节点操作系统中的CVE漏洞可能导致集群出现远程代码执行、数据泄露与篡改、服务中断等问题，威胁集群的安全性、稳定性、和合规性。使用操作系统（OS）CVE漏洞修复功能，扫描节点上的安全漏洞，获取修复建议和方法，快速修复出现的漏洞威胁。

本文主要介绍如何使用修复节点操作系统CVE漏洞功能。

前提条件

• 本功能是天翼云服务器安全卫士（原生版）提供的高级功能，使用时需要开通服务器安全卫士（原生版）的企业版或旗舰版，且保证配额大于或等于集群节点数量。云容器引擎不额外收取费用。具体操作，请参见开通服务器安全卫士（原生版）、计费模式。
• 因节点修复漏洞需要拉取外部软件源，所以请确保在修复前节点有公网访问能力。开通公网能力可参考使用SNAT访问公网或绑定弹性IP。

约束与限制

• CVE的兼容性由服务器安全卫士（原生版）保证，请自行检查集群应用与CVE的兼容性。
• 如果您的CVE漏洞修复时需要通过重启节点来实现，请在重启节点前将业务Pod调度到其他节点。
• 同一时间段内，一个节点池中仅支持一个CVE漏洞修复任务运行。

操作步骤

步骤 1 登录CCE控制台。

步骤 2 单击集群名称进入集群，在左侧选择“节点管理”，选择目标节点池，点击节点池名称，进入节点池详情，单击“节点管理”，记录节点池的节点。

步骤 3 返回节点池，选择目标节点池，单击”更多“，选择“修复操作系统中出现的CVE安全漏洞”。

步骤 4 由于基础版不带漏洞修复，所以需要用户切换至企业版。单击“资产管理”，选择服务器列表，在步骤 2的记录的节点右侧点击“切换版本”。

若配额不足，请点击右上角购买与节点数量匹配的非基础版本配额。

如果节点防护状态未开启，且 Agent 状态为“未激活”，则需点击右侧的“安装 Agent”，按照指引安装 Agent，并点击“更多”，选择“开启防护”。

步骤 5 在左侧菜单中选择“漏洞扫描”，然后在页面上点击“一键扫描”。接着勾选您的目标扫描设置，最后点击“确定”即可开始漏洞扫描。漏洞扫描完成后，可以在漏洞扫描页面查看服务器中存在的漏洞信息。具体可参考扫描漏洞。

步骤 6 处理扫描出的漏洞，支持修复漏洞、忽略漏洞、将漏洞加入白名单。在漏洞扫描页面，通过服务器名称可以将对应节点的漏洞过滤出来，进行相应的处理，如选择相应的漏洞，点击“批量修复”，即可开始修复漏洞。如果确认漏洞不会对您的业务造成任何影响，无需修复，您可以将漏洞添加至白名单。漏洞加入白名单后，漏洞列表不再展示该漏洞信息，在下一次漏洞扫描任务执行时，系统不会再扫描和展示该漏洞信息，在右上角点击“白名单管理”即可管理加入白名单的漏洞。具体可参考处理漏洞。