华为云用户手册

服务韧性 华为云DDoS防护AAD按规则部署在全球各地，所有数据中心都处于正常运营状态，无一闲置。数据中心互为灾备中心，如一地出现故障，系统在满足合规政策前提下自动将客户应用和数据转离受影响区域，保证业务的连续性。为了减少由硬件故障、自然灾害或其他灾难带来的服务中断，AAD提供灾难恢复计划。 当发生故障时，AAD的五级可靠性架构支持不同层级的可靠性，因此具有更高的可用性、容错性和可扩展性。 华为云AAD已面向全球用户服务，并在多个分区部署，同时AAD的所有管理面、引擎等组件均采用主备或集群方式部署。 父主题： 安全

华为云能提供什么相关证据？ 您的报案在网监部门立案后，华为云将配合网监部门提供以下协助： 华为云会配合网监部门，向网监负责人提供您在华为云平台上的业务的流量日志、遭受攻击信息等。 由于相关数据将作为法律证据，因此无法直接提供给您。您可以在华为云管理控制台中自行查看攻击流量的相关信息。 华为云不能对流量日志和攻击信息等进行分析，直接给出谁是攻击者的结论。 由于华为云不是法官，无法判定谁有罪；不具有执法权，不能进行立案调查；华为云只能作为证据的提供者和证人。 华为云会及时响应网监部门的协助调查要求，配合开展工作。 建议您在遭受安全攻击时，参考当地网监部门的立案调查标准，积极请求网警进行立案调查。 自主查看攻击流量的相关信息： 您可以在华为云管理控制台查看流量、攻击事件等。

应用场景 DDoS高防服务 的主要使用场景包括：娱乐（游戏）、金融、政府、电商、媒资、教育（在线）等行业： 娱乐（游戏） 娱乐（游戏）行业是DDoS攻击的重灾区，高防IP能保证游戏的可用性和持续性，提高用户体验，在商家活动、节日游戏等旺季时段提供防护。 金融 满足金融行业的合规性要求，保证线上交易的实时性、安全稳定性。 政府 满足国家政务云建设标准的安全需求，为重大会议、活动、敏感时期提供安全保障，确保民生服务正常可用，维护政府公信力。 电商 为用户访问互联网提供防护，使业务正常不中断，在电商大促等活动时段提供防护功能。 企业 保证企业站点服务持续可用，避免DDoS攻击造成经济和企业形象损失问题，降低维护费用，节省安全成本。 父主题： DDoS高防

产品优势 DDoS原生高级防护为软件DDoS防护服务，与成本相对较高的传统硬件防护相比，可一键提升华为云E CS 、ELB、WAF、EIP等云服务的DDoS防御能力，具有以下优势： 快速接入 无需配置转发规则，快速接入服务即可直接提升华为云上EIP的防护能力。 DDoS原生高级防护-全力防高级版只能防护专属EIP。 弹性防护能力 遭受大规模攻击时自动调用当前区域华为云最大DDoS防护能力提供全力防护。 海量清洗带宽 拥有多线BGP防护带宽，轻松抵御DDoS攻击，可以满足活动大促、活动上线等重要业务的安全稳定性保障需求。 卓越清洗能力 全自动检测和攻击策略匹配，实时防护；业务流量采用集群分发，性能高，时延低，稳定性好。 丰富的防护报表 提供多维度统计报表，通过查看流量信息，了解当前网络安全状态。 父主题： DDoS原生高级防护

什么是DDoS攻击 拒绝服务（Denial of Service，简称DoS）攻击也称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。当攻击者使用网络上多个被攻陷的电脑作为攻击机器向特定的目标发动DoS攻击时，称为分布式拒绝服务攻击（Distributed Denial of Service Attack，简称DDoS）。常见DDoS攻击类型如表1所示。 表1 常见DDoS攻击类型 攻击类型 说明 举例 网络层攻击 通过大流量拥塞被攻击者的网络带宽，导致被攻击者的业务无法正常响应客户访问。 NTP Flood攻击。 传输层攻击 通过占用服务器的连接池资源，达到拒绝服务的目的。 SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击。 会话层攻击 通过占用服务器的SSL会话资源，达到拒绝服务的目的。 SSL连接攻击。 应用层攻击 通过占用服务器的应用处理资源，极大消耗服务器处理性能，达到拒绝服务的目的。 HTTP Get Flood攻击、HTTP Post Flood攻击。 父主题： 了解DDoS攻击

审计与日志 云审计 服务（Cloud Trace Service，以下简称 CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS可记录的DDoS防护操作列表详见开通云审计服务中的“云审计服务支持的DDoS防护操作列表”。用户开通云审计服务并创建和配置追踪器后，CTS开始记录操作事件用于审计，开通方法参见CTS快速入门。开通云审计服务后，可查看DDoS防护的云审计日志，云审计服务保存最近7天的操作日志。 CTS支持配置关键操作通知。用户可将与DDoS相关的高危敏感操作，作为关键操作加入到CTS的实时监控列表中进行监控跟踪。当用户使用DDoS服务时，如果触发了监控列表中的关键操作，那么CTS会在记录操作日志的同时，向相关订阅者实时发送通知。 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

SSL连接失败 现象：客户端无法与 EMQX 建立 SSL 连接。 解决方法：可以借助 EMQX 日志中的关键字来进行简单的问题排查，EMQX 日志相关内容请参考：日志与追踪。 certificate_expired 日志中出现 certificate_expired 关键字，说明证书已经过期，请及时续签。 no_suitable_cipher 日志中出现 no_suitable_cipher 关键字，说明握手过程中没有找到合适的密码套件，可能原因有证书类型与密码套件不匹配、没有找到服务端和客户端同时支持的密码套件等等。 handshake_failure 日志中出现 handshake_failure 关键字，原因有很多，可能要结合客户端的报错来分析，例如，可能是客户端发现连接的服务器地址与服务器证书中的 域名 不匹配。 unknown_ca 日志中出现 unknown_ca 关键字，意味着证书校验失败，常见原因有遗漏了中间 CA 证书、未指定 Root CA 证书或者指定了错误的 Root CA 证书。在双向认证中可以根据日志中的其他信息来判断是服务端还是客户端的证书配置出错。如果是服务端证书存在问题，那么报错日志通常为： {ssl_error,{tls_alert,{unknown_ca,"TLS server: In state certify received CLIENT ALERT: Fatal - Unknown CA\n"}}} 看到 CLIENT ALERT 就可以得知，这是来自客户端的警告信息，服务端证书未能通过客户端的检查。 如果是客户端证书存在问题，那么报错日志通常为： {ssl_error,{tls_alert,{unknown_ca,"TLS server: In state certify at ssl_handshake.erl:1887 generated SERVER ALERT: Fatal - Unknown CA\n"}}} 看到 SERVER ALERT 就能够得知，表示服务端在检查客户端证书时发现该证书无法通过认证，而客户端将收到来自服务端的警告信息。 protocol_version 日志中出现 protocol_version 关键字，说明客户端与服务器支持的 TLS 协议版本不匹配。

安装openssl 安装依赖gcc、perl5 yum install gcc perl -y 安装配置openssl 下载openssl二进制包 wgettar -zxvf openssl-1.1.1n.tar.gz 手动编译并创建软连接 cd openssl-1.1.1n./configmake && make install$ ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1$ ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1 图1 手动编译并创建软连接

应用场景 DDoS原生高级防护适用于部署在华为云服务上，且华为云服务有公网IP资源的业务，能够满足业务规模大、对网络质量要求高的用户。 DDoS原生高级防护适用于具有以下特征的业务： 业务部署在华为云服务上，且云服务能提供公网IP资源 业务带宽或QPS较大 例如，在线视频、直播等对业务带宽要求比较高的领域。 IPv6类型业务防护需求 华为云上公网IP资源较多 业务中大量端口、域名、IP需要DDoS攻击防护 父主题： DDoS原生高级防护

应用场景 车联网数据基础设施解决方案 随着新能源汽车数量的增加，车机管理难的问题日益突出。 无法支撑海量车机系统安全接入 车机管理效率低下且存在众多安全问题 在复杂网络环境下保证消息实时性与可靠性 无法保障大并发、高可用消息通信 难以快速实现业务系统对接 难以支撑包含整车部分、调度系统和运维系统，需要稳定、低时延、高性能的车云 数据接入服务 无法支持数据实时采集与分析实现生产线运行 数据可视化 、生产装备运行数据分析实现产线质量预警、生产预测性维护等智能制造场景 本章节将介绍基于 EMQ，构建以自动驾驶为核心的新一代车联网数据平台以⽀撑主机厂智能⽹联为核⼼发展战略，开启造车新时代。

资源和成本规划 车联网数据基础设施解决方案 表1 资源和成本规划 云资源 规格 数量 每月费用（元） VPC 网段选择192.168.0.0/16，其他采用默认配置 1 00.00 Subnet 网段选择192.168.0.0/24，其他采用默认配置 1 00.00 安全组 根据需要开通入方向1883、8883等端口 1 00.00 ECS 【弹性云服务器 ECS 】X86计算 | 通用计算型 | c7.large.2 | 2核 | 4GB; CentOS | CentOS 7.8 64bit; 【系统盘】通用型SSD | 40GB 3 / Kafka 【分布式消息服务Kafka版】kafka.4u8g.cluster | 代理个数：3 单个代理存储空间: 超高IO | 200GB 1 / ELB 【弹性负载均衡】共享型负载均衡 全动态BGP 带宽: 全动态BGP | 带宽 | 30Mbit/s 2 / 企业主机安全 【企业主机安全】企业版 1 / Anti-DDoS流量清洗 【Anti-DDoS流量清洗】基础DDoS 防护能力，5Gbps 2 / 云备份 【云备份】云服务器备份存储库 | 100GB; 1 / 总计：/(EMQX 5万线)

方案优势 高性能 单节点支持每秒实时接收、处理与分发数百万条的 MQTT 消息，毫秒级消息时延。 高可用、易运维 高可用集群支持弹性伸缩，无单点故障；支持热升级、热配置。 保证物联安全 TLS/DTLS 加密协议保证数据传输安全，支持国密加密算法；支持对设备的 ACL 访问控制细粒度控制；支持基于 X.509 证书, JWT Token 认证。 稳固的基础设施 华为云提供的计算、网络和存储系统为车运一体化消息传递提供了安全、坚固和灵活的基础设施服务。 丰富的能力服务 华为云提供基于KAFKA/Redis/RDS/大数据等多种技术栈，可同EMQX集成后形成车联网整体技术服务解决方案，助力主机厂和第三方应用开发商快速构建应用。

如何使用 容器安全服务 使用流程说明如表1所示。 表1 容器安全 服务使用流程说明 序号 子流程 说明 1 开启集群防护 开启防护后即可对集群中所有节点上的镜像和正在运行的容器进行实时检测。 2 （可选）设置安全策略 设置安全策略并将策略应用在镜像上，能有效预防容器运行时安全风险事件的发生。 3 查看漏洞 查看镜像上存在的漏洞，并判断是否需要“忽略”漏洞。 查看容器运行时安全详情 查看容器运行时的异常行为。 父主题： 访问与使用

服务版本说明 容器安全服务提供了企业版版本。支持的功能如表1。详细的功能介绍，请参见功能特性。 企业版提供更多种类的检测和监测功能，包含集群防护、镜像漏洞检测及修复、基线检查、恶意文件、容器运行时安全、安全配置等功能。用户购买容器安全防护配额后，即可使用企业版功能。 表1 服务版本功能说明 服务功能 功能项 企业版 （√：支持；×：不支持） 集群防护 集群防护 √ 本地镜像 本地镜像 漏洞扫描 √ 私有镜像 私有镜像漏洞扫描 √ 私有镜像恶意文件 √ 私有镜像软件信息 √ 私有镜像文件信息 √ 私有镜像基线检查 √ 官方镜像 官方镜像漏洞扫描 √ 运行时安全 逃逸检测 √ 高危系统调用 √ 异常程序检测 √ 文件异常检测 √ 容器环境检测 √ 安全配置 进程白名单 √ 文件保护 √

与云审计服务的关系 云审计服务（Cloud Trace Service，CTS）记录容器安全服务相关的操作事件，方便用户日后的查询、审计和回溯，具体请参见《云审计服务用户指南》。 表1 云审计服务支持的CGS操作列表 操作名称 资源类型 事件名称 集群开启防护 cgs openClusterProtect 集群关闭防护 cgs closeClusterProtect 添加策略 cgs addPolicy 编辑策略 cgs modifyPolicy 删除策略 cgs deletePolicy 镜像应用策略 cgs imageApplyPolicy 忽略漏洞影响的所有镜像 cgs ignoreVul 取消忽略漏洞影响的所有镜像 cgs cancelIgnoreVul 忽略漏洞影响的镜像 cgs ignoreImageVul 取消忽略漏洞影响的镜像 cgs cancelIgnoreImageVul 授权访问 cgs registerCgsAgency 手动执行镜像扫描 cgs scanPrivateImage 从SWR拉取镜像并执行扫描 cgs syncSwrPrivateImage

与云容器引擎的关系 云容器引擎（Cloud Container Engine，CCE）基于云服务器快速构建高可靠的容器集群，将节点纳管到集群，容器安全服务通过在集群上安装容器安全Shield，为集群中所可用有节点上的容器应用提供防护。 云容器引擎提供高可靠、高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，简化云上自动化容器运行环境搭建。更多信息请参见《云容器引擎用户指南》。

容器运行时安全 容器运行时安全功能实时监控节点中容器运行状态，发现挖矿、勒索等恶意程序，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸等行为并给出解决方案。 表3 容器运行时安全 功能项 功能描述 检测周期 容器逃逸检测 从宿主机角度通过机器学习结合规则检测逃逸行为，简单精确，包括shocker攻击、进程提权、DirtyCow和文件暴力破解等。 实时检测 高危系统调用 检测容器内发起的可能引起安全风险的Linux系统调用。 实时检测 异常程序检测 检测违反安全策略的进程启动，以及挖矿、勒索、病毒木马等恶意程序。 实时检测 文件异常检测 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 实时检测 容器环境检测 检测容器启动异常、容器配置异常等容器环境异常。 实时检测

容器镜像安全 容器镜像安全功能可扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助用户得到一个安全的镜像。 什么是镜像详情请参见镜像概述。 镜像、容器、应用的关系详情请参见镜像、容器、应用的关系是什么？ CGS支持对基于Linux操作系统制作的容器镜像进行检测。 表1 容器镜像安全 功能项 功能描述 检测周期 镜像安全扫描（私有镜像仓库） 支持对私有镜像仓库（SWR中的自有镜像）进行安全扫描，发现镜像的漏洞、不安全配置和恶意代码。 检测范围如下： 漏洞扫描 对SWR自有镜像进行已知CVE漏洞等安全扫描，帮助用户识别出存在的风险。 恶意文件 检测和发现私有镜像是否存在Trojan、Worm、Virus病毒和Adware垃圾软件等类型的恶意文件。 基线检查 检测私有镜像的配置合规项目，帮助用户识别不安全的配置项。 软件信息 统计和展示私有镜像软件。 文件信息 统计和展示私有镜像中不归属于软件列表的文件。 每日凌晨自动检测 手动检测 镜像漏洞扫描（本地镜像） 对CCE容器中运行的镜像进行已知CVE漏洞等安全扫描，帮助用户识别出存在的风险。 实时检测 镜像漏洞扫描（官方镜像仓库） 定期对Docker官方镜像进行漏洞扫描。 -

容器安全策略 通过配置安全策略，帮助企业制定容器进程白名单和文件保护列表，确保容器以最小权限运行，从而提高系统和应用的安全性。 表2 容器安全策略 功能项 功能描述 检测周期 进程白名单 将容器运行的进程设置为白名单，非白名单的进程启动将告警，有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生。 实时检测 文件保护 容器中关键的应用目录（例如bin，lib，usr等系统目录）应该设置文件保护以防止黑客进行篡改和攻击。容器安全服务提供的文件保护功能，可以将这些目录设置为监控目录，有效预防文件篡改等安全风险事件的发生。 实时检测

修订记录 发布日期 修改说明 2021-07-09 第十七次正式发布。 服务入口刷新。 2020-10-20 第十六次正式发布。 新增产品优势。 新增应用场景。 服务版本说明，优化相关内容描述。 计费说明，优化计费项说明。 2020-08-26 第十五次正式发布。 计费说明，优化相关内容描述。 2020-05-21 第十四次正式发布。 计费说明，下线宽限期内容。 2020-05-20 第十三次正式发布。 新增计费说明。 2020-04-20 第十二次正式发布。 功能特性，优化相关内容描述。 服务版本说明，新增功能描述。 2020-04-07 第十一次正式发布。 CGS权限管理，优化相关内容描述。 2020-02-28 第十次正式发布。 新增服务版本说明。 2020-02-21 第九次正式发布。 CGS权限管理，新增细粒度策略。 2019-12-18 第八次正式发布。 与其他云服务的关系，优化相关内容描述。 2019-10-24 第七次正式发布。 CGS权限管理，优化相关内容描述。 2019-08-13 第六次正式发布。 什么是容器安全服务，优化相关内容描述。 2019-06-24 第五次正式发布。 什么是容器安全服务，增加相关内容描述。 2019-05-30 第四次正式发布。 与其他云服务的关系，优化相关内容描述。 2019-05-27 第三次正式发布。 新增CGS权限管理。 2018-11-02 第二次正式发布。 与其他服务的关系章节，增加与 统一身份认证 服务的关系。 2018-10-18 第一次正式发布。

部署架构 容器安全服务部署架构如图2所示，关键组件功能说明如表1所示。 图2 容器安全服务部署架构 表1 容器安全服务关键组件功能说明 组件 说明 CGS Container CGS作为一个容器运行在每个容器节点（主机）上，负责节点上所有容器的镜像漏洞扫描，安全策略实施和异常事件收集。 管理Master 负责管理与维护CGS Container。 安全智能 安全智能是安全信息知识库，用于获取漏洞库、恶意程序库等更新，以及大数据AI训练模型等。 管理控制台 用户通过管理控制台使用容器安全服务。

相关概念 镜像 镜像（Image）是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数。镜像不包含任何动态数据，其内容在构建之后也不会被改变。 容器 容器（Container）是镜像的实例，容器可以被创建、启动、停止、删除、暂停等。 镜像、容器和应用的关系说明如图1所示。 一个镜像可以启动多个容器。 应用可以包含一个或一组容器。 图1 镜像、容器、应用的关系

CGS权限 默认情况下，系统管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CGS部署时通过物理区域划分，为项目级服务，授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CGS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对CGS服务，系统管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。CGS支持的授权项请参见CGS权限及授权项。 表1 CGS系统角色 系统角色/策略名称 描述 类别 依赖关系 CGS Administrator 容器安全服务（CGS）系统管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest策略，在同项目中勾选依赖的策略。 CGS FullAccess 容器安全服务所有权限。 系统策略 无。 CGS ReadOnlyAccess 容器安全服务只读访问权限，拥有该权限的用户仅能查看容器安全服务。 系统策略 无。

CGS自定义策略样例 示例1：授权用户查询集群列表信息 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cgs:cluster:list" ] } ]} 示例2：拒绝用户修改配置信息 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予“CGS FullAccess”的系统策略，但不希望用户拥有“CGS FullAccess”中定义的修改配置信息权限，您可以创建一条拒绝修改配置信息的自定义策略，然后同时将“CGS FullAccess”和拒绝策略授予用户，根据Deny优先原则，则用户可以对CGS执行除了修改配置信息外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Action": [ "cgs:configuration:operate" ], "Effect": "Deny" } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cgs:cluster:list", "cgs:quota:list" ] }, { "Effect": "Allow", "Action": [ "hss:accountCracks:unblock", "hss:commonIPs:set" ] } ]}

前提条件 给用户组授权之前，请您了解用户组可以添加的CGS权限，并结合实际需求进行选择，CGS支持的系统权限如表1所示。若您需要对除CGS之外的其它服务授权，IAM支持服务的所有权限请参见系统权限。 表1 CGS系统角色 系统角色/策略名称 描述 类别 依赖关系 CGS Administrator 容器安全服务（CGS）系统管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest策略，在同项目中勾选依赖的策略。 CGS FullAccess 容器安全服务所有权限。 系统策略 无。 CGS ReadOnlyAccess 容器安全服务只读访问权限，拥有该权限的用户仅能查看容器安全服务。 系统策略 无。

查看私有镜像仓库列表 登录管理控制台。 进入查看私有镜像仓库列表入口，如图1所示。 图1 进入查看私有镜像仓库列表入口 单击“从SWR更新镜像”，可以同步SWR所有自有镜像。 表1 私有镜像列表参数说明 参数 说明 操作 镜像名称 镜像的名称。 单击镜像名称前的，可查看该镜像的版本列表。 镜像ID 镜像的ID。 - 所属组织 镜像所属组织名称，镜像组织由 容器镜像服务 负责管理。 - 版本数 镜像版本数量。 -

支持云审计的CGS操作 容器安全服务通过云审计服务（Cloud Trace Service，CTS）为用户提供云服务资源的操作记录，记录内容包括用户从管理控制台发起的云服务资源操作请求以及每次请求的结果，供用户查询、审计和回溯使用。 云审计服务支持的CGS操作列表如表1所示。 表1 云审计服务支持的CGS操作列表 操作名称 资源类型 事件名称 集群开启防护 cgs openClusterProtect 集群关闭防护 cgs closeClusterProtect 添加策略 cgs addPolicy 编辑策略 cgs modifyPolicy 删除策略 cgs deletePolicy 镜像应用策略 cgs imageApplyPolicy 忽略漏洞影响的所有镜像 cgs ignoreVul 取消忽略漏洞影响的所有镜像 cgs cancelIgnoreVul 忽略漏洞影响的镜像 cgs ignoreImageVul 取消忽略漏洞影响的镜像 cgs cancelIgnoreImageVul 授权访问 cgs registerCgsAgency 手动执行镜像扫描 cgs scanPrivateImage 从SWR拉取镜像并执行扫描 cgs syncSwrPrivateImage 父主题： 审计

查看防护配额 在“防护列表”界面，选择“防护配额”页签，查看防护配额详细信息，如图4所示。 图4 防护配额 详情页面包含以下内容： 配额状态：正常、已过期、已冻结。 到期时间：容器安全配额防护剩余时间。 操作：续费、退订。 用户可以在需要续费的版本所在行的操作列，单击“续费”，为购买的容器安全配额续费。详细操作，请查看：如何为容器安全配额续费。 容器安全服务购买的实例不能直接删除，您可在不使用的版本所在行的操作列，单击“退订”，退订容器安全配额。详细操作，请查看：如何退订容器安全配额。

查看集群列表 在“防护列表”界面，选择“集群列表”页签，查看集群防护状态。如图2所示，集群列表参数说明如表1所示。 图2 集群列表 表1 集群列表参数说明 参数名称 说明 集群名称 集群的名称。 说明： 单击名称可进入“节点列表”界面。 节点总数/可用节点/Shield在线数 节点总数：集群中总的节点数量。 可用节点：“节点状态”为“运行中”的节点数量。 Shield在线数：“Shield状态”为“在线”的节点数量。 集群防护状态 集群的防护状态，包括： 未开启 已开启 说明： 开启集群防护时，系统将会自动为该集群安装容器安全插件。开启集群防护详细操作，请参见：开启集群防护。 关闭集群防护时，系统将会自动卸载该集群上安装的容器安全插件。关闭集群防护详细操作，请参见：关闭集群防护。 单击集群名称，进入“节点列表”界面，如图3所示。 图3 节点列表 节点列表详情页面包含以下内容 节点状态：运行中、不可用。 Shield状态：未注册、在线、离线。 Shield离线是指与服务器通信异常，如何处理，请查看：容器集群节点的Shield状态离线如何处理。