容器安全服务_容器安全服务文档介绍内容-天翼云

文件完整性管理
进入文件管理查看云服务器变更详情约束限制未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”,切换至主机安全服务页面。 4、左侧选择“主动防御 > 文件完整性管理 > 云服务器”,进入服务器页面。进入云服务器 5 单击服务器名称进入服务器变更详情页。

来自：
帮助文档
企业主机安全
用户指南
主动防御
文件完整性管理
使用云原生网关和应用服务网格实现全链路灰度发布
云原生网关服务来源配置首先在当前服务网格同VPC下开通一个云原生网关实例,开通完成后,进入云原生网关实例页面,选择服务来源菜单-> 添加服务来源,选择云容器引擎,在下拉列表中选择开通了服务网格并部署了应用的云容器引擎集群,如下图: 添加服务到云原生网关基于新添加的云容器引擎服务来源,我们添加服务到云原生网关用于路由访问;选择服务管理菜单-> 添加服务 ->云容器引擎服务来源,选择服务部署的命名空间,可以看到我们已经部署的app1、app2、app3应用,这里我们只需要添加入口的app1应用即可

来自：
帮助文档
应用服务网格
最佳实践
使用云原生网关和应用服务网格实现全链路灰度发布
监控安全风险
介绍分布式消息服务Kafka监控安全风险分布式消息服务Kafka提供资源和操作监控能力,可以对每个消息实例实时监控、告警和通知操作。用户可以实时掌握实例、主题、消费组的生产消费情况,包括流量、堆积量、重平衡次数等关键信息。分布式消息服务Kafka支持的监控指标等内容,参考监控信息。

来自：
帮助文档
分布式消息服务Kafka
产品简介
安全
监控安全风险
计费概述
云产品名称产品说明计费说明弹性容器实例ECI用于部署Serverless容器引擎集群应用及插件,更多信息,请参见弹性容器实例产品定义弹性容器实例计费说明虚拟私有云VPC用于构建集群网络环境和路由规则,更多信息,请参见虚拟私有云产品定义虚拟私有云计费说明弹性负载均衡ELB用于为集群创建负载均衡,更多信息,请参见弹性负载均衡产品定义弹性负载均衡计费说明容器镜像服务CRS用于容器镜像的安全托管和全生命周期管理,更多信息,请参见容器镜像服务产品介绍容器镜像服务计费说明NAT网关用于为集群开启公网访问和公网镜像拉取

来自：
帮助文档
Serverless容器引擎
计费说明
计费概述
安全组配置示例
安全组配置方法: 在云服务器所在安全组中添加一条入方向安全组规则,放通来自另一个安全组内的实例的访问,实现内网互通。例如安全组sg-A内的云服务器访问安全组sg-B内的Oracle数据库服务,您需要通过在安全组sg-B中添加一条入方向规则,放通Oracle(1521)端口,允许来自安全组sg-A内云服务器的请求进入。安全组规则如下所示。

来自：
帮助文档
虚拟私有云
安全组
安全组配置示例
微服务治理入门概述
本章节介绍微服务治理相关的入门概述要使用微服务治理中心,用户可以参考“ECS微服务应用接入MSE治理中心”或“云容器引擎应用接入微服务治理中心”,在云主机或云容器引擎中安装微服务治理组件,即可将部署的SpringCloud应用或Dubbo应用接入微服务治理中心,然后使用微服务治理中心的治理功能。微服务治理中心支持Springcloud、Dubbo框架的微服务应用。功能列表如下所示: 模块 SpringCloud&Dubbo 服务查询支持查看服务列表和服务契约。

来自：
帮助文档
微服务引擎
快速入门
微服务治理中心
微服务治理入门概述
安全管理
本实践介绍通过IAM增强用户安全性的常见方法。应用场景通过配置子用户相关设置,实现访问控制管理,提升账号和数据安全。前提条件已开通对象存储(经典版)Ⅰ型服务。具体方法创建独立的IAM子用户一个账户可以建立多个子用户,您可以通过IAM为不同的操作人员创建独立的IAM子用户。根据操作人员的职能范围,授予相应的管理权限。同时建议您也为根用户创建子用户,并授予该子用户管理权限,使用该用户进行日常管理工作,保护账户安全。

来自：
帮助文档
对象存储（经典版）I型
最佳实践
IAM最佳实践
安全管理
安全设置
此小节介绍云堡垒机安全设置。云堡垒机安全设置模块支持您自定义密码强度、账户保护规则。密码组成:配置用户密码策略,包括配置密码安全强度,密码字符组成。密码事件:可设置安全登录事件、强制改密时间和首次登录改密。账号策略:可设置账号空闲事件。设置密码组成1.使用“管理角色”账号登录云堡垒机。2.在左侧导航栏选择“系统设置 > 安全管理”,进入“安全管理”模块。3.选择密码组成模块,配置密码规则。

来自：
帮助文档
云堡垒机（原生版）
用户指南
管理员手册
系统管理
安全设置
安全设置
此小节介绍云堡垒机安全设置。云堡垒机安全设置模块支持您自定义密码强度、账户保护规则。密码组成:配置用户密码策略,包括配置密码安全强度,密码字符组成。密码事件:可设置安全登录事件、强制改密时间和首次登录改密。账号策略:可设置账号空闲事件。设置密码组成使用“管理角色”账号登录云堡垒机。在左侧导航栏选择“系统设置 > 安全管理”,进入“安全管理”模块。选择密码组成模块,配置密码规则。

来自：
帮助文档
云堡垒机（原生版）
用户指南
管理员手册
系统管理
安全设置
连接器异常排查手册
一、Docker连接器异常 1、建议升级到最新连接器版本登录边缘安全加速控制台,选择零信任服务工作台,在连接器管理页面,选择连接器实例,点击【待升级】进行升级: ※立即升级:将自动升级,升级时间1分钟左右。 ※命令安装:根据提供的安装步骤,在连接器所在宿主机上执行命令操作。 2、排查容器及宿主机的网络连通性 (1)检查连接器所在宿主机与零信任控制中心网络连通情况:按照下述命令执行,若状态码响应400,则说明连通性正常。否则,请检查宿主机的网络设置情况。

来自：
帮助文档
边缘安全加速平台
常见问题
连接器异常排查手册
安全组配置示例
安全组产品广泛应用于多种场景,本文带您更快了解安全组的经典应用场景。不同安全组内的弹性云服务器内网互通场景举例: 在同一个VPC内,用户需要将某个安全组内一台弹性云主机上的资源拷贝到另一个安全组内的弹性云主机上时, 用户可以将两台弹性云主机设置为内网互通后再拷贝资源。安全组配置方法: 由于同一个VPC内,在同一个安全组内的弹性云服务器默认互通,无需配置。但是,在不同安全组内的弹性云服务器默认无法通信,此时需要添加安全组规则,使得不同安全组内的弹性云主机内网互通。

来自：
帮助文档
弹性云主机
用户指南
安全
安全组
安全组配置示例
数据安全
产品能力简要说明访问控制用户身份管理和访问控制(Identity and Access Management,简称IAM)是O...服务,您可以使用IAM创建、管理用户账号,并对这些账号进行权限分配,方便资源管理。 STS临时凭证通过STS(Security Token Service)给第三方应用或用户授予一个自定义时效的临时访问凭证,无需透露用户自身的AK/SK。

来自：
帮助文档
对象存储（经典版）I型
产品简介
数据安全
安全组配置示例
安全组配置方法: 方向协议/应用端口源地址入方向 ICMP 全部 0.0.0.0/0 弹性云主机作Web服务器场景举例: 如果您在弹性云主机上部署了网站,即弹性云主机作Web服务器用,希望用户能通过HTTP或HTTPS服务访问到您的网站,您需要在弹性云主机所在安全组中添加以下安全组规则。

来自：
帮助文档
弹性云主机
用户指南
安全
安全组
安全组配置示例
防护配置类
本文介绍容器安全卫士防护配置类常见问题。标准版支持设置单条防护规则的防护状态吗? 支持。标准版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。标准版支持对同一节点下发不同防护策略吗? 不支持。默认使用“默认策略”进行防护,创建策略时已生成防护策略的节点是不可重复选择的。若想重新配置策略,需要先解绑已有策略,然后再重新绑定。标准版支持入侵检测规则自定义吗? 支持。可以在“容器安全 > 策略管理”中进行自定义,包括命令执行、网络活动、读写文件、文件内容。

来自：
帮助文档
容器安全卫士
常见问题
防护配置类
查看配额
查看容器配额 1、登录管理控制台。 2、在弹窗界面单击“体验新版”,切换至企业主机安全页面。切换至新版后,在总览页左上角单击“返回旧版”,可切换至企业主机安全(旧版) 3、在左侧导航栏中,选择“资产管理 > 容器管理”,在“容器节点管理”界面,选择“防护配额”页签,进入防护配额列表页面。 4、在防护配额页面,查看容器安全防护配额,参数详情请参见下表。参数名称参数说明配额版本企业版。配额状态正常:配额状态。

来自：
帮助文档
企业主机安全
用户指南
资产管理
防护配额管理
查看配额
Calico网络插件
优缺点 Calico IPIP隧道容器网络优点如下: 基于节点网络构建的覆盖(overlay)容器网络,通用性强,不占用VPC资源; 支持网络策略NetworkPolicy和带宽限制; 结合BGP Route Reflector,支持大规模组网。缺点如下: IPIP隧道解封包存在性能损耗; Pod不能与VPC内集群外资源互通; LoadBlance类型service无法直通Pod,需经NodePort转发,存在性能损耗; 容器流量绕过安全组,不受安全组管理。

来自：
帮助文档
云容器引擎
用户指南
网络
容器网络插件
Calico网络插件
安全告警
在左侧导航栏,选择“安全告警”,进入安全告警页面。在页面上方切换云防火墙实例。说明默认展示近一天的告警,可在页面右上角自定义查看的时间范围。查看告警详情单击告警列表操作列的“详情”,进入告警详情页面。在该页面可以查看告警的详细信息。处理告警若您已手动处理告警,可将其“标记为已处理”,标记后,告警的状态将从“未处理”变为“已处理”。操作步骤:单击“标记为已处理”,在弹出的确认框中,单击“确定”。

来自：
帮助文档
云防火墙（原生版）
用户指南（C100）
安全告警
准备工作
网络类服务 CCE支持集群下容器发布为对外访问的服务,因此需要获取访问虚拟私有云、弹性负载均衡等服务的权限。容器与监控类服务 CCE集群下容器支持镜像拉取、监控和日志分析等功能,需要获取访问容器镜像、应用管理等服务的权限。当您同意授权后,CCE将在IAM中创建名为“cce_admin_trust”委托,统一使用系统帐号“op_svc_cce”对您的其他云服务资源进行操作,并且授予其Tenant Administrator权限。

来自：
帮助文档
云容器引擎
快速入门
准备工作
入侵检测规则
登录容器安全卫士控制台。在左侧导航栏,选择“容器安全 > 容器策略”,进入容器策略页面。选择“入侵检测规则”页签。单击“添加规则”,进入添加规则页面。在入侵检查规则页面输入规则名称(必填)和规则描述(非必填),选择是否启用,输入告警信息、选择规则类型(命令执行、网络活动、文件读写、文件内容)、Att&ck战术、Att&ck技术、风险等级、规则内容(DSL)、修复建议、开启建议。单击“保存”,生成一条新规则。

来自：
帮助文档
容器安全卫士
用户指南
容器安全
容器策略管理
入侵检测规则
集群卸载Agent
如果不再需要HSS为您的集群容器提供安全防护,您可以为集群卸载Agent。Agent卸载后,HSS将停止对容器的检测和防护,且已检测到的告警、漏洞信息等数据都将被删除。 CCE集群卸载Agent 1、登录管理控制台。 2、在页面左上角选择“区域”,选择“容器服务 > 云容器引擎”,进入云容器引擎界面。 3、单击目标集群名称,进入集群详情页。 4、在左侧导航栏,选择“工作负载”,进入“工作负载”界面。 5、选择“守护进程集”页签,删除名称为“install-agent-ds”的工作负载。

来自：
帮助文档
企业主机安全
用户指南
资产管理
容器管理
集群Agent管理
集群卸载Agent
创建有状态负载(StatefulSet)
容器运行时:CCE集群默认使用普通运行时。时区同步:选择是否开启时区同步。开启后容器与节点使用相同时区(时区同步功能依赖容器中挂载的本地磁盘,请勿修改删除),时区同步详细介绍请参见时区同步。容器配置容器信息Pod中可以配置多个容器,您可以单击右侧“添加容器”为Pod配置多个容器。基本信息:容器基本信息生命周期:设置容器生命周期健康检查:设置容器健康检查环境变量:设置环境变量数据存储:存储概述安全设置:对容器权限进行设置,保护系统和其他容器不受其影响。

来自：
帮助文档
云容器引擎
用户指南
工作负载
创建有状态负载(StatefulSet)
安全策略概述
本文介绍零信任安全策略。配置安全策略前提条件已经订购边缘安全加速平台-零信任服务,若未订购,请参见服务开通。先接入远程办公服务,请参见零信任服务快速入门。不同能力版本提供能力不同,请参见零信任服务版本差异对比。安全策略概览下表将为您描述目前边缘安全加速平台-零信任服务具备的安全策略以及应用场景。

来自：
帮助文档
边缘安全加速平台
零信任网络服务
安全策略
安全策略概述
数据安全概览
总览页面分为云服务全景图(资产地图)、数据采集安全、数据传输/存储安全、数据使用安全和数据交换/删除安全共五大板块,实时呈现了用户资产的具体情况。前提要求已完成资产访问的授权,参考云资产委托授权/停止授权进行操作。已完成添加数据库资产,参考数据库资产清单进行操作。操作步骤登录管理控制台。单击左上角的,选择区域或项目。在左侧导航树中,单击,选择“安全> 数据安全中心”,进入数据安全中心总览界面。查看数据安全中心服务的总览—云服务全景图。

来自：
帮助文档
数据安全中心
用户指南
数据安全概览
创建有状态负载(StatefulSet)
环境变量:设置容器运行环境的变量。数据存储:挂载本地存储或云存储。安全设置:对容器权限进行设置,保护系统和其他容器不受其影响。请输入用户ID,容器将以当前用户权限运行。特权容器:选择是否启用特权容器。镜像访问凭证:选择访问镜像仓库的凭证。说明有状态负载支持“动态挂载”云硬盘。动态挂载通过[volumeClaimTemplates]字段实现,并依赖于StorageClass动态创建能力。

来自：
帮助文档
云容器引擎
用户指南
工作负载（新版）
创建有状态负载(StatefulSet)
术语解释
安全策略安全策略是指容器运行时需要遵循的安全规则,如果容器违反了安全策略,系统会在容器运行时通报容器异常。安全策略由用户自定义,包括容器允许运行的进程和容器内只读的文件。安全风险安全风险是对资产安全状况的综合评估,反映了一段时间内资产遭受的安全风险。安全风险通常体现为一个量化的数值,便于用户理解目前资产的安全状况,数值大小并不代表资产的绝对安全或危险,仅作为资产遭受攻击严重程度的参考。

来自：
帮助文档
运维安全中心（云堡垒机）
产品简介
术语解释
数据安全
如果私有加密镜像需要共享给其他天翼云账号时,建议优先对加密镜像进行解密复制后,再进行解密镜像共享,避免KMS密钥泄露导致安全风险。网络传输加密天翼云支持通过 VPN 连接和 HTTPS 协议对数据进行加密传输。天翼云VPN连接(CT-VPN,Virtual Private Network)是一款基于Internet的网络连接服务,通过互联网加密通道的方式实现企业数据中心、企业办公网络、客户终端与客户云上专有网络建立安全可靠的连接。

来自：
帮助文档
弹性云主机
安全合规
数据安全
修改实例安全组
本节主要介绍修修改实例安全组文档数据库服务支持修改集群、副本集实例的安全组。使用须知以下情况不可修改安全组: 添加节点数据迁移操作步骤步骤 1 登录管理控制台。步骤 2 单击管理控制台左上方的,选择区域和项目。步骤 3 在页面左上角单击,选择“数据库 > 文档数据库服务 DDS”,进入文档数据库服务信息页面。步骤 4 在“实例管理”页面,选择指定的实例,单击实例名称。步骤 5 在左侧导航树,单击“连接管理”。步骤 6 在“安全组”区域,单击,选择实例所属安全组。

来自：
帮助文档
文档数据库服务
用户指南
数据安全性
修改实例安全组
云安全中心
进入云安全中心控制台方式一: 登录天翼云控制中心。在控制中心页面顶部选择区域。在产品服务列表页,选择“安全 > 云等保专区”,进入云等保专区控制台。在左侧导航栏,选择“云安全中心”,跳转到云安全中心控制台。方式二: 登录天翼云控制中心。在控制中心页面顶部选择区域。在产品服务列表页,选择“安全 > 云安全中心”,进入云安全中心控制台。使用云安全中心请参见云安全中心。

来自：
帮助文档
云等保专区
用户指南
云安全中心
创建安全组
同一安全组内云服务器实例内网互访默认是隔离状态,如您有同一安全组内的云服务器之间互通的需求,您可以在添加安全组规则时配置一条引用本安全组的规则,实现组内互通,详细操作可参考“添加安全组规则”。对于地域资源池来说,创建安全组时无需选择对应的虚拟私有云,多个VPC可以复用一个安全组。对于可用区资源池来说,创建安全组时需选择对应的虚拟私有云。不同的VPC业务一般是不同的,所使用的安全组规则也应该是不一样的。将VPC与安全组关联方便您部署不同业务情况。您可以根据自身业务需求选择创建合适区域的安全组。

来自：
帮助文档
虚拟私有云
安全组
创建安全组
更改实例安全组
在产品服务列表页,选择“安全 > 云堡垒机(原生版)”,进入云堡垒机实例管理页面。选择需要更改安全组的堡垒机实例,在实例详情页单击按钮。在弹出的对话框中选择需要更改的安全组,选择完成后单击“保存”即可完成安全组的修改。

来自：
帮助文档
云堡垒机（原生版）
用户指南
实例管理
更改实例安全组
监控安全风险
本节主要介绍分布式缓存服务Redis版监控安全风险分布式缓存提供资源和操作监控能力,可以对每个缓存实例镜像实时监控、告警和通知操作。用户可以实时掌握实例的QPS、资源使用率、连接数等关键信息。分布式缓存支持的监控指标以及告警管理等内容,参考产品监控。

来自：
帮助文档
分布式缓存服务Redis版
产品介绍
安全
监控安全风险
查看策略组
此小节介绍企业主机安全策略管理。企业主机安全旗舰版提供灵活的策略管理能力,用户可以根据需要自定义安全检测规则,并可以为不同的主机组或主机应用不同的策略,以满足不同应用场景的主机安全需求。约束限制需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。操作须知开启企业版主机防护时,默认绑定“租户侧企业版策略组”(包含“弱口令检测”和“网站后门检测”策略),应用于全部的云服务器,不需要单独部署策略。

来自：
帮助文档
企业主机安全
用户指南
安全运营
查看策略组

天翼云最新活动

818算力跃迁·礼遇盛夏

爆款云主机2核2G限时秒杀，28.8元/年起！

免费体验DeepSeek，上天翼云息壤

新老用户均可免费体验2500万Tokens，限时两周

云上钜惠

爆款云主机全场特惠，更有万元锦鲤券等你来领！

算力套餐

让算力触手可及

天翼云AI产品特惠

8折特惠，新老同享不限购

中小企业服务商合作专区

国家云助力中小企业腾飞，高额上云补贴重磅上线

出海产品促销专区

爆款云主机低至2折，高性价比，不限新老速来抢购！

天翼云电脑专场

移动办公新选择，爆款4核8G畅享1年3.5折起，快来抢购！

智算服务

应用商城

定价

合作伙伴

开发者

支持与服务

了解天翼云

天翼云最新活动

产品推荐

弹性云主机

物理机

镜像服务

弹性伸缩服务

一体化计算加速平台·异构计算

天翼云CTyunOS系统

训推服务

科研助手

一站式智算服务平台

推荐文档

密码找回

产品续订

支持的监控指标

创建监控视图

创建文件和文件夹备份

比较

网页防篡改卸载