文档

修复节点池操作系统(OS)CVE漏洞

更新时间:

节点操作系统中的CVE漏洞可能带来集群数据泄露、服务中断等问题,对集群的稳定性、安全性、合规性造成威胁。您可以启用操作系统(OS)CVE漏洞修复功能,扫描节点上存在的安全漏洞,获得修复建议与方法,并在控制台上完成快速修复。

前提条件

本功能是阿里云云安全中心提供的高级功能,使用时需要开通云安全中心的企业版或以上版本,且保证配额充足。ACK不额外收取费用。具体操作,请参见购买云安全中心功能特性

注意事项

  • CVE的兼容性由云安全中心保证,请自行检查集群应用与CVE的兼容性。如您在CVE修复过程中发现问题,您可以随时暂停或取消修复任务。

  • 如果您的CVE漏洞修复时需要通过重启节点来实现,当ACK需要重启节点时,会在重启节点前执行本节点的排水操作。

    • 集群水位:水位不宜过高,需确保有充足的Pod分配空间,用于排水操作。

      为保证集群高可用,建议您打开此开关后,通过节点池扩容功能提前扩容出相应节点数。更多信息,请参见扩缩容节点池

    • PDB限制:如果您配置了PDB,请确保集群有足够的资源用于排水,且Pod的副本数量满足PDB规定的最小可用性(Pod副本数量>spec.minAvailable)要求。如果无需该PDB限制,请删除该PDB规则。

    • Pod终止:需确保Pod内的容器能够正常处理TERM(SIGTERM)信号,避免Pod无法在宽限期限(Grace Period)内正常终止,继而导致排水失败。

    • 排水最大超时时间:排水最大超时时间为1小时,如超期后排水仍未成功,ACK仍然会继续执行后续操作。

  • CVE修复是分批次进行的。CVE修复任务暂停或者取消后,已经下发了修复任务的批次会继续执行直到完成,未下发的批次会暂停任务下发或取消任务下发。

  • 同一时间段内,一个节点池中仅支持一个CVE漏洞修复任务运行。

  • 如果需要修复ContainerOS操作系统的CVE漏洞,ContainerOS的版本需为3.2及以上。

  • 修改了运维窗口后,已排期的CVE修复运维计划会被取消,等待下次重新排期。

操作步骤

操作系统CVE漏洞自动修复(推荐)

您可以启用托管节点池,使用托管节点池提供的操作系统CVE漏洞自动修复功能。更多信息,请参见托管节点池概述

启用后,ACK会根据全局任务规则排期并执行修复计划。自动修复任务一定会在您设定的运维窗口执行(但可能不会在下一个窗口期立即执行)。

  1. 登录容器服务管理控制台,在左侧导航栏选择集群

  2. 集群列表页面,单击目标集群名称,然后在左侧导航栏,选择节点管理 > 节点池

  3. 节点池列表页面的操作列,单击目标节点池对应的托管配置,在托管配置页面,按照页面提示配置自动修复的漏洞级别,以及必要时是否需要重启节点以修复CVE漏洞。

操作系统CVE漏洞手动修复

如果您不想使用CVE漏洞自动修复功能,可通过以下方式手动修复CVE漏洞。

  1. 登录容器服务管理控制台,在左侧导航栏选择集群

  2. 集群列表页面,单击目标集群名称,然后在左侧导航栏,选择节点管理 > 节点池

  3. 节点池列表页面的操作列,单击目标节点池对应的更多>修复 CVE(OS)

  4. 漏洞列表区域勾选需要修复的漏洞,在实例列表区域勾选需要修复的实例,配置批量修复策略,然后单击开始修复

    批量修复策略配置说明如下:

    • 每批次的最大并行数:节点池升级过程会根据设置的最大并行数,依次对节点进行CVE漏洞修复。每个批次的升级节点数依次为1、2、4、8……直至达到最大并行数。达到最大并行数后,每个批次都按最大并行数的节点进行升级。例如,最大并行数设置为4,那么第一批升级的节点个数为1,第二批升级的节点个数为2,第三批升级的节点个数为4,以后每批的升级节点个数均为4。

    • DryRun模式:启用后,ACK会进行模拟修复,并生成相应报告,不会真正修复CVE漏洞。

  5. 查看提示信息,单击确定

后续步骤

完成上述操作后,您可以通过单击暂停继续取消按钮控制CVE修复流程。

  • 本页导读 (1)