Basisconcepten voor de Azure Linux-containerhost voor AKS
Microsoft Azure Linux is een opensource-project dat wordt onderhouden door Microsoft, wat betekent dat Microsoft verantwoordelijk is voor de volledige Azure Linux Container Host-stack, van de Linux-kernel tot de infrastructuur voor veelvoorkomende beveiligingsproblemen en blootstellingen (CVE's), ondersteuning en end-to-end-validatie. Met Microsoft kunt u eenvoudig een AKS-cluster maken met Azure Linux, zonder dat u zich zorgen hoeft te maken over details zoals verificatie en kritieke beveiligingspatches van een distributie van derden.
CVE-infrastructuur
Een van de verantwoordelijkheden van Microsoft bij het onderhouden van de Azure Linux-containerhost is het opzetten van een proces voor CVE's, zoals het identificeren van toepasselijke CV's en het publiceren van CVE-oplossingen, en het naleven van gedefinieerde Service Level Agreements (SLA's) voor pakketoplossingen. Het Azure Linux-team bouwt en onderhoudt de SLA voor pakketoplossingen voor productiedoeleinden. Zie de structuur van de Azure Linux-pakketopslagplaats voor meer informatie. Voor de pakketten die zijn opgenomen in de Azure Linux Container Host, scant Azure Linux tweemaal per dag op beveiligingsproblemen via CVE's in de National Vulnerability Database (NVD).
Azure Linux-CV's worden gepubliceerd in de CVRF-API (Security Update Guide) Common Vulnerability Reporting Framework (CVRF). Zo krijgt u gedetailleerde Microsoft-beveiligingsupdates over beveiligingsproblemen die zijn onderzocht door het Microsoft Security Response Center (MSRC). Door samen te werken met MSRC, kan Azure Linux cv's snel en consistent detecteren, evalueren en patchen, en essentiële oplossingen bijdragen aan back-upstream.
Hoge en kritieke CV's worden serieus genomen en kunnen buiten-band worden uitgebracht als pakketupdate voordat een nieuwe AKS-knooppuntinstallatiekopieën beschikbaar zijn. Gemiddelde en lage CVE's worden opgenomen in de volgende installatiekopieënrelease.
Notitie
Op dit moment worden de scanresultaten niet openbaar gepubliceerd.
Functie-toevoegingen en upgrades
Aangezien Microsoft eigenaar is van de volledige Azure Linux Container Host-stack, inclusief de CVE-infrastructuur en andere ondersteuningsstromen, wordt het proces voor het indienen van een functieaanvraag gestroomlijnd. U kunt rechtstreeks communiceren met het Microsoft-team dat eigenaar is van de Azure Linux-containerhost. Dit zorgt voor een versneld proces voor het indienen en implementeren van functieaanvragen. Als u een functieaanvraag hebt, kunt u een probleem indienen in de GitHub-opslagplaats van AKS.
Testen
Voordat een Azure Linux-knooppuntinstallatiekopieën worden uitgebracht voor testen, ondergaan deze een reeks specifieke tests van Azure Linux en AKS om ervoor te zorgen dat de installatiekopieën voldoen aan de vereisten van AKS. Deze aanpak voor kwaliteitstests helpt bij het ondervangen en beperken van problemen voordat ze worden geïmplementeerd op uw productieknooppunten. Een deel van deze tests is gerelateerd aan prestaties, het testen van CPU, netwerk, opslag, geheugen en clustergegevens, zoals het maken en upgraden van clusters. Dit zorgt ervoor dat de prestaties van de Azure Linux-containerhost niet regresseert wanneer we de installatiekopie upgraden.
Daarnaast krijgen de Azure Linux-pakketten die zijn gepubliceerd naar packages.microsoft.com ook een extra mate van vertrouwen en veiligheid door middel van onze tests. Zowel de installatiekopieën van het Azure Linux-knooppunt als de pakketten worden uitgevoerd via een reeks tests die een Azure-omgeving simuleren. Dit omvat BUILD Verification Tests (BVTs) die AKS-extensies en invoegtoepassingen valideren, worden ondersteund in elke release van de Azure Linux Container Host. Patches worden ook getest op basis van de huidige installatiekopie van het Azure Linux-knooppunt voordat ze worden vrijgegeven om ervoor te zorgen dat er geen regressies zijn, waardoor de kans op een beschadigd pakket dat wordt geïmplementeerd naar uw productieknooppunten aanzienlijk wordt verkleind.
Volgende stappen
In dit artikel worden enkele van de kernconcepten van Azure Linux Container Host behandeld, zoals CVE-infrastructuur en testen. Zie de volgende artikelen voor meer informatie over de concepten van Azure Linux Container Host: