共计 2021 个字符,预计需要花费 6 分钟才能阅读完成。
背景:
前几天 log4j2 破绽爆出。腾讯云的哪个公众号正好发了容器平安服务的收费试用七天的流动,我就开明体验了。
晒一下我这各种不爽的体验 ….
注:曾经跟腾讯云容器平安团队沟通过,很多都在布局中,期待更好的体验
1. 资产的同步
平安概述与资产治理页面 主机节点的同步。将我所有的 cvm 节点都同步过去了。这点很烦 ……
虽说 agent 间接依赖于原有的(cvm 云镜?)然而同步我所有的资产这点很烦。这点我心愿能给我一个本人增加同步的选项,比方装置 node 节点标签增加主机节点(如果是跑的纯 docker 的服务)。当然了当初的支流的还是 kubernetes 集群。更应该是能够疾速便捷的增加 kubernetes 集群!镜像平安服务这里有 TKE 集群 的增加,然而应该也有在 cvm 上 自建集群 的增加形式去不便便捷用户!
点击容器总数跳转到资产治理的容器页面,如下:
这里更是一片凌乱,想有一个清晰的查看 pod 的形式。比方分组(分组规定),依照主机名?当然了还是心愿依照 kubernetes 集群的形式。如果还有传统的 docker 搭建的多主机的环境,也能够让 用户建一个组 ,而后去 同步主机 and 同步容器利用 。这样也更能合乎用户的习惯和需要。
当然了 还有资产治理中 web 资产数据库资产之类的。墙裂须要资源分组或者更换的命名形式。否则看起来真的很吃力,也须要更好的多样化的查找排序形式!
2. 对于 tke 集群的同步
同步资产,装置查看组件,如下:
等了大略十分钟了进度依然 0%,如下:
集群中查看了一下。这个 security 服务的资源耗费倒是不高:
什么神仙服务?哈哈哈哈查看失败 …..
看了一眼异样解决指南,难道平安组问题?…..NO,前面腾讯云容器平安组的小伙伴跟我说我触发了一个 bug…..
从新查看了一下,如下
这个的模块还是很称心的,除了在查看过程中呈现 bug……
查看详情中还有解决方案 修复倡议,这个性能很赞!
3. 镜像平安模块:
本地镜像扫描这性能太差劲了我同一个镜像怎么抉择最初一个 tag?这很失常吧?几百个镜像我怎么一个个去抉择?有没有匹配或者疾速的形式?最好玩的是 都扫码了我 master 节点下面 docker pull 的从没有运行过的镜像。扫描到了 elasticserch 的 log4j2 然而我批改了 tag 上传到镜像仓库中的咋都没有扫描进去?work 节点的也没有搞进去 …. 让我感觉很鸡肋!
仓库镜像更是服了气了 我一个镜像上面有 50 个 tag 默认 …… 我怎么疾速扫描?节约次数受权很无用功
敏感音讯误报 我的 jar 包叫 xxx-auth…. 扫描关键词了 把我当成敏感了 ….。关键词这些的应该都是机器学习的。还心愿能不断完善!
重点总结一下有余吧!
- 没有一个正当无效的 扫描规定,比方我试用的版本有 500 个受权。几千个镜像我怎么去抉择 … 只能默默的点一下一键扫描?哦对不起,您的受权不够,须要购买 xxxx 受权 ….. 扫描规定还是心愿能有一个高效可用的
- 对于 本地镜像 扫描我想排除一下主机 or 我压根没有运行过的镜像我不想扫描 …… 我扫描本地镜像干嘛?我只想扫描我运行中的镜像。本地镜像很多只是我 docker pull 下来 未运行的 。 未关联容器 的镜像我不想去扫描 节约 受权。
对于扫描后果心愿依照破绽等级排序。而后通过破绽名称查看所存在的镜像列表!当然了心愿能有更丰盛的图表化查看形式!
4. 平安基线
平安基线也是一个很不错的性能,当然了我更心愿把 kubernetes 放在后面:
然而这 ui 抉择只能在下面呢?哈哈哈心愿微信等级 id 这些的能够间接点击进行排序,毕竟这样更负责用户的集体习惯!
另外:
我感觉这不是一个设计师设计的?能不能都带个箭头,让我点击显示处理倡议?尽量点击性能统一化。缩小客户的纠结工夫 … 我觉得很有必要 ……
其余
运行时平安 高级进攻 平安经营 告警设置 这几个性能没有进行较深刻的体验。这几个性能先疏忽了
总结
- 容器平安很有必要性。腾讯云的容器平安服务也是一个很新的服务,能够试用一下!
- 任重而道远。容器平安产品更应该去合乎用户的行为习惯,欠缺性能。施展更重要的作用。
- 容器平安团队的小伙伴很是不错。我是间接把体验反馈微信群吐糟了。而后第二天还专门拉取了一个会议,大家聊了一下各种的反馈。都很在意用户的感触。也心愿这个产品可能更加欠缺。施展更大的作用,帮用户保护容器的平安!
- 至于各种问题:资产的治理 (依照 tke 集群展现资源 or 增加腾讯云自建 kubernetes 集群 or 集体自定义增加 cvm 组资源而后去展示). 镜像平安 ( 仓库镜像:多样化的镜像扫描规定比方最新 tag 指定镜像仓库 namespace,嗯也包含第三方仓库?不晓得是否可行。本地镜像:主机组 tke or 自建集群组扫描,屏蔽某些主机?只扫描运行中的 image。不去扫描未运行的镜像)多样化的图表。更多的搜寻排序形式。当然了,还有 pipeline ci cd 工具的能够接入。毕竟失常的扫描 devsec 都是在镜像构建时候扫描的?