在舰队级层配置 GKE 安全状况信息中心功能

控制台

1. 在 Google Cloud 控制台中，前往 Feature Manager 页面。

   前往 Feature Manager

2. 在安全状况窗格中，点击配置。

3. 查看舰队级设置。您注册到舰队的所有新集群都会继承这些设置。

4. 可选：如需更改默认设置，请点击自定义舰队设置。在显示的自定义舰队默认配置对话框中，执行以下操作：

   1. 在配置审核部分，选择是应启用还是停用配置审核。
   2. 在漏洞扫描部分，选择所需的漏洞扫描级别；已停用、基本或高级（推荐）。
   3. 点击保存。

   如果您稍后为这些功能停用舰队级配置，则现有成员集群中的当前工作负载仍会进行扫描，并且您可以在安全状况信息中心上看到安全问题。 但是，除非您单独为这些集群启用安全状况功能，否则系统不会在您在该舰队中创建的任何新集群中扫描所担心的问题。

5. 如需将设置应用于新集群，请点击配置。

6. 在确认对话框中，点击确认。

7. 可选：将现有集群同步到默认设置：

   1. 在舰队中的集群列表中，选择您要同步的集群。
   2. 点击同步到舰队设置，然后在出现的确认对话框中点击确认。此操作可能需要几分钟才能完成。

gcloud

确保您的版本为 gcloud CLI 455.0.0 版或更高版本。

为新舰队配置默认设置

您可以创建空舰队，并启用所需的安全状况信息中心功能。

• 如需创建启用了工作负载配置审核的舰队，请运行以下命令：

  gcloud container fleet create --security-posture standard
  

• 如需创建启用了工作负载漏洞扫描的舰队，请运行以下命令：

  gcloud container fleet create --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
  

  将 VULNERABILITY_SCANNING_TIER 替换为以下某个值：

  • standard：扫描容器操作系统以查找已知漏洞。
  • enterprise：扫描容器操作系统和语言包以查找已知漏洞。

为现有舰队配置默认设置

• 如需在现有舰队上启用工作负载配置审核，请运行以下命令：

  gcloud container fleet update --security-posture standard
  

• 如需在现有舰队上启用工作负载漏洞扫描，请运行以下命令：

  gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
  

  将 VULNERABILITY_SCANNING_TIER 替换为以下某个值：

  • standard：扫描容器操作系统以查找已知漏洞。
  • enterprise：扫描容器操作系统和语言包以查找已知漏洞。

• 如需更改现有舰队上的工作负载漏洞扫描层级，请执行以下操作：

  1. 检查舰队中的现有安全状况信息中心设置：

     gcloud container fleet describe
     

  2. 将前面所述的 update 命令用于您要更改为的目标工作负载扫描层级：

     gcloud container fleet update --workload-vulnerability-scanning VULNERABILITY_SCANNING_TIER
     

在舰队级层停用安全状况信息中心功能

• 如需停用工作负载配置审核，请运行以下命令：

  gcloud container fleet update --security-posture disabled
  

• 如需停用工作负载漏洞扫描，请运行以下命令：

  gcloud container fleet update --workload-vulnerability-scanning disabled
  

如果您为这些功能停用舰队级配置，则现有成员集群中的当前工作负载仍会进行扫描，并且您可以在安全状况信息中心上查看安全问题。但是，除非您单独为这些集群启用安全状况功能，否则系统不会在您在该舰队中创建的任何新集群中扫描所担心的问题。