容器资产全景功能从集群、容器、镜像、应用等资产维度为您提供安全可视化的管控能力和云上容器资产的网络拓扑,帮助您提升管理容器资产安全的效率。使用该功能您可以轻松掌控容器资产的安全状态,并了解容器资产间的网络连接情况。本文介绍如何查看您的容器资产全景。
前提条件
容器资产全景展示的镜像漏洞信息是从镜像安全扫描功能获取的。如果有获取容器安全风险的需求,您需要先开通镜像安全扫描功能,并执行镜像安全扫描操作。具体操作,请参见开通服务和执行镜像安全扫描。
如果您未开通镜像安全扫描功能,使用容器资产全景功能时,您只能查看当前集群所在服务器上存在的漏洞风险和集群网络拓扑图,无法查看集群中存在的容器漏洞风险。为了提升容器运行环境的安全性,建议您开通镜像安全扫描功能。
背景信息
云安全中心会每分钟自动刷新容器资产全景页面的容器网络拓扑图和集群的安全风险信息,以确保您查看到最新的网络拓扑图和安全风险信息。
版本限制
应用场景
满足等保合规要求
提供云上资产的网络拓扑图,可帮助您满足等保合规要求。
可视化能力
提供公网暴露端口的可视化能力,从集群、容器、镜像、应用等资产维度提供可视化安全管控能力。
操作步骤
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择 。
在资产总览页面,单击容器资产全景页签。
在容器资产全景页签,查看您资产中的容器资产全景图。
容器资产全景页签由以下7个功能区域组成,您可以单击对应链接,查询每个区域具体包含的数据和支持的操作说明:
查看您资产整体状态的安全评分(图示①)
在容器资产全景页签左侧,可查看云安全中心根据您资产整体的安全状态计算出的安全评分。您可单击立即处理可展开安全风险处理面板处理您资产中的安全风险。安全评分越高说明您资产的安全隐患越少。关于安全评分更多信息,请参见安全评分。
查看集群、应用、容器、节点、镜像数量和存在风险的资产数量(图示②)
在容器资产全景页签左侧,可查看您资产中的集群、应用、容器、节点、镜像的数量和存在安全风险的各类型资产数量(红色数字表示存在风险的资产数量)。单击对应资产类型名称,可跳转至资产中心页面查看该类型资产的详细信息。
切换集群网络拓扑的显示视角(图示③)
在容器资产全景页签,支持互联网视角、集群视角这两种集群网络拓扑的显示视角。您可以单击集群拓扑图上方的互联网视角、集群视角切换拓扑图的显示视角。
查看集群的基本信息和安全情况(图示④)
在容器资产全景页签,单击要查看的集群图标,右侧面板会通过不同的页签为您展示该集群的集群信息、集群风险、镜像信息和防护策略。
集群信息
在集群信息页签,您可以查看该集群的集群名称、集群类型等集群基本信息,还可查看该集群中包含的命名空间、容器组、节点、应用和镜像的数量。
集群风险
在集群风险页签,您可以查看该集群存在的安全告警、基线风险、镜像应用漏洞等安全风险。单击对应安全风险右侧的详情,跳转到该资产的详情或镜像安全扫描页面的漏洞列表,查看并处理检测出的安全风险详情。处理安全风险的具体操作,请参见查看和处理告警事件、漏洞修复概述、查看镜像安全扫描结果。
镜像信息
在镜像信息页签,您可以查看该集群的镜像列表。单击未接入云安全中心的镜像仓的右侧的立即接入,可跳转到镜像安全扫描页面,您可以在镜像安全扫描页面将该镜像仓接入云安全中心。接入镜像仓的具体操作,请参见接入镜像仓库。
防护策略
在防护策略页签,您可以查看该集群的防御详情(包括近7天拦截告警数、规则总数、防御状态)。单击创建规则展开创建规则面板,可以为该集群新增防护策略。
设置集群网络拓扑显示的时间范围(图示⑤)
在容器资产全景页签,默认显示最近7天的容器资产全景图数据流量情况。您可以通过容器资产全景页签右上角的日历,按照您的需求筛选容器资产全景数据流量显示的时间范围。可选择的时间范围为最近1~7天。
开启或关闭所有集群的网络拓扑(图示⑥)
集群的网络拓扑开关默认开启。开启网络拓扑功能会消耗少量的CPU资源,如果您无需查看集群的网络拓扑,您可以单击容器资产全景页签右上角图标,并单击图标关闭所有集群的网络拓扑。关闭网络拓扑后,如果您需要再次查看所有集群的网络拓扑,可以重新打开该开关。
说明建议您开启所有集群的网络拓扑图,及时获取容器集群网络拓扑中各节点的风险状态。
导出容器资产全景图(图示⑦)
您可以单击容器资产全景页签右上角的图标,导出容器资产全景图。导出的容器资产全景图为PNG格式。
查看集群内的容器资产全景
查看集群内的容器资产全景有以下两种方法:
在集群的集群信息页签,单击容器资产全景右侧的查看,可查看该集群内的网络拓扑图。
在容器资产全景页签,单击要查看目标集群图标下方的图标,可查看该集群内的网络拓扑图。
在集群内部容器资产全景页面,网络拓扑图以应用为节点,展示了该集群下所有容器之间的通信链路。
页面左侧为您提供了仅显示有连接的应用、显示端口信息、隐藏连接线这三个功能,您可按照您对容器内网络拓扑图的展示需求,开启或关闭相应的功能。
页面左侧还为您显示了该集群下的全部命名空间。您可通过单击命名空间右侧的图标隐藏或显示该命名空间,也可通过单击该命名空间右侧的图标,展开或收起该命名空间。
说明对于超大集群,进入集群容器资产全景图默认为收起状态。
单击容器资产全景图中的应用图标,可以查看该应用的pod信息、镜像信息和网络连接。在pod信息信息页签,将鼠标悬浮在pod名称上,会弹出pod详情对话框,单击对话框中的查看资产,可跳转到资产中心页面查看该容器组的漏洞风险、告警风险等信息。
操作演示视频
以下视频为您演示了如何使用容器资产全景功能,并以在两个应用之间建立网络连接为例,为您展示网络连接前后容器资产全景图的变化。