Principais conceitos do Host de Contêiner do Linux do Azure para AKS
O Microsoft Azure Linux é um projeto de software livre mantido pela Microsoft, o que significa que a Microsoft é responsável por toda a pilha de Host de Contêiner do Linux do Azure, desde o kernel do Linux até a infraestrutura de Vulnerabilidades e Exposições Comuns (CVEs), suporte e validação de ponta a ponta. A Microsoft facilita a criação de um cluster do AKS com o Azure Linux, sem se preocupar com detalhes, como verificação e patches críticos de vulnerabilidade de segurança de uma distribuição de terceiros.
Infraestrutura CVE
Uma das responsabilidades da Microsoft na manutenção do Host de Contêiner do Linux do Azure é estabelecer um processo para CVEs, como identificar CVEs aplicáveis e publicar correções de CVE e aderir a SLAs (Contratos de Nível de Serviço) definidos para correções de pacote. A equipe do Linux do Azure cria e mantém o SLA para correções de pacote para fins de produção. Para obter mais informações, consulte a Estrutura de repositório de pacotes do Linux do Azure. Para os pacotes incluídos no Host de Contêiner do Linux do Azure, o Linux do Azure verifica se há vulnerabilidades de segurança duas vezes por dia por meio de CVEs no Banco de Dados Nacional de Vulnerabilidades (NVD).
Os CVEs do Linux do Azure são publicados na API do CVRF (Common Vulnerability Reporting Framework) do SUG (Guia de Atualização de Segurança). Isso permite que você obtenha atualizações detalhadas de segurança da Microsoft sobre vulnerabilidades de segurança que foram investigadas pelo MSRC (Microsoft Security Response Center). Ao colaborar com o MSRC, o Linux do Azure pode descobrir, avaliar e corrigir os CVEs de forma rápida e consistente e contribuir com correções críticas de volta para upstream.
CVEs altos e críticos são levados a sério e podem ser lançados fora de banda como uma atualização de pacote antes que uma nova imagem de nó do AKS esteja disponível. CVEs médios e baixos são incluídos na próxima versão da imagem.
Observação
Neste momento, os resultados da verificação não são publicados publicamente.
Adições e atualizações de recursos
Dado que a Microsoft possui toda a pilha de Host de Contêiner do Linux do Azure, incluindo a infraestrutura de CVE e outros fluxos de suporte, o processo de envio de uma solicitação de recurso é simplificado. Você pode se comunicar diretamente com a equipe da Microsoft que possui o Host de Contêiner do Linux do Azure, que garante um processo acelerado para enviar e implementar solicitações de recursos. Se você tiver uma solicitação de recurso, registre um problema no repositório GitHub do AKS.
Testando
Antes que uma imagem do nó Linux do Azure seja lançada para teste, ela passa por uma série de testes específicos do Linux do Azure e do AKS para garantir que a imagem atenda aos requisitos do AKS. Essa abordagem para testes de qualidade ajuda a capturar e atenuar problemas antes que eles sejam implantados em seus nós de produção. Parte desses testes são relacionados ao desempenho, testando CPU, rede, armazenamento, memória e métricas do cluster, como tempos de criação e atualização do cluster. Isso garante que o desempenho do Host de Contêiner do Linux do Azure não regresse à medida que atualizamos a imagem.
Além disso, os pacotes do Linux do Azure publicados em packages.microsoft.com também recebem um grau extra de confiança e segurança por meio de nossos testes. Tanto a imagem do nó Linux do Azure quanto os pacotes são executados por meio de um conjunto de testes que simulam um ambiente do Azure. Isso inclui BVTs (Testes de Verificação de Build) que validam que as extensões e complementos do AKS têm suporte em cada versão do Host de Contêiner do Linux do Azure. Os patches também são testados em relação à imagem atual do nó Linux do Azure antes de serem liberados para garantir que não haja regressões, reduzindo significativamente a probabilidade de um pacote corrompido ser distribuído para seus nós de produção.
Próximas etapas
Este artigo aborda alguns dos principais conceitos do Host de Contêiner do Linux do Azure, como infraestrutura e teste de CVE. Para obter mais informações sobre os conceitos do Host de Contêiner do Linux do Azure, consulte os seguintes artigos: