则的保护。当需要从安全组外访问安全组内的文档数据库时,需要为安全组添加相应的入方向规则。

来自：
帮助文档
文档数据库服务
快速入门
集群快速入门
通过内网连接集群实例
设置安全组
设置安全组
本文主要内容介绍设置安全组操作场景为了保障数据库的安全性和稳定性,在使用文档数据库实例之前,您需要开通需访问数据库的IP地址和端口。本文将主要介绍设置安全组的操作步骤。注意事项安全组的默认规则是在出方向上的数据报文全部放行,同一个安全组内的弹性云主机和文档数据库可互相访问。安全组创建后,您可以在安全组中定义各种访问规则,当文档数据库服务加入该安全组后,即受到这些访问规则的保护。当需要从安全组外访问安全组内的文档数据库时,需要为安全组添加相应的入方向规则。

来自：
帮助文档
文档数据库服务
快速入门
副本集快速入门
通过内网连接副本集实例
设置安全组
基于DNS的服务发现
业务Pod(Pod Client)再直接发起往该IP地址的请求,请求最终经过Nginx服务(Service Nginx)转发到达后端的Nginx容器(Pod Nginx-1和Pod Nginx-2)上。

来自：
帮助文档
Serverless容器引擎
最佳实践
基于DNS的服务发现
安全分析概述
本节介绍安全分析的使用约束与限制,以及支持接入的云产品和日志。态势感知(专业版)的安全分析功能是一种云原生安全信息和事件管理(SIEM)解决方案,支持采集多产品的安全日志及告警,并基于预定义和自定义的安全检测规则对多来源的告警及日志进行聚合分析,旨在帮助企业快速发现和响应安全事件,实现对云负载、各类应用及数据的安全保护。支持接入的云产品和日志态势感知(专业版)支持集成多种云产品的日志数据。集成后,可以检索并分析所有收集到的日志。具体支持接入的云服务日志请参见支持接入的日志。

来自：
帮助文档
态势感知（专业版）（新版）
用户指南
威胁运营
安全分析
安全分析概述
设置安全组
本文主要内容介绍设置安全组操作场景为了保障数据库的安全性和稳定性,在使用文档数据库实例之前,您需要开通需访问数据库的IP地址和端口。本文将主要介绍设置安全组的操作步骤。注意事项安全组的默认规则是在出方向上的数据报文全部放行,同一个安全组内的弹性云主机和文档数据库可互相访问。安全组创建后,您可以在安全组中定义各种访问规则,当文档数据库服务加入该安全组后,即受到这些访问规则的保护。当需要从安全组外访问安全组内的文档数据库时,需要为安全组添加相应的入方向规则。

来自：
帮助文档
文档数据库服务
快速入门
集群快速入门
通过公网连接集群实例
设置安全组
应用场景
大数据场景互联网、汽车、交通、政务等行业的大数据存储、大数据分析等相关业务,客户在云上自建大数据平台,推荐采用性能更强、兼容性更高的物理机服务器承载。同时,天翼云物理机服务器支持结合对象存储服务的存算分离方案。容器场景电商平台、游戏、疫情核酸平台等业务弹性要求较高,性能要求更高的场景,可采用物理机容器方案,相比虚机容器,物理机容器提供更高的部署密度、更低的资源开销、更加敏捷的部署效率。基于云原生技术帮助客户实现降低云化成本目标。

来自：
帮助文档
物理机
产品简介
应用场景
数据安全
本文主要介绍了RDS-PostgreSQL产品的高级防护优势,主要体现为:访问控制、网络隔离、数据销毁、防DDoS攻击、安全保护。访问控制 RDS-PostgreSQL实例创建时,可以在虚拟私有云中对实例所在的安全组入站和出站规则进行限制,从而实现基于安全组的访问控制。这样就能够控制可以连接数据库的网络范围,从而提升数据库的安全性。网络隔离为了实现对数据库服务的网络隔离,可以利用虚拟私有云(Virtual Private Cloud,简称VPC)和网络安全组等网络安全技术。

来自：
帮助文档
关系数据库PostgreSQL版
产品介绍
产品优势
数据安全
主机风险总览
企业主机安全在控制台提供总览页面,实时展示您所有资产的安全评分、安全风险、防护地图等,帮助您了解主机和容器的安全状态以及存在的安全风险。查看总览 1、登录管理控制台。 2、在左侧导航树选择“总览”,进入总览页查看资产安全信息。说明如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。区域说明配额数量及待升级Agent数展示当前您已购买的各版本HSS防护配额总数和使用情况,以及待升级Agent数量。

来自：
帮助文档
企业主机安全
用户指南
主机风险总览
服务发现DNS
本节介绍网络的用户指南:服务发现DNS。云容器引擎使用coreDNS做集群内部域名解析。集群内部应用间可通过Service域名调用,coreDNS会将Service域名自动转换为对应的Service IP地址,可确保不同部署环境内部访问入口的一致。关于服务发现DNS详细配置和管理,请参见服务发现DNS。

来自：
帮助文档
云容器引擎
用户指南
网络
网络概述
服务发现DNS
将Ingress服务暴露到公网
在端口映射一栏,填写好容器端口和要映射的服务端口(该端口也是负载均衡的监听端口)。在工作负载绑定一栏,类型选择Deployment,名称选择nginx-ingress-controller-nginx-ingress-controller,然后点击提交。待ELB绑定后,即可通过服务列表中“集群外访问”中的外网地址访问服务了。

来自：
帮助文档
Serverless容器引擎
最佳实践
将Ingress服务暴露到公网
安全设置
通过安全设置,可对主账号安全信息进行管理。操作步骤具体操作详见安全信息管理。

来自：
帮助文档
统一身份认证（一类节点）
用户指南
安全设置
网络及安全
本节主要介绍网络及安全问题数据复制服务有哪些安全保障措施网络使用安全组确保访问源为可信的。使用SSL通道,确保数据传输加密。如何处理迁移过程中出现的网络中断迁移过程中如果出现网络中断,可先观察任务状态,当如下状态的迁移任务出现失败时,可在任务列表上单击“续传”,进行任务续传。

来自：
帮助文档
数据库复制
常见问题
网络及安全
功能特性
本文介绍弹性容器实例ECI的功能特性。容器运行服务弹性容器实例是一种敏捷安全的Serverless容器运行服务。每个ECI实例都对应一个容器组(即一个Pod),其中包含vCPU、内存、操作系统、容器运行时、网络和临时存储等基础组件。 Serverless 使用ECI实例,您只需要提供打包好的镜像,即可运行容器应用,无需关注底层基础架构的管理和运维问题。自定义规格 ECI实例支持多种类型的计算资源来运行容器,您可以指定实例级别或容器级别的vCPU和内存,以及指定规格满足特殊业务需求。

来自：
帮助文档
弹性容器实例
产品简介
功能特性
产品定义
使用方式为了更好的使用应用服务网格CSM产品,建议您先开通以下产品:开通云容器引擎,至少有一个云容器引擎集群实例。开通天翼云微服务引擎,并在服务网格控制面集群同VPC内创建云原生网关实例。相关云服务云产品名称开通类型产品说明云容器引擎必选项云容器引擎弹性负载均衡ELB必选项(开通服务网格时自动开通)弹性负载均衡

来自：
帮助文档
应用服务网格
产品简介
产品定义
产品优势
● 一站式自动化部署和运维容器应用,整个生命周期都在容器服务内一站式完成。 ● 通过Web界面轻松实现集群节点和工作负载的扩容和缩容,自由组合策略以应对多变的突发浪涌。 ● 通过Web界面一键完成Kubernetes集群的升级。 ● 集成Helm模板能力,实现开箱即用。高性能 ● 基于天翼云计算、网络、存储等基础能力,提供高性能云端kubernetes托管服务,支撑您业务的高并发、大规模场景。 ● 容器集群支持纳管物理机及GPU云主机,可提供高性能计算能力,满足AI、科学计算等场景需求。

来自：
帮助文档
云容器引擎
产品简介
产品优势
安全分析
本文介绍如何查看安全分析报表。在天翼云SCDN客户控制台的【安全分析】页面,客户可以查看waf、CC攻击日志和waf报表分析、CC报表分析情况;界面中展示的是您所选域名、时间的攻击日志情况;图安全分析CC攻击日志图 WAF报表分析图 CC报表分析图抗D报表分析图网络层攻击事件

来自：
帮助文档
安全加速（文档停止维护）
用户指南
安全分析
安全概览
本节介绍安全概览页的展示信息。安全概览:展示安全评分、资产总数、告警总数、威胁动态、日志分布TOP5、风险资产TOP5、告警处置概览、近七天趋势图、攻击链统计图。其中告警总数、威胁动态、日志分布TOP5、告警处置概览、近七天趋势图支持查看详细信息。安全评分评分系统根据弱口令、漏洞和告警扣分,各占40%、30%、30%。扣分规则:【弱口令】10分/项;【漏洞】高危5分/项,中危2分/项;【告警】致命5分/项,严重3分/项,警告1分/项。

来自：
帮助文档
云安全中心
用户指南
安全态势
安全概览
安全问题
本章主要介绍安全问题是否支持项目成员只能查看任务(工作项)不能查看代码? 支持。软件开发生产线中对代码仓库设置了专门的成员管理策略,项目成员只要未被添加为仓库成员,就没有权限查看代码仓库信息;用户登录后,代码托管服务页面中不会显示该帐号没有权限的代码仓库,详见“《代码托管用户指南》>配置代码托管仓库>安全管理>IP白名单”。是否支持限制员工只能在办公场所访问代码仓库? 支持。

来自：
帮助文档
软件开发生产线CodeArts
常见问题
安全问题
集群创建
*容器CIDR默认是10.223.0.0/16,确定容器网段后,容器实例将在规划的网段内分配IP。不能与集群所选的VPC重复,当vpc和容器网段或者服务网段冲突提示:默认网段与所选虚拟私有云网段有冲突,请重新选择vpc*服务CIDR默认是10.96.0.0/16,服务网段为kubernetes service ip网段,请根据业务需求选择该网段。

来自：
帮助文档
云容器引擎（旧版）
用户指南
集群
集群创建
数据与安全
利用提供内置加密服务的云提供商可以简化这个过程。在开始迁移之前,公司仍然应该进行尽职调查,以确保自己拥有适当的工具和安全措施。

来自：
帮助文档
云迁移服务CMS
产品简介
安全
数据与安全
安全说明类
本节介绍了网络安全相关问题与处理方法。 TaurusDB有哪些安全保障措施网络云数据库TaurusDB实例可以设置所属虚拟私有云,从而确保云数据库TaurusDB实例与其他业务实现网络安全隔离。使用安全组确保访问源为可信的。使用SSL通道,确保数据传输加密。管理通过统一身份认证服务(Identity and Access Management,简称IAM),可以实现对云数据库TaurusDB实例的管理权限控制。

来自：
帮助文档
云数据库TaurusDB
常见问题
网络安全类
安全说明类
查看安全报告
基线检查展示最近一次基线检查的统计情况,包含以下信息:当前基线检查项目总数量最近一次基线检查合规检查项目数量最近一次基线检查不合规检查项所占...安全漏洞展示接入云服务前一天的漏洞统计情况,包含以下信息:漏洞总数量未修复漏洞数量策略覆盖展示当前安全产品覆盖情况,包含以下信息:受安全产品保护的实例数量(=受保护ECS数量+受保护WAF实例数量)主机安全覆盖率(=受保护ECS数量/全部ECS数量)当前受保护云主机数量当前受保护网站数量资产安全展示当前资产安全情况,包含以下信息:当前资产总数量当前存在风险的资产数量安全分析展示前一天安全分析统计情况

来自：
帮助文档
态势感知（专业版）（新版）
用户指南
安全态势
安全报告
查看安全报告
监控安全风险
介绍分布式消息服务Kafka监控安全风险分布式消息服务Kafka提供资源和操作监控能力,可以对每个消息实例实时监控、告警和通知操作。用户可以实时掌握实例、主题、消费组的生产消费情况,包括流量、堆积量、重平衡次数等关键信息。分布式消息服务Kafka支持的监控指标等内容,参考监控信息。

来自：
帮助文档
分布式消息服务Kafka
产品简介
安全
监控安全风险
操作类
从容器访问公网:通过在NAT网关服务中配置SNAT规则,使得容器能够访问公网。公网IP:为Pod分配弹性公网IP,通过公网IP提供公网访问和访问公网的能力。ESK容器和ECX虚机怎么内网互通?将ESK容器和ECX虚机创建在相同集群的相同VPC和子网可以实现内网通信。相同VPC的不同子网通过配置虚机的安全组实现内网互通。创建应用时容器拉不到镜像无法启动怎么处理?如果ESK容器使用平台提供容器镜像服务CRS,需先到CRS控制台进行访问凭证设置并推送镜像。

来自：
帮助文档
Serverless边缘容器
常见问题
操作类
边缘容器集群(ECK专有版)
边缘容器集群(ECK,Edge cloud Kubernetes)基于智能边缘云ECX节点资源,通过泛在异构资源纳管能力将算力延伸到任意需要的地方,以提供就近的高性能可伸缩的Kubernetes容器服务。通过ECK,客户可快速创建云边一体化容器集群,轻松实现无处不在的应用部署和节点管理。

来自：
帮助文档
边缘容器集群(ECK专有版)
安全设置
此小节介绍云堡垒机安全设置。云堡垒机安全设置模块支持您自定义密码强度、账户保护规则。密码组成:配置用户密码策略,包括配置密码安全强度,密码字符组成。密码事件:可设置安全登录事件、强制改密时间和首次登录改密。账号策略:可设置账号空闲事件。设置密码组成1.使用“管理角色”账号登录云堡垒机。2.在左侧导航栏选择“系统设置 > 安全管理”,进入“安全管理”模块。3.选择密码组成模块,配置密码规则。

来自：
帮助文档
云堡垒机（原生版）
用户指南
管理员手册
系统管理
安全设置
安全设置
此小节介绍云堡垒机安全设置。云堡垒机安全设置模块支持您自定义密码强度、账户保护规则。密码组成:配置用户密码策略,包括配置密码安全强度,密码字符组成。密码事件:可设置安全登录事件、强制改密时间和首次登录改密。账号策略:可设置账号空闲事件。设置密码组成1.使用“管理角色”账号登录云堡垒机。2.在左侧导航栏选择“系统设置 > 安全管理”,进入“安全管理”模块。3.选择密码组成模块,配置密码规则。

来自：
帮助文档
云堡垒机（原生版）
用户指南
管理员手册
系统管理
安全设置

天翼云最新活动

618智算钜惠季

爆款云主机2核4G限时秒杀，88元/年起！

免费体验DeepSeek，上天翼云息壤

新老用户均可免费体验2500万Tokens，限时两周

云上钜惠

爆款云主机全场特惠，更有万元锦鲤券等你来领！

算力套餐

让算力触手可及

天翼云脑AOne

连接、保护、办公，All-in-One！

中小企业应用上云专场

产品组合下单即享折上9折起，助力企业快速上云

出海产品促销专区

爆款云主机低至2折，高性价比，不限新老速来抢购！

天翼云电脑专场

移动办公新选择，爆款4核8G畅享1年3.5折起，快来抢购！

智算服务

应用商城

合作伙伴

开发者

支持与服务

了解天翼云

天翼云最新活动

产品推荐

弹性云主机

物理机

多活容灾服务

弹性伸缩服务

弹性高性能计算

一体化计算加速平台·异构计算

天翼云CTyunOS系统

科研助手

算力互联调度平台

推荐文档

关机

天翼云最佳实践⑤：linux搭建pureftp

什么是服务器迁移

入门教程①：centos7 新特性之systemctl

消息中心

iPhone端