節點操作系統中的CVE漏洞可能帶來集群數據泄露、服務中斷等問題,對集群的穩定性、安全性、合規性造成威脅。您可以啟用操作系統(OS)CVE漏洞修復功能,掃描節點上存在的安全漏洞,獲得修復建議與方法,并在控制臺上完成快速修復。
前提條件
本功能是阿里云云安全中心提供的高級功能,使用時需要開通云安全中心的企業版或以上版本,且保證配額充足。ACK不額外收取費用。具體操作,請參見購買云安全中心、功能特性。
注意事項
CVE的兼容性由云安全中心保證,請自行檢查集群應用與CVE的兼容性。如您在CVE修復過程中發現問題,您可以隨時暫停或取消修復任務。
如果您的CVE漏洞修復時需要通過重啟節點來實現,當ACK需要重啟節點時,會在重啟節點前執行本節點的排水操作。
集群水位:水位不宜過高,需確保有充足的Pod分配空間,用于排水操作。
為保證集群高可用,建議您打開此開關后,通過節點池擴容功能提前擴容出相應節點數。更多信息,請參見擴縮容節點池。
PDB限制:如果您配置了PDB,請確保集群有足夠的資源用于排水,且Pod的副本數量滿足PDB規定的最小可用性(Pod副本數量>
spec.minAvailable)要求。如果無需該PDB限制,請刪除該PDB規則。Pod終止:需確保Pod內的容器能夠正常處理TERM(SIGTERM)信號,避免Pod無法在寬限期限(Grace Period)內正常終止,繼而導致排水失敗。
排水最大超時時間:排水最大超時時間為1小時,如超期后排水仍未成功,ACK仍然會繼續執行后續操作。
CVE修復是分批次進行的。CVE修復任務暫停或者取消后,已經下發了修復任務的批次會繼續執行直到完成,未下發的批次會暫停任務下發或取消任務下發。
同一時間段內,一個節點池中僅支持一個CVE漏洞修復任務運行。
如果需要修復ContainerOS操作系統的CVE漏洞,ContainerOS的版本需為3.2及以上。
修改了運維窗口后,已排期的CVE修復運維計劃會被取消,等待下次重新排期。
操作步驟
操作系統CVE漏洞自動修復(推薦)
您可以啟用托管節點池,使用托管節點池提供的操作系統CVE漏洞自動修復功能。更多信息,請參見托管節點池概述。
啟用后,ACK會根據全局任務規則排期并執行修復計劃。自動修復任務一定會在您設定的運維窗口執行(但可能不會在下一個窗口期立即執行)。
登錄容器服務管理控制臺,在左側導航欄選擇集群。
在集群列表頁面,單擊目標集群名稱,然后在左側導航欄,選擇。
在目標節點池列表的操作列,單擊更多 >托管配置,在托管配置頁面,按照頁面提示配置自動修復的漏洞級別,以及必要時是否需要重啟節點以修復CVE漏洞。
操作系統CVE漏洞手動修復
如果您不想使用CVE漏洞自動修復功能,可通過以下方式手動修復CVE漏洞。
登錄容器服務管理控制臺,在左側導航欄選擇集群。
在集群列表頁面,單擊目標集群名稱,然后在左側導航欄,選擇。
在節點池列表頁面的操作列,單擊目標節點池對應的更多>修復 CVE(OS)。
在漏洞列表區域勾選需要修復的漏洞,在實例列表區域勾選需要修復的實例,配置批量修復策略,然后單擊開始修復。
批量修復策略配置說明如下:
每批次的最大并行數:節點池升級過程會根據設置的最大并行數,依次對節點進行CVE漏洞修復。每個批次的升級節點數依次為1、2、4、8……直至達到最大并行數。達到最大并行數后,每個批次都按最大并行數的節點進行升級。例如,最大并行數設置為4,那么第一批升級的節點個數為1,第二批升級的節點個數為2,第三批升級的節點個數為4,以后每批的升級節點個數均為4。
DryRun模式:啟用后,ACK會進行模擬修復,并生成相應報告,不會真正修復CVE漏洞。
查看提示信息,單擊確定。
后續步驟
完成上述操作后,您可以通過單擊暫停、繼續、取消按鈕控制CVE修復流程。