容器安全服务_容器安全服务文档介绍内容-天翼云

数据安全
产品能力简要说明访问控制用户身份管理和访问控制(Identity and Access Management,简称IAM)是O...服务,您可以使用IAM创建、管理用户账号,并对这些账号进行权限分配,方便资源管理。 STS临时凭证通过STS(Security Token Service)给第三方应用或用户授予一个自定义时效的临时访问凭证,无需透露用户自身的AK/SK。

来自：
帮助文档
对象存储（经典版）I型
产品简介
数据安全
创建守护进程集(DaemonSet)
容器运行时:CCE集群默认使用普通运行时。时区同步:选择是否开启时区同步。开启后容器与节点使用相同时区(时区同步功能依赖容器中挂载的本地磁盘,请勿修改删除),时区同步详细介绍请参见时区同步。容器配置容器信息 Pod中可以配置多个容器,您可以单击右侧“添加容器”为Pod配置多个容器。基本信息:容器基本信息生命周期:设置容器生命周期健康检查:设置容器健康检查环境变量:设置环境变量数据存储:存储概述安全设置:对容器权限进行设置,保护系统和其他容器不受其影响。

来自：
帮助文档
云容器引擎
用户指南
工作负载
创建守护进程集(DaemonSet)
安全组配置示例
安全组配置方法: 方向协议/应用端口源地址入方向 ICMP 全部 0.0.0.0/0 弹性云主机作Web服务器场景举例: 如果您在弹性云主机上部署了网站,即弹性云主机作Web服务器用,希望用户能通过HTTP或HTTPS服务访问到您的网站,您需要在弹性云主机所在安全组中添加以下安全组规则。

来自：
帮助文档
弹性云主机
用户指南
安全
安全组
安全组配置示例
操作审计
概述容器镜像服务接入了云审计服务,支持将用户在容器镜像服务控制台的所有操作上报至云审计,以供用户在云审计控制台查看审计日志。前置条件已开通容器镜像服务企业版实例已开通云审计服务查看审计日志进入容器镜像服务控制台。点击已开通的企业版实例。点击左侧导航栏点击 "实例管理" - "云审计",即可跳转到云审计控制台。在云审计控制台可查看容器镜像服务的审计日志。云审计控制台默认保存最近7天的日志,若需要将日志长期存储,可参照云审计服务的帮助文档创建事件跟踪任务。

来自：
帮助文档
容器镜像服务
用户指南
实例管理
操作审计
产品应用场景
物理机服务广泛应用于多种场景,本文带您更快了解物理机服务经典应用场景。高安全性和监管要求国防、银行、金融机构以及具有高度合规性要求的行业,如医疗和保险,对于数据安全和监管合规性有严格的要求。天翼云物理机提供了物理隔离和独享资源的能力,通过采用物理机部署、网络隔离和专线接入等方式,确保数据的安全性和隐私保护,满足这些行业的高要求。关键业务核心数据库企业核心业务的关键数据库,如客户关系管理(CRM)、企业资源计划(ERP)和大型交易系统等,通常对性能、可靠性和数据安全有较高的要求。

来自：
帮助文档
物理机
产品简介
产品应用场景
集群概述
Service:服务,将运行在一组Pods上的应用程序公开为网络服务的抽象方法。 CCE集群类型云容器引擎CCE深度整合高性能的计算、网络、存储等服务,支持多可用区(Available zone,简称AZ)容灾等技术构建高可用Kubernetes集群。 CCE已支持创建Kubernetes集群。混合集群:支持虚拟机与裸金属服务器、GPU虚拟机等异构节点的混合部署,基于高性能网络模型提供全方位、多场景、安全稳定的容器运行环境。

来自：
帮助文档
云容器引擎
用户指南
旧版UI
集群管理
集群概述
购买混合集群
安全组集群会创建两个安全组,一个用于管理集群控制节点的安全组,一个用于管理集群工作节点的安全组。警告集群创建时自动创建的安全组以及安全组规则禁止删除,否则会导致集群异常。1. 控制节点安全组命名规则:集群名称-cce-control-随机数作用:出方向允许。其他节点访问控制节点kubernetes相关服务。2. 工作节点安全组命名规则:集群名称-cce-node-随机数作用:出方向允许。开放linux或windows远程登录(22、3389)。

来自：
帮助文档
云容器引擎
用户指南
旧版UI
集群管理
购买混合集群
隐私安全
本章节主要介绍隐私安全相关问题。 DLI 是否存在Apache Spark 命令注入漏洞(CVE-2022-33891)? 不存在。因为DLI没有启动spark.acls.enable配置项,所以不涉及Apache Spark 命令注入漏洞(CVE-2022-33891)。

来自：
帮助文档
数据湖探索
常见问题
购买类
隐私安全
微服务部署
本节主要介绍微服务部署业务场景基于ServiceStage可以方便快捷的将微服务部署到容器(如CCE)、虚拟机(如ECS),同时支持源码部署、jar/war包部署或docker镜像包部署。同时,ServiceStage支持 Java、PHP、Node.js、Go、Python多种编程语言应用的完全托管,包括部署、升级、回滚、启停和删除等。本实践中使用了Java开发的后台组件和Node.js开发的前台组件。

来自：
帮助文档
微服务引擎
最佳实践
使用ServiceStage托管微服务应用
微服务部署
监控安全风险
本节主要介绍分布式缓存服务Redis版监控安全风险分布式缓存提供资源和操作监控能力,可以对每个缓存实例镜像实时监控、告警和通知操作。用户可以实时掌握实例的QPS、资源使用率、连接数等关键信息。分布式缓存支持的监控指标以及告警管理等内容,参考产品监控。

来自：
帮助文档
分布式缓存服务Redis版
产品介绍
安全
监控安全风险
云审计服务支持的MQTT操作列表
本页面主要介绍分布式消息服务MQTT对接的云审计服务使用和查看方法。操作场景本服务现已对接天翼云云审计服务,云审计服务提供对各种云资源操作的记录和查询功能,用于支撑合规审计、安全分析、操作追踪和问题定位等场景,同时提供事件跟踪功能,将操作日志转储至对象存储实现永久保存。云审计可提供的功能服务具体如下:● 记录审计日志:支持用户通过管理控制台或API接口发起的操作,以及各服务内部自触发的操作。

来自：
帮助文档
分布式消息服务MQTT
用户指南
云审计服务支持的关键操作
云审计服务支持的MQTT操作列表
CCE集群的网络地址段规划实践
集群各网段基本概念 VPC网段/子网网段虚拟私有云(Virtual Private Cloud,简称VPC)是您在天翼云上申请的为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境。您可以自由配置VPC内的IP地址段、子网、安全组等子服务,也可以申请弹性带宽和弹性公网IP搭建业务系统。子网是用来管理弹性云服务器网络平面的一个网络,可以提供IP地址管理、DNS服务,子网内的弹性云服务器IP地址都属于该子网。

来自：
帮助文档
云容器引擎
最佳实践
网络
CCE集群的网络地址段规划实践
修改实例安全组
本节主要介绍修修改实例安全组文档数据库服务支持修改集群、副本集实例的安全组。使用须知以下情况不可修改安全组: 添加节点数据迁移操作步骤步骤 1 登录管理控制台。步骤 2 单击管理控制台左上方的,选择区域和项目。步骤 3 在页面左上角单击,选择“数据库 > 文档数据库服务 DDS”,进入文档数据库服务信息页面。步骤 4 在“实例管理”页面,选择指定的实例,单击实例名称。步骤 5 在左侧导航树,单击“连接管理”。步骤 6 在“安全组”区域,单击,选择实例所属安全组。

来自：
帮助文档
文档数据库服务
用户指南
数据安全性
修改实例安全组
智算云容器引擎
智算云容器引擎是利用云原生架构和技术,在云容器引擎上快速定制化构建AI生产系统,提供智算场景下的调度策略(共享GPU调度、批作业调度、拓扑感知调度)、GPU/RDMA异构资源管理和GPU资源监控基础能力,为用户提供AI数据集管理,AI模型开发、训练、评测,以及模型推理等服务。

来自：
帮助文档
智算云容器引擎
数据安全
如果私有加密镜像需要共享给其他天翼云账号时,建议优先对加密镜像进行解密复制后,再进行解密镜像共享,避免KMS密钥泄露导致安全风险。网络传输加密天翼云支持通过 VPN 连接和 HTTPS 协议对数据进行加密传输。天翼云VPN连接(CT-VPN,Virtual Private Network)是一款基于Internet的网络连接服务,通过互联网加密通道的方式实现企业数据中心、企业办公网络、客户终端与客户云上专有网络建立安全可靠的连接。

来自：
帮助文档
弹性云主机
安全合规
数据安全
快速体验微服务引擎
集群绑定弹性IP,请参考云容器引擎 > 购买容器集群。本例将绑定GitHub源码仓库,实现源码构建、归档、应用创建, 需要先到GitHub官网注册帐号。在ServiceStage创建仓库授权,授权访问GitHub仓库,请参考微服务云应用平台 > 仓库授权。 Fork源码步骤1 登录个人GitHub帐号,并Fork Demo源码。

来自：
帮助文档
微服务引擎
快速入门
ServiceComb引擎专享版快速入门
快速体验微服务引擎
创建无状态负载(Deployment)
容器运行时:CCE集群默认使用普通运行时。时区同步:选择是否开启时区同步。开启后容器与节点使用相同时区(时区同步功能依赖容器中挂载的本地磁盘,请勿修改删除),时区同步详细介绍请参见时区同步。容器配置容器信息Pod中可以配置多个容器,您可以单击右侧“添加容器”为Pod配置多个容器。基本信息:容器基本信息生命周期:设置容器生命周期健康检查:设置容器健康检查环境变量:设置环境变量数据存储:存储概述安全设置:对容器权限进行设置,保护系统和其他容器不受其影响。

来自：
帮助文档
云容器引擎
用户指南
工作负载
创建无状态负载(Deployment)
网络概述
云容器引擎通过将Kubernetes网络和VPC深度集成,提供了稳定高性能的容器网络,能够满足多种复杂场景下工作负载间的互相访问。约束与限制每个命名空间下,创建的服务数量不能超过6000个。此处的服务对应kubernetes的service资源,即工作负载所添加的服务。容器开启hostPort或hostNetwork网络模式后,若需对外提供服务,则需要给容器所在节点开启对应端口的安全组(containerPort)。

来自：
帮助文档
云容器引擎
用户指南
旧版UI
网络管理
网络概述
设置安全组规则
说明:本章节会介绍如何设置安全组规则操作场景安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求,并相互信任的弹性云服务器和关系型数据库实例提供访问策略。为了保障数据库的安全性和稳定性,在使用关系型数据库实例之前,您需要设置安全组,开通需访问数据库的IP地址和端口。通过弹性公网IP连接RDS实例时,需要为RDS所在安全组配置相应的入方向规则。注意事项因为安全组的默认规则是在出方向上的数据报文全部放行,同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。

来自：
帮助文档
专属云（关系型数据库MySQL）
快速入门
通过公网连接MySQL实例
设置安全组规则
退订与变更计费模式
退订容器防护配额: 在左侧导航栏选择“资产管理 > 容器管理”页面,选择“防护配额”页签,进入防护配额列表页面。在需要退订的配额所在行的“操作”列,单击“更多 > 退订”。 4、在“退订使用中的资源”列表页面,退订企业主机安全服务配额。单个退订:在需要退订的主机安全配额所在行,单击操作列的“退订资源”。更改计费模式计费模式变更指“包年/包月”与“按需计费”模式之间的变更,当前仅支持企业版。

来自：
帮助文档
企业主机安全
计费说明
退订与变更计费模式
修改实例安全组
本章节主要介绍修改实例安全组操作场景分布式关系型数据库服务支持修改数据库实例的安全组。操作步骤 1、在分布式关系型数据库服务“实例管理”页面,选择指定的实例,单击实例名称。 2、在基本信息页面,在“网络信息”模块的“安全组”处,单击,选择对应的安全组。单击,提交修改。单击,取消修改。 3、在实例的基本信息页面,查看修改结果。

来自：
帮助文档
分布式关系型数据库
用户指南
实例管理
修改实例安全组
设置安全组规则
说明:本章节会介绍如何在控制台设置安全组规则操作场景安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求,并相互信任的弹性云服务器和关系型数据库实例提供访问策略。为了保障数据库的安全性和稳定性,在使用关系型数据库实例之前,您需要设置安全组,开通需访问数据库的IP地址和端口。通过弹性公网IP连接RDS实例时,需要为RDS所在安全组配置相应的入方向规则。

来自：
帮助文档
专属云（关系型数据库MySQL）
用户指南
连接管理
设置安全组规则
安全事件溯源
本小节介绍安全专区资产管理服务器主机安全事件溯源。操作方法 1.在左侧选择需要分析的服务器或服务组,然后点击【时间轴视图】,可以进入时间轴视图进行事件溯源。 2.跳转到时间轴页面,时间轴视图按发生时间倒叙统计展示资产相关的安全事件,协助管理员从时间角度分析事件发生来龙去脉。

来自：
帮助文档
安全专区
用户指南
资产管理
服务器主机
安全事件溯源
设置安全组规则
ECS与RDS实例在不同安全组时,需要为RDS和ECS分别设置安全组规则。设置RDS安全组规则:为RDS所在安全组配置相应的入方向规则。设置ECS安全组规则:安全组默认规则为出方向上数据报文全部放行,此时,无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时,需要为ECS所在安全组配置相应的出方向规则。注意事项因为安全组的默认规则是在出方向上的数据报文全部放行,同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。

来自：
帮助文档
专属云（关系型数据库MySQL）
快速入门
通过内网连接MySQL实例
设置安全组规则
网络概述
VPC网络集群由于VPC路由中配置有容器网段与节点IP的路由,可以支持集群外直接访问容器实例等特殊场景。不同容器网络模型,容器网络的性能、组网规模、适用场景各不相同,在容器网络模型对比章节,将会详细介绍不同容器网络模型的功能特性,了解这些有助于您选择容器网络模型。服务网络服务(Service)是Kubernetes内的概念,每个Service都有一个固定的IP地址,在CCE上创建集群时,可以指定Service的地址段(即服务网段)。服务网段不能和节点网段、容器网段重叠。

来自：
帮助文档
云容器引擎
用户指南
网络管理
网络概述
普通集成
MSAP、云容器引擎、分布式消息服务Kafka、微服务引擎-注册配置中心、微服务引擎MSE、应用性能监控apm、分布式容器云平台CCSE ONE安全及管理云防火墙(原生版)、统一身份认证、密钥管理、服务器安全卫士(原生版)、云监控、Web应用防火墙(原生版)、证书管理服务、DDoS高防(边缘云版)、云堡垒机、Web应用防火墙(边缘云版)、云审计企业应用云通信-短信视频视频直播、智能视图服务、云点播专属云专属云(计算独享型)价格账务其他数据库审计、云日志服务、轻量型云主机、云原生网关、API网关说明

来自：
帮助文档
函数计算
用户指南
云工作流
工作流集成
普通集成
通过API访问CCE最佳实践
安全认证选择API认证方式,此处选择“无认证”。(无认证模式,安全级别低,所有用户均可访问,不推荐在实际业务中使用) 配置后端信息后,单击“下一步”。参数配置说明负载通道选择“使用”负载通道访问后端服务。URL请求方法:接口调用方式,此处选择“ANY”。请求协议:选择协议类型,此处选择“HTTP”。负载通道:填写已创建的负载通道。路径:后端服务的路径。定义返回结果后,单击“完成”。 c. 调试API。在“API运行”页签中,单击“调试”,进入调试页面。

来自：
帮助文档
API网关
最佳实践
APIG开放CCE云容器应用
通过API访问CCE最佳实践
云审计服务支持的RabbitMQ操作列表
本页面主要介绍分布式消息服务RabbitMQ对接的云审计服务使用和查看方法。操作场景本服务现已对接天翼云云审计服务,云审计服务提供对各种云资源操作的记录和查询功能,用于支撑合规审计、安全分析、操作追踪和问题定位等场景,同时提供事件跟踪功能,将操作日志转储至对象存储实现永久保存。云审计可提供的功能服务具体如下:● 记录审计日志:支持用户通过管理控制台或API接口发起的操作,以及各服务内部自触发的操作。

来自：
帮助文档
分布式消息服务RabbitMQ
用户指南
云审计服务支持的关键操作
云审计服务支持的RabbitMQ操作列表
安全组概述
本节介绍了安全组、安全组规则、安全组的限制。安全组安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云主机提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云主机加入该安全组后,即受到这些访问规则的保护。您也可以根据需要创建自定义的安全组,或使用默认安全组,系统会为每个用户默认创建一个默认安全组,默认安全组的规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的云主机无需添加规则即可互相访问。默认安全组您可以直接使用,详情请参见默认安全组和规则。

来自：
帮助文档
弹性云主机
用户指南
安全
安全组
安全组概述
安全组和安全规则配额是多少
本文向您介绍安全组和安全规则配额。安全组相关配额限制请参考文档:VPC及安全组相关使用限制如果当前配额数量不满足您的需求,请您提交工单申请配额扩大。

来自：
帮助文档
弹性云主机
常见问题
安全类
安全组和安全规则配额是多少
配置安全策略
出入向地址转换策略配置完成后,需针对流量进行安全检测,该功能由安全策略实现。操作方法 1.打开菜单栏,【策略→安全策略→策略→新建策略】。 2.需配置名称,源目安全域、地址,及对应放行的服务,可与NAT策略保持一致。 3.防护模板调用,可根据需求调用防护模板,使对应安全策略生效。 4.配置会话日志记录。

来自：
帮助文档
云下一代防火墙
用户指南
配置安全策略
安全策略
本小节介绍终端杀毒客户端安全策略。默认安全配置系统中有两种默认安全配置,即Linux安全配置、Windows安全配置。系统会根据虚拟机的操作系统为其自动分配对应的安全配置。指定安全配置在虚拟机页面,管理员也可以手动为虚拟机指定安全配置。手动指定的安全配置会优先于自动匹配安全配置。 1.在虚拟机列表选中一个或者多个虚拟机; 2.点击“安全策略→指定安全配置”,在弹出页面选择安全配置,然后确认; 3.这些虚拟机将使用指定的安全配置,虚拟机列表的“安全配置”前有一个小图标表示其由手动指定。

来自：
帮助文档
终端杀毒
资产管理
安全策略

天翼云最新活动

11.11智惠上云月

爆款云主机2核2G28.8元/年起！更有限时续费优惠，最低3.5折！

免费体验DeepSeek，上天翼云息壤

新老用户均可免费体验2500万Tokens，限时两周

云上钜惠

爆款云主机全场特惠，更有万元锦鲤券等你来领！

算力套餐

让算力触手可及

天翼云AI产品特惠

人脸识别+文字识别焕新，新用户免费试用

中小企业服务商合作专区

国家云助力中小企业腾飞，高额上云补贴重磅上线

出海产品促销专区

爆款云主机低至2折，高性价比，不限新老速来抢购！

天翼云电脑专场

移动办公新选择，爆款4核8G畅享1年3.5折起，快来抢购！

息壤智算

应用商城

定价

合作伙伴

开发者

支持与服务

了解天翼云

天翼云最新活动

产品推荐

物理机

GPU云主机

轻量型云主机

弹性伸缩服务

一体化计算加速平台·异构计算

天翼云CTyunOS系统

训推服务

应用托管

科研助手

推荐文档

常见问题

查看云间高速

特惠专区

产品定义

删除