Containerd Schritt 1: Überprüfen Sie, ob der Patch für die Paketmanager veröffentlicht wurde Schritt 2: Wählen Sie die Methode zur Installation des Patches Schritt 2 a: Patchen mit nodeadm upgrade Schritt 2 b: Patchen mit Paketmanagern des Betriebssystems Schritt 2 c: Der Containerd CVE-Patch wurde nicht in den Paketmanagern veröffentlicht

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Patchen Sie Sicherheitsupdates für Hybridknoten

In diesem Thema wird das Verfahren zum direkten Patchen von Sicherheitsupdates für bestimmte Pakete und Abhängigkeiten beschrieben, die auf Ihren Hybridknoten ausgeführt werden. Als bewährte Methode empfehlen wir Ihnen, Ihre Hybridknoten regelmäßig zu aktualisieren, um Sicherheitspatches CVEs zu erhalten.

Schritte zum Upgrade der Kubernetes-Version finden Sie unter. Aktualisieren Sie Hybridknoten für Ihren Cluster

Ein Beispiel für Software, für die möglicherweise Sicherheitspatches erforderlich sind, ist. containerd

`Containerd`

containerdist die standardmäßige Kubernetes-Container-Laufzeit und Kernabhängigkeit für EKS-Hybridknoten. Sie wird für die Verwaltung des Container-Lebenszyklus verwendet, einschließlich des Abrufs von Images und der Verwaltung der Containerausführung. Auf einem Hybridknoten können Sie die Installation containerd über die Nodeadm-CLI oder manuell durchführen. Je nach Betriebssystem Ihres Nodes erfolgt die Installation über das containerd vom Betriebssystem verteilte Paket oder das Docker-Paket. nodeadm

Wenn ein CVE-In veröffentlicht containerd wurde, haben Sie die folgenden Optionen, um auf Ihren Hybrid-Knoten containerd auf die gepatchte Version von zu aktualisieren.

Schritt 1: Überprüfen Sie, ob der Patch für die Paketmanager veröffentlicht wurde

Sie können anhand der entsprechenden Sicherheitsbulletins überprüfen, ob der containerd CVE-Patch für die jeweiligen Betriebssystem-Paketmanager veröffentlicht wurde:

Wenn Sie das Docker-Repo als Quelle für verwendencontainerd, können Sie anhand der Sicherheitsankündigungen von Docker die Verfügbarkeit der gepatchten Version im Docker-Repo überprüfen.

Schritt 2: Wählen Sie die Methode zur Installation des Patches

Es gibt drei Methoden, um Sicherheitsupgrades direkt auf Knoten zu patchen und zu installieren. Welche Methode Sie verwenden können, hängt davon ab, ob der Patch vom Betriebssystem aus im Paketmanager verfügbar ist oder nicht:

Installieren Sie Patchesnodeadm upgrade, die in den Paketmanagern veröffentlicht wurden, siehe Schritt 2 a.
Installieren Sie Patches direkt mit den Paketmanagern, siehe Schritt 2 b.
Installieren Sie benutzerdefinierte Patches, die nicht in Paketmanagern veröffentlicht wurden. Beachten Sie, dass bei benutzerdefinierten Patches für containerd Schritt 2 c besondere Überlegungen zu beachten sind.

Schritt 2 a: Patchen mit `nodeadm upgrade`

Nachdem Sie bestätigt haben, dass der containerd CVE-Patch in den OS- oder Docker-Repos (entweder Apt oder RPM) veröffentlicht wurde, können Sie den nodeadm upgrade Befehl verwenden, um auf die neueste Version von zu aktualisieren. containerd Da es sich nicht um ein Upgrade der Kubernetes-Version handelt, müssen Sie Ihre aktuelle Kubernetes-Version an den Upgrade-Befehl übergeben. nodeadm


nodeadm upgrade K8S_VERSION --config-source file:///root/nodeConfig.yaml

Schritt 2 b: Patchen mit Paketmanagern des Betriebssystems

Alternativ können Sie das Update auch über den jeweiligen Paketmanager durchführen und damit das containerd Paket wie folgt aktualisieren.

Amazon Linux 2023


sudo yum update -y
sudo yum install -y containerd

RHEL


sudo yum install -y yum-utils
sudo yum-config-manager --add-repo https://download.docker.com/linux/rhel/docker-ce.repo
sudo yum update -y
sudo yum install -y containerd

Ubuntu


sudo mkdir -p /etc/apt/keyrings
sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc
echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/ubuntu \
  $(. /etc/os-release && echo "${UBUNTU_CODENAME:-$VERSION_CODENAME}") stable" | \
  sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt update -y
sudo apt install -y --only-upgrade containerd.io

Schritt 2 c: Der `Containerd` CVE-Patch wurde nicht in den Paketmanagern veröffentlicht

Wenn die gepatchte containerd Version nur auf andere Weise als im Paketmanager verfügbar ist, z. B. in GitHub Releases, können Sie sie containerd von der offiziellen GitHub Website aus installieren.

Wenn der Computer dem Cluster bereits als Hybridknoten beigetreten ist, müssen Sie den nodeadm uninstall Befehl ausführen.
Installieren Sie die offiziellen containerd Binärdateien. Sie können die Schritte verwenden, unter GitHub denen die offiziellen Installationsschritte beschrieben sind.
Führen Sie den nodeadm install Befehl mit dem --containerd-source Argument auf ausnone, wodurch die containerd Installation übersprungen wirdnodeadm. Sie können den Wert von none in der containerd Quelle für jedes Betriebssystem verwenden, das auf dem Knoten ausgeführt wird.
```
nodeadm install K8S_VERSION --credential-provider CREDS_PROVIDER --containerd-source none
```

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Aktualisieren Sie Hybridknoten

Löschen Sie Hybridknoten