Grundläggande begrepp för Azure Linux Container Host för AKS
Microsoft Azure Linux är ett projekt med öppen källkod som underhålls av Microsoft, vilket innebär att Microsoft ansvarar för hela Azure Linux Container Host-stacken, från Linux-kerneln till infrastrukturen common vulnerabilities and exposures (CVEs), support och validering från slutpunkt till slutpunkt. Microsoft gör det enkelt för dig att skapa ett AKS-kluster med Azure Linux, utan att behöva bekymra dig om information som verifiering och kritiska säkerhetsbristkorrigeringar från en distribution från tredje part.
CVE-infrastruktur
Ett av Microsofts ansvarsområden när det gäller att underhålla Azure Linux Container Host är att upprätta en process för CVE:er, till exempel att identifiera tillämpliga CVE:er och publicera CVE-korrigeringar och följa definierade serviceavtal (SLA) för paketkorrigeringar. Azure Linux-teamet skapar och underhåller serviceavtalet för paketkorrigeringar i produktionssyfte. Mer information finns i Azure Linux-paketrepostrukturen. För de paket som ingår i Azure Linux Container Host söker Azure Linux efter säkerhetsrisker två gånger om dagen via CVE:er i NVD (National Vulnerability Database).
Azure Linux-CVE:er publiceras i API:et för Common Vulnerability Reporting Framework (CVRF) i Guiden för säkerhetsuppdatering (SUG). På så sätt kan du få detaljerade Säkerhetsuppdateringar från Microsoft om säkerhetsrisker som har undersökts av Microsoft Security Response Center (MSRC). Genom att samarbeta med MSRC kan Azure Linux snabbt och konsekvent identifiera, utvärdera och korrigera CVE:er och bidra med kritiska korrigeringar uppströms.
Höga och kritiska CVE:er tas på allvar och kan släppas out-of-band som en paketuppdatering innan en ny AKS-nodbild är tillgänglig. Medelstora och låga CVE:er ingår i nästa bildversion.
Kommentar
För närvarande publiceras inte genomsökningsresultaten offentligt.
Funktionstillägg och uppgraderingar
Eftersom Microsoft äger hela Azure Linux Container Host-stacken, inklusive CVE-infrastrukturen och andra supportströmmar, effektiviseras processen med att skicka en funktionsbegäran. Du kan kommunicera direkt med Microsoft-teamet som äger Azure Linux Container Host, vilket säkerställer en accelererad process för att skicka och implementera funktionsbegäranden. Om du har en funktionsbegäran kan du skapa ett problem på AKS GitHub-lagringsplatsen.
Testning
Innan en Azure Linux-nodbild släpps för testning genomgår den en serie Azure Linux- och AKS-specifika tester för att säkerställa att avbildningen uppfyller AKS krav. Den här metoden för kvalitetstestning hjälper till att fånga upp och åtgärda problem innan de distribueras till dina produktionsnoder. En del av dessa tester är prestandarelaterade, testning av cpu-, nätverks-, lagrings-, minnes- och klustermått, till exempel skapande- och uppgraderingstider för kluster. Detta säkerställer att prestandan för Azure Linux Container Host inte går tillbaka när vi uppgraderar avbildningen.
Dessutom får De Azure Linux-paket som publicerats för packages.microsoft.com också en extra grad av förtroende och säkerhet genom våra tester. Både Azure Linux-nodbilden och paketen körs via en uppsättning tester som simulerar en Azure-miljö. Detta inkluderar build verification tests (BVTs) som validerar AKS-tillägg och tillägg stöds i varje version av Azure Linux Container Host. Korrigeringar testas också mot den aktuella Azure Linux-nodbilden innan de släpps för att säkerställa att det inte finns några regressioner, vilket avsevärt minskar sannolikheten för att ett skadat paket distribueras till dina produktionsnoder.
Nästa steg
Den här artikeln beskriver några av de grundläggande begreppen för Azure Linux Container Host, till exempel CVE-infrastruktur och testning. Mer information om begreppen Azure Linux Container Host finns i följande artiklar: