新兴的容器技术Docker在诞生后,因其高效率被广泛应用,随之而来的安全问题也开始受到关注。Docker面临的主要安全问题包括多租户、内部DoS攻击、恶意镜像、全局性安全评估等。目前的解决方法中,大多难以用于实际应用场景。而Docker官方给出安全文档CIS Docker Benchmark,却没给出可以定量评估容器安全的方法。同时,Docker官方给出的安全审计工具,不适用于容器集群环境。在资源监控上,常用的工具cAdvisor也并非为集群环境设计。本文针对上述的问题,结合Docker的集群应用环境,给出了一套高效的安全审计与监控方案。具体工作如下:1)本文在安全标准文档的基础上,给出了节点的定量评估模型。设计并实现了对容器集群的节点进行安全审计和监控的工具sec-Agent,作为安装在节点上的代理工具,它的资源消耗低于cAdvisor。sec-Agent使用定量评估模型可以计算出节点的独立评分,表示节点安全状态。此外,它包含采集容器资源使用率的模块。2)本文结合容器集群中存在的渗透攻击图,建立了基于贝叶斯网络的全局安全评估模型。通过设计与实现sec-Master平台采集和分析所有容器的安全数据,计算容器集群的全局安全评分,用于评估容器集群的全局安全。实验证明,全局安全评分能够代表容器集群的安全状态。3)为了解决容器集群中大量的安全数据带来的安全管理问题,本文通过可视化技术,设计与实现容器资源动态监控界面及sec-Board界面。其中资源监控界面相比于cAdvisor的界面,在浏览器端平均消耗的资源更少。sec-Board界面能够实时的展示容器集群的结构及安全状况,帮助管理者定位容器集群中存在的高风险容器,直观的掌握容器集群的威胁分布情况。