하이브리드 노드의 패치 보안 업데이트 - Amazon EKS
Containerd1단계: 패치가 패키지 관리자에 게시되었는지 확인2단계: 패치를 설치할 방법 선택2단계 a: nodeadm upgrade를 사용하여 패치 적용2단계 b: 운영 체제 패키지 관리자로 패치 적용2단계 c: 패키지 관리자에 Containerd CVE 패치가 게시되지 않음

이 페이지 개선에 도움 주기

이 사용자 가이드에 기여하려면 모든 페이지의 오른쪽 창에 있는 GitHub에서 이 페이지 편집 링크를 선택합니다.

하이브리드 노드의 패치 보안 업데이트

이 주제에서는 하이브리드 노드에서 실행되는 특정 패키지 및 종속성에 대한 보안 업데이트의 실행 중 패치 적용을 수행하는 절차를 설명합니다. 가장 좋은 방법은 하이브리드 노드를 정기적으로 업데이트하여 CVE 및 보안 패치를 받는 것입니다.

Kubernetes 버전을 업그레이드하는 단계는 클러스터의 하이브리드 노드 업그레이드 섹션을 참조하세요.

보안 패치가 필요할 수 있는 소프트웨어의 예로는 containerd가 있습니다.

Containerd

containerd는 EKS Hybrid Nodes의 표준 Kubernetes 컨테이너 런타임 및 핵심 종속성으로, 이미지 가져오기 및 컨테이너 실행 관리를 포함하여 컨테이너 수명 주기를 관리하는 데 사용됩니다. 하이브리드 노드에서는 nodeadm CLI를 통해 또는 수동으로 containerd를 설치할 수 있습니다. 노드의 운영 체제에 따라 nodeadm은 OS 배포 패키지 또는 Docker 패키지에서 containerd를 설치합니다.

containerd의 CVE가 게시되면 하이브리드 노드에서 다음 옵션으로 패치된 버전의 containerd로 업그레이드합니다.

1단계: 패치가 패키지 관리자에 게시되었는지 확인

해당 보안 게시판을 참조하여 containerd CVE 패치가 각 OS 패키지 관리자에 게시되었는지 확인할 수 있습니다.

Docker 리포지토리를 containerd의 소스로 사용하는 경우 Docker 보안 공지를 확인하여 Docker 리포지토리에서 패치된 버전의 가용성을 식별할 수 있습니다.

2단계: 패치를 설치할 방법 선택

노드에 보안 업그레이드를 패치하고 설치하는 세 가지 방법이 있습니다. 사용할 수 있는 방법은 패키지 관리자의 운영 체제에서 패치가 제공되는지 여부에 따라 다릅니다.

  1. 패키지 관리자에 게시되는 nodeadm upgrade를 사용하여 패치를 설치합니다. 2단계 a를 참조하세요.

  2. 패키지 관리자를 사용하여 패치를 직접 설치합니다. 2단계 b를 참조하세요.

  3. 패키지 관리자에 게시되지 않은 사용자 지정 패치를 설치합니다. containerd의 사용자 지정 패치에는 특별한 고려 사항이 있습니다. 2단계 c를 참조하세요.

2단계 a: nodeadm upgrade를 사용하여 패치 적용

containerd CVE 패치가 OS 또는 Docker 리포지토리(Apt 또는 RPM)에 게시되었는지 확인한 후 nodeadm upgrade 명령을 사용하여 containerd의 최신 버전으로 업그레이드할 수 있습니다. Kubernetes 버전 업그레이드가 아니므로 현재 Kubernetes 버전을 nodeadm 업그레이드 명령에 전달해야 합니다.

nodeadm upgrade K8S_VERSION --config-source file:///root/nodeConfig.yaml

2단계 b: 운영 체제 패키지 관리자로 패치 적용

아니면 해당 패키지 관리자를 통해 업데이트하고 이를 사용하여 다음과 같이 containerd 패키지를 업그레이드할 수도 있습니다.

Amazon Linux 2023 

sudo yum update -y
sudo yum install -y containerd

RHEL 

sudo yum install -y yum-utils
sudo yum-config-manager --add-repo https://download.docker.com/linux/rhel/docker-ce.repo
sudo yum update -y
sudo yum install -y containerd

Ubuntu 

sudo mkdir -p /etc/apt/keyrings
sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc
echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/ubuntu \
  $(. /etc/os-release && echo "${UBUNTU_CODENAME:-$VERSION_CODENAME}") stable" | \
  sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt update -y
sudo apt install -y --only-upgrade containerd.io

2단계 c: 패키지 관리자에 Containerd CVE 패치가 게시되지 않음

GitHub 릴리스와 같이 패키지 관리자가 아닌 다른 방법으로만 패치 적용된 containerd 버전이 제공된 경우 공식 GitHub 사이트에서 containerd를 설치할 수 있습니다.

  1. 머신이 이미 클러스터에 하이브리드 노드로 조인한 경우 nodeadm uninstall 명령을 실행해야 합니다.

  2. 공식 containerd 바이너리를 설치합니다. GitHub에서 단계 공식 설치 단계를 사용할 수 있습니다.

  3. --containerd-source 인수가 none로 설정된 상태에서 nodeadm install 명령을 실행하면 nodeadm를 통해 containerd 설치를 건너뜁니다. 노드가 실행 중인 모든 운영 체제에 대해 containerd 소스의 none 값을 사용할 수 있습니다.

    nodeadm install K8S_VERSION --credential-provider CREDS_PROVIDER --containerd-source none