检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
触发告警。容器环境检测触发的告警只是提醒容器启动风险,并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击,仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测: 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动,类似于操作
容器安全服务shield插件是否会影响业务? 不会影响业务。 容器安全服务shield插件以daemonset插件方式安装,容器化方式运行在集群的每个集群节点上,启动时需要预分配固定资源(CPU:0.3core、内存:300m),启动后只对启动的容器进行监控,不影响您的业务。 父主题:
计费说明 本章节主要介绍容器安全服务的计费说明,包括计费项、计费模式以及续费等。 计费项 容器安全服务根据您的CGS服务版本、防护节点数和购买时长计费。 表1 计费项说明 计费项 计费说明 服务版本 提供企业版版本支持的功能和开启方式,请参见服务版本说明。 防护节点数 根据您购买的个数计费。
容器安全服务支持跨区域使用吗? 容器安全服务不支持跨区域(Region)使用。购买的容器安全配额必须与CCE和SWR区域一致,您才能使用容器安全服务。 如果您购买的容器安全配额在“华北-北京四”,而CCE和SWR在“华东-上海一”,则您将不能使用容器安全服务。 父主题: 产品咨询
镜像是静态的定义,容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。 一个镜像可以启动多个容器。 应用可以包含一个或一组容器。 镜像、容器、应用之间的关系如图1所示。 图1 镜像、容器、应用的关系 父主题: 产品咨询
服务授权 容器安全服务支持云容器引擎服务(CCE)集群进行安全防护和对容器镜像服务(SWR)镜像仓库中的镜像进行安全扫描。 首次使用容器安全服务的用户需要进行服务授权。 约束与限制 容器安全服务不支持跨区域使用。待检测的镜像和待防护的集群必须和容器安全服务在同一区域。 已获取登录
环境变量未配置 问题现象 提示需配置环境变量“Unable to start the Go service, please configure Go environment variables!” 原因分析 Go未安装。 环境变量未配置或配置错误。 处理方法 若未安装Go,可通过“安装Go语言
环境变量未配置 问题现象 部署“启动/停止SpringBoot服务”中的启动命令时,提示需配置环境变量“please configure JDK environment variables”。 原因分析 Jdk未安装。 环境变量未配置或配置错误。 当使用“安装JDK”部署步骤,选择版本为“openjdk-1
文件异常检测 CGS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 容器环境检测 CGS监控新启动的容器,对容器启动配置选项进行检测,当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险,并不是发生实际攻击。
登录指令提示过期该怎么办? 清除浏览器缓存后重新生成登录指令即可,临时登录指令会在6个小时后失效。 父主题: 登录问题
区域 在下拉框中选择区域。 须知: 容器安全服务不支持跨区域使用。待检测的镜像和待防护的集群必须和容器安全服务在同一区域。 支持使用容器安全服务的区域,请查看哪些区域可以使用容器安全服务。 版本选择 支持“企业版”。 防护节点数 购买容器安全的配额。 说明: 首次购买配额时,至少购买10个。
环境变量未配置 问题现象 提示需配置环境变量“please configure JDK environment variables”。 原因分析 Jdk未安装。 环境变量未配置或配置错误。 当使用“安装JDK”部署步骤,选择版本为“openjdk-1.8.0”时,手动配置了jdk环境变量,且配置路径错误。
Turbo集群支持使用普通运行时和安全运行时创建工作负载,您可以根据业务需求选择使用,两者的区别如下: 分类 安全运行时 普通运行时 容器所在节点类型 弹性云服务器-物理机 弹性云服务器-虚拟机 弹性云服务器-物理机 容器引擎 Containerd Docker、Containerd 容器运行时 Kata
哪些区域可以使用容器安全服务? 容器安全服务支持的区域说明如下: 华北-北京一 华北-北京四 华南-广州 华东-上海一 华东-上海二 西南-贵阳一 容器安全服务需要获取CCE和SWR的数据,因此,在购买容器安全配额时,请您先确认您选择的区域是否与CCE和SWR所在区域一致,若不在同一区域,您将无法使用容器安全服务。
容器安全服务的日志路径 CGS日志保存于宿主机系统的 /var/log/shield目录下。 日志文件中包含“shield.log”、“message.log”和“defender_audit.log”。 shield.log:记录CGS运行日志、错误日志等信息。 message
使用情况。 环境休眠/唤醒:单击“环境休眠/唤醒”,可将CCE环境休眠/唤醒,具体操作请参见休眠/唤醒环境。 清理环境:单击“清理环境”,可清理CCE环境,具体操作请参见清理环境。 单击“云容器引擎”的环境名称,进入环境管理详情页面。 图2 CCE环境管理详情 在环境管理详情页面
如何修改容器启动入口? 问题描述 容器如果在启动的过程中失败了,则此时将不能进入到容器中,或进入容器操作的时间比较短。此时可以通过如下方式修改启动入口,进入到容器中之后,再手动执行自己的启动脚本,来定位相关的问题。 处理方法 进入AppStage运维中心。 在顶部导航栏选择服务。 单击,选择“微服务开发
容器安全服务支持多个帐号共享使用吗? 容器安全服务不支持多个帐号共享使用。例如,如果您在某个区域通过注册华为云创建了2个帐号(“domain1”和“domain2”),当您在“domain1”帐号下购买了容器安全服务,则“domain2”帐号不能使用“domain1”的容器安全服务。
如何为容器安全配额续费? 在容器安全配额到期前,用户可以通过续费操作继续使用容器安全配额。 前提条件 登录管理控制台的帐号已授权CGS Administrator、Tenant Guest和BSS Administrator权限策略。 已成功购买容器安全配额。 操作步骤 登录管理控制台。
云容器实例环境 云容器实例提供无服务器容器引擎,让您无需创建和管理服务器集群即可直接运行容器。 创建环境 开始基因分析前,请先创建环境。 登录GCS控制台,选择左侧导航栏的“环境管理”,在右侧页面单击“创建环境”。 设置“默认环境”:是/否。若当前没有环境,则将要创建的环境即为默
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
