Conceitos principais para o Azure Linux Container Host for AKS
O Microsoft Azure Linux é um projeto de código aberto mantido pela Microsoft, o que significa que a Microsoft é responsável por toda a pilha do Azure Linux Container Host, desde o kernel Linux até a infraestrutura, suporte e validação de ponta a ponta (Common Vulnerabilities and Exposures) (CVEs). A Microsoft facilita a criação de um cluster AKS com o Azure Linux, sem se preocupar com detalhes como verificação e patches críticos de vulnerabilidade de segurança de uma distribuição de terceiros.
Infraestrutura CVE
Uma das responsabilidades da Microsoft na manutenção do Host de Contêiner Linux do Azure é estabelecer um processo para CVEs, como identificar CVEs aplicáveis e publicar correções de CVE, além de aderir a SLAs (Contratos de Nível de Serviço) definidos para correções de pacotes. A equipe do Azure Linux cria e mantém o SLA para correções de pacotes para fins de produção. Para obter mais informações, consulte a estrutura de repositório de pacotes do Linux do Azure. Para os pacotes incluídos no Azure Linux Container Host, o Azure Linux verifica vulnerabilidades de segurança duas vezes por dia por meio de CVEs no National Vulnerability Database (NVD).
Os CVEs do Azure Linux são publicados na API CVRF (Common Vulnerability Reporting Framework) do Guia de Atualização de Segurança (SUG). Isso permite que você obtenha atualizações de segurança detalhadas da Microsoft sobre vulnerabilidades de segurança que foram investigadas pelo Microsoft Security Response Center (MSRC). Ao colaborar com o MSRC, o Azure Linux pode descobrir, avaliar e corrigir CVEs de forma rápida e consistente, além de contribuir com correções críticas para upstream.
CVEs altos e críticos são levados a sério e podem ser lançados fora de banda como uma atualização de pacote antes que uma nova imagem de nó AKS esteja disponível. CVEs médios e baixos estão incluídos na próxima versão da imagem.
Nota
No momento, os resultados da verificação não são publicados publicamente.
Adições e atualizações de recursos
Dado que a Microsoft possui toda a pilha de Host de Contêiner Linux do Azure, incluindo a infraestrutura CVE e outros fluxos de suporte, o processo de envio de uma solicitação de recurso é simplificado. Você pode se comunicar diretamente com a equipe da Microsoft proprietária do Azure Linux Container Host, que garante um processo acelerado para enviar e implementar solicitações de recursos. Se você tiver uma solicitação de recurso, registre um problema no repositório AKS GitHub.
Testar
Antes de uma imagem de nó do Azure Linux ser liberada para teste, ela passa por uma série de testes específicos do Azure Linux e do AKS para garantir que a imagem atenda aos requisitos do AKS. Essa abordagem aos testes de qualidade ajuda a detetar e mitigar problemas antes que eles sejam implantados em seus nós de produção. Parte desses testes está relacionada ao desempenho, testando CPU, rede, armazenamento, memória e métricas de cluster, como criação de cluster e tempos de atualização. Isso garante que o desempenho do Host de Contêiner Linux do Azure não regrida à medida que atualizamos a imagem.
Além disso, os pacotes Linux do Azure publicados para packages.microsoft.com também recebem um grau extra de confiança e segurança por meio de nossos testes. A imagem e os pacotes do nó Linux do Azure são executados por meio de um conjunto de testes que simulam um ambiente do Azure. Isso inclui BVTs (Testes de Verificação de Compilação) que validam extensões AKS e complementos são suportados em cada versão do Host de Contêiner Linux do Azure. Os patches também são testados em relação à imagem atual do nó Linux do Azure antes de serem lançados para garantir que não haja regressões, reduzindo significativamente a probabilidade de um pacote corrompido ser implementado em seus nós de produção.
Próximos passos
Este artigo aborda alguns dos principais conceitos do Host de Contêiner Linux do Azure, como infraestrutura CVE e testes. Para obter mais informações sobre os conceitos do Azure Linux Container Host, consulte os seguintes artigos: