容器集群是如何建设审计能力的，集群管理员可以轻松的分析集群的安全风险，并采取应对策略？

一般分为平台和业务安全风险；
平台审计主要是平台操作记录，用于审计；
业务安全风险包括镜像安全(静态和运行态)、服务安全等，国内大厂一般都有镜像安全方案，一些初创公司也有。

   容器集群的审计是通过采集相关的审计日志来建设的，审计日志主要来源于k8s集群中的api-server，部署节点，以及重要敏感的云上业务等。 审计日志可以帮助集群管理人员记录或追溯不同用户的日常操作，是集群安全运维中重要的环节。
基于采集的审计日志，要开发审计报表功能，审计报表主要内容可以包含以下几方面：
1. 各类资源的详细操作；
2. 用户和组件对集群执行的操作；
3. 重要或者敏感业务的详细操作；
4. 重要操作（登录容器、访问保密字典、删除资源等）的详细列表 ；
5. 非法的，有安全隐患的网络资源请求记录等；

可以使用一些第三方的审计工具。谷歌的Grafeas为关于容器的元数据提供了一个公共API，包含从镜像、构建细节到安全漏洞

基于您的问题：我会分为从开源安全工具合国内商业工具两个方面来回答。
一、开源容器安全：

1. Docker Bench for Security 用于根据安全基准审核容器额度脚本
   2、Anchore  使用cve数据和用户定义策略检查容器安全性工具
   3、Dagda 用于扫描docker容器中的漏洞、病毒和漏洞的工具
   如上是我用过的开源容器安全产品
   二、国内商业化
   接下来说正在用的商业化产品  青藤云的，现在上的他家全套，包括主机安全和容器安全，对运维人员来说，简单省事。