Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Pembaruan keamanan patch untuk node hybrid

PDF
RSS
Mode fokus
Pembaruan keamanan patch untuk node hybrid - Amazon EKS
ContainerdLangkah 1: Periksa apakah patch dipublikasikan ke manajer paketLangkah 2: Pilih metode untuk menginstal tambalanLangkah 2 a: Menambal dengan nodeadm upgradeLangkah 2 b: Menambal dengan manajer paket sistem operasiLangkah 2 c: Patch Containerd CVE tidak dipublikasikan di manajer paket

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Topik ini menjelaskan prosedur untuk melakukan penambalan pembaruan keamanan di tempat untuk paket dan dependensi tertentu yang berjalan pada node hybrid Anda. Sebagai praktik terbaik, kami menyarankan Anda untuk memperbarui node hybrid Anda secara teratur untuk menerima CVEs dan patch keamanan.

Untuk langkah-langkah untuk meng-upgrade versi Kubernetes, lihat. Tingkatkan node hybrid untuk klaster Anda

Salah satu contoh perangkat lunak yang mungkin memerlukan patch keamanan adalahcontainerd.

Containerd

containerdadalah runtime container Kubernetes standar dan dependensi inti untuk EKS Hybrid Nodes, yang digunakan untuk mengelola siklus hidup kontainer, termasuk menarik gambar dan mengelola eksekusi container. Pada node hybrid, Anda dapat menginstal containerd melalui CLI nodeadm atau secara manual. Tergantung pada sistem operasi node Anda, nodeadm akan menginstal containerd dari paket OS-distributed atau paket Docker.

Ketika CVE containerd telah diterbitkan, Anda memiliki opsi berikut untuk meningkatkan ke versi patch containerd pada node Hybrid Anda.

Langkah 1: Periksa apakah patch dipublikasikan ke manajer paket

Anda dapat memeriksa apakah patch containerd CVE telah dipublikasikan ke masing-masing manajer paket OS dengan mengacu pada buletin keamanan yang sesuai:

Jika Anda menggunakan repo Docker sebagai sumbernyacontainerd, Anda dapat memeriksa pengumuman keamanan Docker untuk mengidentifikasi ketersediaan versi yang ditambal di repo Docker.

Langkah 2: Pilih metode untuk menginstal tambalan

Ada tiga metode untuk menambal dan menginstal peningkatan keamanan di tempat pada node. Metode mana yang dapat Anda gunakan tergantung pada apakah tambalan tersedia dari sistem operasi di manajer paket atau tidak:

  1. Instal tambalan dengan nodeadm upgrade yang dipublikasikan ke manajer paket, lihat Langkah 2 a.

  2. Instal tambalan dengan manajer paket secara langsung, lihat Langkah 2 b.

  3. Instal patch kustom yang tidak dipublikasikan di manajer paket. Perhatikan bahwa ada pertimbangan khusus untuk tambalan khusus untukcontainerd, Langkah 2 c.

Langkah 2 a: Menambal dengan nodeadm upgrade

Setelah Anda mengonfirmasi bahwa tambalan containerd CVE telah dipublikasikan ke OS atau repo Docker (baik Apt atau RPM), Anda dapat menggunakan nodeadm upgrade perintah untuk meningkatkan ke versi terbaru. containerd Karena ini bukan upgrade versi Kubernetes, Anda harus meneruskan versi Kubernetes Anda saat ini ke perintah upgrade. nodeadm

nodeadm upgrade K8S_VERSION --config-source file:///root/nodeConfig.yaml

Langkah 2 b: Menambal dengan manajer paket sistem operasi

Atau Anda juga dapat memperbarui melalui manajer paket masing-masing dan menggunakannya untuk meningkatkan containerd paket sebagai berikut.

Amazon Linux 2023 

sudo yum update -y
sudo yum install -y containerd

RHEL 

sudo yum install -y yum-utils
sudo yum-config-manager --add-repo https://download.docker.com/linux/rhel/docker-ce.repo
sudo yum update -y
sudo yum install -y containerd

Ubuntu 

sudo mkdir -p /etc/apt/keyrings
sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc
echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/ubuntu \
  $(. /etc/os-release && echo "${UBUNTU_CODENAME:-$VERSION_CODENAME}") stable" | \
  sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt update -y
sudo apt install -y --only-upgrade containerd.io

Langkah 2 c: Patch Containerd CVE tidak dipublikasikan di manajer paket

Jika containerd versi yang ditambal hanya tersedia dengan cara lain alih-alih di manajer paket, misalnya dalam GitHub rilis, maka Anda dapat menginstal containerd dari GitHub situs resmi.

  1. Jika mesin telah bergabung dengan cluster sebagai node hybrid, maka Anda perlu menjalankan nodeadm uninstall perintah.

  2. Instal containerd binari resmi. Anda dapat menggunakan langkah-langkah langkah-langkah instalasi resmi pada GitHub.

  3. Jalankan nodeadm install perintah dengan --containerd-source argumen yang disetel kenone, yang akan melewati containerd instalasinodeadm. Anda dapat menggunakan nilai none dalam containerd sumber untuk sistem operasi apa pun yang sedang dijalankan oleh node.

    nodeadm install K8S_VERSION --credential-provider CREDS_PROVIDER --containerd-source none

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.