Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Patchen Sie Sicherheitsupdates für Hybridknoten

PDF
RSS
Fokusmodus
Patchen Sie Sicherheitsupdates für Hybridknoten - Amazon EKS
ContainerdSchritt 1: Überprüfen Sie, ob der Patch für die Paketmanager veröffentlicht wurdeSchritt 2: Wählen Sie die Methode zur Installation des PatchesSchritt 2 a: Patchen mit nodeadm upgradeSchritt 2 b: Patchen mit Paketmanagern des BetriebssystemsSchritt 2 c: Der Containerd CVE-Patch wurde nicht in den Paketmanagern veröffentlicht

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

In diesem Thema wird das Verfahren zum direkten Patchen von Sicherheitsupdates für bestimmte Pakete und Abhängigkeiten beschrieben, die auf Ihren Hybridknoten ausgeführt werden. Als bewährte Methode empfehlen wir Ihnen, Ihre Hybridknoten regelmäßig zu aktualisieren, um Sicherheitspatches CVEs zu erhalten.

Schritte zum Upgrade der Kubernetes-Version finden Sie unter. Aktualisieren Sie Hybridknoten für Ihren Cluster

Ein Beispiel für Software, für die möglicherweise Sicherheitspatches erforderlich sind, ist. containerd

Containerd

containerdist die standardmäßige Kubernetes-Container-Laufzeit und Kernabhängigkeit für EKS-Hybridknoten. Sie wird für die Verwaltung des Container-Lebenszyklus verwendet, einschließlich des Abrufs von Images und der Verwaltung der Containerausführung. Auf einem Hybridknoten können Sie die Installation containerd über die Nodeadm-CLI oder manuell durchführen. Je nach Betriebssystem Ihres Nodes erfolgt die Installation über das containerd vom Betriebssystem verteilte Paket oder das Docker-Paket. nodeadm

Wenn ein CVE-In veröffentlicht containerd wurde, haben Sie die folgenden Optionen, um auf Ihren Hybrid-Knoten containerd auf die gepatchte Version von zu aktualisieren.

Schritt 1: Überprüfen Sie, ob der Patch für die Paketmanager veröffentlicht wurde

Sie können anhand der entsprechenden Sicherheitsbulletins überprüfen, ob der containerd CVE-Patch für die jeweiligen Betriebssystem-Paketmanager veröffentlicht wurde:

Wenn Sie das Docker-Repo als Quelle für verwendencontainerd, können Sie anhand der Sicherheitsankündigungen von Docker die Verfügbarkeit der gepatchten Version im Docker-Repo überprüfen.

Schritt 2: Wählen Sie die Methode zur Installation des Patches

Es gibt drei Methoden, um Sicherheitsupgrades direkt auf Knoten zu patchen und zu installieren. Welche Methode Sie verwenden können, hängt davon ab, ob der Patch vom Betriebssystem aus im Paketmanager verfügbar ist oder nicht:

  1. Installieren Sie Patchesnodeadm upgrade, die in den Paketmanagern veröffentlicht wurden, siehe Schritt 2 a.

  2. Installieren Sie Patches direkt mit den Paketmanagern, siehe Schritt 2 b.

  3. Installieren Sie benutzerdefinierte Patches, die nicht in Paketmanagern veröffentlicht wurden. Beachten Sie, dass bei benutzerdefinierten Patches für containerd Schritt 2 c besondere Überlegungen zu beachten sind.

Schritt 2 a: Patchen mit nodeadm upgrade

Nachdem Sie bestätigt haben, dass der containerd CVE-Patch in den OS- oder Docker-Repos (entweder Apt oder RPM) veröffentlicht wurde, können Sie den nodeadm upgrade Befehl verwenden, um auf die neueste Version von zu aktualisieren. containerd Da es sich nicht um ein Upgrade der Kubernetes-Version handelt, müssen Sie Ihre aktuelle Kubernetes-Version an den Upgrade-Befehl übergeben. nodeadm

nodeadm upgrade K8S_VERSION --config-source file:///root/nodeConfig.yaml

Schritt 2 b: Patchen mit Paketmanagern des Betriebssystems

Alternativ können Sie das Update auch über den jeweiligen Paketmanager durchführen und damit das containerd Paket wie folgt aktualisieren.

Amazon Linux 2023 

sudo yum update -y
sudo yum install -y containerd

RHEL 

sudo yum install -y yum-utils
sudo yum-config-manager --add-repo https://download.docker.com/linux/rhel/docker-ce.repo
sudo yum update -y
sudo yum install -y containerd

Ubuntu  

sudo mkdir -p /etc/apt/keyrings
sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc
echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/ubuntu \
  $(. /etc/os-release && echo "${UBUNTU_CODENAME:-$VERSION_CODENAME}") stable" | \
  sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt update -y
sudo apt install -y --only-upgrade containerd.io

Schritt 2 c: Der Containerd CVE-Patch wurde nicht in den Paketmanagern veröffentlicht

Wenn die gepatchte containerd Version nur auf andere Weise als im Paketmanager verfügbar ist, z. B. in GitHub Releases, können Sie sie containerd von der offiziellen GitHub Website aus installieren.

  1. Wenn der Computer dem Cluster bereits als Hybridknoten beigetreten ist, müssen Sie den nodeadm uninstall Befehl ausführen.

  2. Installieren Sie die offiziellen containerd Binärdateien. Sie können die Schritte verwenden, unter GitHub denen die offiziellen Installationsschritte beschrieben sind.

  3. Führen Sie den nodeadm install Befehl mit dem --containerd-source Argument auf ausnone, wodurch die containerd Installation übersprungen wirdnodeadm. Sie können den Wert von none in der containerd Quelle für jedes Betriebssystem verwenden, das auf dem Knoten ausgeführt wird.

    nodeadm install K8S_VERSION --credential-provider CREDS_PROVIDER --containerd-source none

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.