卸载方式说明 Agent提供如下两种卸载方式： 一键卸载：通过 企业主机安全 控制台的卸载功能一键卸载，具体操作请参见在企业主机安全控制台一键卸载Agent。 手动卸载：在主机本地手动卸载，具体操作请参见在主机本地手动卸载Agent。 建议您优先选择一键卸载的方式卸载Agent，该方式操作简单高效。如果在控制台上发现Agent状态为“离线”，无法执行卸载操作时，您可以选择手动卸载的方式来卸载Agent。

手动打通网络 在“终端节点”页面右上方，单击“购买终端节点”，进入购买“终端节点”页面。 根据页面信息，配置购买参数。 区域：选择“华东二”或“西南-贵阳一”。请根据主机要接入的区域选择。 服务类别：选择“云服务”。 选择服务： 选择“com.myhuaweicloud.xxx.hss-agent”，其中“xxx”表示Region ID，例如华东二的Region ID为cn-east-4。 勾选“创建内网 域名 ”。 虚拟私有云：选择与您主机网络互通的私有云。 子网：选择或创建一个子网。 IPv4：选择“自动分配IPv4”。 其他参数：根据界面提示按需配置。 单击“立即购买”，完成订单提交。 返回“终端节点”页面，确认终端节点创建完成。

暴力破解防护限制 在为Windows主机开启防护时，需要您同步授权开启Windows防火墙，用于拦截暴力破解的攻击源IP；如果不开启，HSS仅会在检测到暴力破解攻击时进行告警而不会拦截。 开启Windows防火墙后，HSS仅会在识别到暴力破解攻击时，在防火墙中添加一条入站规则，用于拦截暴力破解的攻击源IP，此外再无其他影响。 使用HSS期间请勿关闭Windows防火墙，如果关闭Windows防火墙，HSS无法拦截暴力破解的攻击源IP；即使手动关闭后开启Windows防火墙，也可能导致HSS不能拦截暴力破解的攻击源IP。 暴力破解攻击检测暂不支持操作系统Debian 12、Ubuntu 24.04、SUSE 15 SP6。

Agent限制 如果服务器安装了360安全卫士、腾讯管家、McAfee软件等第三方安全防护软件，请先卸载再安装主机安全Agent；第三方安全软件与主机安全Agent存在不兼容的情况，会影响主机安全的防护功能。 主机或容器节点安装Agent后，Agent可能修改如下系统文件或配置： Linux系统文件： /etc/hosts.deny /etc/hosts.allow /etc/rc.local /etc/ssh/sshd_config /etc/pam.d/sshd /etc/docker/daemon.json /etc/sysctl.conf /sys/fs/cgroup/cpu/（在该目录下新建HSS进程的子目录） /sys/kernel/debug/tracing/instances（在该目录下新建 CS A实例） Linux系统配置：iptables规则 Windows系统配置： 防火墙规则 系统登录事件审核策略及登录安全层和认证方式配置 Windows Remote Management信任主机列表

容器防护限制 HSS支持对华为云集群容器、第三方云集群容器以及线下IDC自建集群容器进行防护。具体支持防护的容器类型如表 容器防护限制所示。 表1 容器防护限制 类别 支持防护的容器类型 约束与限制 华为云 CCE集群容器 非集群纳管的容器 容器运行时限制：Docker、Containerd、CRI-O、Podman、isulad。 集群类型限制：CCE标准版、 CCE Turbo 版。 节点资源剩余要求：内存必须50MiB及以上，CPU必须200毫核(m)及以上。 资源占用限制：在集群上安装Agent时，HSS会在集群上创建HSS的命名空间。 第三方 阿里云集群容器 腾讯云集群容器 微软云集群容器 自建集群容器 IDC自建集群容器 非集群纳管的容器 集群编排平台限制：1.19及以上Kubernetes。 节点操作系统限制：Linux系统。 节点规格要求：CPU必须2核及以上，内存必须4GiB及以上，系统盘必须40GiB及以上，数据盘必须100GiB及以上。 不支持防护Galera 3.34和MySQL 5.6.51或更早版本的集群。

操作系统限制 企业主机安全的Agent、系统 漏洞扫描 功能对操作系统有一定限制，部分操作系统暂不支持。 HSS对操作系统的限制请参见： 表 HSS对Windows操作系统的限制（x86架构） 表 HSS对Linux操作系统的限制（x86架构） 表 HSS对Linux操作系统的限制（Arm架构） CentOS 6.x版本由于Linux官网已停止更新维护，企业主机安全也不再支持CentOS 6.x及以下的系统版本，谢谢您的理解！ 本文表格中使用的标识含义如下： √表示支持 ×表示不支持 表3 HSS对Windows操作系统的限制（x86架构） 操作系统版本 Agent支持情况 系统漏洞扫描支持情况 Windows 10（64位） √ 说明： 仅支持华为云 云桌面 使用该操作系统。 × Windows 11（64位） √ 说明： 仅支持华为云云桌面使用该操作系统。 × Windows Server 2012 R2 标准版 64位英文(40GB) √ √ Windows Server 2012 R2 标准版 64位简体中文(40GB) √ √ Windows Server 2012 R2 数据中心版 64位英文(40GB) √ √ Windows Server 2012 R2 数据中心版 64位简体中文(40GB) √ √ Windows Server 2016 标准版 64位英文(40GB) √ √ Windows Server 2016 标准版 64位简体中文(40GB) √ √ Windows Server 2016 数据中心版 64位英文(40GB) √ √ Windows Server 2016 数据中心版 64位简体中文(40GB) √ √ Windows Server 2019 数据中心版 64位英文(40GB) √ √ Windows Server 2019 数据中心版 64位简体中文(40GB) √ √ Windows Server 2022 数据中心版 64位英文(40GB) √ √ Windows Server 2022 数据中心版 64位简体中文(40GB) √ √ Windows Server 2022 标准版 64位英文(40GB) √ √ Windows Server 2022 标准版 64位简体中文(40GB) √ √ 表4 HSS对Linux操作系统的限制（x86架构） 操作系统版本 Agent支持情况 系统漏洞扫描支持情况 CentOS 7.4（64位） √ √ CentOS 7.5（64位） √ √ CentOS 7.6（64位） √ √ CentOS 7.7（64位） √ √ CentOS 7.8（64位） √ √ CentOS 7.9（64位） √ √ CentOS 8.1（64位） √ × CentOS 8.2（64位） √ × CentOS 8（64位） √ × CentOS 9（64位） √ × Debian 9（64位） √ √ Debian 10（64位） √ √ Debian 11（64位） √ √ Debian 12（64位） √ 说明： 暂不支持暴力破解检测。 × EulerOS 2.2（64位） √ √ EulerOS 2.3（64位） √ √ EulerOS 2.5（64位） √ √ EulerOS 2.7（64位） √ × EulerOS 2.9（64位） √ √ EulerOS 2.10（64位） √ √ EulerOS 2.11（64位） √ √ EulerOS 2.12（64位） √ √ Fedora 28（64位） √ × Fedora 31（64位） √ × Fedora 32（64位） √ × Fedora 33（64位） √ × Fedora 34（64位） √ × Ubuntu 16.04（64位） √ √ Ubuntu 18.04（64位） √ √ Ubuntu 20.04（64位） √ √ Ubuntu 22.04（64位） √ √ Ubuntu 24.04（64位） √ 说明： 暂不支持暴力破解检测。 √ Red Hat 7.4（64位） √ × Red Hat 7.6（64位） √ × Red Hat 8.0（64位） √ × Red Hat 8.7（64位） √ × OpenEuler 20.03（64位） √ √ OpenEuler 22.03（64位） √ √ OpenEuler 24.03（64位） √ √ AlmaLinux 8.4（64位） √ √ AlmaLinux 9.0（64位） √ × AlmaLinux 9.2（64位） √ × AlmaLinux 9.4（64位） √ × RockyLinux 8.4（64位） √ √ RockyLinux 8.5（64位） √ √ RockyLinux 8.6（64位） √ √ RockyLinux 8.10（64位） √ √ RockyLinux 9.0（64位） √ √ RockyLinux 9.1（64位） √ √ RockyLinux 9.2（64位） √ √ RockyLinux 9.4（64位） √ √ HCE 1.1（64位） √ √ HCE 2.0（64位） √ √ SUSE 12 SP5（64位） √ √ SUSE 15（64位） √ × SUSE 15 SP1（64位） √ √ SUSE 15 SP2（64位） √ √ SUSE 15 SP3（64位） √ × SUSE 15.5（64位） √ × SUSE 15 SP6（64位） √ 说明： 暂不支持暴力破解检测。 × Kylin V10（64位） √ √ Kylin V10 SP1（64位） √ √ Kylin V10 SP2（64位） √ √ Kylin V10 SP3（64位） √ × 统信UOS 1050u2e √ 说明： 暂不支持文件逃逸检测。 √ 表5 HSS对Linux操作系统的限制（Arm架构） 操作系统版本 Agent支持情况 系统漏洞扫描支持情况 CentOS 7.4（64位） √ √ CentOS 7.5（64位） √ √ CentOS 7.6（64位） √ √ CentOS 7.7（64位） √ √ CentOS 7.8（64位） √ √ CentOS 7.9（64位） √ √ CentOS 8.0（64位） √ × CentOS 8.1（64位） √ × CentOS 8.2（64位） √ × CentOS 9（64位） √ × Debian 11（64位） √ √ Debian 12（64位） √ 说明： 暂不支持暴力破解检测。 × EulerOS 2.8（64位） √ √ EulerOS 2.9（64位） √ √ EulerOS 2.10（64位） √ √ EulerOS 2.11（64位） √ √ EulerOS 2.12（64位） √ √ Fedora 29（64位） √ × Ubuntu 18.04（64位） √ √ Ubuntu 20.04（64位） √ √ Ubuntu 22.04（64位） √ √ Ubuntu 24.04（64位） √ 说明： 暂不支持暴力破解检测。 √ Kylin V7（64位） √ × Kylin V10（64位） √ √ Kylin V10 SP1（64位） √ √ Kylin V10 SP2（64位） √ √ Kylin V10 SP3（64位） √ × HCE 2.0（64位） √ √ 统信UOS V20（64位） √ √ 说明： 仅统信UOS V20服务器E版、D版支持系统漏洞扫描。 统信UOS V20 1050e（64位） √ √ 统信UOS V20 1060e（64位） √ √ OpenEuler 20.03（64位） √ √ OpenEuler 22.03 （64位） √ √ OpenEuler 24.03（64位） √ √ RockyLinux 9.0（64位） √ √ CTyunOS 3-23.01（64位） √ √

防护配额限制 在企业主机安全中，防护配额是分配给主机或容器节点的防护资源，每台主机或容器节点开启防护都需要绑定一个防护配额。 以下是防护配额的一些使用限制： 防护配额不能跨区域使用。 购买防护配额时，请正确选择区域信息。不同类型主机，选择区域请参考表 防护配额区域限制。 表2 防护配额区域限制 类别 主机类型 防护配额区域说明 华为云 华为云弹性 云服务器ECS 华为云裸金属服务器BMS 华为云云耀云服务器HECS 华为云 云桌面Workspace 请选择ECS/BMS/HECS/Workspace所在区域购买主机防护配额。 HSS不支持跨区域使用，如果主机与防护配额不在同一区域，请退订配额后，重新购买主机所在区域的配额。 第三方 第三方云主机 线下IDC 第三方主机购买配额时选择的区域因接入HSS的方式而不同： 公网接入：即主机能够访问公网，通过公网将主机接入HSS。目前仅部分区域支持主机通过公网接入HSS，具体区域请参见哪些区域支持接入非华为云主机?，请结合主机所在区域综合考虑就近选择购买配额的区域。 专线代理接入：即主机不能访问公网，需要通过“专线+代理”的方式接入HSS，该方式对区域没有限制。您想将主机接入哪个区域，即选择哪个区域。 一个防护配额只能绑定一个主机或一个容器节点。 一个区域最多支持购买50000个防护配额。 防护配额购买完成后，您的主机或容器还未被防护，请前往HSS控制台参考界面提示为主机或容器安装Agent并开启防护。

主机防护限制 HSS支持对华为云主机、第三方云主机和线下数据中心（IDC）进行防护，具体支持防护的主机类型包括： 华为云 华为云弹性云服务器（Elastic Cloud Server，ECS） 华为云裸金属服务器（Bare Metal Server，BMS） 华为云云耀云服务器（Hyper Elastic Cloud Server，HECS） 华为云云桌面（Workspace） 第三方 第三方云主机 线下IDC

防护的主机切换操作系统，HSS配额会发生变化吗？ 不会变化。在切换主机操作系统前，请您先确认企业主机安全的Agent是否支持待切换的操作系统。不支持的操作系统，与Agent可能存在兼容性问题，建议您重装或者选择为Agent支持的操作系统版本，以便获得企业主机安全更好的服务体验。 企业主机安全的Agent可运行在CentOS、EulerOS等Linux系统以及Windows 2012、Windows 2016等Windows系统的主机上。 已停止服务的Linux系统版本或者Windows系统版本，与Agent可能存在兼容性问题，建议重装或者升级为Agent支持的操作系统版本，以便获得企业主机安全更好的服务体验。 表1 HSS对Windows操作系统的限制（x86架构） 操作系统版本 Agent支持情况 系统漏洞扫描支持情况 Windows 10（64位） √ 说明： 仅支持华为云云桌面使用该操作系统。 × Windows 11（64位） √ 说明： 仅支持华为云云桌面使用该操作系统。 × Windows Server 2012 R2 标准版 64位英文(40GB) √ √ Windows Server 2012 R2 标准版 64位简体中文(40GB) √ √ Windows Server 2012 R2 数据中心版 64位英文(40GB) √ √ Windows Server 2012 R2 数据中心版 64位简体中文(40GB) √ √ Windows Server 2016 标准版 64位英文(40GB) √ √ Windows Server 2016 标准版 64位简体中文(40GB) √ √ Windows Server 2016 数据中心版 64位英文(40GB) √ √ Windows Server 2016 数据中心版 64位简体中文(40GB) √ √ Windows Server 2019 数据中心版 64位英文(40GB) √ √ Windows Server 2019 数据中心版 64位简体中文(40GB) √ √ Windows Server 2022 数据中心版 64位英文(40GB) √ √ Windows Server 2022 数据中心版 64位简体中文(40GB) √ √ Windows Server 2022 标准版 64位英文(40GB) √ √ Windows Server 2022 标准版 64位简体中文(40GB) √ √ 表2 HSS对Linux操作系统的限制（x86架构） 操作系统版本 Agent支持情况 系统漏洞扫描支持情况 CentOS 7.4（64位） √ √ CentOS 7.5（64位） √ √ CentOS 7.6（64位） √ √ CentOS 7.7（64位） √ √ CentOS 7.8（64位） √ √ CentOS 7.9（64位） √ √ CentOS 8.1（64位） √ × CentOS 8.2（64位） √ × CentOS 8（64位） √ × CentOS 9（64位） √ × Debian 9（64位） √ √ Debian 10（64位） √ √ Debian 11（64位） √ √ Debian 12（64位） √ 说明： 暂不支持暴力破解检测。 × EulerOS 2.2（64位） √ √ EulerOS 2.3（64位） √ √ EulerOS 2.5（64位） √ √ EulerOS 2.7（64位） √ × EulerOS 2.9（64位） √ √ EulerOS 2.10（64位） √ √ EulerOS 2.11（64位） √ √ EulerOS 2.12（64位） √ √ Fedora 28（64位） √ × Fedora 31（64位） √ × Fedora 32（64位） √ × Fedora 33（64位） √ × Fedora 34（64位） √ × Ubuntu 16.04（64位） √ √ Ubuntu 18.04（64位） √ √ Ubuntu 20.04（64位） √ √ Ubuntu 22.04（64位） √ √ Ubuntu 24.04（64位） √ 说明： 暂不支持暴力破解检测。 √ Red Hat 7.4（64位） √ × Red Hat 7.6（64位） √ × Red Hat 8.0（64位） √ × Red Hat 8.7（64位） √ × OpenEuler 20.03（64位） √ √ OpenEuler 22.03（64位） √ √ OpenEuler 24.03（64位） √ √ AlmaLinux 8.4（64位） √ √ AlmaLinux 9.0（64位） √ × AlmaLinux 9.2（64位） √ × AlmaLinux 9.4（64位） √ × RockyLinux 8.4（64位） √ √ RockyLinux 8.5（64位） √ √ RockyLinux 8.6（64位） √ √ RockyLinux 8.10（64位） √ √ RockyLinux 9.0（64位） √ √ RockyLinux 9.1（64位） √ √ RockyLinux 9.2（64位） √ √ RockyLinux 9.4（64位） √ √ HCE 1.1（64位） √ √ HCE 2.0（64位） √ √ SUSE 12 SP5（64位） √ √ SUSE 15（64位） √ × SUSE 15 SP1（64位） √ √ SUSE 15 SP2（64位） √ √ SUSE 15 SP3（64位） √ × SUSE 15.5（64位） √ × SUSE 15 SP6（64位） √ 说明： 暂不支持暴力破解检测。 × Kylin V10（64位） √ √ Kylin V10 SP1（64位） √ √ Kylin V10 SP2（64位） √ √ Kylin V10 SP3（64位） √ × 统信UOS 1050u2e √ 说明： 暂不支持文件逃逸检测。 √ 表3 HSS对Linux操作系统的限制（Arm架构） 操作系统版本 Agent支持情况 系统漏洞扫描支持情况 CentOS 7.4（64位） √ √ CentOS 7.5（64位） √ √ CentOS 7.6（64位） √ √ CentOS 7.7（64位） √ √ CentOS 7.8（64位） √ √ CentOS 7.9（64位） √ √ CentOS 8.0（64位） √ × CentOS 8.1（64位） √ × CentOS 8.2（64位） √ × CentOS 9（64位） √ × Debian 11（64位） √ √ Debian 12（64位） √ 说明： 暂不支持暴力破解检测。 × EulerOS 2.8（64位） √ √ EulerOS 2.9（64位） √ √ EulerOS 2.10（64位） √ √ EulerOS 2.11（64位） √ √ EulerOS 2.12（64位） √ √ Fedora 29（64位） √ × Ubuntu 18.04（64位） √ √ Ubuntu 20.04（64位） √ √ Ubuntu 22.04（64位） √ √ Ubuntu 24.04（64位） √ 说明： 暂不支持暴力破解检测。 √ Kylin V7（64位） √ × Kylin V10（64位） √ √ Kylin V10 SP1（64位） √ √ Kylin V10 SP2（64位） √ √ Kylin V10 SP3（64位） √ × HCE 2.0（64位） √ √ 统信UOS V20（64位） √ √ 说明： 仅统信UOS V20服务器E版、D版支持系统漏洞扫描。 统信UOS V20 1050e（64位） √ √ 统信UOS V20 1060e（64位） √ √ OpenEuler 20.03（64位） √ √ OpenEuler 22.03 （64位） √ √ OpenEuler 24.03（64位） √ √ RockyLinux 9.0（64位） √ √ CTyunOS 3-23.01（64位） √ √ 父主题： 防护配额

镜像 镜像（Image）是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数。镜像不包含任何动态数据，其内容在构建之后也不会被改变。镜像在开发、部署及运行的过程中，可能引入各类安全风险，例如已知或未知漏洞、恶意文件，如果这类镜像未经安全检查即被应用于生产环境，将极大增加系统被入侵的风险，可能导致数据泄露、资源滥用等严重后果。因此，确保镜像安全是容器化应用部署过程中不可忽视的一环。 镜像安全扫描请参见容器镜像安全概述。

勒索病毒 勒索病毒，是伴随数字货币兴起的一种新型病毒木马，通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。 一旦遭受勒索病毒攻击，将会使绝大多数的关键文件被加密。被加密的关键文件均无法通过技术手段解密，用户将无法读取原来正常的文件，仅能通过向黑客缴纳高昂的赎金，换取对应的解密私钥才能将被加密的文件无损的还原。黑客通常要求通过数字货币支付赎金，一般无法溯源。 如果关键文件被加密，企业业务将受到严重影响；黑客索要高额赎金，也会带来直接的经济损失，因此，勒索病毒的入侵危害巨大。 勒索病毒防护请参见勒索病毒防护概述。

准备工作 在购买 容器安全 防护之前，请先 注册华为账号 并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证，请忽略此步骤。 请保证账户有足够的资金，以避免购买HSS防护配额失败。具体操作请参见账户充值。 若使用 IAM 用户进行操作，请确保已为IAM用户赋予“HSS FullAccess”权限。具体操作请参见创建用户并授权使用HSS。 购买HSS防护配额时，还需要为IAM用户授予“BSS Administrator”权限。 已准备好用于开启容器安全防护的华为云容器节点。

相关操作 开启容器节点服务器防护功能 企业主机安全容器版为服务器提供了一些主动防护功能，这些功能在开启容器安全防护时并未开启或未完全开启，您可以根据自身的业务情况综合考虑是否使用这些功能，需要您自行选择开启的功能及说明如表 容器节点防护功能说明 表4 容器节点防护功能说明 功能 说明 容器镜像安全扫描 容器镜像安全扫描功能能够扫描镜像中的漏洞、恶意文件等信息，建议您定期扫描，以便您能及时处理镜像安全风险。 勒索病毒防护 勒索病毒入侵主机后，会对主机数据进行加密勒索，导致主机业务中断、数据泄露或丢失，主机所有者即使支付赎金也可能难以挽回所有损失，因此勒索病毒是当今网络安全面临的最大挑战之一。企业主机安全支持静态、动态勒索病毒防护，定期备份主机数据，可以帮助您抵御勒索病毒，降低业务损失风险。 开启容器版防护会自动为您开启勒索病毒防护，在您的主机上部署诱饵文件，并对可疑加密程序执行自动隔离。您可以修改勒索病毒防护策略，同时建议您开启勒索备份以提升勒索事后恢复能力。 应用防护 应用防护功能旨在为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 应用进程控制 应用进程控制功能支持管控应用进程运行，通过学习服务器中运行的应用进程特征，将应用进程划分为可信进程、恶意进程和可疑进程，允许可疑、可信进程正常运行，对恶意进程运行进行告警，帮助用户构建安全的应用进程运行环境，避免服务器遭受不受信或恶意应用进程的破坏。 病毒查杀 病毒查杀功能使用特征病毒检测引擎，支持扫描服务器中的病毒文件，扫描文件类型覆盖可执行文件、压缩文件、脚本文件、文档、图片、音视频文件；用户可根据自身需要，自主对服务器执行“快速查杀”、“全盘查杀”、“自定义查杀”扫描任务，并及时处置检测到的病毒文件，增强业务系统的病毒防御能力。 容器集群防护 容器集群防护功能支持在容器镜像启动时检测其中存在的不合规基线、漏洞和恶意文件，并可根据检测结果告警和阻断未授权或含高危安全风险的容器镜像运行。 用户可根据自身业务场景灵活配置容器集群防护策略，加固集群安全防线，防止含有漏洞、恶意文件和不合规基线等安全威胁的镜像部署到集群，降低容器生产环境的安全风险。 容器防火墙 容器防火墙是一种为容器环境提供的防火墙服务，支持对容器集群内部与外部的网络流量进行控制和拦截，防止恶意访问和攻击。 策略管理 企业主机安全提供了多个版本，包括基础版、专业版、企业版、旗舰版、网页防篡改版和容器版；除了基础版外，企业主机安全其他每个防护版本都有对应的默认防护策略组；策略组是多个策略的集合，这些策略应用于容器节点上，用于集中管理和配置企业主机安全检测和防护容器节点的灵敏度、规则、范围等。如果您在使用企业主机安全过程中，对资产管理、基线检查、入侵检测等检测策略有定制化需求，可以根据业务需求自定义配置策略。策略组中的部分策略未默认启用，您也可以结合自身需求，选择启用。

操作场景 节点是容器集群组成的基本元素，企业主机安全容器版以节点为防护单元，提供容器防火墙、容器集群防护、容器镜像安全扫描等功能，可帮助企业解决传统安全软件无法感知的容器环境问题。关于企业主机安全容器版提供安全防护功能请参见产品功能。 本文以如下配置为例，介绍购买并开启容器安全防护的操作指导。 容器节点：EulerOS 2.9华为云弹性云服务器 防护配额： 计费模式：包年/包月 版本规格：容器版 数量：1

解决办法 登录集群任一节点目录。 创建hss-rbac.yaml文件，并将以下内容复制并保存至hss-rbac.yaml文件中。 1 {"metadata":{"namespace":"hss","name":"hssRole"},"apiVersion":"rbac.authorization.k8s.io/v1","kind":"Role","rules":[{"resources":["configmaps"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":[""]},{"resources":["daemonsets","deployments","deployments/rollback","replicasets"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":["apps"]},{"resources":["cronjobs","jobs"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":["batch"]},{"resources":["ingresses"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":["extensions"]},{"resources":["ingresses"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":["networking.k8s.io"]}]}{"metadata":{"namespace":"hss","name":"hssRoleBinding"},"apiVersion":"rbac.authorization.k8s.io/v1","kind":"RoleBinding","subjects":[{"kind":"ServiceAccount","name":"hss-user","namespace":"hss"}],"roleRef":{"apiGroup":"rbac.authorization.k8s.io","kind":"Role","name":"hssRole"}}{"metadata":{"name":"hssClusterRole"},"apiVersion":"rbac.authorization.k8s.io/v1","kind":"ClusterRole","rules":[{"resources":["namespaces","pods","nodes","services","endpoints","configmaps","events","persistentvolumeclaims","persistentvolumes","podtemplates","replicationcontrollers","serviceaccounts","pods/log"],"verbs":["get","list"],"apiGroups":[""]},{"resources":["pods/status"],"verbs":["update"],"apiGroups":[""]},{"resources":["daemonsets","deployments","replicasets","statefulsets"],"verbs":["get","list"],"apiGroups":["apps"]},{"resources":["horizontalpodautoscalers"],"verbs":["get","list"],"apiGroups":["autoscaling"]},{"resources":["cronjobs","jobs"],"verbs":["get","list"],"apiGroups":["batch"]},{"resources":["endpointslices"],"verbs":["get","list"],"apiGroups":["discovery.k8s.io"]},{"resources":["events"],"verbs":["get","list"],"apiGroups":["events.k8s.io"]},{"resources":["ingresses"],"verbs":["get","list"],"apiGroups":["extensions"]},{"resources":["ingressclasses","ingresses","networkpolicies"],"verbs":["create","delete","update","get","list"],"apiGroups":["networking.k8s.io"]},{"resources":["clusterrolebindings","clusterroles","rolebindings","roles"],"verbs":["create","delete","deletecollection","patch","update","watch"],"apiGroups":["rbac.authorization.k8s.io"]},{"resources":["clusterrolebindings","clusterroles","rolebindings","roles"],"verbs":["get","list"],"apiGroups":["rbac.authorization.k8s.io"]},{"resources":["storageclasses","volumeattachments"],"verbs":["get","list"],"apiGroups":["storage.k8s.io"]}]}{"metadata":{"name":"hssClusterRoleBinding"},"apiVersion":"rbac.authorization.k8s.io/v1","kind":"ClusterRoleBinding","subjects":[{"kind":"ServiceAccount","name":"hss-user","namespace":"hss"}],"roleRef":{"apiGroup":"rbac.authorization.k8s.io","kind":"ClusterRole","name":"hssClusterRole"}} 执行以下命令，配置HSS所需的全量rbac权限 kubectl apply -f hss-rbac.yaml 登录HSS控制台，查看权限列表中“是否有权限”列均为“是”，表示权限恢复正常，问题解决。 详细操作请参考问题现象中查看权限列表的操作。 如果您一直停留在HSS权限列表页面，请在配置完成后刷新下页面。