操作场景
腾讯云容器镜像服务(Tencent Container Registry,TCR)企业版支持对托管的容器镜像进行安全扫描,生成扫描报告,暴露容器镜像内潜在的安全漏洞,并提供修复建议。容器镜像安全是云原生应用交付安全的重要一环,对上传的容器镜像进行及时安全扫描,并基于扫描结果选择阻断应用部署,可有效降低生产环境漏洞风险。
镜像部署阻断功能内置在命名空间层级,可选择开启该功能,并配置阻断规则及可忽略的镜像漏洞。开启该功能后,如容器客户端尝试拉取符合阻断策略的容器镜像,将被阻断,并返回相关报错说明。
前提条件
在使用镜像部署阻断功能前,您需要完成以下准备工作:
已成功 购买企业版实例。
如果使用子账号进行操作,请参考 企业版授权方案示例 提前为子账号授予对应实例的操作权限。
操作步骤
配置阻断策略
1. 登录 容器镜像服务 控制台,选择左侧导航栏中的命名空间。
2. 在“命名空间”页面中,单击需配置阻断策略的实例名称,进入命名空间详情页。
3. 在“部署安全”页,将启动阻断配置为已开启,并配置需要阻断的漏洞等级。如下图所示:n
配置漏洞白名单
已开启部署阻断后,可配置漏洞白名单,输入一条或多条 CVE ID,并用英文逗号分隔。如果镜像安全扫描结果中包含该漏洞 ID,将被阻断策略忽略。即如果该镜像内有一高危漏洞,但高危漏洞已被配置为白名单,则即便已配置阻断具有高危漏洞的镜像拉取,该镜像仍可正常拉取。