节点操作系统中的CVE漏洞可能导致集群出现远程代码执行、数据泄露与篡改、服务中断等问题，威胁集群的安全性、稳定性、和合规性。使用操作系统（OS）CVE漏洞修复功能，扫描节点上的安全漏洞，获取修复建议和方法，快速修复出现的漏洞威胁。

本文主要介绍如何使用修复节点操作系统CVE漏洞功能。

前提条件

• 本功能是天翼云服务器安全卫士（原生版）提供的高级功能，使用时需要开通服务器安全卫士（原生版）的企业版或旗舰版，且保证配额大于或等于集群节点数量。云容器引擎不额外收取费用。具体操作，请参见开通服务器安全卫士（原生版）、计费模式。

• 因节点修复漏洞需要拉取外部软件源，所以请确保在修复前节点有公网访问能力。开通公网能力可参考使用SNAT访问公网或绑定弹性IP。

约束与限制

• CVE的兼容性由服务器安全卫士（原生版）保证，请自行检查集群应用与CVE的兼容性。

• 如果您的CVE漏洞修复时需要通过重启节点来实现，请在重启节点前将业务Pod调度到其他节点。

• 同一时间段内，一个节点池中仅支持一个CVE漏洞修复任务运行。

操作步骤

步骤 1 登录CCE控制台。

步骤 2 单击集群名称进入集群，在左侧选择“节点管理”，选择目标节点池，点击节点池名称，进入节点池详情，单击“节点管理”，记录节点池的节点。

步骤 3 返回节点池，选择目标节点池，单击”更多“，选择“修复操作系统中出现的CVE安全漏洞”。

步骤 4 点击“去开通”，签约安全卫士服务协议

步骤 5 点击去配置，跳转到服务器安全卫士。

由于基础版仅带漏洞扫描，不带漏洞修复，所以需要用户切换至企业版。单击“资产管理”，选择服务器列表，在步骤 2的记录的节点右侧点击“切换版本”。

若配额不足，请点击右上角购买与节点数量匹配的非基础版本配额。

如果节点防护状态未开启，且 Agent 状态为“未激活”，则需点击右侧的“安装 Agent”，按照指引安装 Agent，并点击“更多”，选择“开启防护”。

在左侧菜单中选择“风险管理”->“漏洞扫描”，然后在页面上找到定时扫描，点击“设置”。接着勾选您的目标扫描设置（建议选择“全部服务器”，后续新增服务器可自动纳入扫描），最后点击“确定”即可开启定时任务。具体可参考扫描漏洞。

步骤 6 处理扫描出的漏洞。选择对应的漏洞以及对应的节点，填写每批次最大并行数（不填写默认是0，为串行修复），点击“开始修复”，即可对漏洞节点进行修复。在修复期间，可对修复进行暂停和恢复。