本页面介绍从 Google Kubernetes Engine (GKE) 安全状况信息中心中移除漏洞扫描功能的事项。
漏洞扫描简介
借助 GKE 安全状况信息中心,您可以监控符合条件的工作负载,以查看是否存在安全配置错误和已知漏洞等问题。工作负载漏洞扫描使用以下层级,每个层级会扫描正在运行的容器的特定部分:
- 工作负载漏洞扫描 - 标准层级:扫描容器操作系统以查找漏洞。
- Advanced Vulnerability Insights:扫描容器操作系统和语言包以查找漏洞。
时间轴和里程碑
移除工作负载漏洞扫描功能的主要里程碑如下:
- 2025 年 7 月 31 日:标准层级的漏洞扫描功能将关停。这些扫描的结果不再显示在Google Cloud 控制台中。您将不会再在 Google Cloud 控制台中看到用于为 GKE 启用或停用漏洞扫描功能的选项。
- 2025 年 6 月 16 日:Advanced Vulnerability Insights 已弃用。扫描结果仍会显示在 GKE 安全状况信息中心内。有关弃用的信息性消息会显示在 Google Cloud 控制台中。
- 2026 年 6 月 16 日:Advanced Vulnerability Insights 结果将不再显示在 Google Cloud 控制台中。
对工作负载和集群的影响
移除工作负载漏洞扫描功能不会导致工作负载或集群中断。如果您在上一部分中列出的日期之前未采取任何措施,则只会发生以下变化:
- Google Cloud 控制台中的安全状况页面不会显示新的漏洞扫描结果。
- 如果相应漏洞扫描层级已弃用,您将无法在集群中启用该层级。
- 如果相应漏洞扫描层级被移除,您将无法查看该层级的历史结果。
- 您将无法在安全状况信息中心内查看现有扫描结果。
- 在使用此功能的现有集群中,工作负载漏洞扫描会处于停用状态。
Cloud Logging 中的现有日志会在配置的日志保留期限内保留在 _Default 日志存储桶中。
您可以采取的措施
如需在工作负载漏洞扫描功能被移除后扫描映像是否存在漏洞,不妨考虑以下方法:
- Artifact Analysis 为 Artifact Registry 中的容器映像提供了自动或按需漏洞扫描选项。如需了解详情,请参阅容器扫描概览。
Security Command Center 可以评估所部署 Pod 的映像是否存在漏洞。如需了解详情,请参阅以下安全资源:
停用漏洞扫描
如需在 GKE Standard 版本中移除漏洞扫描功能之前停止在集群中使用该功能,请参阅停用工作负载漏洞扫描。