关于运行容器的监控问题？

您的问题可以分开考虑：
1）漏洞利用、逃逸攻击属于典型的安全问题，应采用专业的容器安全工具进行实时入侵检测。容器安全工具会监控进程执行、文件读写、网络流量来发现异常，匹配检测规则来判定容器是否遭受到了网络攻击。但这类容器安全工具不是运维层面的监控工具（Zabbix/Prometheus），所以也没有监控指标和阈值标准。
因为网络安全攻防类似于矛与盾，是一个动态的持续的对抗升级状态，所以入侵检测功能需要持续更新规则，持续运营。
2）资源耗尽风险，有可能是网络安全问题，也有可能是软件自身质量问题。好在容器本身是可以限制资源额度，所以影响也通常限制在当前容器，而不是整个容器云。

• a.如果是软件自身质量问题，例如内存溢出，导致的资源耗尽，可以通过Prometheus实时监控 CPU和内存资源使用情况，当超过设定阈值时触发告警。这个阈值通常设定为上限的90%。
• b.如果是中招挖矿病毒，也可能会出现资源耗尽情况。 Prometheus可以监控告警，容器安全工具也可以检测病毒样本或者发现连接到矿池的异常连接。

最后回答一下关于工具名称的问题。监控工具已在上文中提到，最常见的开源工具是Prometheus，很普及了。容器安全工具可以考虑开源的StackRox、NeuVector，或者采购商业化的容器安全产品，国内有几家做得还不错。