容器安全服务_容器安全服务文档介绍内容-天翼云

管理类
两个账号的云主机必定归属不同的VPC,为保证数据安全,天翼云弹性文件服务支持VPC租户隔离功能,无法支持归属于两个主账号的云主机挂载同一个文件系统。

来自：
帮助文档
弹性文件服务
常见问题
管理类
创建节点
存储配置 : 配置节点云主机上的存储资源,方便节点上的容器软件与容器应用使用。请根据实际场景设置磁盘大小。表存储配置参数参数参数说明系统盘节点云主机使用的系统盘,供操作系统使用。您可以设置系统盘的规格为40GB-1024GB之间的数值,缺省值为50GB。加密:数据盘加密功能可为您的数据提供强大的安全防护,加密磁盘生成的快照及通过这些快照创建的磁盘将自动继承加密功能。目前仅在部分Region显示此选项,具体以界面为准。默认不加密。

来自：
帮助文档
云容器引擎
用户指南
节点管理
创建节点
产品服务协议
天翼云为您提安全体检产品服务协议说明,请您点击查看。请参见安全体检产品服务协议。

来自：
帮助文档
安全体检
相关协议
产品服务协议
安全认证原理和认证机制
本章节主要介绍安全认证原理和认证机制。功能开启了 Kerberos认证的安全模式集群,进行应用开发时需要进行安全认证。 Kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”,后来沿用作为安全认证的概念,使用Kerberos的系统在设计上采用“客户端/服务器”结构与AES等加密技术,并且能够进行相互认证(即客户端和服务器端均可对对方进行身份认证)。可以用于防止窃听、防止replay攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。

来自：
帮助文档
翼MapReduce
用户指南
安全性说明
安全认证原理和认证机制
创建策略组
此小节介绍企业主机安全创建策略组。您可根据自己服务器不同使用情况创建对应的策略组,创建后可对目标服务器进行更有力的扫描检测。约束限制需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。前提条件已购买旗舰版。注意目前仅支持对旗舰版的策略组进行自定义创建,若没有开启旗舰版防护的主机,创建后不会生效。创建策略组以下以旗舰版的Linux策略为例。 1、登录管理控制台。 2、在页面左上角选择“区域”,选择“安全 > 企业主机安全”,进入“企业主机安全”页面。

来自：
帮助文档
企业主机安全
用户指南
安全运营
创建策略组
访问安全组件
本小节介绍安全专区访问安全组件方法。打开左侧菜单栏进入『组件管理』该页面可管理安全专区所有安全组件。组件列表承载主机名称、所在数据中心、所属VPC、IP地址、许可及版本等信息。

来自：
帮助文档
安全专区
快速入门
安全专区登录
访问安全组件
提升登录口令安全最佳实践
本文将介绍如何提升登录口令的安全性以及常见服务器登录口令的修改方法。弱口令是指密码强度低,或广泛被使用,容易被攻击者破解的口令。弱口令一旦被攻击者获取,可用来直接登录系统,读取甚至修改网站代码,使用弱口令将使得系统及服务面临非常大的风险。建议您为服务器设置复杂的登录口令,并定期提升登录口令的安全性。背景信息出现弱口令的原因 :设置的自动生成密码的方式过于简单,与弱口令检测的密码库相重合。将同一密码用于多个子账号,会被系统判定为弱密码。

来自：
帮助文档
态势感知（专业版）
最佳实践
提升登录口令安全最佳实践
系统账号
本节介绍了容器镜像服务实例系统账号的用户指南。概述系统账号可以按照命名空间维度配置读写权限,适合使用于 CI/CD 流水线和 Kubernetes 集群中。前提条件已开通容器镜像服务企业版实例创建系统账号进入容器镜像服务控制台。点击已开通的企业版实例名称。左侧导航栏点击访问控制 - 访问凭证,点击系统账号标签页。点击新建按钮创建系统账号.参数说明名称系统账号的名称。

来自：
帮助文档
容器镜像服务
用户指南
访问控制
系统账号
安全态势及风险事件
本小节介绍安全专区总览风险事件展示等。安全态势威胁信息统计展现待处理告警、待处理漏洞及待处理基线,实时展示威胁统计状态。风险事件实时反馈补丁漏洞相关风险,对资产在使用过程中暴露的问题进行实时告警,自动检测产生安全风险评估、分析并给出处理导向。查看方法: 1.点击【去处理】,进入相关的组件进行具体事件的分析处置。 2.安全专区总览查询后,可打开左侧边栏主菜单。

来自：
帮助文档
安全专区
用户指南
安全专区总览
安全态势及风险事件
网站安全报告管理
导航安全分析板块,选择【报告管理】,即可进入网站安全报告管理页。根据选择的域名其下的任务记录,可以生成相应任务的结果聚合报告——《网站安全评估报告》。根据筛选项选出想要生成结果报告的监测任务后(注意仅已完成的任务可以用于报告生成),点击【生成网站安全报告】,可进入下图所示表单确认报告名称,默认以时间戳形式命名报告,点击确认即可生成报告。报告生成的结果,可点击左下角【报告导出记录】进行查看,操作导出或删除报告。

来自：
帮助文档
网站安全监测
用户指南
报告管理
网站安全报告管理
集群网络概述
Cubecni独占ENi模式支持Pod粒度安全组配置支持网络策略Network Policy源地址审计Pod访问VPC网络资源,源地址是容器IP,不经节点SNAT,便于审计 Pod访问VPC网络资源,需经节点SNAT,不便于审计地址管理无需按节点分配地址段,随用随分配,地址无浪费每个节点提前分配虚拟地址段ELB支持ELB直通Pod,性能更优不支持ELB直通Pod,需通过NodePort转发

来自：
帮助文档
云容器引擎专有版/托管版
用户指南
网络
网络概述
集群网络概述
主机迁移服务与其他服务的关系
申请弹性IP 虚拟私有云(Virtual Private Cloud,VPC) 在创建迁移任务前,通过虚拟私有云设置您目的端弹性云服务器所在VPC的安全组。创建虚拟私有云云硬盘服务(Elastic Volume Service,EVS) 迁移任务创建并启动后,主机迁移服务会创建一块临时按需计费EVS卷,迁移完成删除该临时卷。云硬盘规格和价格云审计服务(Cloud Trace Service,CTS) 通过云审计服务收集主机迁移服务操作记录,便于日后的查询、审计和回溯。

来自：
帮助文档
主机迁移服务SMS
产品介绍
主机迁移服务与其他服务的关系
云日志服务可以采集哪类日志？支持采集哪些文件类型？
云日志服务可以采集哪类日志?支持采集哪些文件类型? 云日志服务可以采集的日志类型天翼云主机应用日志:可通过采集器进行采集。天翼云云容器引擎日志,标准输出与文件日志。通过API、SDK上报日志。云日志服务支持采集的文件类型(文件扩展名) 在采集配置中,如果日志采集路径配置的是目录(如:/var/logs/),则只采集目录下后缀为“.log”、“.trace”和“.out”的文件;如果配置的是文件名,则直接采集对应文件,只支持文本类型的文件。

来自：
帮助文档
云日志服务
常见问题
数据采集
云日志服务可以采集哪类日志？支持采集哪些文件类型？
数据安全应用场景
对临时用户,建议使用STS发放最小权限的临时访问凭证,让您的资源访问更加安全。临时访问凭证无需透露您的长期密钥,具有一定的时间有效期限,所以针对某些临时需要访问您数据的业务场景或者临时用户,推荐您使用STS发放最小权限临时访问凭证,降低潜在的攻击面和数据泄露风险。同时定期审查STS角色的权限设置,确保角色权限与用户或服务的实际需求保持一致。如果用户或服务不再需要特定的权限,应立即撤销相应的角色访问权限。对于特权角色,进行更频繁的审查和严格的权限管理。详情参考:STS角色管理。

来自：
帮助文档
媒体存储
最佳实践
对象存储
数据安全
数据安全应用场景
内容安全策略管理
新建策略登录大模型安全卫士实例。在菜单栏选择“策略管理 > 内容安全”,单击“新建”。在弹出的新建策略窗口中,配置策略名称和策略描述。配置完成后,单击“确定”,返回内容安全策略页面。选择新建的策略,在页面右侧查看策略详情。新建策略后,默认仅开启语义检索引擎和模型推理引擎的输入检测。

来自：
帮助文档
智算安全专区
用户指南
策略管理
内容安全
内容安全策略管理
Pod互访QoS限速
操作场景部署在同一节点上的不同业务容器之间存在带宽抢占,容易造成业务抖动。您可以通过对Pod间互访进行QoS限速来解决这个问题。约束与限制 Pod间互访设置QoS限速支持容器隧道网络模型、VPC网络模型,其中VPC网络模型在使用Pod网络限速时需遵循以下约束: 仅支持1.19.10以上的集群版本。仅支持普通容器(容器运行时为runc),不支持安全容器(容器运行时为kata)。仅支持限制Pod访问Pod的场景限速,不对访问节点,对外访问产生影响。

来自：
帮助文档
云容器引擎
用户指南
网络管理
容器网络配置
Pod互访QoS限速
VPN服务证书
VPN服务证书是进行安全认证工作的必要条件,使用SSL VPN服务的前提是必须安装相关VPN服务证书,综合安全网关提供新增、查看详情、启用、停用、可信证书链管理、CSR请求、证书应答、导入证书等功能。生成证书请求1.登录综合安全网关实例。2.在左侧导航栏选择“VPN服务 > VPN服务证书”,进入“VPN服务证书”页面。3.单击页面右上角的“生成证书请求”按钮。4.在弹出的“生成证书请求”对话框中,配置相关内容。参数参数说明密钥识别名自定义密钥匙别名。密钥算法目前仅支持“SM2”密钥算法。

来自：
帮助文档
云密评专区
用户指南
云密评专区—综合安全网关操作指南
SSL VPN服务
VPN服务证书
集群命名空间RBAC授权
本节介绍了云容器引擎的最佳实践; 集群命名空间RBAC授权。应用现状云容器引擎的权限控制有两种:集群权限和命名空间权限,以下篇幅将介绍云容器引擎针对集群权限的ClusterRole的创建、权限绑定和验证做简单介绍。 RBAC(Role-Based Access Control) 是基于角色(Role)的访问控制。您可以通过RBAC将权限和集群角色关联,以达到为不同的角色成员配置不同的权限,从而降低账号的安全风险。

来自：
帮助文档
云容器引擎专有版/托管版
最佳实践
权限
集群命名空间RBAC授权
发布策略
发布策略登录容器安全卫士控制台。在左侧导航栏选择“网络安全 > 策略管理”,进入策略管理页面。单击策略列表操作列内的“发布”按钮,可以将预发布的策略改为正式发布。修改后,发布状态将改变为“已发布”状态。若要修改已经发布的策略,需要先单击策略列表操作列内的“撤销”按钮撤回已发布的策略,撤回后才支持进行编辑操作。查看发布记录登录容器安全卫士控制台。在左侧导航栏选择“网络安全 > 策略管理”,进入策略管理页面。

来自：
帮助文档
容器安全卫士
用户指南
网络安全
发布策略
服务版本差异
本章节为您介绍服务版本差异。数据分类分级实例数据安全专区的数据分类分级实例仅有标准版可选择。版本支持纳管的数据库数量支持的数据库字段数产品能力标准版4/8/16/323万/7万/15万/30万字段以内提供流程化的数据分类分级能力数据脱敏与水印实例数据安全专区的数据脱敏与水印实例支持标准版、高级版、企业版三种规格供您选择。

来自：
帮助文档
数据安全专区
产品介绍
服务版本差异
在安全组中添加或移出实例
选择“服务器”页签,在服务器列表中,选择一个或者多个云主机,并单击列表左上方的“移出”,弹出移出确认对话框。确认无误后,单击“确定”,将所选实例从安全组中移出。

来自：
帮助文档
虚拟私有云
用户指南
安全组
在安全组中添加或移出实例
集群组件配置
登录容器安全卫士控制台。单击左侧导航栏中“安装配置 > 组件安装”,进入组件安装页面。查看集群列表。单击集群列表操作列的“集群组件配置”按钮,可设置单个镜像扫描超时、节点扫描的并发数、仓库镜像扫描并发数、防御容器开启镜像阻断、开启入侵检测模块、开启容器审计功能、配置文件防篡改存储阈值等信息。配置完成后,单击“保存”。

来自：
帮助文档
容器安全卫士
用户指南
安装配置
集群组件配置
更新镜像列表
更新仓库镜像列表登录容器安全卫士控制台。在左侧导航栏选择“镜像安全”,进入镜像安全页面。选择“仓库镜像”页签,单击仓库镜像列表右上角的“更新镜像”,可拉取仓库中的所有仓库镜像。选择更新范围:支持更新全部仓库镜像、单个仓库内的镜像、单个仓库项目内的镜像三种更新方式。单击“确定”,完成更新操作。更新节点镜像列表登录容器安全卫士控制台。在左侧导航栏选择“镜像安全”,进入镜像安全页面。选择“节点镜像”页签,单击节点镜像列表右上角的“更新镜像”,可拉取集群中的所有节点镜像。

来自：
帮助文档
容器安全卫士
用户指南
镜像安全
更新镜像列表
工作负载类
问题建议方案一: 发布服务使用域名发现,需要提前预制好主机名和命名空间,服务发现使用域名的方式,注册的服务的域名为:服务名.命名空间.svc.cluster.local 。这种使用有限制,注册中心部署必须容器化部署。方案二: 容器部署使用主机网络部署,然后亲和到集群的某一个节点,这样可以明确知道容器的服务地址(就是节点的地址),注册的地址为:服务所在节点IP,这种方案可以满足注册中心利用VM部署,缺陷是使用主机网络效率没有容器网络高。

来自：
帮助文档
云容器引擎
常见问题
工作负载类
安全与加速配置常见问题
安全与加速服务是否支持泛域名? 什么是泛域名? 泛域名加速是指通过配置泛域名规则,实现在一个域名下,进行多个子域名的服务。这样可以统一管理多个子域名,一次性实现网站多个子域名安全与加速服务。假如您在边缘安全加速控制台上配置了一个泛域名 *.ctyun.cn,那么该泛域名包含的二级子域名,例如assets.ctyun.cn与images.ctyun.cn等,都将实现安全与加速服务。如何新增泛域名? 首先,需要登录边缘安全加速控制台,其次需要添加服务域名。

来自：
帮助文档
边缘安全加速平台
常见问题
安全与加速配置常见问题
扫描组件
操作步骤登录容器安全卫士控制台。在左侧导航栏选择“集群安全 > 组件漏洞”,进入组件漏洞页面。单击组件漏洞列表右上角的“开始扫描”,对集群内的组件进行扫描,获取全部组件漏洞信息。扫描完成后,即可查看组件漏洞列表。组件漏洞列表内,支持按照“组件名称”“组件版本”“集群名称”“集群版本”“命名空间”“节点名称”“危险级别”进行筛选查询。

来自：
帮助文档
容器安全卫士
用户指南
集群安全
组件漏洞
扫描组件
步骤一：购买SCDN服务
本文介绍如何购买安全加速服务。 1.打开天翼云官网https://www.ctyun.cn/2.未实名认证的用户需按提示完成实名认证才能开通安全加速服务;3.实名认证后进入安全加速产品详情页快速了解产品,之后单击【立即开通】; 4.在购买页面选择适合的计费方式和产品能力,确认订单,点击【立即开通】,安全加速服务即开通;5.安全加速服务开通后,便可以根据操作手册去控制台开始接入您要加速的域名了。

来自：
帮助文档
安全加速（文档停止维护）
快速入门
步骤一：购买SCDN服务
钓鱼检测服务
本文主要介绍钓鱼检测服务的相关功能。背景天翼云AOneMail的钓鱼检测机制是其安全体系的重要组成部分,旨在为企业用户提供高安全性的邮件通信服务。通过邮件正文检测、云端检测、AI检测等多种技术手段,AOneMail能够有效识别和拦截钓鱼邮件,保护企业用户免受钓鱼攻击的侵害。操作步骤登录边缘安全加速控制台,选择控制台【云邮箱】; 在左侧导航栏,选择【设置】,进入钓鱼能力开关页面; 钓鱼能力分为五个模块,您可以通过编辑对应的卡片来处理对应的列表。

来自：
帮助文档
边缘安全加速平台
零信任网络服务
混合办公服务
AOneMail
钓鱼检测服务
什么是VPC？
虚拟私有云(Virtual Private Cloud,VPC),为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以完全掌控自己的专有网络,VPC丰富的功能帮助您灵活管理云上网络,包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。此外,您还可以通过云专线、VPN等服务将VPC与传统的数据中心互联互通,灵活整合资源,构建混合云网络。

来自：
帮助文档
函数计算
常见问题
函数管理
什么是VPC？
组件说明
Dataset的管理实际上也有多个维度,比如安全性,版本管理和数据加速。我们希望从数据加速出发,对于数据集的管理提供支持。 Runtime: 实现数据集安全性,版本管理和数据加速等能力的执行引擎,定义了一系列生命周期的接口。可以通过实现这些接口,支持数据集的管理和加速。

来自：
帮助文档
一体化计算加速平台·异构计算
组件说明
组件说明
基于OceanFS进行ownCloud网盘搭建
执行如下命令,创建owncloud容器并运行docker run -p 7070:80 -d -v /data/owncloud/:/var/www/html owncloud执行如下命令,检查ownCloud容器docker ps可以查看owncloud的ContanerID及端口情况,状态为up说明运行中。步骤四:浏览器打开ownCloud在虚拟机管理界面的安全组选项中,对浏览器所在机器的ip地址和ownCloud所使用的7070方向和入方向进行放开。本文采用的是对全部协议和端口进行放通。

来自：
帮助文档
海量文件服务 OceanFS
最佳实践
基于OceanFS进行ownCloud网盘搭建
查看服务器列表
本节介绍服务器安全卫士(原生版)服务器列表。您可以在服务器列表页面查看所有主机资产的防护状态和服务器详细信息。注意仅支持对Agent状态为“在线”,防护状态为“防护中”的云主机进行检测。云主机离线后将不会进行检测。查看服务器防护状态登录服务器安全卫士(原生版)控制台。在左侧导航栏,选择“资产管理 > 服务器列表”,进入服务器列表页面。(可选)选择业务分组,服务器列表将只展示该分组中的服务器。

来自：
帮助文档
服务器安全卫士（原生版）
用户指南
资产管理
查看服务器列表

天翼云最新活动

12.12年度钜惠

爆款云主机2核2G仅需28.8元/年，X实例35.1元/半年起！ 8代机+XSSD新客专享2.5折！

免费体验DeepSeek，上天翼云息壤

新老用户均可免费体验2500万Tokens，限时两周

云上钜惠

爆款云主机全场特惠，更有万元锦鲤券等你来领！

算力套餐

让算力触手可及

天翼云AI产品特惠

人脸识别+文字识别焕新，新用户免费试用

中小企业服务商合作专区

国家云助力中小企业腾飞，高额上云补贴重磅上线

出海产品促销专区

爆款云主机低至2折，高性价比，不限新老速来抢购！

天翼云电脑专场

移动办公新选择，爆款4核8G畅享1年3.5折起，快来抢购！

息壤智算

应用商城

定价

合作伙伴

开发者

支持与服务

了解天翼云

天翼云最新活动

产品推荐

弹性云主机

物理机

多活容灾服务

镜像服务

弹性高性能计算

一体化计算加速平台·异构计算

天翼云CTyunOS系统

训推服务

应用托管

推荐文档

产品计费方式

系统

创建队列