Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pembaruan keamanan patch untuk node hybrid

Topik ini menjelaskan prosedur untuk melakukan penambalan pembaruan keamanan di tempat untuk paket dan dependensi tertentu yang berjalan pada node hybrid Anda. Sebagai praktik terbaik, kami menyarankan Anda untuk memperbarui node hybrid Anda secara teratur untuk menerima CVEs dan patch keamanan.

Untuk langkah-langkah untuk meng-upgrade versi Kubernetes, lihat. Tingkatkan node hybrid untuk klaster Anda

Salah satu contoh perangkat lunak yang mungkin memerlukan patch keamanan adalahcontainerd.

Containerd

containerdadalah runtime container Kubernetes standar dan dependensi inti untuk EKS Hybrid Nodes, yang digunakan untuk mengelola siklus hidup kontainer, termasuk menarik gambar dan mengelola eksekusi container. Pada node hybrid, Anda dapat menginstal containerd melalui CLI nodeadm atau secara manual. Tergantung pada sistem operasi node Anda, nodeadm akan menginstal containerd dari paket OS-distributed atau paket Docker.

Ketika CVE containerd telah diterbitkan, Anda memiliki opsi berikut untuk meningkatkan ke versi patch containerd pada node Hybrid Anda.

Langkah 1: Periksa apakah patch dipublikasikan ke manajer paket

Anda dapat memeriksa apakah patch containerd CVE telah dipublikasikan ke masing-masing manajer paket OS dengan mengacu pada buletin keamanan yang sesuai:

Jika Anda menggunakan repo Docker sebagai sumbernyacontainerd, Anda dapat memeriksa pengumuman keamanan Docker untuk mengidentifikasi ketersediaan versi yang ditambal di repo Docker.

Langkah 2: Pilih metode untuk menginstal tambalan

Ada tiga metode untuk menambal dan menginstal peningkatan keamanan di tempat pada node. Metode mana yang dapat Anda gunakan tergantung pada apakah tambalan tersedia dari sistem operasi di manajer paket atau tidak:

Langkah 2 a: Menambal dengan nodeadm upgrade

Setelah Anda mengonfirmasi bahwa tambalan containerd CVE telah dipublikasikan ke OS atau repo Docker (baik Apt atau RPM), Anda dapat menggunakan nodeadm upgrade perintah untuk meningkatkan ke versi terbaru. containerd Karena ini bukan upgrade versi Kubernetes, Anda harus meneruskan versi Kubernetes Anda saat ini ke perintah upgrade. nodeadm

nodeadm upgrade K8S_VERSION --config-source file:///root/nodeConfig.yaml

Langkah 2 b: Menambal dengan manajer paket sistem operasi

Atau Anda juga dapat memperbarui melalui manajer paket masing-masing dan menggunakannya untuk meningkatkan containerd paket sebagai berikut.

Amazon Linux 2023

sudo yum update -y
sudo yum install -y containerd

RHEL

sudo yum install -y yum-utils
sudo yum-config-manager --add-repo https://download.docker.com/linux/rhel/docker-ce.repo
sudo yum update -y
sudo yum install -y containerd

Ubuntu

sudo mkdir -p /etc/apt/keyrings
sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc
echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/ubuntu \
  $(. /etc/os-release && echo "${UBUNTU_CODENAME:-$VERSION_CODENAME}") stable" | \
  sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt update -y
sudo apt install -y --only-upgrade containerd.io

Langkah 2 c: Patch Containerd CVE tidak dipublikasikan di manajer paket

Jika containerd versi yang ditambal hanya tersedia dengan cara lain alih-alih di manajer paket, misalnya dalam GitHub rilis, maka Anda dapat menginstal containerd dari GitHub situs resmi.