節點操作系統中的CVE漏洞可能導致集群出現遠程代碼執行、數據泄露與篡改、服務中斷等問題，威脅集群的安全性、穩定性、和合規性。使用操作系統（OS）CVE漏洞修復功能，掃描節點上的安全漏洞，獲取修復建議和方法，快速修復出現的漏洞威脅。

本文主要介紹如何使用修復節點操作系統CVE漏洞功能。

前提條件

• 本功能是天翼云服務器安全衛士（原生版）提供的高級功能，使用時需要開通服務器安全衛士（原生版）的企業版或旗艦版，且保證配額大于或等于集群節點數量。云容器引擎不額外收取費用。具體操作，請參見開通服務器安全衛士（原生版）、計費模式。

• 因節點修復漏洞需要拉取外部軟件源，所以請確保在修復前節點有公網訪問能力。開通公網能力可參考使用SNAT訪問公網或綁定彈性IP。

約束與限制

• CVE的兼容性由服務器安全衛士（原生版）保證，請自行檢查集群應用與CVE的兼容性。

• 如果您的CVE漏洞修復時需要通過重啟節點來實現，請在重啟節點前將業務Pod調度到其他節點。

• 同一時間段內，一個節點池中僅支持一個CVE漏洞修復任務運行。

操作步驟

步驟 1 登錄CCE控制臺。

步驟 2 單擊集群名稱進入集群，在左側選擇“節點管理”，選擇目標節點池，點擊節點池名稱，進入節點池詳情，單擊“節點管理”，記錄節點池的節點。

步驟 3 返回節點池，選擇目標節點池，單擊”更多“，選擇“修復操作系統中出現的CVE安全漏洞”。

步驟 4 點擊“去開通”，簽約安全衛士服務協議

步驟 5 點擊去配置，跳轉到服務器安全衛士。

由于基礎版僅帶漏洞掃描，不帶漏洞修復，所以需要用戶切換至企業版。單擊“資產管理”，選擇服務器列表，在步驟 2的記錄的節點右側點擊“切換版本”。

若配額不足，請點擊右上角購買與節點數量匹配的非基礎版本配額。

如果節點防護狀態未開啟，且 Agent 狀態為“未激活”，則需點擊右側的“安裝 Agent”，按照指引安裝 Agent，并點擊“更多”，選擇“開啟防護”。

在左側菜單中選擇“風險管理”->“漏洞掃描”，然后在頁面上找到定時掃描，點擊“設置”。接著勾選您的目標掃描設置（建議選擇“全部服務器”，后續新增服務器可自動納入掃描），最后點擊“確定”即可開啟定時任務。具體可參考掃描漏洞。

步驟 6 處理掃描出的漏洞。選擇對應的漏洞以及對應的節點，填寫每批次最大并行數（不填寫默認是0，為串行修復），點擊“開始修復”，即可對漏洞節點進行修復。在修復期間，可對修復進行暫停和恢復。