**Bantu tingkatkan halaman ini**
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Pembaruan keamanan patch untuk node hybrid
Topik ini menjelaskan prosedur untuk melakukan penambalan pembaruan keamanan di tempat untuk paket dan dependensi tertentu yang berjalan pada node hybrid Anda. Sebagai praktik terbaik, kami menyarankan Anda untuk memperbarui node hybrid Anda secara teratur untuk menerima CVEs dan patch keamanan.
Untuk langkah-langkah untuk meng-upgrade versi Kubernetes, lihat. [Tingkatkan node hybrid untuk klaster Anda](hybrid-nodes-upgrade.md)
Salah satu contoh perangkat lunak yang mungkin memerlukan patch keamanan adalah`containerd`.
## `Containerd`
`containerd`adalah runtime container Kubernetes standar dan dependensi inti untuk EKS Hybrid Nodes, yang digunakan untuk mengelola siklus hidup kontainer, termasuk menarik gambar dan mengelola eksekusi container. Pada node hybrid, Anda dapat menginstal `containerd` melalui [CLI nodeadm](https://docs.aws.amazon.com/eks/latest/userguide/hybrid-nodes-nodeadm.html) atau secara manual. Tergantung pada sistem operasi node Anda, `nodeadm` akan menginstal `containerd` dari paket OS-distributed atau paket Docker.
Ketika CVE `containerd` telah diterbitkan, Anda memiliki opsi berikut untuk meningkatkan ke versi patch `containerd` pada node Hybrid Anda.
## Langkah 1: Periksa apakah patch dipublikasikan ke manajer paket
Anda dapat memeriksa apakah patch `containerd` CVE telah dipublikasikan ke masing-masing manajer paket OS dengan mengacu pada buletin keamanan yang sesuai:
+ [Amazon Linux 2023](https://alas.aws.amazon.com/alas2023.html)
+ [RHEL](https://access.redhat.com/security/security-updates/security-advisories)
+ [Ubuntu 20.04](https://ubuntu.com/security/notices?order=newest&release=focal)
+ [Ubuntu 22.04](https://ubuntu.com/security/notices?order=newest&release=jammy)
+ [Ubuntu 24.04](https://ubuntu.com/security/notices?order=newest&release=noble)
Jika Anda menggunakan repo Docker sebagai sumbernya`containerd`, Anda dapat memeriksa [pengumuman keamanan Docker](https://docs.docker.com/security/security-announcements/) untuk mengidentifikasi ketersediaan versi yang ditambal di repo Docker.
## Langkah 2: Pilih metode untuk menginstal tambalan
Ada tiga metode untuk menambal dan menginstal peningkatan keamanan di tempat pada node. Metode mana yang dapat Anda gunakan tergantung pada apakah tambalan tersedia dari sistem operasi di manajer paket atau tidak:
1. Instal tambalan dengan `nodeadm upgrade` yang dipublikasikan ke manajer paket, lihat [Langkah 2 a](#hybrid-nodes-security-nodeadm).
1. Instal tambalan dengan manajer paket secara langsung, lihat [Langkah 2 b](#hybrid-nodes-security-package).
1. Instal patch kustom yang tidak dipublikasikan di manajer paket. Perhatikan bahwa ada pertimbangan khusus untuk tambalan khusus untuk`containerd`, [Langkah 2 c](#hybrid-nodes-security-manual).
## Langkah 2 a: Menambal dengan `nodeadm upgrade`
Setelah Anda mengonfirmasi bahwa tambalan `containerd` CVE telah dipublikasikan ke OS atau repo Docker (baik Apt atau RPM), Anda dapat menggunakan `nodeadm upgrade` perintah untuk meningkatkan ke versi terbaru. `containerd` Karena ini bukan upgrade versi Kubernetes, Anda harus meneruskan versi Kubernetes Anda saat ini ke perintah upgrade. `nodeadm`
```
nodeadm upgrade {{K8S_VERSION}} --config-source file:///root/nodeConfig.yaml
```
## Langkah 2 b: Menambal dengan manajer paket sistem operasi
Atau Anda juga dapat memperbarui melalui manajer paket masing-masing dan menggunakannya untuk meningkatkan `containerd` paket sebagai berikut.
**Amazon Linux 2023**
```
sudo yum update -y
sudo yum install -y containerd
```
**RHEL**
```
sudo yum install -y yum-utils
sudo yum-config-manager --add-repo https://download.docker.com/linux/rhel/docker-ce.repo
sudo yum update -y
sudo yum install -y containerd
```
**Ubuntu**
```
sudo mkdir -p /etc/apt/keyrings
sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc
echo \
"deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/ubuntu \
$(. /etc/os-release && echo "${UBUNTU_CODENAME:-$VERSION_CODENAME}") stable" | \
sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt update -y
sudo apt install -y --only-upgrade containerd.io
```
## Langkah 2 c: Patch `Containerd` CVE tidak dipublikasikan di manajer paket
Jika `containerd` versi yang ditambal hanya tersedia dengan cara lain alih-alih di manajer paket, misalnya dalam GitHub rilis, maka Anda dapat menginstal `containerd` dari GitHub situs resmi.
1. Jika mesin telah bergabung dengan cluster sebagai node hybrid, maka Anda perlu menjalankan `nodeadm uninstall` perintah.
1. Instal `containerd` binari resmi. Anda dapat menggunakan langkah-langkah [langkah-langkah instalasi resmi](https://github.com/containerd/containerd/blob/main/docs/getting-started.md#option-1-from-the-official-binaries) pada GitHub.
1. Jalankan `nodeadm install` perintah dengan `--containerd-source` argumen yang disetel ke`none`, yang akan melewati `containerd` instalasi`nodeadm`. Anda dapat menggunakan nilai `none` dalam `containerd` sumber untuk sistem operasi apa pun yang sedang dijalankan oleh node.
```
nodeadm install {{K8S_VERSION}} --credential-provider {{CREDS_PROVIDER}} --containerd-source none
```