Common Vulnerabilities and Exposures (CVE) pada sistem operasi (OS) node dapat menyebabkan pelanggaran data, gangguan layanan, dan masalah lainnya. Kerentanan ini mengancam stabilitas, keamanan, dan kepatuhan kluster Anda. Anda dapat mengaktifkan fitur patching CVE OS untuk memindai kerentanan keamanan pada node, menerima rekomendasi patching, dan menerapkan perbaikan dengan cepat melalui Konsol.
Prasyarat
Fitur ini merupakan fitur lanjutan yang disediakan oleh Security Center. Untuk menggunakannya, Anda harus berlangganan edisi Pro, Enterprise, atau Ultimate dari Security Center serta memiliki kuota yang mencukupi. ACK tidak membebankan biaya tambahan untuk fitur ini. Untuk informasi selengkapnya, lihat Beli Security Center dan Fitur.
Catatan penggunaan
Security Center memastikan kompatibilitas patch CVE. Namun, Anda harus memverifikasi kompatibilitas aplikasi kluster Anda dengan patch tersebut. Jika mengalami masalah selama proses patching, Anda dapat menjeda atau membatalkan Tugas patching kapan saja.
Jika diperlukan restart node untuk memperbaiki kerentanan CVE, ACK akan mengosongkan (drain) node sebelum me-restart-nya.
Penggunaan kluster: Pastikan penggunaan kluster tidak terlalu tinggi. Diperlukan ruang alokasi Pod yang cukup untuk operasi drain.
Untuk memastikan ketersediaan tinggi, kami menyarankan melakukan scale out kelompok node dengan menambahkan lebih banyak node sebelum mengaktifkan fitur ini. Untuk informasi selengkapnya, lihat Scale kelompok node secara manual.
Batasan PDB: Jika Anda mengonfigurasi pluggable database (PDB), pastikan kluster memiliki sumber daya yang cukup untuk operasi drain. Jumlah replika Pod harus memenuhi persyaratan ketersediaan minimum yang ditentukan dalam PDB, yaitu lebih besar dari nilai
spec.minAvailable. Jika batasan PDB ini tidak diperlukan, Anda dapat menghapus aturan PDB tersebut.Penghentian Pod: Pastikan kontainer dalam Pod dapat menangani sinyal TERM (SIGTERM) dengan benar agar Pod tidak gagal dihentikan dalam periode tenggang, yang dapat menyebabkan kegagalan operasi drain.
Batas waktu maksimum drain: Operasi drain memiliki batas waktu maksimum 1 jam. Jika operasi drain tidak berhasil dalam batas waktu tersebut, ACK akan menghentikan operasi selanjutnya.
Saat memperbaiki kerentanan CVE yang memerlukan restart node, jika node target merupakan node GPU, kami menyarankan melakukan upgrade kernel secara manual untuk menghindari masalah kompatibilitas Driver GPU. Untuk informasi selengkapnya, lihat Upgrade kernel node GPU secara manual dalam kluster yang sudah ada.
Tugas patching CVE dieksekusi secara batch. Jika suatu Tugas dijeda atau dibatalkan, batch yang telah dimulai akan tetap berjalan hingga selesai, sedangkan batch yang tertunda akan dijeda atau dibatalkan.
Tugas patching CVE berjalan dalam Jendela pemeliharaan kluster yang dikonfigurasi. Jika waktu eksekusi Tugas melebihi Jendela pemeliharaan, bagian Tugas yang belum selesai akan dibatalkan secara otomatis. Batch yang telah dimulai akan tetap berjalan hingga selesai, sedangkan batch yang tertunda akan dibatalkan.
Hanya satu Tugas patching CVE yang dapat berjalan pada satu kelompok node dalam satu waktu.
Jika sistem operasinya adalah ContainerOS, kami menyarankan memperbaiki kerentanan CVE dengan meng-upgrade sistem operasi. Hanya ContainerOS 3.2 dan 3.3 yang mendukung fitur perbaikan kerentanan CVE.
Untuk informasi selengkapnya tentang versi ContainerOS, lihat Catatan rilis citra ContainerOS.
Jika Anda mengubah Jendela pemeliharaan, rencana patching CVE yang dijadwalkan akan dibatalkan dan jadwal baru akan dibuat nanti.
Prosedur
Patch kerentanan CVE OS secara otomatis (disarankan)
Kelompok node terkelola menyediakan kemampuan Operasi dan Pemeliharaan (O&M) otomatis yang memungkinkan Anda mempatch kerentanan CVE OS secara otomatis. Setelah fitur ini diaktifkan, ACK akan menjadwalkan dan menjalankan rencana patching berdasarkan aturan Tugas global. Patching otomatis berjalan dalam Jendela pemeliharaan yang dikonfigurasi. Karena ACK menggunakan metode dorong progresif untuk patching, mungkin terjadi penundaan sebelum patch diterapkan ke kelompok node setelah kerentanan terdeteksi. Penundaan ini dapat bervariasi tergantung pada faktor seperti wilayah.
Mulai 5 Agustus 2025, parameter yang terkait dengan kebijakan patching otomatis kerentanan CVE akan disesuaikan. Untuk informasi selengkapnya, lihat Perubahan 3: Penyesuaian parameter yang terkait dengan kebijakan patching otomatis kerentanan keamanan.
Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
Di halaman Clusters, temukan kluster yang ingin dikelola lalu klik namanya. Di panel navigasi kiri, pilih .
Di kolom Actions kelompok node target, klik
, lalu pilih Enable Managed Node Pool untuk kelompok node standar atau Managed Configuration untuk kelompok node terkelola. Atur mode Managed Configuration menjadi Managed Node Pool dan pilih tingkat keparahan kerentanan CVE yang ingin Anda patch secara otomatis.
Setelah ditemukan kerentanan keamanan pada perangkat lunak kernel Linux, biasanya Anda perlu meng-upgrade paket kernel dan me-restart node. Mengingat risiko stabilitas yang tinggi dalam operasi semacam ini, ACK secara default melewatkan patching kerentanan keamanan kernel. Kami menyarankan menangani kerentanan ini secara manual dengan mengganti sistem operasi atau dengan mengikuti langkah-langkah dalam Patch kerentanan CVE OS secara manual.
Jika Anda tetap perlu mempatch kerentanan kernel secara otomatis, kirim tiket untuk meminta perubahan ini.
Patch kerentanan CVE OS secara manual
Anda juga dapat mempatch kerentanan CVE secara manual.
Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
Di halaman Clusters, temukan kluster yang ingin dikelola lalu klik namanya. Di panel navigasi kiri, pilih .
Di halaman Node Pools, temukan kelompok node yang ingin dikelola. Di kolom Actions, klik
, lalu pilih Patch CVE (OS).Di area Vulnerability List, pilih kerentanan yang ingin dipatch. Di area Instance List, pilih instans yang ingin dipatch. Konfigurasikan Batch Patching Policy, lalu klik Start Patching. Ikuti petunjuk di layar untuk menyelesaikan operasi.
Kebijakan patching batch mencakup parameter berikut:
Maximum Number Of Concurrent Nodes Per Batch: Node dipatch untuk kerentanan CVE secara batch. Jumlah node dalam setiap batch meningkat secara bertahap, misalnya 1, 2, 4, dan 8, hingga mencapai jumlah maksimum node konkuren yang ditentukan. Setelah mencapai jumlah maksimum tersebut, setiap batch berikutnya akan mempatch jumlah maksimum node tersebut. Misalnya, jika jumlah maksimum node konkuren diatur menjadi 4, satu node dipatch pada batch pertama, dua node pada batch kedua, dan empat node pada batch ketiga serta seterusnya.
Dry Run Mode: Jika diaktifkan, ACK akan mensimulasikan proses patching dan menghasilkan laporan, tanpa benar-benar mempatch kerentanan CVE.
Langkah selanjutnya
Setelah Tugas patching dimulai, Anda dapat mengontrol progresnya dengan mengklik Pause, Resume, atau Cancel.