節點作業系統中的CVE漏洞可能帶來叢集資料泄露、服務中斷等問題,對叢集的穩定性、安全性、合規性造成威脅。您可以啟用作業系統(OS)CVE漏洞修複功能,掃描節點上存在的安全性漏洞,獲得修複建議與方法,並在控制台上完成快速修複。
前提條件
本功能是阿里雲Security Center提供的進階功能,使用時需要開通Security Center的企業版或以上版本,且保證配額充足。ACK不額外收取費用。具體操作,請參見購買Security Center、功能特性。
注意事項
CVE的相容性由Security Center保證,請自行檢查叢集應用與CVE的相容性。如您在CVE修複過程中發現問題,您可以隨時暫停或取消修複任務。
如果您的CVE漏洞修複時需要通過重啟節點來實現,當ACK需要重啟節點時,會在重啟節點前執行本節點的排水操作。
叢集水位:水位不宜過高,需確保有充足的Pod分配空間,用於排水操作。
為保證叢集高可用,建議您開啟此開關後,通過節點池擴容功能提前擴容出相應節點數。更多資訊,請參見擴縮容節點池。
PDB限制:如果您配置了PDB,請確保叢集有足夠的資源用於排水,且Pod的副本數量滿足PDB規定的最小可用性(Pod副本數量>
spec.minAvailable)要求。如果無需該PDB限制,請刪除該PDB規則。Pod終止:需確保Pod內的容器能夠正常處理TERM(SIGTERM)訊號,避免Pod無法在寬限期限(Grace Period)內正常終止,繼而導致排水失敗。
排水最大逾時時間:排水最大逾時時間為1小時,如超期後排水仍未成功,ACK仍然會繼續執行後續操作。
CVE修複是分批次進行的。CVE修複任務暫停或者取消後,已經下發了修複任務的批次會繼續執行直到完成,未下發的批次會暫停任務下發或取消任務下發。
同一時間段內,一個節點池中僅支援一個CVE漏洞修複任務運行。
如果需要修複ContainerOS作業系統的CVE漏洞,ContainerOS的版本需為3.2及以上。
修改了營運視窗後,已排期的CVE修複營運計劃會被取消,等待下次重新排期。
操作步驟
作業系統CVE漏洞自動修複(推薦)
您可以啟用託管節點池,使用託管節點池提供的作業系統CVE漏洞自動修複功能。更多資訊,請參見託管節點池概述。
啟用後,ACK會根據全域任務規則排期並執行修複計劃。自動修複任務一定會在您設定的營運視窗執行(但可能不會在下一個視窗期立即執行)。
登入Container Service管理主控台,在左側導覽列選擇叢集。
在叢集列表頁面,單擊目的地組群名稱,然後在左側導覽列,選擇。
在節點池列表頁面的操作列,單擊目標節點池對應的託管配置,在託管配置頁面,按照頁面提示配置自動修複的漏洞層級,以及必要時是否需要重啟節點以修複CVE漏洞。
作業系統CVE漏洞手動修複
如果您不想使用CVE漏洞自動修複功能,可通過以下方式手動修複CVE漏洞。
登入Container Service管理主控台,在左側導覽列選擇叢集。
在叢集列表頁面,單擊目的地組群名稱,然後在左側導覽列,選擇。
在節點池列表頁面的操作列,單擊目標節點池對應的更多>修複 CVE(OS)。
在漏洞列表地區勾選需要修複的漏洞,在執行個體列表地區勾選需要修複的執行個體,配置批量修複策略,然後單擊開始修複。
批量修複策略配置說明如下:
每批次的最大並行數:節點池升級過程會根據設定的最大並行數,依次對節點進行CVE漏洞修複。每個批次的升級節點數依次為1、2、4、8……直至達到最大並行數。達到最大並行數後,每個批次都按最大並行數的節點進行升級。例如,最大並行數設定為4,那麼第一批升級的節點個數為1,第二批升級的節點個數為2,第三批升級的節點個數為4,以後每批的升級節點個數均為4。
DryRun模式:啟用後,ACK會進行類比修複,並產生相應報告,不會真正修複CVE漏洞。
查看提示資訊,單擊確定。
後續步驟
完成上述操作後,您可以通過單擊暫停、繼續、取消按鈕控制CVE修複流程。