背景:

前几天log4j2破绽爆出。腾讯云的哪个公众号正好发了容器平安服务的收费试用七天的流动,我就开明体验了。
晒一下我这各种不爽的体验....
注:曾经跟腾讯云容器平安团队沟通过,很多都在布局中,期待更好的体验

1.资产的同步

平安概述与资产治理页面 主机节点的同步。将我所有的cvm节点都同步过去了。这点很烦......

虽说agent 间接依赖于原有的(cvm云镜?)然而同步我所有的资产这点很烦。这点我心愿能给我一个本人增加同步的选项,比方装置node节点标签增加主机节点(如果是跑的纯docker的服务)。当然了当初的支流的还是kubernetes集群。更应该是能够疾速便捷的增加kubernetes集群!镜像平安服务这里有TKE集群的增加,然而应该也有在cvm上自建集群的增加形式去不便便捷用户!
点击容器总数跳转到资产治理的容器页面,如下:

这里更是一片凌乱,想有一个清晰的查看pod的形式。比方分组(分组规定),依照主机名?当然了还是心愿依照kubernetes集群的形式。如果还有传统的docker搭建的多主机的环境,也能够让用户建一个组,而后去同步主机and同步容器利用。这样也更能合乎用户的习惯和需要。

当然了 还有资产治理中web资产数据库资产之类的。墙裂须要资源分组或者更换的命名形式。否则看起来真的很吃力,也须要更好的多样化的查找排序形式!

2. 对于tke集群的同步

同步资产,装置查看组件,如下:




等了大略十分钟了进度依然0%,如下:

集群中查看了一下。这个security服务的资源耗费倒是不高:


什么神仙服务?哈哈哈哈查看失败.....

看了一眼异样解决指南,难道平安组问题?.....NO,前面腾讯云容器平安组的小伙伴跟我说我触发了一个bug.....

从新查看了一下,如下

这个的模块还是很称心的,除了在查看过程中呈现bug......

查看详情中还有解决方案修复倡议,这个性能很赞!

3. 镜像平安模块:

本地镜像扫描这性能太差劲了我同一个镜像怎么抉择最初一个tag?这很失常吧? 几百个镜像我怎么一个个去抉择?有没有匹配或者疾速的形式?最好玩的是 都扫码了我master节点下面docker pull的从没有运行过的镜像。扫描到了elasticserch 的log4j2 然而我批改了tag上传到镜像仓库中的咋都没有扫描进去?work节点的也没有搞进去....让我感觉很鸡肋!


仓库镜像更是服了气了 我一个镜像上面有50个tag默认......我怎么疾速扫描?节约次数受权很无用功

敏感音讯误报 我的jar包叫xxx-auth....扫描关键词了 把我当成敏感了....。关键词这些的应该都是机器学习的。还心愿能不断完善!

重点总结一下有余吧!

  1. 没有一个正当无效的扫描规定,比方我试用的版本有500个受权。几千个镜像我怎么去抉择...只能默默的点一下一键扫描?哦对不起,您的受权不够,须要购买xxxx受权.....扫描规定还是心愿能有一个高效可用的
  2. 对于本地镜像扫描我想排除一下主机 or 我压根没有运行过的镜像我不想扫描......我扫描本地镜像干嘛?我只想扫描我运行中的镜像。本地镜像很多只是我docker pull下来未运行的未关联容器的镜像我不想去扫描节约受权。

  3. 对于扫描后果心愿依照破绽等级排序。而后通过破绽名称查看所存在的镜像列表!当然了心愿能有更丰盛的图表化查看形式!

    4. 平安基线

    平安基线也是一个很不错的性能,当然了我更心愿把kubernetes放在后面:

    然而这ui抉择只能在下面呢?哈哈哈心愿微信等级 id这些的能够间接点击进行排序,毕竟这样更负责用户的集体习惯!

    另外:



我感觉这不是一个设计师设计的?能不能都带个箭头,让我点击显示处理倡议?尽量点击性能统一化。缩小客户的纠结工夫...我觉得很有必要......

其余

运行时平安 高级进攻 平安经营 告警设置 这几个性能没有进行较深刻的体验。这几个性能先疏忽了

总结

  1. 容器平安很有必要性。腾讯云的容器平安服务也是一个很新的服务,能够试用一下!
  2. 任重而道远。容器平安产品更应该去合乎用户的行为习惯,欠缺性能。施展更重要的作用。
  3. 容器平安团队的小伙伴很是不错。我是间接把体验反馈微信群吐糟了。而后第二天还专门拉取了一个会议,大家聊了一下各种的反馈。都很在意用户的感触。也心愿这个产品可能更加欠缺。施展更大的作用,帮用户保护容器的平安!
  4. 至于各种问题:资产的治理(依照tke集群展现资源or增加腾讯云自建kubernetes集群or集体自定义增加cvm组资源而后去展示).镜像平安仓库镜像:多样化的镜像扫描规定比方最新tag 指定镜像仓库namespace,嗯也包含第三方仓库?不晓得是否可行。本地镜像:主机组 tke or自建集群组扫描,屏蔽某些主机?只扫描运行中的image不去扫描未运行的镜像)多样化的图表。更多的搜寻排序形式。当然了,还有pipeline ci cd工具的能够接入。毕竟失常的扫描devsec都是在镜像构建时候扫描的?