本页面介绍从 GKE Standard 版本的 Google Kubernetes Engine (GKE) 安全状况信息中心中移除漏洞扫描功能的事项。如果您使用的是 GKE Enterprise,则此页面不适用于您。
漏洞扫描简介
借助 GKE 安全状况信息中心,您可以监控符合条件的工作负载,以查看是否存在安全配置错误和已知漏洞等问题。安全状况信息中心可与 GKE Enterprise 和 GKE Standard 版本搭配使用。
工作负载漏洞扫描使用以下层级,每个层级会扫描正在运行的容器的特定部分:
- 工作负载漏洞扫描 - 标准层级:扫描容器操作系统以查找漏洞。
- Advanced Vulnerability Insights:扫描容器操作系统和语言包以查找漏洞。
GKE Standard 版本中已弃用这两个层级的工作负载漏洞扫描。如果您使用 GKE Enterprise,则可以继续使用所有这些漏洞扫描功能。
时间轴和里程碑
预计将达到以下里程碑:
- 2025 年 7 月 31 日:如果您使用 GKE Standard 版本,漏洞扫描功能将不再在 Google Cloud 控制台中显示结果。除非您启用 GKE Enterprise,否则您将不会再在安全状况信息中心内看到用于启用或停用漏洞扫描的选项。
对工作负载和集群的影响
移除工作负载漏洞扫描功能不会导致工作负载或集群中断。如果您在 2025 年 7 月 31 日之前未针对 GKE Standard 版本采取任何措施,则只会发生以下变化:
- Google Cloud 控制台中的安全状况页面不再显示漏洞扫描结果。
- 您无法为使用 GKE Standard 版本的集群启用工作负载漏洞扫描。
- 您无法在 GKE Standard 版本集群的安全状况信息中心内查看现有扫描结果。
- 在使用此功能的现有集群中,工作负载漏洞扫描会处于停用状态。
Cloud Logging 中的现有日志会在配置的日志保留期限内保留在 _Default 日志存储桶中。
您可以采取的措施
在 GKE Standard 中移除漏洞扫描功能后,如需继续使用该功能,您必须在自己的环境中启用 GKE Enterprise。如需了解详情,请参阅启用 GKE Enterprise。
使用 Artifact Analysis 在 Artifact Registry 中启用容器映像扫描
Artifact Analysis 可为 Artifact Registry 中的容器映像提供自动或按需漏洞扫描选项。如需了解详情,请参阅容器扫描概览。
停用漏洞扫描
如需在 GKE Standard 版本中移除漏洞扫描功能之前停止在集群中使用该功能,请参阅停用工作负载漏洞扫描。