ノードのオペレーティングシステム (OS) に存在する CVE 脆弱性は、データ侵害やサービス中断を引き起こす可能性があり、クラスターの安定性、セキュリティ、コンプライアンスを脅かします。OS の CVE 脆弱性パッチ適用機能を有効にすると、ノードのセキュリティ脆弱性をスキャンし、パッチ適用の推奨事項を受け取り、コンソールから迅速に修正を適用できます。
前提条件
この機能を使用するには、Security Center の Ultimate エディションにサブスクライブするか、脆弱性パッチ (従量課金) 機能を購入する必要があります。
注意事項
-
Security Center は CVE パッチの互換性を保証しますが、ご利用のクラスターアプリケーションとこれらのパッチとの互換性を確認する責任はお客様にあります。脆弱性のパッチ適用プロセス中に問題が発生した場合は、いつでもタスクを一時停止またはキャンセルできます。
-
CVE 脆弱性のパッチ適用にノードの再起動が必要な場合、Container Service for Kubernetes (ACK) は再起動の前にノードをドレインします。
-
クラスターのリソース使用量:クラスターのリソース使用率が高すぎないようにしてください。ドレイン操作のために Pod を割り当てるのに十分なスペースがあることを確認してください。
クラスターの高可用性を確保するために、この機能を有効にする前にノードプールをスケールアウトしてノードを追加することを推奨します。詳細については、「ノードプールの手動スケールアウト」をご参照ください。
-
PodDisruptionBudget (PDB) の制約:PDB が設定されている場合、クラスターにドレイン操作のための十分なリソースがあり、Pod レプリカの数が PDB の最小可用性要件を満たしていることを確認してください。Pod レプリカの数は
spec.minAvailableより大きい必要があります。この PDB ルールが不要な場合は、削除してください。 -
Pod の終了: Pod 内のコンテナが TERM (SIGTERM) 信号を正しく処理できるようにしてください。これにより、Pod が猶予期間内に終了できず、ドレイン操作が失敗するのを防ぎます。
-
ドレインの最大タイムアウト:ドレイン操作の最大タイムアウトは 1 時間です。この時間内にドレイン操作が完了しない場合、ACK は後続の操作を停止します。
-
-
ノードの再起動が必要な CVE 脆弱性にパッチを適用する際、対象ノードに GPU ノードが含まれる場合は、代わりに手動でカーネルをアップグレードすることを推奨します。これにより、GPU ドライバーの互換性の問題が発生する可能性を回避できます。詳細については、「既存クラスター内の GPU ノードのカーネルを手動でアップグレードする」をご参照ください。
-
CVE 脆弱性のパッチ適用タスクはバッチで実行されます。タスクを一時停止またはキャンセルした場合、すでに進行中のバッチは完了するまで継続されます。保留中のバッチは一時停止またはキャンセルされます。
-
CVE 脆弱性のパッチ適用タスクは、設定されたクラスターのメンテナンスウィンドウ内で実行されます。タスクがメンテナンスウィンドウを超えた場合、自動的にキャンセルされます。すでに進行中のバッチは完了するまで継続されますが、保留中のバッチはキャンセルされます。
-
一度に 1 つのノードプールで実行できる CVE 脆弱性パッチ適用タスクは 1 つだけです。
-
オペレーティングシステムが ContainerOS の場合、オペレーティングシステムをアップグレードして CVE 脆弱性にパッチを適用することを推奨します。CVE 脆弱性パッチ適用機能は、ContainerOS 3.2 および 3.3 でのみサポートされています。
詳細については、「ContainerOS イメージのリリースノート」をご参照ください。
-
メンテナンスウィンドウを変更すると、スケジュールされている CVE 脆弱性パッチ適用計画はすべてキャンセルされます。新しい計画は後でスケジュールされます。
操作手順
OS の CVE の自動パッチ適用
マネージド型ノードプールは、オペレーティングシステムの CVE 脆弱性を自動的に修復するための自動 O&M 機能を提供します。有効にすると、ACK はグローバルタスクルールに基づいて修復計画をスケジュールし、実行します。自動修復は、設定されたメンテナンスウィンドウ内で実行されます。ACK は修正を段階的に展開するため、リージョンなどの要因によっては、脆弱なノードプールに修正が適用される正確な時間が遅れる場合があります。
2025 年 8 月 5 日以降、自動 CVE 脆弱性パッチ適用ポリシーに関連するパラメーターが調整されます。詳細については、「変更 3:自動セキュリティ脆弱性パッチ適用ポリシーに関連するパラメーターの調整」をご参照ください。
ACK コンソールにログインします。左側のナビゲーションウィンドウで、クラスターリスト をクリックします。
クラスターリスト ページで、対象のクラスター名をクリックします。左側のナビゲーションウィンドウで、 をクリックします。
-
対象のノードプールの アクション 列で
をクリックし、マネージド型ノードプールの有効化 (標準ノードプールの場合) または マネージド設定 (マネージド型ノードプールの場合) を選択します。マネージド設定 モードを マネージド型ノードプール に設定し、自動的にパッチを適用する CVE 脆弱性の重大度レベルを選択します。この機能は Security Center によって提供され、Enterprise エディション以上のサブスクリプションが必要です。ACK は追加料金を請求しません。[セキュリティ脆弱性のパッチ適用レベル] では、[緊急]、[中]、または [低] を選択できます。
Linux カーネルでセキュリティ脆弱性が発見された場合、通常はカーネルパッケージをアップグレードしてノードを再起動する必要があります。これらの操作は安定性に関するリスクが高いため、ACK はデフォルトでカーネルのセキュリティ脆弱性のパッチ適用をスキップします。これらの脆弱性は、オペレーティングシステムを変更するか、「OS の CVE の手動パッチ適用」の手順に従って手動で対処することを推奨します。
カーネルの脆弱性に自動でパッチを適用する必要がある場合は、チケットを送信してこの変更をリクエストしてください。
OS の CVE の手動パッチ適用
CVE 脆弱性は手動でパッチを適用することもできます。
ACK コンソールにログインします。左側のナビゲーションウィンドウで、クラスターリスト をクリックします。
クラスターリスト ページで、対象のクラスター名をクリックします。左側のナビゲーションウィンドウで、 をクリックします。
-
ノードプール ページで、管理したいノードプールを見つけます。アクション 列で
をクリックし、CVE の修復 (OS) を選択します。 -
脆弱性 エリアで、パッチを適用する脆弱性を選択します。インスタンス エリアで、パッチを適用するインスタンスを選択します。一括修復ポリシー を設定し、修復の開始 をクリックします。その後、画面の指示に従います。
バッチ修復ポリシーには、次のパラメーターが含まれます:
-
1 回の修復で修復可能なノード数の上限:ノードにはバッチで CVE 脆弱性のパッチが適用されます。バッチあたりのノード数は、指定された最大値に達するまで、各バッチで倍増します (1、2、4、8...)。それ以降のすべてのバッチでは最大数が使用されます。たとえば、最大値を 4 に設定した場合、最初のバッチでは 1 ノード、2 番目のバッチでは 2 ノード、3 番目以降のすべてのバッチでは 4 ノードにパッチが適用されます。
-
ドライランモード:このモードを有効にすると、ACK は実際に脆弱性にパッチを適用することなく、パッチ適用プロセスをシミュレートしてレポートを生成します。
-
次のステップ
パッチ適用タスクが開始された後、一時停止、続行、または キャンセル をクリックしてタスクを制御できます。