云容器引擎提供了CTyunOS的等保2.0標準三級版操作系統鏡像，該版本操作系統鏡像實現了國家信息安全部發布的《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》中對操作系統提出的大部分三級安全要求，其中主要安全加固模塊有：身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范。用戶可以為節點池的工作節點選擇實現了等保加固的CTyunOS操作系統。

使用方式

• 開通新集群在節點池訂購頁面選擇CTyunOS加固版操作系統鏡像。

• 新建節點池選擇CTyunOS加固版操作系統鏡像并擴容。

• 升級節點池功能中勾選更換操作系統并選擇加固版操作系統鏡像。

使用須知

• CTyunOS等保加固版本鏡像實現了《GB/T22239-2019信息安全技術網絡安全等級保護基本要求》中對操作系統提出的大部分第三級安全要求，但這并不代表該加固版操作系統可以確保通過第三方的操作系統等保加固標準測試，相關通過標準和風險需要用戶自行評估。

• 如需禁用root通過ssh登錄并創建管理員賬號進行系統管理請用戶運行/root/extra_enhance.py文件按指引執行。

• 部分未執行的加固項需要用戶根據實際需求自行完成，詳細見/root/extra_enhance.py文件輸出。

• 雖然等保加固版本的操作系統在性能上與普通版本的操作系統沒有顯著差距，但是加固項的引入會增加后期用戶的維護成本（如密碼管理、文件權限管理、日志審計等），因此，如無特殊需要仍建議用戶使用普通版本CTyunOS鏡像。

• CTyunOS等保加固版本鏡像對賬戶密碼做了一定的限制，用戶在使用過程中需要根據這些限制留意密碼的管理和維護，其中包括： 

  1、密碼有效期為90天，密碼到期后需要進行密碼重置以更新密碼的有效期。 

  2、密碼長度至少為8位，并且至少包含一個大寫字母、一個小寫字母、一個特殊字符以及一個數字字符，在云主機控制臺進行密碼重置時務必確認輸入的密碼符合該要求，否則密碼重置會失敗，如密碼test@2025會重置失敗，而Test@2025可以重置成功。 

  3、密碼重用次數最大為五次，重用次數超過五次將導致密碼重置失敗。 

  4、輸入密碼錯誤次數超過五次時將鎖定賬戶禁止登錄，鎖定時長為900秒。 

使用步驟

開通新集群在節點池訂購頁面選擇CTyunOS加固版操作系統鏡像。

開通新集群時可在節點池訂購頁面的操作系統配置選項中選擇帶有“Cybersecurity”字段版本號的CTyunOS操作系統，其中CTyunOS-23.01-Cybersecurity-x86_64(aarch64)為CTyunOS-23.01-x86_64(aarch64)操作系統的等保加固版本鏡像，CTyunOS-2.0.1-Cybersecurity-x86_64(aarch64)為CTyunOS-2.0.1-x86_64(aarch64)操作系統的等保加固版本鏡像，開通新集群的步驟參見：訂購集群。

新建節點池選擇CTyunOS加固版操作系統鏡像并擴容

新建節點池時也可以在操作系統配置項處為節點池選擇等保加固版本的操作系統，版本對應關系如前面所述， 新建節點池步驟參見節點池管理，節點池擴容步驟參見擴縮容節點池。

升級節點池功能中勾選更換操作系統并選擇加固版操作系統鏡像

節點池升級功能支持操作系統版本和類型的更換，可以通過勾選更換節點池的操作系統選項并選擇使用等保加固版本的CTyunOS操作系統，版本對應關系如前所述，升級和更換操作系統的操作步驟參見操作系統升級中有關升級節點池操作系統相關內容。

關于升級或更換節點池操作系統的特別說明

    升級節點池中的更換節點池操作系統功能通過節點重置方式實現，關于升級節點池、節點重置注意事項如下：     

• 重置節點將對節點操作系統進行重置安裝，節點上已運行的工作負載業務將會中斷，請在業務低峰期操作。

• 節點重置后系統盤，掛載kubelet、containerd的數據盤將會被清空，重置前請事先備份重要數據。

• 用戶節點如果有自行掛載了數據盤，重置完后會清除掛載信息，請事先備份重要數據，重置完成后請重新執行掛載行為，數據不會丟失。

• 節點上的工作負載實例的IP會發生變化，但是不影響容器網絡通信。

• 操作過程中，后臺會把當前節點設置為不可調度狀態。

• 節點重置會清除用戶單獨添加的 K8S 標簽和污點（通過節點池編輯功能添加的標簽、污點不會丟失），可能導致與節點有綁定關系的資源（本地存儲，指定調度節點的負載等）無法正常使用。請謹慎操作，避免對運行中的業務造成影響。

• 重置節點會導致與節點關聯的local-pv類型的PVC/PV數據丟失，無法恢復，且PVC/PV無法再正常使用。重置節點時使用了本地持久存儲卷的Pod會從重置的節點上驅逐，并重新創建Pod，Pod會一直處于

• pending狀態，因為Pod使用的PVC帶有節點標簽，由于沖突無法調度成功。節點重置完成后，Pod可能調度到重置好的節點上，此時Pod會一直處于creating狀態，因為PVC對應的底層邏輯卷已經不存在了。

• 重置節點使用的相關配置是節點所在節點池的最新配置。

更多升級節點池相關內容請參見升級節點池 、節點重置。