主要功能 云容器引擎支持对容器应用的全生命周期管理，具有以下功能： 集群管理 通过控制台一键创建Kubernetes集群，支持跨可用区高可用。 一站式容器管理 容器应用全生命周期管理。 高性能容器隧道网络、VPC网络等容器网络。 云硬盘EBS、弹性文件存储SFS、对象存储OBS等持久化存储支持。 资源、应用、容器多维度监控。 基于角色的权限管理和容器运行时安全。 应用市场内容 对接容器镜像服务SWR，支持自定义镜像和共享镜像。

本文介绍云容器引擎的产品优势。 云容器引擎是基于业界主流的Docker和Kubernetes开源技术构建的容器服务，提供众多契合企业大规模容器集群场景的功能，在系统可靠性、高性能、开源社区兼容性等多个方面具有独特的优势，满足企业在构建容器云方面的各种需求。云容器引擎的优点有：大幅提高线上业务的运维、弹性伸缩能力；大幅提高资源、设备及人力的利用率，降低成本；大幅提升产品、业务应用的研发效率。 管理简单 帮助用户屏蔽了底层技术架构，云容器引擎具有强大的集群管理功能，简单的操作流程。用户可自定义集群应用，只需进行简单的单击操作，即可完成业务部署，无需参与底层网络、存储等的技术设计，无需手动搭建docker及kubernetes集群，并进行证书、密钥等配置，减少技术人员的投入，节约人力成本。 云容器引擎平台为集群、应用、容器、网络、配置项、命名空间等丰富的集群资源提供了直观的界面化管理，简化了用户操作。用户可随时随地登陆，进行应用容器的生命周期管理，灵活的安排运行的应用业务，浏览当前具备的资源及业务运行状态，大幅降低了用户的管理成本、运维成本。 安全稳定 云容器引擎服务提供3个master主节点的高可用集群，去中心化式的集群架构，确保当单个主控节点出现问题时，集群也能够无中断的继续运行。相比用户自建的单主控节集群，业务稳定性与连续性大大提高。 云容器服务基于天翼云优秀的IAAS层基础架构搭建，成熟的虚拟化技术、优质的网络架构，以及多层次的安全防护能力，从底层确保了上层容器服务的稳定可靠性。用户可自定义安全组规则，进一步提高隔离水平。 伴随业务版本的快速迭代，云容器引擎服务提供了渐进式的滚动升级策略，搭配容器镜像服务，通过web界面一键完成应用版本升级，无忧实现业务平滑替换，提高业务连续性，保障优质的用户体验感。 云容器引擎提供集群、节点、容器多层面的状态监控，支持全时段的事件监控，应用日志查看，容器健康检查等功能，用户只需登陆容器引擎平台总览页面，即可将集群、网络、CPU、内存资源等信息尽收眼底，时刻把握集群情况，并快速定位故障发生原因，减少运维人力，提高运维效率。 轻松应对 云容器引擎提供了应用层级别的水平伸缩能力，即Horizontal Pod Autoscaling（HPA），支持用户自定义Pod伸缩策略，根据容器资源使用情况，自动快速调整Pod数量，及时应对用户业务流量变化，保障业务对外能力可用。 云容器引擎支持应用与节点、应用间的亲和、反亲和性质的调度策略配置，帮助用户实现节点负载的合理安排和组织，提高系统的稳定性、扩展性。提高各节点的资源利用效率。支持Pod级别迁移策略配置，当节点出现故障时可快速迁移应用。 开放兼容 云容器引擎服务深度整合了天翼云平台成熟的计算、存储、网络、安全等云产品功能，提高了系统的可扩展性。用户可集合平台提供的其它云产品能力，如云主机监控、存储管理等，进一步构建完善云上业务系统。 云容器引擎在Docker技术的基础上，为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等一系列完整功能，提高了大规模容器集群管理的便捷性。云容器引擎基于业界主流Kubernetes实现，完全兼容Kubernetes/Docker社区原生版本，与社区最新版本保持紧密同步，完全兼容Kubernetes API和Kubectl。 特色功能 镜像仓库：容器引擎为用户提供了配套的镜像仓库管理服务，支持创建仓库及镜像管理等基础功能，并为用户提供了丰富的官方镜像资源，覆盖面广，满足用户不同的业务需求，保障了镜像的可靠性与安全性。用户无需自行搭建和运维仓库，即可一键快速完成业务容器化部署，提高业务容器化效率。 天翼云平台为用户提供了专业的售后运营团队，全天候724小时服务。用户可通过工单、电话等渠道，对产品故障进行反应。团队将及时响应，并快速定位问题，解决客户的疑难杂症。

本文介绍如何查看容器列表及列表参数说明。 在容器安全的实时监测页面，支持按“节点”和“命名空间”进行分类查看集群中的容器信息。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 分类查看容器信息：选择“节点”和“命名空间”页签，可以更直观地分类查看集群中各个节点和各个命名空间上的容器信息。 4. 查看汇总统计信息：容器列表上方汇总展示了当前节点或命名空间中各类型的容器数量，包括运行中容器、特权容器、节点启动容器、有漏洞的容器和有异常行为的容器等，单击想要查看的容器类型，下方容器列表会根据单击选择的条件进行筛选。 5. 随着在左侧树形结构中的选择改动，右侧统计结果将响应式动态变化。 6. 查看容器列表：容器列表内，支持按照“容器名称”、“镜像名称”、“Pod名称”、“容器标签”、“容器IP”、“容器类型”、“运行状态”、“安全状态”等进行筛选查询。 容器列表内各参数说明如下： 参数 说明 容器名称 容器的名称。 容器类型 容器类型分为集群启动容器、节点启动容器和特权容器。 Pod名称 容器所属Pod的名称。 应用 容器所提供的应用服务，如kubernetes、apache、nginx等。 镜像名称 关联镜像是指该容器基于哪个镜像构建的。 运行状态 运行状态分为运行中、停止运行、已暂停、已删除。 安全状态 安全状分为“有异常”和“无异常”，有异常是指触发了安全策略产生告警的容器。 7. 查看图标说明：在容器列表左下角，可查看容器列表中图标的说明信息，前三个图标（节点启动容器、集群启动容器、特权容器）表示的是容器类型，其余图标表示的是容器列表中的应用。

本小节介绍查看容器告警事件。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的容器、待处理告警事件、已处理告警事件。 事件列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束限制 未开启防护的服务器不支持告警事件相关操作。 操作步骤 1、登录管理控制台。 2、在左侧导航栏中选择“入侵检测 > 安全告警事件 > 容器安全告警”，进入“容器安全告警”页面，查看容器告警事件信息。 查看容器告警事件概览。 安全告警统计：您可以查看存在告警的容器数量，以及待处理和已处理告警事件数量。 威胁等级：您可以查看容器存在的告警等级分布数量。 TOP事件类型：您可以查看容器中告警数量排在前五的事件类型。 查看容器告警事件分类列表。 在“事件类型”栏，选择告警事件类型，查看每个事件类型对应的告警事件列表。在告警事件列表中可以查看告警威胁等级、告警名称、受影响容器实例名称等信息。 查看容器告警事件详细信息。 单击目标告警事件的告警名称，进入告警事件详情页面，可以查看容器ID、IP地址、虚拟机名称、镜像ID等信息。

本文为您介绍容器安全卫士的产品规格。 根据支持功能不同，容器安全卫士提供标准版和高级版供用户选择。 一级功能 二级功能 功能描述 标准版 高级版 仪表盘 从全局视角统计重要资产、防护情况、告警趋势、及安全情况，便于用户更好的进行安全响应处置，提升运营效率。 ✓ ✓ 资产中心 查看集群资产、镜像资产、主机节点资产、应用服务资产、K8S配置详细信息。 ✓ ✓ 告警响应 运行态检测 查看所有容器、主机、K8S入侵告警事件，并对其进行响应处置。 ✓ ✓ 告警响应 镜像告警 查看所有触发安全策略的镜像告警事件，并对其进行响应处置。 ✓ ✓ 告警响应 IaC告警 查看存在未通过高危检查的文件。 × ✓ 告警响应 响应中心 查看告警处置记录，包括隔离Pod列表、暂停容器列表、重启Pod列表、镜像阻断列表，并进行白名单管理、一键封堵。 ✓ ✓ 安全合规 基线管理 对各版本的Linux系统按照等保、CIS的基线要求检测，覆盖主流操作系统的检测。 对各版本的kubernetes按照CIS基线要求检测。 对各个版本容器运行环境按照CIS基线要求检测。 ✓ ✓ 安全合规 基线配置 自定义配置基线扫描周期、安全合规达标率等。 ✓ ✓ 镜像安全 镜像管理 对业务环境主机中和镜像仓库中的镜像资产统一管理、安全扫描，并提供可写入dockerfile的修复建议。 ✓ ✓ 镜像安全 镜像策略 通过漏洞规则、文件规则、软件包规则、及其他规则设置来对风险制品镜像进行告警或阻断管控。 ✓ ✓ 镜像安全 镜像设置 配置节点镜像和仓库镜像扫描周期。 ✓ ✓ 容器安全 实时检测 从命名空间或节点的视角实时检测容器安全状态，对容器进行基线检查、容器审计等。 ✓ ✓ 容器安全 容器策略 创建并管理容器入侵检测策略及入侵检测规则。 ✓ ✓ 容器安全 文件防篡改 创建并管理容器防篡改策略。 × ✓ 容器安全 进程访问控制 创建并管理容器进程访问策略，支持进程阻断/放行。 × ✓ 容器安全 弱口令 弱口令字典管理及弱口令检测。 × ✓ 容器安全 容器设置 设置容器保留时长、容器审计信息保留时长，及容器扫描周期。 ✓ ✓ 节点安全 节点安全 查看节点信息、集群组件信息、防御容器健康状态，对节点实时入侵监测，扫描节点漏洞，开启节点debug日志。 ✓ ✓ 节点安全 节点设置 自定扫描新增节点，设置节点更新周期。 ✓ ✓ IaC安全 IaC检查 对于部署资源所编写的编排文件，支持扫描编写内容是否存在风险以及是否符合编写规范。 × ✓ IaC安全 规则管理 统一管理K8S manifests/helmchart文件规则、Dockerfile文件规则、ConfigMap文件规则等。 × ✓ IaC安全 IaC设置 配置自动扫描、周期扫描策略。 × ✓ 集群安全 组件漏洞 扫描Kubernetes 内的kubelet、calico、etcd等组件漏洞信息。 × ✓ 集群安全 安全检查 对集群进行安全检查，发现未通过检查项及影响范围，提供解决方案及参考链接。 × ✓ 集群安全 插件管理 可通过提供插件的形式，帮助用户验证1day漏洞信息。 × ✓ 集群安全 集群审计 记录了对APIServer的访问事件，通过查看、分析日志，可以了解集群的运行状况、排查异常，发现集群潜在的安全、性能等风险对异常事件支持报警。 × ✓ 集群安全 集群策略 配置集群审计策略，管理集群审计规则，管理集群告警规则。 × ✓ 集群安全 集群设置 配置自动扫描新增集群及集群扫描周期。 × ✓ 网络安全 网络策略 通过对单个业务之间，业务组之间，以及租户之间的网络访问策略配置，实现业务之间隔离，来减小被入侵之后的影响范围。 × ✓ 网络雷达 对容器环境中网络流量进行绘图，打破网络黑洞，支持对命名空间、Pod、主机、集群、外网级别的网络监测。通过对单个业务之间、业务组之间以及多租户之间的网络访问策略配置，通过对业务之间的隔离，来减小被入侵之后的影响范围。通过网络拓扑图从网络层判断入侵的影响范围。 × ✓ 平台管理 日志审计 对系统操作日志进行统计及报表输出。 ✓ ✓ 安装配置 支持天翼云原生集群或非原生集群部署方式。 ✓ ✓ 订单中心 查看用户订单情况，可以进行退订、扩容、续订等操作。 ✓ ✓ 任务中心 查看任务执行情况，可以进行终止、删除、查看详情等操作。 ✓ ✓ 消息中心 查收系统内部消息。 ✓ ✓

标准开放 基于容器标准构建，无厂商锁定，零成本迁移。 服务集成 自动集成天翼云上的基础设施类产品（例如ELB、SFS、ZOS等）和微服务生态周边产品（例如MSE、ARMS等），提供一站式解决方案。 安全保障 底层基于安全容器，网络层面通过VPC强隔离，为应用安全运行提供双重保障。

容器安全 容器安全是HSS为容器提供的一种防护能力，通过部署在容器宿主机中的Agent，能够扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时容器安全提供容器进程白名单、文件只读保护和容器逃逸检测功能，可以有效防止容器运行时安全风险事件的发生。 网页防篡改 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。

本文介绍使用容器安全卫士防护云原生应用的流程。 容器安全卫士是作用于容器集群的安全防护产品，提供了对容器环境下，业务动态及静态安全风险的事前发现、事中预警、事后溯源的安全闭环。可方便快捷地解决业务容器化后带来的安全问题。 使用容器安全卫士防护云原生应用的流程如下：

本小节介绍关闭容器安全防护。 您可以为已开启容器版防护的服务器关闭安全防护，关闭后可释放配额，可供其他服务器防护使用。 操作须知 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。 操作步骤 1、 登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、根据需求可选择批量关闭防护和单服务器关闭防护。 单服务器关闭防护 a.在“节点列表”中目标服务器的“操作”列单击“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 说明 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。 批量关闭防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 注意 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。

容器镜像服务是一种支持容器镜像生命周期管理的服务, 提供简单易用、安全可靠的镜像管理功能,帮助用户快速部署容器化服务。

本文为您介绍容器安全卫士的应用场景，包括镜像安全防护和容器安全防护。 镜像安全防护 采用容器技术后，业务容器基于镜像启动。如何在业务上线前提前感知镜像安全风险，保障安全上线变得尤为重要。 方案优势 兼容性强：兼容市面主流镜像仓库，以及主流操作系统，包括国产化欧拉、麒麟等国产镜像OS。 检测全面：基于多漏洞源以及病毒库，深入检测软件成分、漏洞、恶意文件、软件许可、敏感信息等安全风险。 风险阻断：针对风险镜像，可基于特权启动、漏洞、软件、文件、环境变量等多维度阻止其上线运行。 场景示意图 容器安全防护 容器内承载的即是业务进程，一旦容器被攻陷，或基于业务逻辑攻击进入容器，都将面临不可预估的风险，所以在享受容器带来便利的同时，也要加强关注容器及业务的安全性。 方案优势 覆盖ATT&CK全阶段：提供业务命令执行、文件读写、网络活动、主机风险等多个维度的安全检测策略，且可自定义。覆盖ATT&CK各个阶段，确保风险及时发现。 资产/风险联动性强：通过任一资产，都可查看其关联的其他资产，在发现风险时，也会提供攻击链条及详尽的关联数据，辅助判断。 确认风险极速处置：确认风险后，对存在风险的业务容器，可一键进行隔离、重启，或暂停容器。再通过历史信息对风险进行溯源。

本章节为您介绍容器的安装与配置 为集群安装Agent 企业主机安全支持防护云CCE集群，本章节为您介绍如何为这些资产安装Agent。 背景信息 HSS在提供“容器安装与配置”功能之前，提供了“集群Agent管理”功能实现集群容器资产接入HSS，但通过“集群Agent管理”功能接入HSS的集群资产，无法使用部分容器相关功能，例如容器防火墙、容器集群防护等。 因此HSS在Linux Agent 3.2.12及以上版本、Windows Agent 4.0.23及以上版本提供“容器安装与配置”功能，替代“集群Agent管理”功能，以实现将集群资产完全接入HSS，并能使用HSS提供的所有容器相关功能。 如果您此前使用“集群Agent管理”功能接入了集群资产，为了您能够享受到更好的容器安全防护服务，建议您为集群卸载Agent，再通过本章节提供的接入方式，重新接入集群资产。 ANPAgent说明 非CCE集群安装HSS Agent过程中涉及集群连接组件（ANPAgent），集群连接组件（ANPAgent）的作用是用于打通企业主机安全到集群的通信，和HSS Agent是两个独立的组件，因此请您注意区分。 为云CCE集群安装Agent 操作场景 本指导适用于在云CCE集群上安装Agent，按照本指导配置完成后，HSS将自动在集群节点上安装Agent，并能够随集群扩容自动为新节点安装Agent，在集群缩容时同步卸载Agent。

容器镜像服务（Software Repository for Container）是一种支持容器镜像全生命周期管理的服务， 提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。 您可以使用控制台或CLI上传、下载和管理容器镜像，并对接云容器引擎完成容器应用部署。

本文主要介绍安全容器与普通容器。 安全容器和普通容器相比，它最主要的区别是每个容器（准确地说是pod）都运行在一个单独的微型虚拟机中，拥有独立的操作系统内核，以及虚拟化层的安全隔离。因为云容器引擎CCE的容器安全隔离比独立拥有私有Kubernetes集群有更严格的要求。通过安全容器，不同容器之间的内核、计算资源、网络都是隔离开的，保护了Pod的资源和数据不被其他Pod抢占和窃取。 CCE Turbo集群下单节点支持普通容器和安全容器，您可以根据业务需求选择使用，两者的区别如下： 分类 安全容器 Docker普通容器 Containerd普通容器 容器所在节点类型 物理机 虚拟机 虚拟机 容器引擎 Containerd Docker Containerd 容器运行时 Kata runC runC 容器内核 独占内核 与宿主机共享内核 与宿主机共享内核 容器隔离方式 轻量虚拟机 Cgroups和Namespace Cgroups和Namespace 容器引擎存储驱动 Device Mapper OverlayFS2 OverlayFS Pod Overhead 内存：100MiBCPU：0.1CorePod Overhead为安全容器本身资源占用。比如Pod申请的limits.cpu 0.5Core和limits.memory 256MiB，那么该Pod最终会申请0.6Core的CPU和356MiB的内存。 无 无 最小规格 内存：256MiBCPU：0.25Core安全容器的CPU核数（单位为Core）与内存（单位为GiB）配比建议在1:1至1:8之间。例如CPU为0.5Core，则内存范围建议在512MiB4GiB间。 无 无 容器引擎命令行 crictl docker crictl Pod的计算资源 CPU和内存的request和limit必须一致 CPU和内存的request和limit可以不一致 CPU和内存的request和limit可以不一致 hostnetwork 不支持 支持 支持

本节主要描述在使用云容器引擎前，需理解该产品所涉及的概念，以便于您更好地理解容器产品。 关键词 说明 集群 集群指容器运行所需要的云资源组合，关联了若干服务器节点、负载均衡、专有网络等云资源。 专有版集群：需要创建1个Master（非高可用），或者3/5个Master（高可用）节点，以及若干Worker节点，可对集群基础设施进行更细粒度的控制，需要自行规划、维护、升级服务器集群。 托管版集群：只需创建Worker节点，Master节点由CCSE创建并托管，具备操作简单、低成本无需运维等特点。 节点 一台服务器（可以是虚拟机实例或者物理服务器）已经安装了Docker Engine，可以用于部署和管理容器。容器的Agent程序会被安装到节点上并注册到一个集群上。 专有网络VPC 专有网络VPC是您自己独有的云上私有网络。您可以完全掌控自己的专有网络，例如选择IP地址范围、配置路由表和网关等，您可以在自己定义的专有网络中使用天翼云资源如云服务器、云数据库和负载均衡等。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤能力，用于在云端划分安全域。安全组是一个逻辑上的分组，由同一地域内具有相同安全保护需求并相互信任的实例组成。 应用目录 应用目录功能集成了Helm，提供了Helm的相关功能，并进行了相关功能扩展，例如提供图形化界面。 编排模板 编排模板是一种保存Kubernetes YAML格式编排文件的方式。 Kubernetes Kubernetes是一个开源平台，具有可移植性和可扩展性，用于管理容器化的工作负载和服务，简化了声明式配置和自动化。 容器（Container） 打包应用及其运行依赖环境的技术，一个节点可运行多个容器。 镜像（Image） 容器镜像是容器应用打包的标准格式，封装了应用程序及其所有软件依赖的二进制数据。 镜像仓库（Image Registry） 容器镜像仓库是一种存储库，用于存储Kubernetes和基于容器应用开发的容器镜像。 管理节点（Master Node） 管理节点是Kubernetes集群的管理者，运行着的服务包括kubeapiserver、kubescheduler、kubecontrollermanager、etcd组件，和容器网络相关的组件。 工作节点（Worker Node） 工作节点是Kubernetes集群中承担工作负载的节点，可以是虚拟机也可以是物理机。工作节点承担实际的Pod调度以及与管理节点的通信等。一个工作节点上的服务包括Docker运行时环境、kubelet、KubeProxy以及其它一些可选的组件。 命名空间（Namespace） 命名空间为Kubernetes集群提供虚拟的隔离作用。Kubernetes集群初始有3个命名空间，分别是默认命名空间default、系统命名空间kubesystem和kubepublic，除此以外，管理员可以创建新的命名空间以满足需求。 容器组（Pod） Pod是Kubernetes部署应用或服务的最小的基本单位。一个Pod封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。 副本控制器（ReplicationController，RC） RC确保任何时候Kubernetes集群中有指定数量的Pod副本在运行。通过监控运行中的Pod来保证集群中运行指定数目的Pod副本。指定的数目可以是多个也可以是1个；少于指定数目，RC就会启动运行新的Pod副本；多于指定数目，RC就会终止多余的Pod副本。 副本集（ReplicaSet，RS） ReplicaSet（RS）是RC的升级版本，唯一区别是对选择器的支持，RS能支持更多种类的匹配模式。副本集对象一般不单独使用，而是作为Deployment的理想状态参数使用。 工作负载（Workload） 工作负载是在Kubernetes上运行的应用程序。 标签（Label） Labels的实质是附着在资源对象上的一系列Key/Value键值对，用于指定对用户有意义的对象的属性，标签对内核系统是没有直接意义的。标签可以在创建一个对象的时候直接赋予，也可以在后期随时修改，每一个对象可以拥有多个标签，但key值必须唯一。 服务（Service） Service是Kubernetes的基本操作单元，是真实应用服务的抽象，每一个服务后面都有很多对应的容器来提供支持，通过KubeProxy的ports和服务selector决定服务请求传递给后端的容器，对外表现为一个单一访问接口。 路由（Ingress） Ingress是授权入站连接到达集群服务的规则集合。您可以通过Ingress配置提供外部可访问的URL、负载均衡、SSL、基于名称的虚拟主机等。通过POST Ingress资源到API Server的方式来请求Ingress。Ingress Controller负责实现Ingress，通常使用负载均衡器，它还可以配置边界路由和其他前端，这有助于以高可用的方式处理流量。 配置项（ConfigMap） 配置项可用于存储细粒度信息如单个属性，或粗粒度信息如整个配置文件或JSON对象。您可以使用配置项保存不需要加密的配置信息和配置文件。 保密字典（Secret） 保密字典用于存储在Kubernetes集群中使用一些敏感的配置，例如密码、证书等信息。 卷（Volume） 和Docker的存储卷有些类似，Docker的存储卷作用范围为一个容器，而Kubernetes的存储卷的生命周期和作用范围是一个Pod。每个Pod中声明的存储卷由Pod中的所有容器共享。 存储卷（Persistent Volume，PV） PV是集群内的存储资源，类似节点是集群资源一样。PV独立于Pod的生命周期，可根据不同的StorageClass类型创建不同类型的PV。 存储卷声明（Persistent VolumeClaim，PVC） PVC是资源的使用者。类似Pod消耗节点资源一样，而PVC消耗PV资源。 存储类（StorageClass） 存储类可以实现动态供应存储卷。通过动态存储卷，Kubernetes将能够按照用户的需要，自动创建其所需的存储。 弹性伸缩（Autoscaling） 弹性伸缩是根据业务需求和策略，经济地自动调整弹性计算资源的管理服务。典型的场景包含在线业务弹性、大规模计算训练、深度学习GPU或共享GPU的训练与推理、定时周期性负载变化等。 可观测性（Observability） Kubernetes可观测性体系包含监控和日志两部分，监控可以帮助开发者查看系统的运行状态，而日志可以协助问题的排查和诊断。 Helm Helm是Kubernetes包管理平台。Helm将一个应用的相关资源组织成为Charts，然后通过Charts管理程序包。 节点亲和性（nodeAffinity） 节点亲和性指通过Worker节点的Label标签控制Pod部署在特定的节点上。 污点（Taints） 污点和节点亲和性相反，它使节点能够排斥一类特定的Pod。 容忍（Tolerations） 应用于Pod上，允许（但并不要求）Pod调度到带有与之匹配的污点的节点上。 应用亲和性（podAffinity） 应用亲和性决定应用Pod可以和特定Pod部署在同一拓扑域。例如，对于相互通信的服务，可通过应用亲和性调度，将其部署到同一拓扑域（例如同一个主机）中，以减少它们之间的网络延迟。 应用反亲和性（podAntiAffinity） 应用反亲和性决定应用Pod不与特性Pod部署在同一拓扑域。例如，将一个服务的Pod分散部署到不同的拓扑域（例如不同主机）中，以提高服务本身的稳定性。 服务网格（Istio） Istio是一个提供连接、保护、控制以及观测服务的开放平台，兼容社区Istio开源服务网格，用于简化服务的治理，包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力。

本文介绍如何更新容器列表。 容器运行时安全是容器安全管控的重中之重。目前传统的入侵检测方式主要针对于主机或者网络层面，现有防护手段无法发现针对容器层面的攻击行为。容器安全防护平台支持对容器内行为进行检测。当发现容器逃逸行为、反弹shell、端口扫描、启动挖矿程序、启动远程木马程序时，根据预设策略对存在异常的容器进行报警或暂停，并支持对容器所在的Pod进行隔离或重启。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 在该页面单击容器列表右侧的“更新列表”，实时获取集群内的容器信息。

容器信息 容器信息Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 容器名称：为容器命名。 镜像更新策略：选择是否总是拉取镜像。 镜像名称：选择容器使用的镜像，支持多种镜像来源。 镜像版本：选择需要部署的镜像版本。 资源配额：配置 CPU 和内存的申请值和限制值。 初始化容器：选择是否作为初始化容器。 生命周期：配置容器生命周期的特定操作。 健康检查：设置存活探针、就绪探针及启动探针。 环境变量：设置容器运行环境的变量。 数据存储：挂载本地存储或云存储。 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。请输入用户ID，容器将以当前用户权限运行。 特权容器：选择是否启用特权容器。 镜像访问凭证：选择访问镜像仓库的凭证。 服务配置 服务（Service）是用来解决Pod访问问题的。每个Service有一个固定IP地址，Service将访问流量转发给Pod，而且Service可以给这些Pod做负载均衡。您也可以在创建完工作负载之后再创建Service，Service的概念和使用方法请参见Service概述。 高级配置 设置升级策略、调度策略、标签与注解、DNS 配置、性能管理配置、网络配置等。单击右下角“创建工作负载”完成创建。

本文为您介绍容器安全卫士的产品优势。 容器安全卫士对云原生应用进行多维度检测和防护，产品优势如下： 一键管理便捷 贴合云原生特点，全组件采用容器化部署，实现客户端一键部署、一键卸载。安全能力随业务集群变动自动跟随防御，无需人工干预。 全面完整专业 集成国际、国内、官方等多种漏洞源，基于ClamAV、自研等多种病毒引擎，为您提供专业的安全风险检测。 动静结合智能 采用静态动态双结合的检测方式，自动形成业务行为基线，基于学习引擎，实时发现未知安全风险，实现智能化防护。 全链加密安全 容器安全卫士各个组件交互过程中，全链采用加密传输，敏感数据加密存储，客户端不暴漏任何端口，保护您的同时也注重自身安全。

本小节介绍容器安全卫士服务协议，请点击查看。 天翼云容器安全卫士服务协议

本文介绍如何开启容器安全防护。 为快速实现云原生应用防护，您需要购买容器安全卫士实例、配置防护策略并开启防护。 防护开启后，通过仪表盘查看访问统计信息和攻击防护记录，掌握业务的安全状况。 配置流程 步骤一：购买容器安全卫士实例 详细步骤请参见购买容器安全卫士。 步骤二 ：安装Sever/Agent 详细步骤请参见安装Server/Agent。 步骤三：配置防护策略 Server/Agent安装完成后，系统默认使用“默认策略”防护所有容器，并将“状态”切换为开启。 用户也可以自定义防护策略，详细步骤如下： 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页面，可以添加防护策略，并将策略的“启用状态”切换为开启。 4. 在“入侵检测规则”页面，可管理命令执行、读写文件、网络活动、文件内容等检测规则。

服务 说明 相关文档 云容器引擎 云容器引擎提供高度可扩展的、高性能的Kubernetes集群、一站式容器服务；获得信通院可信云《全栈容器云解决方案》认证，兼容主流国产化服务器和操作系统，取得全栈国产化适配认证证书。其整合了镜像、监控、日志、负载均衡、灰度/蓝绿、多种弹性策略、高效调度、集群插件、模板市场等基础能力，帮助企业快速构建和运行可弹性扩展的应用，实现业务的快速交付与持续创新 容器镜像服务 容器镜像服务是一种支持容器镜像生命周期管理的服务， 提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务

本文介绍云容器引擎的使用流程。 完整的容器服务使用流程包括以下步骤： 使用流程 说明 环境设置 创建集群前，您需要进行必要的环境设置。 说明： 如果用户已有“虚拟私有云”和“安全组”“子网”，可直接使用，不需额外创建。 . 创建虚拟私有云，提供一个隔离的、用户自主配置和管理的虚拟网络环境，提升公有云中资源的安全性，简化用户的网络部署； . 创建子网，在虚拟私有云下创建子网，用于集群部署； . 配置安全组，确保集群创建过程中使用的端口开放。 创建集群 CCE支持创建Kubernetes集群(即虚拟机集群)，后续还将提供裸机集群。 选择部署方式 CCE支持两类部署方式，用户可基于自身需求选择。 . 选择开源镜像：基于开源docker镜像创建容器应用，无需上传私有镜像。如：天翼云官方镜像； . 选择开源镜像：基于开源docker镜像创建容器应用，无需上传私有镜像。如：天翼云官方镜像； . 上传并选择私有镜像：您可基于业务需求制作私有docker镜像，上传到CCE。基于该私有镜像创建容器应用。 创建容器应用 CCE支持无状态及有状态容器应用。 . 无状态应用：在运行中始终不保存任何数据或状态，例如nginx； . 有状态应用：在运行中需要基于数据或状态运行，例如redis。 应用运维 CCE支持容器应用监控、日志，提供全生命周期管理能力。

容器镜像服务(Software Repository for Container,简称SWR)是一种支持镜像全生命周期管理的服务, 提供简单易用、安全可靠的镜像管理功能,帮助您快速部署容器化服务。您可以通过界面、社区CLI和原生API上传、下载和管理容器镜像。

本小节介绍容器安全卫士服务等级协议，请点击查看。 天翼云容器安全卫士服务等级协议

本文主要介绍通用类 问题 什么是容器镜像服务 容器镜像服务（SoftWare Repository for Container，简称SWR）是一种支持容器镜像全生命周期管理的服务，提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。 什么是组织？ 组织用于隔离镜像仓库，每个组织可对应一个公司或部门，将其拥有的镜像集中在该组织下。 同一用户可属于不同的组织。容器镜像服务支持为组织中不同用户分配相应的访问权限（读取、编辑、管理）。 容器镜像服务是否收费？ 容器镜像服务暂不收费，目前可免费使用。 SWR最多能存储多少个镜像？ SWR目前对上传的镜像数量没有限制，您可以根据需要上传镜像。 容器镜像服务的带宽多大？ 容器镜像服务的带宽会根据用户使用情况动态变化。 容器镜像服务的配额是多少？ 容器镜像服务对镜像数量没有配额限制，您可以根据需要上传镜像。 容器镜像服务对单个用户的组织数量限定了配额。如您需要添加更多的组织，请提交工单申请。 表 容器镜像服务配额 资源类型 配额 组织 5 长期有效的登录指令与临时登录指令的区别是什么？ 临时的登录指令代指6个小时后会过期失效，不能再被使用的登录指令。可应用在临时使用，对外单次授权等场景中，对安全性要求较高的生产集群也可通过定时刷新的方式进行使用。 长期有效的登录指令有效期为永久。可应用在前期测试、CICD流水线及容器集群拉取镜像等场景中。 获取了长期有效的登录指令后，在有效期内的临时登录指令仍然可以使用。 长期有效的登录指令与临时登录指令均不受限制，可以多台机器多人同时登录。

本小节介绍处理容器告警事件。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的容器、待处理告警事件、已处理告警事件。 事件列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束限制 未开启防护的服务器不支持告警事件相关操作。 操作步骤 当发生安全告警事件后，为了保障您的云服务器安全，可以根据以下方式处理安全告警事件。 说明 由于网络攻击手段、病毒样本在不断演变，实际的业务环境也有不同差异，因此，无法保证能实时检测防御所有的未知威胁，建议您基于安全告警处理、漏洞、基线检查等安全能力，提升整体安全防线，预防黑客入侵、盗取或破坏业务数据。 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 容器安全告警”，进入“容器安全告警”页面。 告警事件状态说明 告警事件状态 告警事件状态说明 存在告警的服务器 展示存在告警容器的数量。 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 4、 处理告警事件。 告警事件展示在“容器安全告警”页面中，事件列表仅展示最近30天的告警事件。 您需要根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计。 批量处理勾选的告警 a.任意选中“事件类型”，在事件列表勾选多个目标告警，单击“事件列表”下方的“处理”。 b.在弹窗中选择处理方式，确认无误，单击“确认”，完成勾选告警处理，处理方式详情如表76所示。 处理单个告警 a.选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。 b.在弹窗中选择处理方式，确认无误，单击“确认”，完成单个告警处理，处理方式详情如表所示。 处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。

本文介绍如何查看容器审计事件。 容器审计提供正常和异常的容器事件统计，包括容器进程事件、文件事件、网络事件。 前提条件 容器集群已开启审计功能。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表内的容器名称，进入容器详情页面。 4. 选择“容器审计”页签，进入审计详情页面。可查看容器的正常事件和异常事件的数量随时间变化的折线图（默认统计最近15分钟内的事件），又分类统计了容器的进程事件、文件事件、网络事件的数量，可通过选择时间或拖拽下方进度条来查看不同时间段内，容器发生的事件信息。 5. 查看事件列表：在统计图下方以列表展示了容器中发生的事件信息，单击列表中某行，可展开查看对应事件的详细信息。 容器审计事件参数说明： 参数 说明 进程名称 进程的名称。 用户 执行用户。 路径 执行命令所在路径。 进程命令行 具体执行的命令行。 事件类型 容器的事件类型，分为进程事件、文件事件和网络事件。 进程事件：指在容器中运行进程的事件； 文件事件：指容器中对文件的读操作和写操作产生的事件； 网络事件：指访问、监听等网络活动产生的事件。 安全状态 安全状态分为“正常”和“异常”这两种状态。 时间 事件发生的时间，事件列表中以时间倒序的顺序进行展示。

本节主要介绍与其它服务的关系。 云容器引擎需要与其他云服务协同工作，云容器引擎需要获取如下云服务资源的权限。 云主机 ECS 在云容器引擎中具有多个云硬盘的一台云主机就是一个节点，您可以在创建节点时指定云主机的规格。 虚拟私有云 VPC 在云容器引擎中创建的集群需要运行在虚拟私有云中，您创建命名空间时，需要创建或关联VPC，创建在命名空间的容器都运行在VPC之内，从而保障网络安全。 弹性负载均衡 ELB 云容器引擎支持将创建的应用对接到弹性负载均衡，从而提高应用系统对外的服务能力，提高应用程序容错能力。 您可以通过弹性负载均衡，从外部网络访问容器负载。 NAT网关 您可以通过NAT网关设置SNAT规则，使得容器能够访问Internet。 容器镜像服务 SWR 容器镜像服务是一种支持容器镜像全生命周期管理的服务， 提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。 容器镜像服务提供的镜像仓库是用于存储、管理docker容器镜像的场所，可以让使用人员轻松存储、管理、部署docker容器镜像。 您可以使用容器镜像服务中的镜像创建负载。 云硬盘 EVS 在云容器引擎中一个节点就是具有多个云硬盘的一台云主机，您可以在创建节点时指定云硬盘的大小。

本文主要介绍产品优势。 云容器引擎的优势 云容器引擎是基于业界主流的Docker和Kubernetes开源技术构建的容器服务，提供众多契合企业大规模容器集群场景的功能，在系统可靠性、高性能、开源社区兼容性等多个方面具有独特的优势，满足企业在构建容器云方面的各种需求。 简单易用 ● 通过WEB界面一键创建Kubernetes集群，支持管理虚拟机节点或物理机节点，支持虚拟机与物理机混用场景。 ● 一站式自动化部署和运维容器应用，整个生命周期都在容器服务内一站式完成。 ● 通过Web界面轻松实现集群节点和工作负载的扩容和缩容，自由组合策略以应对多变的突发浪涌。 ● 通过Web界面一键完成Kubernetes集群的升级。 ● 集成Helm模板能力，实现开箱即用。 高性能 ● 基于天翼云计算、网络、存储等基础能力，提供高性能云端kubernetes托管服务，支撑您业务的高并发、大规模场景。 ● 容器集群支持纳管物理机及GPU云主机，可提供高性能计算能力，满足AI、科学计算等场景需求。 安全可靠 ● 高可靠:集群控制面支持3 Master HA高可用，当其中某个或者两个控制节点故障时，集群依然可用，从而保障您的业务高可用。集群内节点和工作负载支持跨可用区(AZ)部署，帮助您轻松构建多活业务架构，保证业务系统在主机故障、机 房中断、自然灾害等情况下可持续运行，获得生产环境的高稳定性，实现业务系统高可用。 ●高安全：私有集群，完全由用户掌控，并整合统一身份认证和Kubernetes RBAC能力，支持用户在界面为子用户设置不同的RBAC权限。

本文介绍弹性容器实例ECI的功能特性。 容器运行服务 弹性容器实例是一种敏捷安全的Serverless容器运行服务。每个ECI实例都对应一个容器组（即一个Pod），其中包含vCPU、内存、操作系统、容器运行时、网络和临时存储等基础组件。 Serverless 使用ECI实例，您只需要提供打包好的镜像，即可运行容器应用，无需关注底层基础架构的管理和运维问题。 自定义规格 ECI实例支持多种类型的计算资源来运行容器，您可以指定实例级别或容器级别的vCPU和内存，以及指定规格满足特殊业务需求。 按量计费 支持一站式管理ECI实例的生命周期，按照实际实例运行时长内消耗的资源计费。 秒级弹性伸缩 ECI实例具备秒级启动的能力，可以快速完成扩缩容操作，满足业务实时响应的需求。 镜像缓存 支持使用镜像缓存功能来加速ECI实例创建，减少实例启动耗时。 兼容Kubernetes 通过 Virtual Kubelet 技术，弹性容器实例ECI 可以接入 Kubernetes 集群的虚拟节点，实现集群的弹性扩容，无需受限于节点的计算容量。在 ECI 接管 Pod 容器底层基础设施管理工作之后，Kubernetes 将不再需要直接管理单个 Pod 的启动、放置等工作，也不再需要关注底层虚拟机的资源情况，相应的资源将由 ECI 确保随时可用。 目前，ECI 已无缝集成到Serverless容器引擎SCE产品中，您可以通过Serverless容器集群快速体验ECI的强大容器运行能力。

本节介绍了容器镜像服务的产品架构 容器镜像服务提供简单易用、安全可靠的容器镜像、Helm Chart 等符合 OCI 标准的云原生制品的托管、分发能力。

本文介绍如何开启容器审计功能。 在容器安全列表内，可以查看审计功能是否已开启。若操作列中开启审计字体为“灰色”，表示审计功能暂不可用，需要先开启该功能；若为“红色”，则表示审计功能可用。 集群开启审计功能 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“安装配置 > 组件安装”，进入组件安装页面。 3. 单击集群列表操作列的“集群组件配置”，进入集群全局设置页面。 4. 开启容器审计功能，单击“保存”。 容器开启审计功能 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“容器安全 > 实时检测”，进入实时检测页面。 3. 在容器列表操作列单击“开启审计”，或勾选多个容器，单击列表右上方的“开启审计”，批量为容器开启审计功能。 配置容器审计 配置“容器调查审计信息保留时间”或“容器调查审计信息保留容量”。详细操作请参见容器设置。