Udostępnij za pośrednictwem


Podstawowe pojęcia dotyczące hosta kontenera systemu Linux platformy Azure dla usługi AKS

Microsoft Azure Linux to projekt typu open source obsługiwany przez firmę Microsoft, co oznacza, że firma Microsoft jest odpowiedzialna za cały stos hostów kontenerów systemu Linux z jądra systemu Linux do infrastruktury wspólnych luk w zabezpieczeniach i ekspozycji (CVE), obsługi i kompleksowej weryfikacji. Firma Microsoft ułatwia tworzenie klastra usługi AKS za pomocą systemu Azure Linux bez obaw o szczegóły, takie jak weryfikacja i krytyczne poprawki luk w zabezpieczeniach z dystrybucji innej firmy.

Infrastruktura CVE

Jedną z obowiązków firmy Microsoft w utrzymaniu hosta kontenera systemu Linux platformy Azure jest ustanowienie procesu CVE, takiego jak identyfikowanie odpowiednich CVE i publikowanie poprawek CVE oraz przestrzeganie zdefiniowanych umów dotyczących poziomu usług (SLA) dla poprawek pakietów. Zespół ds. systemu Linux platformy Azure kompiluje i utrzymuje umowę SLA dla poprawek pakietów w celach produkcyjnych. Aby uzyskać więcej informacji, zobacz strukturę pakietu systemu Linux platformy Azure. W przypadku pakietów zawartych w hoście kontenera systemu Linux platformy Azure platforma Azure Linux skanuje luki w zabezpieczeniach dwa razy dziennie za pośrednictwem cvE w krajowej bazie danych luk w zabezpieczeniach (NVD).

Środowiska CVE platformy Azure dla systemu Linux są publikowane w interfejsie API Common Vulnerability Reporting Framework (CVRF) w przewodniku po aktualizacji zabezpieczeń (SUG). Dzięki temu można uzyskać szczegółowe aktualizacje zabezpieczeń firmy Microsoft dotyczące luk w zabezpieczeniach, które zostały zbadane przez Centrum zabezpieczeń firmy Microsoft (MSRC). Współpracując z MSRC, system Azure Linux może szybko i spójnie odnajdywać, oceniać i poprawiać CVE oraz współtworzyć krytyczne poprawki kopii zapasowej.

Wysokie i krytyczne CVE są traktowane poważnie i mogą zostać wydane poza pasmem jako aktualizacja pakietu przed udostępnieniem nowego obrazu węzła usługi AKS. Średnie i niskie CVE są uwzględniane w następnym wydaniu obrazu.

Uwaga

Obecnie wyniki skanowania nie są publikowane publicznie.

Dodatki i uaktualnienia funkcji

Biorąc pod uwagę, że firma Microsoft jest właścicielem całego stosu hostów kontenerów systemu Linux platformy Azure, w tym infrastruktury CVE i innych strumieni pomocy technicznej, proces przesyłania żądania funkcji jest usprawniony. Możesz komunikować się bezpośrednio z zespołem firmy Microsoft, który jest właścicielem hosta kontenera systemu Linux platformy Azure, co zapewnia przyspieszony proces przesyłania i implementowania żądań funkcji. Jeśli masz żądanie funkcji, zgłoś problem w repozytorium GitHub usługi AKS.

Testowanie

Zanim obraz węzła platformy Azure z systemem Linux zostanie wydany na potrzeby testowania, przechodzi serię testów specyficznych dla systemu Azure Linux i AKS, aby upewnić się, że obraz spełnia wymagania usługi AKS. Takie podejście do testowania jakości pomaga wychwytywać i rozwiązywać problemy przed ich wdrożeniem w węzłach produkcyjnych. Część tych testów jest związana z wydajnością, testowaniem procesora CPU, sieci, magazynu, pamięci i klastra, takimi jak czasy tworzenia i uaktualniania klastra. Gwarantuje to, że wydajność hosta kontenera systemu Linux platformy Azure nie pogarsza się w miarę uaktualniania obrazu.

Ponadto pakiety systemu Linux platformy Azure opublikowane w packages.microsoft.com mają również dodatkowy stopień pewności i bezpieczeństwa podczas testowania. Zarówno obraz węzła systemu Linux platformy Azure, jak i pakiety są uruchamiane za pomocą zestawu testów, które symulują środowisko platformy Azure. Obejmuje to testy weryfikacji kompilacji (BVTs), które weryfikują rozszerzenia AKS i dodatki są obsługiwane w każdej wersji hosta kontenera systemu Linux platformy Azure. Poprawki są również testowane względem bieżącego obrazu węzła systemu Linux platformy Azure przed wydaniem, aby upewnić się, że nie ma regresji, co znacznie zmniejsza prawdopodobieństwo wprowadzenia uszkodzonego pakietu do węzłów produkcyjnych.

Następne kroki

W tym artykule opisano niektóre podstawowe pojęcia dotyczące hosta kontenerów systemu Linux platformy Azure, takie jak infrastruktura CVE i testowanie. Aby uzyskać więcej informacji na temat pojęć związanych z hostem kontenerów systemu Linux platformy Azure, zobacz następujące artykuły: