华为云用户手册

DDoS高防工作原理 DDoS高防服务 通过高防IP代理源站IP对外提供服务，将所有的公网流量都引流至高防IP，进而隐藏源站，避免源站（用户业务）遭受大流量DDoS攻击。DDoS高防引流和转发原理示意图如下： 客户 访问源站（用户业务）的客户。 源站IP 源站服务器所使用的公网IP，也是被防护的IP地址，应避免对外暴露（泄露）。 高防IP 与源站IP相对应，用于代替源站IP来面向客户提供服务，使源站IP不直接暴露出去。 回源IP 是高防机房代替客户去和源站服务器通信的若干个IP地址（高防机房会将客户的IP随机转换成某个回源IP，并由这个回源IP代替客户IP去和源站服务器通信）。 DDoS高防为用户提供DDoS防护服务，可以防护SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC攻击等各类网络层、应用层的DDoS攻击。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

查看DDoS数据报表 DDoS控制台提供防护监控数据。用户可以通过DDoS控制台查看防护资源的监控信息。详细如下： 子服务 监控对象 监控内容 详细 DDoS原生基础防护 公网IP 包括当前防护状态、当前防护配置参数、24小时的流量情况、24小时的异常事件等。 查看Anti-DDoS监控报表 DDoS原生高级防护 防护对象 包括实例的接收流量、攻击流量，以及DDoS防护趋势图、清洗流量峰值、攻击类型分布、TOP10被攻击IP等信息 查看/下载CNAD防护数据报表 DDoS高防 高防IP 防护 域名 DDoS攻击防护 可以查看高防实例线路的高防入流量峰值、攻击流量峰值和DDoS攻击次数信息，以及流量和报文两个维度的攻击类型分布、DDoS攻击事件、TOP5攻击类型流量清洗等信息。 CC攻击防护 可以查看防护域名请求与攻击次数、攻击类型分布、TOP5攻击源IP的次数等信息。 查看DDoS高防防护日志

应用场景 DDoS原生基础防护（Anti-DDoS流量清洗）仅对华为云内的公网IP提供DDoS攻击防护。 Anti-DDoS设备部署在机房出口处，网络拓扑架构如图1所示。 图1 网络拓扑架构图 检测中心根据用户配置的安全策略，检测网络访问流量。当发生攻击时，将数据引流到清洗设备进行实时防御，清洗异常流量，转发正常流量。 Anti-DDoS流量清洗服务为普通用户免费提供2Gbps的DDoS攻击防护，最高可达5Gbps。系统会对超过黑洞阈值的受攻击公网IP进行黑洞处理，正常访问流量会丢弃；对于可能会遭受超过5Gbps流量攻击的应用，建议您购买华为云DDoS高防服务，提升防护能力。 父主题： DDoS原生基础防护

应用场景 DDoS原生高级防护适用于部署在华为云服务上，且华为云服务有公网IP资源的业务，能够满足业务规模大、对网络质量要求高的用户。 DDoS原生高级防护适用于具有以下特征的业务： 业务部署在华为云服务上，且云服务能提供公网IP资源 业务带宽或QPS较大 例如，在线视频、直播等对业务带宽要求比较高的领域。 IPv6类型业务防护需求 华为云上公网IP资源较多 业务中大量端口、域名、IP需要DDoS攻击防护 父主题： DDoS原生高级防护

SSL连接失败 现象：客户端无法与 EMQX 建立 SSL 连接。 解决方法：可以借助 EMQX 日志中的关键字来进行简单的问题排查，EMQX 日志相关内容请参考：日志与追踪。 certificate_expired 日志中出现 certificate_expired 关键字，说明证书已经过期，请及时续签。 no_suitable_cipher 日志中出现 no_suitable_cipher 关键字，说明握手过程中没有找到合适的密码套件，可能原因有证书类型与密码套件不匹配、没有找到服务端和客户端同时支持的密码套件等等。 handshake_failure 日志中出现 handshake_failure 关键字，原因有很多，可能要结合客户端的报错来分析，例如，可能是客户端发现连接的服务器地址与服务器证书中的域名不匹配。 unknown_ca 日志中出现 unknown_ca 关键字，意味着证书校验失败，常见原因有遗漏了中间 CA 证书、未指定 Root CA 证书或者指定了错误的 Root CA 证书。在双向认证中可以根据日志中的其他信息来判断是服务端还是客户端的证书配置出错。如果是服务端证书存在问题，那么报错日志通常为： {ssl_error,{tls_alert,{unknown_ca,"TLS server: In state certify received CLIENT ALERT: Fatal - Unknown CA\n"}}} 看到 CLIENT ALERT 就可以得知，这是来自客户端的警告信息，服务端证书未能通过客户端的检查。 如果是客户端证书存在问题，那么报错日志通常为： {ssl_error,{tls_alert,{unknown_ca,"TLS server: In state certify at ssl_handshake.erl:1887 generated SERVER ALERT: Fatal - Unknown CA\n"}}} 看到 SERVER ALERT 就能够得知，表示服务端在检查客户端证书时发现该证书无法通过认证，而客户端将收到来自服务端的警告信息。 protocol_version 日志中出现 protocol_version 关键字，说明客户端与服务器支持的 TLS 协议版本不匹配。

安装openssl 安装依赖gcc、perl5 yum install gcc perl -y 安装配置openssl 下载openssl二进制包 wgettar -zxvf openssl-1.1.1n.tar.gz 手动编译并创建软连接 cd openssl-1.1.1n./configmake && make install$ ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1$ ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1 图1 手动编译并创建软连接

应用场景 车联网数据基础设施解决方案 随着新能源汽车数量的增加，车机管理难的问题日益突出。 无法支撑海量车机系统安全接入 车机管理效率低下且存在众多安全问题 在复杂网络环境下保证消息实时性与可靠性 无法保障大并发、高可用消息通信 难以快速实现业务系统对接 难以支撑包含整车部分、调度系统和运维系统，需要稳定、低时延、高性能的车云 数据接入服务 无法支持数据实时采集与分析实现生产线运行 数据可视化 、生产装备运行数据分析实现产线质量预警、生产预测性维护等智能制造场景 本章节将介绍基于 EMQ，构建以自动驾驶为核心的新一代车联网数据平台以⽀撑主机厂智能⽹联为核⼼发展战略，开启造车新时代。

方案优势 高性能 单节点支持每秒实时接收、处理与分发数百万条的 MQTT 消息，毫秒级消息时延。 高可用、易运维 高可用集群支持弹性伸缩，无单点故障；支持热升级、热配置。 保证物联安全 TLS/DTLS 加密协议保证数据传输安全，支持国密加密算法；支持对设备的 ACL 访问控制细粒度控制；支持基于 X.509 证书, JWT Token 认证。 稳固的基础设施 华为云提供的计算、网络和存储系统为车运一体化消息传递提供了安全、坚固和灵活的基础设施服务。 丰富的能力服务 华为云提供基于KAFKA/Redis/RDS/大数据等多种技术栈，可同EMQX集成后形成车联网整体技术服务解决方案，助力主机厂和第三方应用开发商快速构建应用。

资源和成本规划 车联网数据基础设施解决方案 表1 资源和成本规划 云资源 规格 数量 每月费用（元） VPC 网段选择192.168.0.0/16，其他采用默认配置 1 00.00 Subnet 网段选择192.168.0.0/24，其他采用默认配置 1 00.00 安全组 根据需要开通入方向1883、8883等端口 1 00.00 E CS 【弹性云服务器 ECS 】X86计算 | 通用计算型 | c7.large.2 | 2核 | 4GB; CentOS | CentOS 7.8 64bit; 【系统盘】通用型SSD | 40GB 3 / Kafka 【分布式消息服务Kafka版】kafka.4u8g.cluster | 代理个数：3 单个代理存储空间: 超高IO | 200GB 1 / ELB 【弹性负载均衡】共享型负载均衡 全动态BGP 带宽: 全动态BGP | 带宽 | 30Mbit/s 2 / 企业主机安全 【企业主机安全】企业版 1 / Anti-DDoS流量清洗 【Anti-DDoS流量清洗】基础DDoS 防护能力，5Gbps 2 / 云备份 【云备份】云服务器备份存储库 | 100GB; 1 / 总计：/(EMQX 5万线)

如何使用 容器安全服务 使用流程说明如表1所示。 表1 容器安全 服务使用流程说明 序号 子流程 说明 1 开启集群防护 开启防护后即可对集群中所有节点上的镜像和正在运行的容器进行实时检测。 2 （可选）设置安全策略 设置安全策略并将策略应用在镜像上，能有效预防容器运行时安全风险事件的发生。 3 查看漏洞 查看镜像上存在的漏洞，并判断是否需要“忽略”漏洞。 查看容器运行时安全详情 查看容器运行时的异常行为。 父主题： 访问与使用

服务版本说明 容器安全服务提供了企业版版本。支持的功能如表1。详细的功能介绍，请参见功能特性。 企业版提供更多种类的检测和监测功能，包含集群防护、镜像漏洞检测及修复、基线检查、恶意文件、容器运行时安全、安全配置等功能。用户购买容器安全防护配额后，即可使用企业版功能。 表1 服务版本功能说明 服务功能 功能项 企业版 （√：支持；×：不支持） 集群防护 集群防护 √ 本地镜像 本地镜像 漏洞扫描 √ 私有镜像 私有镜像漏洞扫描 √ 私有镜像恶意文件 √ 私有镜像软件信息 √ 私有镜像文件信息 √ 私有镜像基线检查 √ 官方镜像 官方镜像漏洞扫描 √ 运行时安全 逃逸检测 √ 高危系统调用 √ 异常程序检测 √ 文件异常检测 √ 容器环境检测 √ 安全配置 进程白名单 √ 文件保护 √

与云容器引擎的关系 云容器引擎（Cloud Container Engine，CCE）基于云服务器快速构建高可靠的容器集群，将节点纳管到集群，容器安全服务通过在集群上安装容器安全Shield，为集群中所可用有节点上的容器应用提供防护。 云容器引擎提供高可靠、高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，简化云上自动化容器运行环境搭建。更多信息请参见《云容器引擎用户指南》。

与 云审计 服务的关系 云审计服务（Cloud Trace Service， CTS ）记录容器安全服务相关的操作事件，方便用户日后的查询、审计和回溯，具体请参见《云审计服务用户指南》。 表1 云审计服务支持的CGS操作列表 操作名称 资源类型 事件名称 集群开启防护 cgs openClusterProtect 集群关闭防护 cgs closeClusterProtect 添加策略 cgs addPolicy 编辑策略 cgs modifyPolicy 删除策略 cgs deletePolicy 镜像应用策略 cgs imageApplyPolicy 忽略漏洞影响的所有镜像 cgs ignoreVul 取消忽略漏洞影响的所有镜像 cgs cancelIgnoreVul 忽略漏洞影响的镜像 cgs ignoreImageVul 取消忽略漏洞影响的镜像 cgs cancelIgnoreImageVul 授权访问 cgs registerCgsAgency 手动执行镜像扫描 cgs scanPrivateImage 从SWR拉取镜像并执行扫描 cgs syncSwrPrivateImage

容器安全策略 通过配置安全策略，帮助企业制定容器进程白名单和文件保护列表，确保容器以最小权限运行，从而提高系统和应用的安全性。 表2 容器安全策略 功能项 功能描述 检测周期 进程白名单 将容器运行的进程设置为白名单，非白名单的进程启动将告警，有效阻止异常进程、提权攻击、违规操作等安全风险事件的发生。 实时检测 文件保护 容器中关键的应用目录（例如bin，lib，usr等系统目录）应该设置文件保护以防止黑客进行篡改和攻击。容器安全服务提供的文件保护功能，可以将这些目录设置为监控目录，有效预防文件篡改等安全风险事件的发生。 实时检测

容器镜像安全 容器镜像安全功能可扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助用户得到一个安全的镜像。 什么是镜像详情请参见镜像概述。 镜像、容器、应用的关系详情请参见镜像、容器、应用的关系是什么？ CGS支持对基于Linux操作系统制作的容器镜像进行检测。 表1 容器镜像安全 功能项 功能描述 检测周期 镜像安全扫描（私有镜像仓库） 支持对私有镜像仓库（SWR中的自有镜像）进行安全扫描，发现镜像的漏洞、不安全配置和恶意代码。 检测范围如下： 漏洞扫描 对SWR自有镜像进行已知CVE漏洞等安全扫描，帮助用户识别出存在的风险。 恶意文件 检测和发现私有镜像是否存在Trojan、Worm、Virus病毒和Adware垃圾软件等类型的恶意文件。 基线检查 检测私有镜像的配置合规项目，帮助用户识别不安全的配置项。 软件信息 统计和展示私有镜像软件。 文件信息 统计和展示私有镜像中不归属于软件列表的文件。 每日凌晨自动检测 手动检测 镜像漏洞扫描（本地镜像） 对CCE容器中运行的镜像进行已知CVE漏洞等安全扫描，帮助用户识别出存在的风险。 实时检测 镜像漏洞扫描（官方镜像仓库） 定期对Docker官方镜像进行漏洞扫描。 -

容器运行时安全 容器运行时安全功能实时监控节点中容器运行状态，发现挖矿、勒索等恶意程序，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸等行为并给出解决方案。 表3 容器运行时安全 功能项 功能描述 检测周期 容器逃逸检测 从宿主机角度通过机器学习结合规则检测逃逸行为，简单精确，包括shocker攻击、进程提权、DirtyCow和文件暴力破解等。 实时检测 高危系统调用 检测容器内发起的可能引起安全风险的Linux系统调用。 实时检测 异常程序检测 检测违反安全策略的进程启动，以及挖矿、勒索、病毒木马等恶意程序。 实时检测 文件异常检测 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 实时检测 容器环境检测 检测容器启动异常、容器配置异常等容器环境异常。 实时检测

修订记录 发布日期 修改说明 2021-07-09 第十七次正式发布。 服务入口刷新。 2020-10-20 第十六次正式发布。 新增产品优势。 新增应用场景。 服务版本说明，优化相关内容描述。 计费说明，优化计费项说明。 2020-08-26 第十五次正式发布。 计费说明，优化相关内容描述。 2020-05-21 第十四次正式发布。 计费说明，下线宽限期内容。 2020-05-20 第十三次正式发布。 新增计费说明。 2020-04-20 第十二次正式发布。 功能特性，优化相关内容描述。 服务版本说明，新增功能描述。 2020-04-07 第十一次正式发布。 CGS权限管理，优化相关内容描述。 2020-02-28 第十次正式发布。 新增服务版本说明。 2020-02-21 第九次正式发布。 CGS权限管理，新增细粒度策略。 2019-12-18 第八次正式发布。 与其他云服务的关系，优化相关内容描述。 2019-10-24 第七次正式发布。 CGS权限管理，优化相关内容描述。 2019-08-13 第六次正式发布。 什么是容器安全服务，优化相关内容描述。 2019-06-24 第五次正式发布。 什么是容器安全服务，增加相关内容描述。 2019-05-30 第四次正式发布。 与其他云服务的关系，优化相关内容描述。 2019-05-27 第三次正式发布。 新增CGS权限管理。 2018-11-02 第二次正式发布。 与其他服务的关系章节，增加与 统一身份认证 服务的关系。 2018-10-18 第一次正式发布。

CGS自定义策略样例 示例1：授权用户查询集群列表信息 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cgs:cluster:list" ] } ]} 示例2：拒绝用户修改配置信息 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予“CGS FullAccess”的系统策略，但不希望用户拥有“CGS FullAccess”中定义的修改配置信息权限，您可以创建一条拒绝修改配置信息的自定义策略，然后同时将“CGS FullAccess”和拒绝策略授予用户，根据Deny优先原则，则用户可以对CGS执行除了修改配置信息外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Action": [ "cgs:configuration:operate" ], "Effect": "Deny" } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cgs:cluster:list", "cgs:quota:list" ] }, { "Effect": "Allow", "Action": [ "hss:accountCracks:unblock", "hss:commonIPs:set" ] } ]}

部署架构 容器安全服务部署架构如图2所示，关键组件功能说明如表1所示。 图2 容器安全服务部署架构 表1 容器安全服务关键组件功能说明 组件 说明 CGS Container CGS作为一个容器运行在每个容器节点（主机）上，负责节点上所有容器的镜像漏洞扫描，安全策略实施和异常事件收集。 管理Master 负责管理与维护CGS Container。 安全智能 安全智能是安全信息知识库，用于获取漏洞库、恶意程序库等更新，以及大数据AI训练模型等。 管理控制台 用户通过管理控制台使用容器安全服务。

相关概念 镜像 镜像（Image）是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数。镜像不包含任何动态数据，其内容在构建之后也不会被改变。 容器 容器（Container）是镜像的实例，容器可以被创建、启动、停止、删除、暂停等。 镜像、容器和应用的关系说明如图1所示。 一个镜像可以启动多个容器。 应用可以包含一个或一组容器。 图1 镜像、容器、应用的关系

CGS权限 默认情况下，系统管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CGS部署时通过物理区域划分，为项目级服务，授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CGS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对CGS服务，系统管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。CGS支持的授权项请参见CGS权限及授权项。 表1 CGS系统角色 系统角色/策略名称 描述 类别 依赖关系 CGS Administrator 容器安全服务（CGS）系统管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest策略，在同项目中勾选依赖的策略。 CGS FullAccess 容器安全服务所有权限。 系统策略 无。 CGS ReadOnlyAccess 容器安全服务只读访问权限，拥有该权限的用户仅能查看容器安全服务。 系统策略 无。

前提条件 给用户组授权之前，请您了解用户组可以添加的CGS权限，并结合实际需求进行选择，CGS支持的系统权限如表1所示。若您需要对除CGS之外的其它服务授权，IAM支持服务的所有权限请参见系统权限。 表1 CGS系统角色 系统角色/策略名称 描述 类别 依赖关系 CGS Administrator 容器安全服务（CGS）系统管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest策略，在同项目中勾选依赖的策略。 CGS FullAccess 容器安全服务所有权限。 系统策略 无。 CGS ReadOnlyAccess 容器安全服务只读访问权限，拥有该权限的用户仅能查看容器安全服务。 系统策略 无。

查看私有镜像仓库列表 登录管理控制台。 进入查看私有镜像仓库列表入口，如图1所示。 图1 进入查看私有镜像仓库列表入口 单击“从SWR更新镜像”，可以同步SWR所有自有镜像。 表1 私有镜像列表参数说明 参数 说明 操作 镜像名称 镜像的名称。 单击镜像名称前的，可查看该镜像的版本列表。 镜像ID 镜像的ID。 - 所属组织 镜像所属组织名称，镜像组织由 容器镜像服务 负责管理。 - 版本数 镜像版本数量。 -

支持云审计的CGS操作 容器安全服务通过云审计服务（Cloud Trace Service，CTS）为用户提供云服务资源的操作记录，记录内容包括用户从管理控制台发起的云服务资源操作请求以及每次请求的结果，供用户查询、审计和回溯使用。 云审计服务支持的CGS操作列表如表1所示。 表1 云审计服务支持的CGS操作列表 操作名称 资源类型 事件名称 集群开启防护 cgs openClusterProtect 集群关闭防护 cgs closeClusterProtect 添加策略 cgs addPolicy 编辑策略 cgs modifyPolicy 删除策略 cgs deletePolicy 镜像应用策略 cgs imageApplyPolicy 忽略漏洞影响的所有镜像 cgs ignoreVul 取消忽略漏洞影响的所有镜像 cgs cancelIgnoreVul 忽略漏洞影响的镜像 cgs ignoreImageVul 取消忽略漏洞影响的镜像 cgs cancelIgnoreImageVul 授权访问 cgs registerCgsAgency 手动执行镜像扫描 cgs scanPrivateImage 从SWR拉取镜像并执行扫描 cgs syncSwrPrivateImage 父主题： 审计

查看集群列表 在“防护列表”界面，选择“集群列表”页签，查看集群防护状态。如图2所示，集群列表参数说明如表1所示。 图2 集群列表 表1 集群列表参数说明 参数名称 说明 集群名称 集群的名称。 说明： 单击名称可进入“节点列表”界面。 节点总数/可用节点/Shield在线数 节点总数：集群中总的节点数量。 可用节点：“节点状态”为“运行中”的节点数量。 Shield在线数：“Shield状态”为“在线”的节点数量。 集群防护状态 集群的防护状态，包括： 未开启 已开启 说明： 开启集群防护时，系统将会自动为该集群安装容器安全插件。开启集群防护详细操作，请参见：开启集群防护。 关闭集群防护时，系统将会自动卸载该集群上安装的容器安全插件。关闭集群防护详细操作，请参见：关闭集群防护。 单击集群名称，进入“节点列表”界面，如图3所示。 图3 节点列表 节点列表详情页面包含以下内容 节点状态：运行中、不可用。 Shield状态：未注册、在线、离线。 Shield离线是指与服务器通信异常，如何处理，请查看：容器集群节点的Shield状态离线如何处理。

查看防护配额 在“防护列表”界面，选择“防护配额”页签，查看防护配额详细信息，如图4所示。 图4 防护配额 详情页面包含以下内容： 配额状态：正常、已过期、已冻结。 到期时间：容器安全配额防护剩余时间。 操作：续费、退订。 用户可以在需要续费的版本所在行的操作列，单击“续费”，为购买的容器安全配额续费。详细操作，请查看：如何为容器安全配额续费。 容器安全服务购买的实例不能直接删除，您可在不使用的版本所在行的操作列，单击“退订”，退订容器安全配额。详细操作，请查看：如何退订容器安全配额。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，系统管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 权限 授权项 依赖的授权项 查询容器安全配额统计信息 cgs:quota:get - 查询包周期配额列表 cgs:quota:list - 订购容器安全包周期配额 cgs:quota:operate - 查询集群列表信息 cgs:cluster:list cce:addonInstance:* cce:node:list cce:cluster:list 容器集群开启或关闭防护 cgs:cluster:operate cce:addonInstance:* 查询镜像列表信息 cgs:images:list - 执行镜像同步和扫描 cgs:images:operate - 查询容器镜像信息 cgs:images:get - 查询配置信息 cgs:configuration:list - 修改配置信息 cgs:configuration:operate - 查询镜像安全信息 cgs:imageSecure:list - 操作镜像安全事件 cgs:imageSecure:operate - 获取镜像扫描结果 cgs:imageSecure:get - 查询运行时事件列表 cgs:runtimeSecure:list - 查询运行时监控信息 cgs:runtimeSecure:get - 处理运行时监控事件 cgs:runtimeSecure:operate - 操作容器安全委托授权 cgs:privilege:operate - 查询容器安全授权 cgs:privilege:get -

查看漏洞列表 登录管理控制台。 进入查看本地镜像漏洞入口，如图1所示。漏洞列表各参数表1说明如所示。 图1 进入查看本地镜像漏洞入口 漏洞占比：按“漏洞修复紧急度”进行统计的漏洞数量及占比。 TOP5风险的镜像：漏洞数TOP5的镜像及各紧急度的漏洞数量。 单击某风险镜像，即可查看该风险镜像的漏洞概况，包括漏洞名称、修复紧急度、处理状态、软件信息以及根据漏洞修复紧急度修复镜像或忽略漏洞。 表1 参数说明 参数名称 说明 操作 漏洞名称 - 单击，查看漏洞详情，包括漏洞ID、漏洞分值、漏洞披露时间和漏洞描述。 单击漏洞名称，查看该漏洞的基本信息以及受该漏洞影响的镜像列表，具体请参见3。 修复紧急度 提示您是否需要立刻处理该漏洞。 - 当前未处理镜像数（个） 显示受该漏洞影响的镜像是否全部处理。 - 历史受影响镜像数（个） 显示受该漏洞影响的镜像个数。 - 解决方案 针对该漏洞给出的解决方案。 单击“解决方案”列的链接，查看修复意见。 单击漏洞名称，查看该漏洞的基本信息及受该漏洞影响的镜像列表，如图2和图3所示。 图2 漏洞的基本信息（本地） 图3 受漏洞影响的镜像列表

选择关联镜像 添加策略后，您可以选择策略关联的镜像，将添加的策略规则应用到关联的镜像。 登录管理控制台。 进入关联镜像入口，如图3所示。 图3 进入关联镜像入口 在“关联镜像”对话框中，选择需要应用策略的镜像，如图4所示。 图4 “关联镜像”对话框 勾选目标镜像选框，单击“确定”，完成选择关联镜像操作。 关联镜像设置完后，您可以查看该镜像文件中存在的恶意文件、容器异常监控结果。详细操作，请参见：查看恶意文件检测详情和查看运行时安全详情。