背景：

前几天 log4j2 破绽爆出。腾讯云的哪个公众号正好发了容器平安服务的收费试用七天的流动，我就开明体验了。
晒一下我这各种不爽的体验 ….
注：曾经跟腾讯云容器平安团队沟通过，很多都在布局中，期待更好的体验

1. 资产的同步

平安概述与资产治理页面 主机节点的同步。将我所有的 cvm 节点都同步过去了。这点很烦 ……

虽说 agent 间接依赖于原有的（cvm 云镜？）然而同步我所有的资产这点很烦。这点我心愿能给我一个本人增加同步的选项，比方装置 node 节点标签增加主机节点（如果是跑的纯 docker 的服务）。当然了当初的支流的还是 kubernetes 集群。更应该是能够疾速便捷的增加 kubernetes 集群！镜像平安服务这里有 TKE 集群 的增加，然而应该也有在 cvm 上 自建集群 的增加形式去不便便捷用户！
点击容器总数跳转到资产治理的容器页面，如下：

这里更是一片凌乱，想有一个清晰的查看 pod 的形式。比方分组（分组规定），依照主机名？当然了还是心愿依照 kubernetes 集群的形式。如果还有传统的 docker 搭建的多主机的环境，也能够让 用户建一个组 ，而后去 同步主机 and 同步容器利用 。这样也更能合乎用户的习惯和需要。

当然了 还有资产治理中 web 资产数据库资产之类的。墙裂须要资源分组或者更换的命名形式。否则看起来真的很吃力，也须要更好的多样化的查找排序形式！

2. 对于 tke 集群的同步

同步资产，装置查看组件，如下：



​

等了大略十分钟了进度依然 0%，如下：

集群中查看了一下。这个 security 服务的资源耗费倒是不高：

什么神仙服务？哈哈哈哈查看失败 …..

看了一眼异样解决指南，难道平安组问题？…..NO，前面腾讯云容器平安组的小伙伴跟我说我触发了一个 bug…..

从新查看了一下，如下

这个的模块还是很称心的，除了在查看过程中呈现 bug……

查看详情中还有解决方案 修复倡议，这个性能很赞！

3. 镜像平安模块：

本地镜像扫描这性能太差劲了我同一个镜像怎么抉择最初一个 tag？这很失常吧？几百个镜像我怎么一个个去抉择？有没有匹配或者疾速的形式？最好玩的是 都扫码了我 master 节点下面 docker pull 的从没有运行过的镜像。扫描到了 elasticserch 的 log4j2 然而我批改了 tag 上传到镜像仓库中的咋都没有扫描进去？work 节点的也没有搞进去 …. 让我感觉很鸡肋!
​

仓库镜像更是服了气了 我一个镜像上面有 50 个 tag 默认 …… 我怎么疾速扫描？节约次数受权很无用功

敏感音讯误报 我的 jar 包叫 xxx-auth…. 扫描关键词了 把我当成敏感了 ….。关键词这些的应该都是机器学习的。还心愿能不断完善！

重点总结一下有余吧！

1. 没有一个正当无效的 扫描规定，比方我试用的版本有 500 个受权。几千个镜像我怎么去抉择 … 只能默默的点一下一键扫描？哦对不起，您的受权不够，须要购买 xxxx 受权 ….. 扫描规定还是心愿能有一个高效可用的
2. 对于 本地镜像 扫描我想排除一下主机 or 我压根没有运行过的镜像我不想扫描 …… 我扫描本地镜像干嘛？我只想扫描我运行中的镜像。本地镜像很多只是我 docker pull 下来 未运行的 。 未关联容器 的镜像我不想去扫描 节约 受权。

3. 对于扫描后果心愿依照破绽等级排序。而后通过破绽名称查看所存在的镜像列表！当然了心愿能有更丰盛的图表化查看形式！

   4. 平安基线

   平安基线也是一个很不错的性能，当然了我更心愿把 kubernetes 放在后面：
   
   然而这 ui 抉择只能在下面呢？哈哈哈心愿微信等级 id 这些的能够间接点击进行排序，毕竟这样更负责用户的集体习惯！
   
   另外：
   ​

我感觉这不是一个设计师设计的？能不能都带个箭头，让我点击显示处理倡议？尽量点击性能统一化。缩小客户的纠结工夫 … 我觉得很有必要 ……

其余

运行时平安 高级进攻 平安经营 告警设置 这几个性能没有进行较深刻的体验。这几个性能先疏忽了

总结

1. 容器平安很有必要性。腾讯云的容器平安服务也是一个很新的服务，能够试用一下！
2. 任重而道远。容器平安产品更应该去合乎用户的行为习惯，欠缺性能。施展更重要的作用。
3. 容器平安团队的小伙伴很是不错。我是间接把体验反馈微信群吐糟了。而后第二天还专门拉取了一个会议，大家聊了一下各种的反馈。都很在意用户的感触。也心愿这个产品可能更加欠缺。施展更大的作用，帮用户保护容器的平安！
4. 至于各种问题：资产的治理 （依照 tke 集群展现资源 or 增加腾讯云自建 kubernetes 集群 or 集体自定义增加 cvm 组资源而后去展示）. 镜像平安 （ 仓库镜像：多样化的镜像扫描规定比方最新 tag 指定镜像仓库 namespace，嗯也包含第三方仓库？不晓得是否可行。本地镜像：主机组 tke or 自建集群组扫描，屏蔽某些主机？只扫描运行中的 image。不去扫描未运行的镜像）多样化的图表。更多的搜寻排序形式。当然了，还有 pipeline ci cd 工具的能够接入。毕竟失常的扫描 devsec 都是在镜像构建时候扫描的？