容器网络拓扑功能从集群、容器、镜像、应用等资产维度为您提供安全可视化的管控能力和云上容器资产的网络拓扑,帮助您提升管理容器资产安全的效率。使用该功能您可以轻松掌控容器资产的安全状态,并了解容器资产间的网络连接情况。本文介绍如何查看您资产中的容器网络拓扑。

前提条件

容器网络拓扑展示的镜像漏洞信息是从镜像安全扫描功能获取的。如果有获取容器安全风险的需求,您需要先开通镜像安全扫描功能,并执行镜像安全扫描操作。具体操作,请参见开通服务执行镜像安全扫描
说明 如果您未开通镜像安全扫描功能,使用容器网络拓扑功能时,您只能查看当前集群所在服务器上存在的漏洞风险和集群网络拓扑图,无法查看集群中存在的容器漏洞风险。为了提升容器运行环境的安全性,建议您开通镜像安全扫描功能。

背景信息

云安全中心会每分钟自动刷新容器网络拓扑页面的容器网络拓扑图和集群的安全风险信息,以确保您查看到最新的网络拓扑图和安全风险信息。

版本限制说明

仅旗舰版支持该功能,其他版本用户需要升级到旗舰版才可使用该功能。购买和升级云安全中心服务的具体操作,请参见购买云安全中心升级与降配。各版本的功能详情,请参见功能特性

应用场景

满足等保合规要求

满足等保合规要求,为您提供云上资产的网络拓扑图。

可视化能力

提供自动化公网暴露端口的可视化能力,从集群、容器、镜像、应用等资产维度提供可视化安全管控能力。

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏,单击总览
  3. 总览页面,单击容器网络拓扑页签。
  4. 查看您资产中的容器网络拓扑图。
    容器网络拓扑页签由以下7个功能区域组成,您可以单击对应链接,查询每个区域具体包含的数据和支持的操作说明: 总览

查看您资产整体状态的安全评分

容器网络拓扑页签左侧,可查看云安全中心根据您资产整体的安全状态计算出的安全评分。您可单击立即处理可展开安全风险处理面板处理您资产中的安全风险。安全评分越高说明您资产的安全隐患越少。关于安全评分更多信息,请参见安全评分

查看集群、应用、容器、节点、镜像数量和存在风险的资产数量

容器网络拓扑页签左侧,可查看您资产中的集群应用容器节点镜像的数量和存在安全风险的各类型资产数量(红色数字表示存在风险的资产数量)。单击对应资产类型名称,可跳转至资产中心页面查看该类型资产的详细信息。

切换集群网络拓扑的显示视角

容器网络拓扑页签下,支持互联网视角集群视角这两种集群网络拓扑的显示视角。您可以单击集群拓扑图上方的互联网视角集群视角切换拓扑图的显示视角。

查看集群的基本信息和安全情况

容器网络拓扑页签下,单击要查看的集群图标,右侧面板会通过不同的页签为您展示该集群的集群信息集群风险镜像信息防护策略
  • 集群信息

    集群信息页签下,您可以查看该集群的集群名称ID集群类型地域等集群基本信息,还可查看该集群中包含的命名空间容器组节点应用镜像的数量。

  • 集群风险

    集群风险页签下,您可以查看该集群存在的安全告警基线风险镜像应用漏洞镜像基线漏洞漏洞风险镜像漏洞(CVE)镜像恶意文件等安全风险。单击对应安全风险右侧的详情,跳转到该资产的详情或镜像安全扫描页面的漏洞列表,查看并处理检测出的安全风险详情。处理安全风险的具体操作,请参见查看和处理告警事件漏洞修复概述查看镜像安全扫描结果

  • 镜像信息

    镜像信息页签下,您可以查看该集群的镜像列表。单击未接入云安全中心的镜像仓的右侧的立即接入,可跳转到镜像安全扫描页面,您可以在镜像安全扫描页面将该镜像仓接入云安全中心。接入镜像仓的具体操作,请参见接入镜像仓库

  • 防护策略

    防护策略页签下,您可以查看该集群的防御详情(包括近7天拦截告警数规则总数防御状态)。单击创建规则展开创建规则面板,可以为该集群新增防护策略。

设置集群网络拓扑显示的时间范围

容器网络拓扑页签下,默认显示最近7天的容器网络拓扑图数据流量情况。您可以通过容器网络拓扑页签右上角的日历,按照您的需求筛选容器网络拓扑数据流量显示的时间范围。可选择的时间范围为最近1~7天。

开启或关闭所有集群的网络拓扑

集群的网络拓扑开关默认开启。开启网络拓扑功能会消耗少量的CPU资源,如果您无需查看集群的网络拓扑,您可以单击容器网络拓扑页签右上角设置图标,并单击开关图标关闭所有集群的网络拓扑。关闭网络拓扑后,如果您需要再次查看所有集群的网络拓扑,可以重新打开该开关。
说明 建议您开启所有集群的网络拓扑图,及时获取容器集群网络拓扑中各节点的风险状态。

导出容器网络拓扑图

您可以单击容器网络拓扑页签右上角的导出图标,导出容器网络拓扑图。导出的容器网络拓扑图为PNG格式。

查看集群内的容器网络拓扑

查看集群内的容器网络拓扑有以下两种方法:
  • 在集群的集群信息页签下,单击容器网络拓扑右侧的查看,可查看该集群内的网络拓扑图。
  • 容器网络拓扑页签下,单击要查看目标集群图标下方的图标图标,可查看该集群内的网络拓扑图。
在集群内部容器网络拓扑页面,网络拓扑图以应用为节点,展示了该集群下所有容器之间的通信链路。集群内部

页面左侧为您提供了仅显示有连接的应用显示端口信息隐藏连接线这三个功能,您可按照您对容器内网络拓扑图的展示需求,开启或关闭相应的功能。

页面左侧还为您显示了该集群下的全部命名空间。您可通过单击命名空间右侧的隐藏图标隐藏或显示该命名空间,也可通过单击该命名空间右侧的收起图标,展开或收起该命名空间。
说明 对于超大集群,进入集群内容器网络拓扑图默为认收起状态。

单击容器网络拓扑图中的应用图标,可以查看该应用的pod信息镜像信息网络连接。在pod信息信息页签下,将鼠标悬浮在pod名称上,会弹出pod详情对话框,单击对话框中的查看资产,可跳转到资产中心页面查看该容器组的漏洞风险告警风险等信息。