Включение защиты кластера и привязка образов

Для защиты кластеров Cloud Container Engine (CCE), а также сканирования образов Software Repository for Container на наличие уязвимостей и вредоносного кода, необходимо активировать защиту Container Guard Service.

Условия для включения защиты:

  • Создан кластер Cloud Container Engine.

  • Статус «Выключен» для Cluster Protection Status.

Включение защиты кластера

  1. Войдите в консоль управления Advanced:

  2. Чтобы открыть список сервисов, нажмите Service List.

  3. Перейдите в раздел Security → Container Guard Service.

  4. Найдите нужный кластер и в колонке Operation нажмите Enable Protection.

  5. Подтвердите включение защиты и установку CGS-плагина в кластер — нажмите Yes.

После активации защита будет распространяться на все ноды кластера.

Примечание

CGS автоматически включает защиту для новой ноды в кластере, когда она добавляется в кластер с включенной защитой. Включение защиты автоматически установит подключаемый модуль CGS в кластере CCE.

Изменение настроек политики безопасности

Политики безопасности включают в себя настройку белого списка процессов (список путей к файлам, разрешенных для выполнения в контейнере) и списка защиты файлов (список каталогов файлов, доступных только для чтения в контейнере). Эти настройки позволяют предотвратить риски во время запуска контейнера и обеспечить безопасность систем и приложений.

  1. В навигационной панели Container Guard Service выберите Security Configurations и нажмите Add Policy.

  2. Настройте политику:

    • Policy Name — название политики.

    • Process Whitelist — укажите пути процессов, разрешенных для выполнения в контейнере. Белый список эффективно предотвращает угрозы безопасности.

    • File Protection — укажите путь до каталогов файлов, доступных только для чтения, в контейнере. Эта настройка позволит эффективно предотвратить риски безопасности, такие как подделка файлов.

  3. Сохраните настройки, нажав OK.

Привязка образа

  1. Войдите в консоль управления Advanced:

  2. Чтобы открыть список сервисов, нажмите Service List.

  3. Перейдите в раздел Security → Container Guard Service.

  4. В навигационной панели выберите Security Configurations и в колонке Operation нажмите Associate Image для привязки образа.

  5. В открывшемся окне активируйте чекбоксы привязываемых образов и нажмите OK.

Запустили Evolution free tier
для Dev & Test
Получить