Включение защиты кластера и привязка образов
Для защиты кластеров Cloud Container Engine (CCE), а также сканирования образов Software Repository for Container на наличие уязвимостей и вредоносного кода, необходимо активировать защиту Container Guard Service.
Условия для включения защиты:
-
Создан кластер Cloud Container Engine.
-
Статус «Выключен» для Cluster Protection Status.
Включение защиты кластера
-
Войдите в консоль управления Advanced:
-
В списке сервисов выберите Container Guard Service.
-
Найдите нужный кластер и в колонке Operation нажмите Enable Protection.
-
Подтвердите включение защиты и установку CGS-плагина в кластер — нажмите Yes.
После активации защита будет распространяться на все ноды кластера.
CGS автоматически включает защиту для новой ноды в кластере, когда она добавляется в кластер с включенной защитой. Включение защиты автоматически установит подключаемый модуль CGS в кластере CCE.
Изменение настроек политики безопасности
Политики безопасности включают в себя настройку белого списка процессов (список путей к файлам, разрешенных для выполнения в контейнере) и списка защиты файлов (список каталогов файлов, доступных только для чтения в контейнере). Эти настройки позволяют предотвратить риски во время запуска контейнера и обеспечить безопасность систем и приложений.
-
В навигационной панели Container Guard Service выберите Security Configurations и нажмите Add Policy.
-
Настройте политику:
-
Policy Name — название политики.
-
Process Whitelist — укажите пути процессов, разрешенных для выполнения в контейнере. Белый список эффективно предотвращает угрозы безопасности.
-
File Protection — укажите путь до каталогов файлов, доступных только для чтения, в контейнере. Эта настройка позволит эффективно предотвратить риски безопасности, такие как подделка файлов.
-
-
Сохраните настройки, нажав OK.
Привязка образа
-
Войдите в консоль управления Advanced:
-
В списке сервисов выберите Container Guard Service.
-
В навигационной панели выберите Security Configurations и в колонке Operation нажмите Associate Image для привязки образа.
-
В открывшемся окне активируйте чекбоксы привязываемых образов и нажмите OK.
- Включение защиты кластера
- Изменение настроек политики безопасности
- Привязка образа