前提条件
1、已创建容器集群,具体操作请参见创建集群 。
2、集群已安装cube-eye插件,具体操作请参考安装插件 。
操作步骤
配置集群巡检
1、登陆云容器引擎控制台, 点击左侧导航栏中的集群,进入集群列表页。
2、在集群列表中点击需要配置巡检的集群,进入集群管理页面。
3、在集群管理页面导航栏中选择运维管理 > 集群巡检 > 添加 ,进入集群巡检配置页面。
4、在集群巡检配置页面,设置定时规则 ,阅读注意事项后选择我已知晓并同意 ,然后点击确定。
![]()
查看巡检结果
1、登陆云容器引擎控制台, 点击左侧导航栏中的集群,进入集群列表页。
2、在集群列表中点击需要查看巡检结果的集群,进入集群管理页。
3、在集群管理页面导航栏中选择运维管理 > 集群巡检 ,选择需要查看的报告,点击查看详情。
4、报告详情页会展示集群的风险项,可以对风险项的级别、风险类型、命名空间进行筛选,每个风险项都会给出异常影响及解决方案。
巡检项列表
| 检查项 | 描述 | 级别 |
|---|---|---|
| PrivilegeEscalationAllowed | 允许特权升级 | 紧急 |
| CanImpersonateUser | role/clusterrole 有伪装成其他用户权限 | 警告 |
| CanDeleteResources | role/clusterrole 有删除 kubernetes 资源权限 | 警告 |
| CanModifyWorkloads | role/clusterrole 有修改 kubernetes 资源权限 | 警告 |
| NoCPULimits | 资源没有设置 CPU 使用限制 | 警告 |
| NoCPURequests | 资源没有设置预留 CPU | 警告 |
| HighRiskCapabilities | 开启了高危功能,例如 ALL/SYS_ADMIN/NET_ADMIN | 紧急 |
| HostIPCAllowed | 开启了主机 IPC | 紧急 |
| HostNetworkAllowed | 开启了主机网络 | 紧急 |
| HostPIDAllowed | 开启了主机PID | 紧急 |
| HostPortAllowed | 开启了主机端口 | 紧急 |
| ImagePullPolicyNotAlways | 镜像拉取策略不是 always | 警告 |
| ImageTagIsLatest | 镜像标签是 latest | 警告 |
| ImageTagMiss | 镜像没有标签 | 紧急 |
| InsecureCapabilities | 开启了不安全的功能,例如 KILL/SYS_CHROOT/CHOWN | 警告 |
| NoLivenessProbe | 没有设置存活状态检查 | 警告 |
| NoMemoryLimits | 资源没有设置内存使用限制 | 警告 |
| NoMemoryRequests | 资源没有设置预留内存 | 警告 |
| NoPriorityClassName | 没有设置资源调度优先级 | 通知 |
| PrivilegedAllowed | 以特权模式运行资源 | 紧急 |
| NoReadinessProbe | 没有设置就绪状态检查 | 警告 |
| NotReadOnlyRootFilesystem | 没有设置根文件系统为只读 | 警告 |
| NotRunAsNonRoot | 没有设置禁止以 root 用户启动进程 | 警告 |
| CertificateExpiredPeriod | 将检查 ApiServer 证书的到期日期少于30天 | 紧急 |
| EventAudit | 事件检查 | 警告 |
| NodeStatus | 节点状态检查 | 警告 |
| DockerStatus | docker 状态检查 | 警告 |
| KubeletStatus | kubelet 状态检查 | 警告 |
