Kerentanan CVE pada sistem operasi (OS) node dapat menyebabkan kebocoran data dan gangguan layanan yang mengancam stabilitas, keamanan, serta kepatuhan kluster Anda. Anda dapat mengaktifkan fitur patching kerentanan OS CVE untuk memindai node guna mendeteksi kerentanan keamanan, menerima rekomendasi patching, dan menerapkan perbaikan dengan cepat melalui Konsol.
Prasyarat
Untuk menggunakan fitur ini, Anda harus berlangganan Security Center Ultimate atau membeli fitur patching kerentanan (pay-as-you-go).
Catatan penggunaan
-
Security Center memastikan kompatibilitas patch CVE. Namun, Anda bertanggung jawab untuk memverifikasi kompatibilitas aplikasi kluster Anda dengan patch tersebut. Jika mengalami masalah selama proses patching kerentanan, Anda dapat menjeda atau membatalkan task kapan saja.
-
Jika patching kerentanan CVE memerlukan restart node, ACK akan melakukan drain terhadap node sebelum me-restart-nya.
-
Penggunaan resource kluster: Pastikan penggunaan resource kluster tidak terlalu tinggi agar tersedia ruang yang cukup untuk mengalokasikan pod selama operasi drain.
Untuk menjamin ketersediaan tinggi kluster, kami menyarankan melakukan scale out kelompok node dengan menambahkan lebih banyak node sebelum mengaktifkan fitur ini. Untuk informasi selengkapnya, lihat Scale kelompok node secara manual.
-
Batasan PodDisruptionBudget (PDB): Jika PDB dikonfigurasi, pastikan kluster memiliki resource yang cukup untuk operasi drain dan jumlah replika pod memenuhi persyaratan ketersediaan minimum dalam PDB. Jumlah replika pod harus lebih besar dari
spec.minAvailable. Jika aturan PDB ini tidak diperlukan, hapuslah. -
Penghentian Pod: Pastikan container dalam pod dapat menangani sinyal TERM (SIGTERM) dengan benar agar pod tidak gagal dihentikan dalam periode tenggang, yang dapat menyebabkan kegagalan operasi drain.
-
Timeout maksimum drain: Operasi drain memiliki timeout maksimum satu jam. Jika operasi drain tidak selesai dalam waktu tersebut, ACK akan menghentikan operasi berikutnya.
-
-
Saat mempatch kerentanan CVE yang memerlukan restart node, jika node target mencakup node GPU, kami menyarankan melakukan upgrade kernel secara manual untuk menghindari potensi masalah kompatibilitas driver GPU. Untuk informasi selengkapnya, lihat Upgrade kernel node GPU secara manual dalam kluster yang sudah ada.
-
Task patching kerentanan CVE dilakukan secara batch. Jika Anda menjeda atau membatalkan task, batch yang sedang berjalan akan tetap dilanjutkan hingga selesai, sedangkan batch yang tertunda akan dijeda atau dibatalkan.
-
Task patching kerentanan CVE dijalankan dalam jendela maintenance kluster yang telah dikonfigurasi. Jika task melebihi jendela maintenance, task tersebut akan dibatalkan secara otomatis. Batch yang sedang berjalan akan tetap dilanjutkan hingga selesai, sedangkan batch yang tertunda akan dibatalkan.
-
Hanya satu task patching kerentanan CVE yang dapat dijalankan dalam satu kelompok node pada satu waktu.
-
Jika sistem operasinya adalah ContainerOS, kami menyarankan mempatch kerentanan CVE melalui upgrade sistem operasi. Fitur patching kerentanan CVE hanya didukung pada ContainerOS 3.2 dan 3.3.
Untuk informasi selengkapnya mengenai versi ContainerOS, lihat Catatan rilis citra ContainerOS.
-
Jika Anda mengubah jendela maintenance, semua rencana patching kerentanan CVE yang dijadwalkan akan dibatalkan, dan rencana baru akan dijadwalkan kemudian.
Prosedur
Patching OS CVE otomatis
Kelompok Node Terkelola menyediakan kemampuan O&M otomatis untuk memperbaiki kerentanan CVE sistem operasi secara otomatis. Saat diaktifkan, ACK menjadwalkan dan mengeksekusi rencana perbaikan berdasarkan aturan task global. Perbaikan otomatis dilakukan dalam jendela maintenance yang telah dikonfigurasi. Karena ACK menerapkan perbaikan secara progresif, waktu penerapan perbaikan pada kelompok node yang rentan mungkin tertunda tergantung pada faktor seperti wilayah.
Mulai 5 Agustus 2025, parameter yang terkait dengan kebijakan patching otomatis kerentanan CVE akan disesuaikan. Untuk informasi selengkapnya, lihat Perubahan 3: Penyesuaian parameter yang terkait dengan kebijakan patching otomatis kerentanan keamanan.
Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
Di halaman Clusters, klik nama kluster Anda. Di panel navigasi kiri, klik .
-
Di kolom Actions kelompok node target, klik
lalu pilih Enable Managed Node Pool (untuk kelompok node standar) atau Configure Managed Node Pool (untuk Kelompok Node Terkelola). Atur mode Configure Managed Node Pool menjadi Managed Node Pool, lalu pilih tingkat keparahan kerentanan CVE yang akan dipatch secara otomatis.Fitur ini disediakan oleh Security Center dan memerlukan langganan edisi Enterprise atau lebih tinggi. ACK tidak membebankan biaya tambahan. Untuk Security Vulnerability Patching Level, Anda dapat memilih Critical, Medium, atau Low.
Saat ditemukan kerentanan keamanan pada kernel Linux, biasanya Anda perlu melakukan upgrade paket kernel dan me-restart node. Mengingat risiko stabilitas yang tinggi dari operasi ini, ACK secara default melewatkan patching kerentanan keamanan kernel. Kami menyarankan menangani kerentanan ini secara manual melalui mengganti sistem operasi atau mengikuti langkah-langkah dalam Patch OS CVE secara manual.
Jika Anda tetap ingin melakukan patching otomatis terhadap kerentanan kernel, submit a ticket untuk meminta perubahan ini.
Patching OS CVE manual
Anda juga dapat mempatch kerentanan CVE secara manual.
Masuk ke Konsol ACK. Di panel navigasi kiri, klik Clusters.
Di halaman Clusters, klik nama kluster Anda. Di panel navigasi kiri, klik .
-
Di halaman Node Pools, temukan kelompok node yang ingin Anda kelola. Di kolom Actions, klik
lalu pilih CVE Patching (OS) . -
Di area Vulnerabilities, pilih kerentanan yang akan dipatch. Di area Instance, pilih instans yang akan dipatch. Konfigurasikan Batch Repair Policy lalu klik Start Repair. Kemudian, ikuti petunjuk di layar.
Kebijakan perbaikan batch mencakup parameter berikut:
-
Maximum Parallel Nodes per Batch: Node dipatch terhadap kerentanan CVE secara batch. Jumlah node per batch berlipat ganda setiap batch (1, 2, 4, 8, dst.) hingga mencapai jumlah maksimum yang ditentukan. Semua batch berikutnya kemudian menggunakan jumlah maksimum tersebut. Misalnya, jika Anda menetapkan maksimum menjadi 4, batch pertama mempatch 1 node, batch kedua mempatch 2 node, dan batch ketiga serta selanjutnya mempatch 4 node.
-
Dry Run Mode: Jika Anda mengaktifkan mode ini, ACK mensimulasikan proses patching dan menghasilkan laporan tanpa benar-benar mempatch kerentanan.
-
Langkah berikutnya
Setelah task patching dimulai, Anda dapat mengontrol task tersebut dengan mengklik Pause, Continue, atau Cancel.