节点操作系统中的CVE漏洞可能带来集群数据泄露、服务中断等问题,对集群的稳定性、安全性、合规性造成威胁。您可以启用操作系统(OS)CVE漏洞修复功能,扫描节点上存在的安全漏洞,获得修复建议与方法,并在控制台上完成快速修复。
前提条件
本功能是阿里云云安全中心提供的高级功能,使用时需要开通云安全中心的企业版或以上版本,且保证配额充足。ACK不额外收取费用。具体操作,请参见购买云安全中心、功能特性。
注意事项
CVE的兼容性由云安全中心保证,请自行检查集群应用与CVE的兼容性。如您在CVE修复过程中发现问题,您可以随时暂停或取消修复任务。
如果您的CVE漏洞修复时需要通过重启节点来实现,当ACK需要重启节点时,会在重启节点前执行本节点的排水操作。
集群水位:水位不宜过高,需确保有充足的Pod分配空间,用于排水操作。
为保证集群高可用,建议您打开此开关后,通过节点池扩容功能提前扩容出相应节点数。更多信息,请参见手动扩缩容节点池。
PDB限制:如果您配置了PDB,请确保集群有足够的资源用于排水,且Pod的副本数量满足PDB规定的最小可用性(Pod副本数量>
spec.minAvailable)要求。如果无需该PDB限制,请删除该PDB规则。Pod终止:需确保Pod内的容器能够正常处理TERM(SIGTERM)信号,避免Pod无法在宽限期限(Grace Period)内正常终止,继而导致排水失败。
排水最大超时时间:排水最大超时时间为1小时,如超期后排水仍未成功,ACK仍然会继续执行后续操作。
CVE修复是分批次进行的。CVE修复任务暂停或者取消后,已经下发了修复任务的批次会继续执行直到完成,未下发的批次会暂停任务下发或取消任务下发。
同一时间段内,一个节点池中仅支持一个CVE漏洞修复任务运行。
如果需要修复ContainerOS操作系统的CVE漏洞,ContainerOS的版本需为3.2及以上。
修改了运维窗口后,已排期的CVE修复运维计划会被取消,等待下次重新排期。
操作步骤
操作系统CVE漏洞自动修复(推荐)
您可以启用托管节点池,使用托管节点池提供的操作系统CVE漏洞自动修复功能。更多信息,请参见托管节点池概述。
启用后,ACK会根据全局任务规则排期并执行修复计划。自动修复任务一定会在您设定的运维窗口执行(但可能不会在下一个窗口期立即执行)。
登录容器服务管理控制台,在左侧导航栏选择集群列表。
在集群列表页面,单击目标集群名称,然后在左侧导航栏,选择。
在目标节点池列表的操作列,单击更多 >托管配置,在托管配置页面,按照页面提示配置自动修复的漏洞级别,以及必要时是否需要重启节点以修复CVE漏洞。
操作系统CVE漏洞手动修复
如果您不想使用CVE漏洞自动修复功能,可通过以下方式手动修复CVE漏洞。
登录容器服务管理控制台,在左侧导航栏选择集群列表。
在集群列表页面,单击目标集群名称,然后在左侧导航栏,选择。
在节点池列表页面的操作列,单击目标节点池对应的更多>修复 CVE(OS)。
在漏洞列表区域勾选需要修复的漏洞,在实例列表区域勾选需要修复的实例,配置批量修复策略,然后单击开始修复。
批量修复策略配置说明如下:
每批次的最大并行数:节点池升级过程会根据设置的最大并行数,依次对节点进行CVE漏洞修复。每个批次的升级节点数依次为1、2、4、8……直至达到最大并行数。达到最大并行数后,每个批次都按最大并行数的节点进行升级。例如,最大并行数设置为4,那么第一批升级的节点个数为1,第二批升级的节点个数为2,第三批升级的节点个数为4,以后每批的升级节点个数均为4。
DryRun模式:启用后,ACK会进行模拟修复,并生成相应报告,不会真正修复CVE漏洞。
查看提示信息,单击确定。
后续步骤
完成上述操作后,您可以通过单击暂停、继续、取消按钮控制CVE修复流程。