集群检查功能提供集群检查列表、集群风险统计、集群检查详情、检查项管理等功能,通过集群检查对指定集群安装检查组件并执行风险检查,查看集群风险详情。
安装集群检查组件
1. 登录 容器安全服务控制台,在左侧导航单击集群安全管理 > 集群检查。
2. 在集群检查页面,已内置每1小时定期同步集群资产;单击同步资产,可进行手动同步集群资产。
说明
目前集群检查列表支持同步的集群资产为 TKE 托管集群 和 TKE 独立集群。
首次使用集群安全时,需要手动进行一次“同步资产”,后续系统会进行自动同步。
3. 在集群检查页面,支持单个或批量接入集群。
单个:选择所需集群 ID,单击接入集群,弹出“集群接入”窗口。
多个:选择多个腾讯云集群 ID,单击批量接入集群,弹出“集群接入”窗口。自建集群暂不支持批量接入。
4. 在“集群接入”窗口中,选择需要接入的TKE集群,或按页面提示针对自建集群进行接入。
5. 确认接入后,系统将在集群内所有节点部署 DaemonSet 组件,安装成功后防护状态将展示为未防护;开通容器安全服务后,将展示为已防护。
说明
集群接入后,将会在该集群创建“tcss命名空间”,并创建如下工作负载资源,需确保以下3个工作负载正常运行:
1.1 tcss 命名空间下安装名称为“init-tcss-agent”的 Job 类型工作负载。
1.2 tcss 命名空间下安装名称为“tcss-asset”的 Deployment类型工作负载。
1.3 kube-system 命名空间下安装名称为“yunjing-agent” 的 DaemonSet 类型工作负载。
Daemonset 对集群运行和性能无影响,占用资源限制为:
cpu:100-250m。
mem:100Mi-250Mi。
若需要删除集群检查组件可登录 容器服务控制台,在集群详情页面单击工作负载,选择 Daemonset,在 kube-system 命名空间下选择 yunjing-agent 操作单击更多 > 删除。
执行集群检查
说明
集群检查组件默认为未接入状态,执行集群检查前需要先接入集群。
查看集群检查结果
1. 在 集群检查页面,集群统计卡片展示集群总数、风险集群等数量。
2. 在集群检查页面,单击集群列表操作列的详情,进入“集群详情”页面。
3. 在“集群详情”页面,展示了当前集群所有被检出的集群状态、集群详情和风险详情。
4. 在风险详情列表,选择所需风险检查项,单击查看详情,进入“风险检查项详情”页面。
5. 在“风险检查项详情”页面,展示该风险检测项的风险详情、风险描述、解决方案以及当前集群的影响资产范围。
定时检查设置
1. 单击页面上方的定时检查设置,可对需要开启定时检查的集群进行配置。
2. 在定时检查设置抽屉中,可配置定时检查开关、定时检查周期、检查项管理和检查集群范围选择。
定时检查开关:用户可自定义开启或关闭。
定时检查周期:可选择每天、每隔7天、每隔15天、每隔30天,设置后会在周期选定的时间点开始定时检测。
检查项管理:点击编辑按钮打开检查项管理抽屉,可针对每一个检查项进行开启和关闭。
检查集群范围选择:可选择全部集群或自选集群开启定时检查。
3. 在“定时检查设置”窗口中,单击保存,配置的定时检查设置将生效。
说明
确认后,自动检查将开启。检测内容如下:
开启集群定时检查后,当集群节点有新增时,将自动检查集群新增节点。
管理集群检查项
1. 在 集群检查页面,单击界面右上角的检测项管理,进入检查项设置页面。
2. 在检查项设置页面,检查项列表展示了系统执行集群检查的所有检查项,单击查看详情可查看检查项的详细信息。
