阿里云云安全产品会定期扫描用户ECS上的安全漏洞,并提供修复建议与方法,容器服务ACK从节点池的视角通过云安全中心提供一键修复节点池高危CVE漏洞的便捷能力。本文介绍容器服务ACK节点池的CVE漏洞修复功能。
前提条件
CVE漏洞修复功能是云安全提供的高级功能,您需要到云安全中心控制台购买云安全的高级版、企业版或旗舰版,才能正常使用节点池CVE漏洞修复功能。更多信息,请参见漏洞修复概述。
注意事项
某些CVE的修复可能需要重启节点,容器服务在重启节点前会先执行本节点的排水操作,请确保集群有充足的节点用于排水操作。建议您在启动修复的时候通过节点池扩容功能提前扩容出相应节点数用于高可用。
对于需要重启节点生效的CVE,重启CVE前会执行节点排水操作,排水会执行30分钟的PDB规则,请合理配置PDB策略。
CVE的兼容性由云安全中心保证,请检查应用与CVE的兼容性,您可以在修复过程中随时暂停或者取消修复。
CVE修复是分批次进行的,单击暂停或者取消CVE修复后,已经下发了修复任务的批次会继续执行直到完成,未下发的批次会暂停任务下发或取消任务下发。
同一时间段内,一个节点池中仅支持一个CVE漏洞修复任务运行。
操作步骤
- 登录容器服务管理控制台,在左侧导航栏选择集群。
- 在集群列表页面,单击目标集群名称,然后在左侧导航栏,选择。
在节点池列表页面中,单击目标节点池操作列下的CVE修复,或者更多>CVE修复。
在漏洞列表区域勾选需要修复的漏洞,在实例列表区域勾选需要修复的实例,配置批量修复策略。其他参数按照提示信息配置,然后单击开始修复。
查看提示信息,单击确定。
查看修复进度与事件。
后续步骤
完成上述操作后,您可以通过单击暂停、继续、取消按钮控制修复流程。