容器资产全景

容器资产全景功能从集群、容器、镜像、应用等资产维度为您提供安全可视化的管控能力和云上容器资产的网络拓扑,帮助您提升管理容器资产安全的效率。使用该功能您可以轻松掌控容器资产的安全状态,并了解容器资产间的网络连接情况。本文介绍如何查看您的容器资产全景。

应用场景

  • 满足等保合规要求

    提供云上资产的网络拓扑图,可帮助您满足等保合规要求。

  • 可视化能力

    提供公网暴露端口的可视化能力,从集群、容器、镜像、应用等资产维度提供可视化安全管控能力。

前提条件

说明

如果您未开通镜像安全扫描功能,使用容器资产全景功能时,您只能查看当前集群所在服务器上存在的漏洞风险和集群网络拓扑图,无法查看集群中存在的容器漏洞风险。为了提升容器运行环境的安全性,建议您开通镜像安全扫描功能。

背景信息

云安全中心会每分钟自动刷新容器资产全景页面的容器网络拓扑图和集群的安全风险信息,以确保您查看到最新的网络拓扑图和安全风险信息。

操作步骤

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择资产中心 > 资产总览

  3. 资产总览页面,单击容器资产全景页签。

  4. 容器资产全景页签,查看您资产中的容器资产全景图。

    容器资产全景页签由以下7个功能区域组成,您可以单击对应链接,查询每个区域具体包含的数据和支持的操作说明:总览

    序号

    说明

    查看您资产整体状态的安全评分

    云安全中心根据您资产整体的安全状态计算出的安全评分。安全评分越高说明您资产的安全隐患越少。关于安全评分更多信息,请参见安全评分

    单击立即处理展开安全风险处理面板,可处理您资产中的安全风险。

    查看集群数量和存在风险的资产数量

    黑色数字表示集群数量,红色数字表示存在风险的资产数量。

    单击集群区域,可跳转至资产中心 > 容器资产页面的集群页签查看集群的详细信息。具体内容,请参见查看集群信息

    切换集群网络拓扑的显示视角

    单击集群拓扑图上方的互联网视角集群视角切换拓扑图的显示视角。

    查看集群的基本信息和安全情况

    在集群拓扑图中,单击要查看的集群图标,右侧面板会通过不同的页签为您展示该集群的集群信息集群风险镜像信息防护策略

    • 集群信息页签

      查看该集群的集群名称集群类型地域集群状态等集群基本信息,还可查看该集群中包含的命名空间容器组节点应用镜像的数量。

    • 集群风险页签

      查看该集群存在的安全告警基线风险镜像应用漏洞等安全风险。单击对应安全风险右侧的详情,跳转到该资产的详情或镜像安全扫描页面的漏洞列表,查看并处理检测出的安全风险详情。处理安全风险的具体操作,请参见查看和处理告警事件漏洞修复概述查看镜像安全扫描结果

    • 镜像信息页签

      查看该集群的镜像列表。单击未接入云安全中心的镜像仓的右侧的立即接入,可跳转到镜像安全扫描页面,您可以在镜像安全扫描页面将该镜像仓接入云安全中心。接入镜像仓的具体操作,请参见接入镜像仓库

    • 防护策略页签

      查看该集群的防御详情(包括7天拦截告警数规则总数防御状态)。单击创建规则展开创建规则面板,可以为该集群新增防护策略。

    设置集群网络拓扑显示的时间范围

    容器资产全景页签,默认显示最近7天的容器资产全景图数据流量情况。您可以按照您的需求筛选容器资产全景数据流量显示的时间范围。可选择的时间范围为最近1~7天。

    开启或关闭集群的容器网络拓扑

    所有集群的容器网络拓扑功能默认关闭。

    重要

    开启容器网络拓扑功能会消耗少量的CPU资源,容器可视化能力也需要采集实时流量数据,导致日志量增加。即使开启全局日志过滤功能,对容器可视化功能的流量去重过滤也是不生效的。因此,开启容器网络拓扑后,会占用更多的日志存储空间。建议您仅为需要查看风险状态的集群开启容器网络拓扑功能。

    您可以参考以下操作,开启或关闭容器网络拓扑功能。开启或关闭所有集群容器网络拓扑功能后,也支持关闭或开启单个集群的容器网络拓扑功能

    • 单击集群总览右侧的image开关图标,开启或关闭所有集群容器网络拓扑功能。

    • 在集群拓扑图中,单击要查看的目标集群图标,在右侧面板的集群信息页签,单击容器网络拓扑右侧的image开关图标,开启或关闭单个集群容器网络拓扑

    开启集群的容器网络拓扑功能后,您可参考下文步骤5,查看目标集群的容器网络拓扑图,获取容器网络拓扑中各节点的风险状态。

    导出容器资产全景图

    单击下载导出图标,可导出容器资产全景图。导出的容器资产全景图为PNG格式。

  5. 如果开启了集群的容器网络拓扑功能(开启方式参考上一步的⑥),容器网络拓扑图以应用为节点,展示该集群下所有容器之间的通信链路。您可在集群拓扑图中,单击目标集群图标下方的图标图标,查看目标集群的容器网络拓扑图。

    您也可以单击要查看的集群图标,在右侧面板的集群信息页签,单击容器网络拓扑右侧的查看

    说明

    对于超大集群,进入集群容器资产全景图默认为收起状态。

    image

    • 页面左侧提供了仅显示有连接的应用显示端口信息隐藏连接线三个功能。您可按照您对容器内网络拓扑图的展示需求,开启或关闭相应的功能。

    • 页面左侧还显示该集群下的全部命名空间。您可通过单击命名空间右侧的隐藏image图标隐藏或显示该命名空间,也可通过单击该命名空间右侧的image收起图标,在容器资产全景图中展开或收起该命名空间下的应用。

      展开命名空间下应用后,单击容器资产全景图中的应用图标,可以查看该应用的pod信息镜像信息网络连接

      pod信息信息页签,将鼠标指针悬浮在pod名称上,会弹出pod详情对话框,单击对话框中的查看资产,可跳转到资产中心 > 容器资产页面查看该容器组的漏洞风险告警风险等信息。查看资产

操作演示视频

以下视频为您演示了如何使用容器资产全景功能,并以在两个应用之间建立网络连接为例,为您展示网络连接前后容器资产全景图的变化。