全部產品
Search
文件中心

Container Service for Kubernetes:修複節點池作業系統(OS)CVE漏洞

更新時間:Oct 11, 2024

節點作業系統中的CVE漏洞可能帶來叢集資料泄露、服務中斷等問題,對叢集的穩定性、安全性、合規性造成威脅。您可以啟用作業系統(OS)CVE漏洞修複功能,掃描節點上存在的安全性漏洞,獲得修複建議與方法,並在控制台上完成快速修複。

前提條件

本功能是阿里雲Security Center提供的進階功能,使用時需要開通Security Center的企業版或以上版本,且保證配額充足。ACK不額外收取費用。具體操作,請參見購買Security Center功能特性

注意事項

  • CVE的相容性由Security Center保證,請自行檢查叢集應用與CVE的相容性。如您在CVE修複過程中發現問題,您可以隨時暫停或取消修複任務。

  • 如果您的CVE漏洞修複時需要通過重啟節點來實現,當ACK需要重啟節點時,會在重啟節點前執行本節點的排水操作。

    • 叢集水位:水位不宜過高,需確保有充足的Pod分配空間,用於排水操作。

      為保證叢集高可用,建議您開啟此開關後,通過節點池擴容功能提前擴容出相應節點數。更多資訊,請參見擴縮容節點池

    • PDB限制:如果您配置了PDB,請確保叢集有足夠的資源用於排水,且Pod的副本數量滿足PDB規定的最小可用性(Pod副本數量>spec.minAvailable)要求。如果無需該PDB限制,請刪除該PDB規則。

    • Pod終止:需確保Pod內的容器能夠正常處理TERM(SIGTERM)訊號,避免Pod無法在寬限期限(Grace Period)內正常終止,繼而導致排水失敗。

    • 排水最大逾時時間:排水最大逾時時間為1小時,如超期後排水仍未成功,ACK仍然會繼續執行後續操作。

  • CVE修複是分批次進行的。CVE修複任務暫停或者取消後,已經下發了修複任務的批次會繼續執行直到完成,未下發的批次會暫停任務下發或取消任務下發。

  • 同一時間段內,一個節點池中僅支援一個CVE漏洞修複任務運行。

  • 如果需要修複ContainerOS作業系統的CVE漏洞,ContainerOS的版本需為3.2及以上。

  • 修改了營運視窗後,已排期的CVE修複營運計劃會被取消,等待下次重新排期。

操作步驟

作業系統CVE漏洞自動修複(推薦)

您可以啟用託管節點池,使用託管節點池提供的作業系統CVE漏洞自動修複功能。更多資訊,請參見託管節點池概述

啟用後,ACK會根據全域任務規則排期並執行修複計劃。自動修複任務一定會在您設定的營運視窗執行(但可能不會在下一個視窗期立即執行)。

  1. 登入Container Service管理主控台,在左側導覽列選擇叢集

  2. 叢集列表頁面,單擊目的地組群名稱,然後在左側導覽列,選擇節點管理 > 節點池

  3. 在目標節點池列表的操作列,單擊更多 >託管配置,在託管配置頁面,按照頁面提示配置自動修複的漏洞層級,以及必要時是否需要重啟節點以修複CVE漏洞。

作業系統CVE漏洞手動修複

如果您不想使用CVE漏洞自動修複功能,可通過以下方式手動修複CVE漏洞。

  1. 登入Container Service管理主控台,在左側導覽列選擇叢集

  2. 叢集列表頁面,單擊目的地組群名稱,然後在左側導覽列,選擇節點管理 > 節點池

  3. 節點池列表頁面的操作列,單擊目標節點池對應的更多>修複 CVE(OS)

  4. 漏洞列表地區勾選需要修複的漏洞,在執行個體列表地區勾選需要修複的執行個體,配置批量修複策略,然後單擊開始修複

    批量修複策略配置說明如下:

    • 每批次的最大並行數:節點池升級過程會根據設定的最大並行數,依次對節點進行CVE漏洞修複。每個批次的升級節點數依次為1、2、4、8……直至達到最大並行數。達到最大並行數後,每個批次都按最大並行數的節點進行升級。例如,最大並行數設定為4,那麼第一批升級的節點個數為1,第二批升級的節點個數為2,第三批升級的節點個數為4,以後每批的升級節點個數均為4。

    • DryRun模式:啟用後,ACK會進行類比修複,並產生相應報告,不會真正修複CVE漏洞。

  5. 查看提示資訊,單擊確定

後續步驟

完成上述操作後,您可以通過單擊暫停繼續取消按鈕控制CVE修複流程。