Základní koncepty pro azure Linux Container Host pro AKS
Microsoft Azure Linux je opensourcový projekt spravovaný Microsoftem, což znamená, že Microsoft zodpovídá za celý zásobník hostitelů kontejnerů Azure Linux, od jádra Linuxu po infrastrukturu běžných ohrožení zabezpečení a ohrožení (CVE), podporu a kompletní ověřování. Microsoft usnadňuje vytvoření clusteru AKS s Azure Linuxem, aniž byste se museli starat o podrobnosti, jako jsou ověření a důležité opravy ohrožení zabezpečení z distribuce třetí strany.
Infrastruktura CVE
Jednou z povinností Microsoftu při údržbě služby Azure Linux Container Host je vytvoření procesu pro cves, jako je identifikace příslušných oprav CVE a publikování oprav CVE a dodržování definovaných smluv o úrovni služeb (SLA) pro opravy balíčků. Tým Azure Linux sestaví a udržuje smlouvu SLA pro opravy balíčků pro produkční účely. Další informace najdete ve struktuře úložiště balíčků Azure s Linuxem. V případě balíčků zahrnutých v hostiteli kontejneru Azure s Linuxem azure Linux azure kontroluje chyby zabezpečení dvakrát denně prostřednictvím cvEs v databázi národního ohrožení zabezpečení (NVD).
CvEs pro Azure Linux se publikují v průvodci aktualizacemi zabezpečení (SUG) v rozhraní API pro generování sestav ohrožení zabezpečení (CVRF). To vám umožní získat podrobné aktualizace zabezpečení společnosti Microsoft týkající se ohrožení zabezpečení, která byla prošetřena centrem Microsoft Security Response Center (MSRC). Díky spolupráci s MSRC může Azure Linux rychle a konzistentně zjišťovat, vyhodnocovat a opravovat cves a přispívat k důležitým opravám backstreamu.
Vysoká a kritická cve se bere vážně a může být vydána mimo pásmo jako aktualizace balíčku, než bude k dispozici nová image uzlu AKS. Střední a nízké cve jsou součástí další verze image.
Poznámka:
V tuto chvíli se výsledky kontroly nepublikuje veřejně.
Přidání a upgrady funkcí
Vzhledem k tomu, že Microsoft vlastní celý zásobník azure Linux Container Host, včetně infrastruktury CVE a dalších datových proudů podpory, je proces odeslání žádosti o funkci zjednodušen. Můžete komunikovat přímo s týmem Microsoftu, který vlastní službu Azure Linux Container Host, což zajišťuje akcelerovaný proces odesílání a implementace žádostí o funkce. Pokud máte žádost o funkci, vytvořte problém v úložišti AKS na GitHubu.
Testování
Před vydáním image uzlu Azure s Linuxem pro testování prochází řadou testů specifických pro Azure Linux a AKS, aby se zajistilo, že image splňuje požadavky AKS. Tento přístup k testování kvality pomáhá zachytit a zmírnit problémy před jejich nasazením do produkčních uzlů. Součástí těchto testů jsou metriky výkonu, testování procesoru, sítě, úložiště, paměti a clusteru, jako je vytvoření clusteru a doba upgradu. Tím se zajistí, že se výkon hostitele kontejneru Azure s Linuxem při upgradu image nezpochybní.
Kromě toho jsou balíčky Azure Linux publikované na packages.microsoft.com prostřednictvím našeho testování také určitou mírou spolehlivosti a bezpečnosti. Image i balíčky uzlu Azure s Linuxem se spouští prostřednictvím sady testů, které simulují prostředí Azure. To zahrnuje ověřovací testy sestavení (BVT), které ověřují rozšíření AKS a doplňky, jsou podporovány v každé verzi azure Linux Container Host. Opravy se také testují na aktuální imagi uzlu Azure s Linuxem, aby se zajistilo, že nedošlo k žádné regresi, což výrazně snižuje pravděpodobnost zavedení poškozeného balíčku do produkčních uzlů.
Další kroky
Tento článek popisuje některé základní koncepty azure Linux Container Host, jako je infrastruktura CVE a testování. Další informace o konceptech azure Linux Container Host najdete v následujících článcích: