ノードのオペレーティングシステム (OS) の共通脆弱性識別子 (CVE) は、データ侵害、サービス中断、その他の問題を引き起こす可能性があります。これらの脆弱性は、クラスターの安定性、セキュリティ、コンプライアンスを脅かします。OS CVE パッチ適用機能を有効にすると、ノードのセキュリティ脆弱性をスキャンし、パッチ適用の推奨事項を受け取り、コンソールから迅速に修正を適用できます。
前提条件
この機能は Security Center が提供する高度な機能です。この機能を使用するには、Security Center の Pro、Enterprise、または Ultimate エディションにサブスクライブし、十分なクォータを確保する必要があります。ACK はこの機能に追加料金を請求しません。詳細については、「Security Center の購入」および「機能」をご参照ください。
使用上の注意
Security Center は CVE パッチの互換性を保証します。ただし、クラスターアプリケーションとこれらのパッチの互換性を確認する必要があります。パッチ適用プロセス中に問題が発生した場合は、いつでもパッチ適用ジョブを一時停止またはキャンセルできます。
CVE 脆弱性にパッチを適用するためにノードの再起動が必要な場合、ACK は再起動する前にノードをドレインします。
クラスターの使用状況: クラスターの使用率が高すぎないことを確認してください。ドレイン操作には十分な Pod の割り当てスペースが必要です。
高可用性を確保するために、この機能を有効にする前にノードプールをスケールアウトしてノードを追加することをお勧めします。詳細については、「ノードプールを手動でスケーリングする」をご参照ください。
PDB の制限: プラガブル・データベース (PDB) を設定した場合、クラスターにドレイン操作のための十分なリソースがあることを確認してください。Pod レプリカの数は、PDB で指定された最小可用性要件を満たす必要があります。Pod レプリカの数は、
spec.minAvailableの値より大きい必要があります。この PDB の制限が不要な場合は、PDB ルールを削除できます。Pod の終了: Pod 内のコンテナーが TERM (SIGTERM) シグナルを適切に処理できることを確認してください。これにより、Pod が猶予期間内に終了できなくなり、ドレイン操作が失敗するのを防ぎます。
最大ドレインタイムアウト: ドレイン操作の最大タイムアウト期間は 1 時間です。タイムアウト期間内にドレイン操作が成功しない場合、ACK は後続の操作を停止します。
ノードの再起動が必要な CVE 脆弱性にパッチを適用する際、ターゲットノードに GPU ノードが含まれている場合は、代わりに手動でカーネルをアップグレードすることをお勧めします。これにより、GPU ドライバーの互換性の問題を回避できます。詳細については、「既存のクラスター内の GPU ノードのカーネルを手動でアップグレードする」をご参照ください。
CVE パッチ適用ジョブはバッチで実行されます。ジョブが一時停止またはキャンセルされた場合、すでに開始されているバッチは完了するまで実行を継続します。保留中のバッチは一時停止またはキャンセルされます。
CVE パッチ適用ジョブは、設定されたクラスターのメンテナンスウィンドウ内で実行されます。ジョブの実行時間がメンテナンスウィンドウを超えた場合、ジョブの未完了部分は自動的にキャンセルされます。すでに開始されているバッチは完了するまで実行を継続します。保留中のバッチはキャンセルされます。
一度に 1 つのノードプールで実行できる CVE パッチ適用ジョブは 1 つだけです。
オペレーティングシステムが ContainerOS の場合、オペレーティングシステムをアップグレードして CVE 脆弱性を修正することをお勧めします。ContainerOS 3.2 および 3.3 のみが CVE 脆弱性修正機能をサポートしています。
ContainerOS のバージョンに関する詳細については、「ContainerOS イメージリリースノート」をご参照ください。
メンテナンスウィンドウを変更すると、スケジュールされた CVE パッチ適用計画はキャンセルされます。後で新しいスケジュールが作成されます。
手順
OS CVE 脆弱性の自動パッチ適用 (推奨)
マネージドノードプールは、OS CVE 脆弱性に自動的にパッチを適用できる自動化された運用保守 (O&M) 機能を提供します。この機能を有効にすると、ACK はグローバルなジョブのルールに基づいてパッチ適用計画をスケジュールし、実行します。自動パッチ適用は、設定されたメンテナンスウィンドウ内で実行されます。ACK はパッチ適用にプログレッシブプッシュ方式を使用するため、脆弱性が検出されてからノードプールにパッチが適用されるまでに遅延が生じる場合があります。遅延はリージョンなどの要因によって異なる場合があります。
2025 年 8 月 5 日から、自動 CVE 脆弱性パッチ適用ポリシーに関連するパラメーターが調整されます。詳細については、「変更 3: 自動セキュリティ脆弱性パッチ適用ポリシーに関連するパラメーターの調整」をご参照ください。
ACK コンソールにログインします。左側のナビゲーションウィンドウで、[クラスター] をクリックします。
クラスター ページで、管理するクラスターを見つけてその名前をクリックします。左側のナビゲーションウィンドウで、 を選択します。
ターゲットノードプールの [アクション] 列で、
をクリックします。次に、標準ノードプールには [マネージドノードプールを有効にする] を、マネージドノードプールには [マネージド設定] を選択します。[マネージド設定] モードを [マネージドノードプール] に設定し、自動的にパッチを適用したい CVE 脆弱性の深刻度レベルを選択します。
Linux カーネルソフトウェアでセキュリティ脆弱性が発見された後、通常はカーネルパッケージをアップグレードしてノードを再起動する必要があります。このような操作には高い安定性リスクが伴うため、ACK はデフォルトでカーネルのセキュリティ脆弱性のパッチ適用をスキップします。これらの脆弱性は、オペレーティングシステムを変更するか、OS CVE 脆弱性の手動パッチ適用の手順に従って手動で処理することをお勧めします。
それでもカーネルの脆弱性に自動的にパッチを適用する必要がある場合は、チケットを送信してこの変更をリクエストしてください。
OS CVE 脆弱性の手動パッチ適用
CVE 脆弱性に手動でパッチを適用することもできます。
ACK コンソールにログインします。左側のナビゲーションウィンドウで、[クラスター] をクリックします。
クラスター ページで、管理するクラスターを見つけてその名前をクリックします。左側のナビゲーションウィンドウで、 を選択します。
[ノードプール] ページで、管理したいノードプールを見つけます。[アクション] 列で
をクリックし、[CVE パッチ (OS)] を選択します。[脆弱性リスト] エリアで、パッチを適用したい脆弱性を選択します。[インスタンスリスト] エリアで、パッチを適用したいインスタンスを選択します。[バッチパッチポリシー] を設定し、[パッチ適用を開始] をクリックします。その後、画面の指示に従って操作を完了します。
バッチパッチポリシーには、次のパラメーターが含まれます。
バッチあたりの最大同時ノード数: ノードはバッチで CVE 脆弱性のパッチが適用されます。各バッチのノード数は、指定された最大同時ノード数に達するまで、1、2、4、8 のように順次増加します。最大数に達した後、後続の各バッチでは最大数のノードにパッチが適用されます。たとえば、最大同時ノード数を 4 に設定した場合、最初のバッチでは 1 つのノード、2 番目のバッチでは 2 つのノード、3 番目以降のバッチでは 4 つのノードにパッチが適用されます。
ドライランモード: このモードを有効にすると、ACK はパッチ適用プロセスをシミュレートし、レポートを生成します。CVE 脆弱性には実際にはパッチは適用されません。
次のステップ
パッチ適用ジョブが開始された後、[一時停止]、[再開]、または [キャンセル] をクリックして進行状況を制御できます。