trendmicrocloudone/admission-controller Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
trendmicrocloudone/admission-controllertrendmicrocloudone
趋势科技Cloud One准入控制器是与Cloud One容器安全服务配合使用的组件,用于在Kubernetes集群中实施容器安全策略,在Pod创建阶段进行安全检查与控制,确保容器部署符合安全要求。
下载次数: 0状态:社区镜像维护者:trendmicrocloudone仓库类型:镜像最近更新:4 个月前
Trend Micro Cloud One准入控制器
概述
Trend Micro Cloud One准入控制器是趋势科技提供的容器安全组件,专门与Cloud One容器安全服务集成。该控制器在Kubernetes集群中作为准入Webhook运行,能够在Pod创建阶段拦截请求并强制执行预设的安全策略,有效阻止不符合安全要求的容器部署,从而提升集群整体安全性。
核心功能与特性
- 准入控制拦截:通过Kubernetes准入Webhook机制,在Pod创建前拦截API Server请求,执行安全策略检查。
- Cloud One服务集成:与Cloud One容器安全服务深度联动,实时获取最新安全策略、威胁情报和镜像扫描结果。
- 多维度策略执行:支持基于镜像漏洞、***软件、配置合规性(如非root用户、资源限制)等多维度的安全策略执行。
- 灵活策略配置:允许通过Cloud One控制台自定义安全策略,满足不同业务场景的安全需求。
- 审计与日志:详细记录策略检查结果、拦截事件及相关上下文信息,支持与外部日志系统集成(如ELK Stack、Splunk)。
使用场景与适用范围
- Kubernetes集群安全加固:为自建或托管Kubernetes集群(如EKS、AKS、GKE)提供深度安全防护。
- 容器镜像安全准入:阻止包含高危漏洞、***软件或不合规配置的镜像部署到生产环境。
- 合规性管理:满足***、***等行业合规要求(如PCI DSS、HIPAA),确保容器部署符合内部安全规范。
- DevSecOps集成:在CI/CD流水线末端(部署阶段)实施安全检查,将安全融入DevOps流程。
使用方法与配置说明
前置条件
- 已部署Kubernetes集群(版本1.19+),支持准入Webhook配置。
- 已订阅Cloud One容器安全服务,并获取有效的API密钥。
- 集群网络可访问Cloud One服务端点(需确保出站连接到
[***])。
部署步骤
方法1:通过Helm Chart部署(推荐)
-
添加Trend Micro Helm仓库:
bashhelm repo add trendmicro [***] helm repo update -
安装准入控制器(替换
<CLOUD_ONE_API_KEY>为实际密钥):bashhelm install cloudone-admission-controller trendmicro/cloudone-admission-controller \ --namespace cloudone-security --create-namespace \ --set cloudOne.apiKey=<CLOUD_ONE_API_KEY> \ --set policyServer.url=[***]
方法2:通过kubectl部署
-
下载部署YAML文件:
bashcurl -O [***] -
替换文件中的环境变量占位符(如
CLOUD_ONE_API_KEY),然后应用:bashkubectl apply -f deploy.yaml -n cloudone-security
配置参数
环境变量配置
| 参数名 | 描述 | 是否必填 | 默认值 |
|---|---|---|---|
| CLOUD_ONE_API_KEY | Cloud One账户API密钥,用于服务认证 | 是 | - |
| POLICY_SERVER_URL | Cloud One容器安全策略服务器地址 | 否 | [***] |
| LOG_LEVEL | 日志级别(debug/info/warn/error) | 否 | info |
| WEBHOOK_TIMEOUT | 准入检查超时时间(秒) | 否 | 30 |
| IGNORE_NAMESPACES | 忽略检查的命名空间(逗号分隔) | 否 | kube-system,kube-public |
自定义策略配置
通过Cloud One控制台([***]
- 镜像漏洞阈值(如阻止CVSS评分≥7.0的漏洞镜像)
- ***软件扫描开关
- 容器运行时配置检查(如禁止特权容器、主机网络共享)
- 镜像仓库白名单
部署验证
-
检查控制器Pod运行状态:
bashkubectl get pods -n cloudone-security -
测试策略执行(部署一个包含高危漏洞的测试镜像,验证是否被拦截):
bashkubectl run test-vulnerable --image=trendmicro/test-vulnerable-image:latest若策略生效,将返回类似“admission webhook denied the request”的错误信息。
注意事项
- 确保Kubernetes集群版本≥1.19,支持准入Webhook v1版本。
- 网络环境需允许控制器Pod访问Cloud One服务端点(443端口)。
- 定期更新控制器版本以获取最新安全特性和漏洞修复。
qualys/admission-controller
qualys
CS Sensor Team提供的用于传感器数据采集与处理的Docker镜像。
10万+ 次下载
2 个月前更新
couchbase/admission-controller
couchbase
Couchbase Autonomous Operator的动态准入控制器(DAC),在资源提交etcd前修改查询自定义资源,添加默认配置、维护向后兼容性,实时同步报告配置错误,是Operator必需组件,仅需单实例运行。
1 次收藏50万+ 次下载
2 个月前更新
sysdiglabs/admission-controller
sysdiglabs
暂无描述
5万+ 次下载
29 天前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"