Containerd Étape 1 : vérifier si le correctif a été publié dans les gestionnaires de packages Étape 2 : Choisissez la méthode d'installation du correctif Étape 2 a : Appliquer des correctifs avec nodeadm upgrade Étape 2 b : Appliquer des correctifs à l'aide des gestionnaires de packages du système d'exploitation Étape 2 c : le correctif Containerd CVE n'est pas publié dans les gestionnaires de packages

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Mises à jour de sécurité des correctifs pour les nœuds hybrides

Cette rubrique décrit la procédure permettant d'appliquer des correctifs sur place aux mises à jour de sécurité pour des packages et dépendances spécifiques exécutés sur vos nœuds hybrides. En tant que bonne pratique, nous vous recommandons de mettre régulièrement à jour vos nœuds hybrides pour recevoir CVEs des correctifs de sécurité.

Pour connaître les étapes de mise à niveau de la version de Kubernetes, consultez. Mettez à niveau les nœuds hybrides pour votre cluster

Voici un exemple de logiciel susceptible de nécessiter des correctifs de sécurité. containerd

`Containerd`

containerdest le moteur d'exécution standard des conteneurs Kubernetes et la principale dépendance des nœuds hybrides EKS, utilisés pour gérer le cycle de vie des conteneurs, notamment l'extraction d'images et la gestion de l'exécution des conteneurs. Sur un nœud hybride, vous pouvez effectuer l'installation containerd via la CLI nodeadm ou manuellement. Selon le système d'exploitation de votre nœud, l'installation nodeadm se fera containerd à partir du package distribué par le système d'exploitation ou du package Docker.

Lorsqu'un fichier CVE containerd a été publié, vous disposez des options suivantes pour passer à la version corrigée de containerd sur vos nœuds hybrides.

Étape 1 : vérifier si le correctif a été publié dans les gestionnaires de packages

Vous pouvez vérifier si le correctif containerd CVE a été publié dans chaque gestionnaire de packages de système d'exploitation en consultant les bulletins de sécurité correspondants :

Si vous utilisez le dépôt Docker comme source decontainerd, vous pouvez consulter les annonces de sécurité Docker pour identifier la disponibilité de la version corrigée dans le référentiel Docker.

Étape 2 : Choisissez la méthode d'installation du correctif

Il existe trois méthodes pour appliquer des correctifs et installer des mises à niveau de sécurité sur place sur les nœuds. La méthode que vous pouvez utiliser dépend de la disponibilité ou non du correctif depuis le système d'exploitation dans le gestionnaire de packages :

Installez les correctifs nodeadm upgrade qui sont publiés dans les gestionnaires de packages, voir Étape 2 a.
Installez les correctifs directement avec les gestionnaires de packages, voir Étape 2 b.
Installez des correctifs personnalisés qui ne sont pas publiés dans les gestionnaires de packages. Notez qu'il existe des considérations spéciales pour les correctifs personnalisés pourcontainerd, Step 2 c.

Étape 2 a : Appliquer des correctifs avec `nodeadm upgrade`

Après avoir confirmé que le correctif containerd CVE a été publié sur le système d'exploitation ou les dépôts Docker (Apt ou RPM), vous pouvez utiliser la nodeadm upgrade commande pour passer à la dernière version de. containerd Comme il ne s'agit pas d'une mise à niveau de la version de Kubernetes, vous devez transmettre votre version actuelle de Kubernetes à la commande de mise à niveau. nodeadm


nodeadm upgrade K8S_VERSION --config-source file:///root/nodeConfig.yaml

Étape 2 b : Appliquer des correctifs à l'aide des gestionnaires de packages du système d'exploitation

Vous pouvez également effectuer la mise à jour via le gestionnaire de packages correspondant et l'utiliser pour mettre à niveau le containerd package comme suit.

Amazon Linux 2023


sudo yum update -y
sudo yum install -y containerd

RHEL


sudo yum install -y yum-utils
sudo yum-config-manager --add-repo https://download.docker.com/linux/rhel/docker-ce.repo
sudo yum update -y
sudo yum install -y containerd

Ubuntu


sudo mkdir -p /etc/apt/keyrings
sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc
echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/ubuntu \
  $(. /etc/os-release && echo "${UBUNTU_CODENAME:-$VERSION_CODENAME}") stable" | \
  sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt update -y
sudo apt install -y --only-upgrade containerd.io

Étape 2 c : le correctif `Containerd` CVE n'est pas publié dans les gestionnaires de packages

Si la containerd version corrigée n'est disponible que par d'autres moyens plutôt que dans le gestionnaire de packages, par exemple dans les GitHub versions, vous pouvez l'installer containerd depuis le GitHub site officiel.

Si la machine a déjà rejoint le cluster en tant que nœud hybride, vous devez exécuter la nodeadm uninstall commande.
Installez les containerd fichiers binaires officiels. Vous pouvez suivre les étapes d'installation officielles GitHub.
Exécutez la nodeadm install commande avec l'--containerd-sourceargument défini surnone, ce qui annulera containerd l'installationnodeadm. Vous pouvez utiliser la valeur de none dans la containerd source pour tous les systèmes d'exploitation exécutés par le nœud.
```
nodeadm install K8S_VERSION --credential-provider CREDS_PROVIDER --containerd-source none
```

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Mettre à niveau les nœuds hybrides

Supprimer des nœuds hybrides