热门搜索:
datadog/cws-instrumentation
datadog
Datadog CWS产品的小型检测边车容器
下载次数: 0状态:社区镜像维护者:datadog仓库类型:镜像最近更新:25 天前
Datadog CWS 工具化边车镜像
1. 镜像概述
Datadog CWS 工具化边车镜像是一个轻量级容器,设计为边车(sidecar)模式部署,专为 Datadog Cloud Workload Security (CWS) 产品提供工具化能力。其核心用途是辅助容器化应用与 Datadog CWS 集成,实现工作负载的安全监控、数据采集及工具化管理,支持 CWS 产品的安全事件检测、行为分析等核心功能落地。
2. 核心功能与特性
- 轻量级设计:镜像体积小(通常<50MB),资源占用低(默认内存消耗<30MB,CPU占用<5%),适合与主应用协同部署,无显著性能影响。
- CWS 原生集成:深度适配 Datadog CWS 产品,支持安全事件采集、工作负载行为监控、威胁检测规则同步等核心能力。
- 自动化工具化:内置工具化逻辑,可自动完成与 CWS 相关的数据预处理、格式转换及上报准备,减少人工配置成本。
- 跨环境兼容:支持 Docker、Kubernetes 等主流容器编排平台,兼容 Linux x86_64/arm64 架构。
3. 使用场景与适用范围
3.1 使用场景
- 容器化应用安全监控:在 Docker 或 Kubernetes 环境中,作为边车容器与主应用协同部署,为 Datad CWS 提供工具化支撑,实现主应用的安全监控与事件上报。
- CWS 规则落地:辅助 Datadog CWS 安全规则在容器环境中生效,包括进程行为监控、文件系统访问审计、网络连接跟踪等。
- 轻量化数据采集:针对资源受限场景(如边缘计算、嵌入式容器),提供低开销的 CWS 数据采集能力。
3.2 适用范围
- 所有需与 Datadog CWS 集成的容器化应用(支持 Docker 镜像、OCI 镜像规范)。
- Kubernetes 集群中 Deployment、StatefulSet、DaemonSet 等资源的边车注入场景。
- 兼容 Datadog Agent v7.40+ 及 CWS 产品最新版本,支持主流 Linux 发行版(Ubuntu 20.04+、CentOS 8+、Debian 11+)。
4. 使用方法与配置说明
4.1 前置条件
- 已获取 Datadog API 密钥(DD_API_KEY),可从 Datadog 控制台 获取。
- 已部署 Datadog Agent(推荐 v7.40+),且 Agent 可正常与 Datadog 后端通信(需配置
DD_API_KEY及DD_SITE)。 - 容器运行环境:Docker Engine 20.10+ 或 Kubernetes 1.21+。
4.2 Docker 运行示例
通过 docker run 命令直接部署边车容器,需与主应用共享网络命名空间以监控其进程:
bashdocker run -d \ --name datadog-cws-sidecar \ --network=container:<主应用容器ID> \ # 共享主应用网络,确保进程级监控 -e DD_API_KEY=<your-datadog-api-key> \ # 必选:Datadog API密钥 -e DD_SITE="datadoghq.com" \ # 可选:Datadog站点,默认datadoghq.com -e DD_CWS_INSTRUMENTATION_ENABLED="true" \ # 必选:启用CWS工具化 -e DD_LOG_LEVEL="info" \ # 可选:日志级别(debug/info/warn/error) -v /var/run/docker.sock:/var/run/docker.sock:ro \ # 采集容器元数据(可选) -v /proc:/host/proc:ro \ # 采集主机proc信息(可选) -v /sys/fs/cgroup:/host/sys/fs/cgroup:ro \ # 采集cgroup信息(可选) gcr.io/datadoghq/cws-sidecar:latest # 镜像地址(以Datadog官方为准)
4.3 Docker Compose 配置示例
在 docker-compose.yml 中定义主应用与边车容器的协同部署:
yamlversion: '3.8' services: main-app: image: your-main-app:latest # 主应用镜像 ports: - "8080:8080" # 主应用其他配置(环境变量、挂载等) cws-sidecar: image: gcr.io/datadoghq/cws-sidecar:latest depends_on: - main-app network_mode: "service:main-app" # 共享主应用网络命名空间 environment: - DD_API_KEY=<your-datadog-api-key> # 替换为实际API密钥 - DD_SITE=datadoghq.com - DD_CWS_INSTRUMENTATION_ENABLED=true - DD_LOG_LEVEL=info - DD_AGENT_HOST=host.docker.internal # 本地Docker环境下指向主机Agent volumes: - /var/run/docker.sock:/var/run/docker.sock:ro - /proc:/host/proc:ro - /sys/fs/cgroup:/host/sys/fs/cgroup:ro restart: always # 确保边车容器随主应用重启
4. 使用方法与配置说明(续)
4.4 核心配置参数(环境变量)
| 环境变量名 | 类型 | 是否必选 | 描述 |
|---|---|---|---|
DD_API_KEY | string | 是 | Datadog API密钥,用于身份验证,获取地址:[***] |
DD_SITE | string | 否 | Datadog站点,可选值:datadoghq.com(默认)、datadoghq.eu、ddog-gov.com |
DD_CWS_INSTRUMENTATION_ENABLED | bool | 是 | 是否启用CWS工具化能力,设为true启用 |
DD_LOG_LEVEL | string | 否 | 日志级别:debug/info(默认)/warn/error |
DD_AGENT_HOST | string | 否 | Datadog Agent地址,如Agent部署在主机,可设为主机IP或host.docker.internal(Docker Desktop) |
CWS_SCAN_INTERVAL | int | 否 | 安全扫描间隔(秒),默认30秒 |
CWS_IGNORE_PATHS | string | 否 | 忽略监控的路径,逗号分隔(如/tmp,/var/cache) |
4.5 挂载配置
建议根据监控需求挂载以下目录(只读权限):
/var/run/docker.sock:ro:获取容器元数据(如主应用容器ID、镜像信息)。/proc:/host/proc:ro:访问主机proc文件系统,采集进程、CPU、内存等指标。/sys/fs/cgroup:/host/sys/fs/cgroup:ro:获取cgroup信息,用于资源使用监控。/var/log:/host/var/log:ro:采集主应用日志(如主应用日志路径为/var/log/app)。
5. 注意事项
- 权限要求:边车容器需以非root用户运行(默认已配置),但挂载目录需确保只读权限(
ro),避免权限泄露。 - 版本兼容性:需与 Datadog Agent 版本匹配,推荐使用最新版边车镜像以确保功能同步。
- 资源限制:建议为边车容器设置资源限制(如 Kubernetes 中
resources.limits):内存限制128Mi,CPU限制100m。 - 安全最佳实践:敏感信息(如
DD_API_KEY)应通过密钥管理工具(如 Kubernetes Secrets)注入,避免明文配置。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 cws-instrumentation 镜像标签
docker pull docker.xuanyuan.run/datadog/cws-instrumentation:<标签>
DockerHub 原生拉取命令
docker pull datadog/cws-instrumentation:<标签>
更多 cws-instrumentation 镜像推荐
hashicorp/demo-prometheus-instrumentation
hashicorp
用于Nomad的Prometheus监控指南中的Docker镜像,主要支持Nomad环境下Prometheus监控的部署与配置,简化监控集成流程。
2 次收藏5万+ 次下载
7 年前更新
datadog/cws-instrumentation-dev
datadog
SR-389315
3.8千+ 次下载
1 个月前更新
otel/autoinstrumentation-java
otel
用于OpenTelemetry Operator的Java自动插桩代理。
3 次收藏10万+ 次下载
13 天前更新
otel/autoinstrumentation-nodejs
otel
用于OpenTelemetry Operator的NodeJS自动 instrumentation 代理。
1 次收藏10万+ 次下载
13 天前更新
otel/autoinstrumentation-go
otel
OpenTelemetry Operator 的 Golang 自动 instrumentation 代理,用于为 Golang 应用提供无需手动修改代码的可观测性数据收集能力。
3 次收藏10万+ 次下载
7 个月前更新
otel/autoinstrumentation-python
otel
OpenTelemetry Operator 使用的 Python 自动 instrumentation 代理。
1 次收藏5万+ 次下载
13 天前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
配置了专属域名后,docker search 为什么会报错?
docker search 限制
Docker Hub 上有的镜像,为什么在轩辕镜像网站搜不到?
站内搜不到镜像
机器不能直连外网时,怎么用 docker save / load 迁镜像?
离线 save/load
docker pull 拉插件报错(plugin v1+json)怎么办?
插件要用 plugin install
WSL 里 Docker 拉镜像特别慢,怎么排查和优化?
WSL 拉取慢
轩辕镜像安全吗?如何用 digest 校验镜像没被篡改?
安全与 digest
第一次用轩辕镜像拉 Docker 镜像,要怎么登录和配置?
新手拉取配置
轩辕镜像合规吗?轩辕镜像的合规是怎么做的?
镜像合规机制
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
docker 无法连接轩辕镜像域名怎么办?
域名连通性排查
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"