適用於 AKS 的 Azure Linux 容器主機核心概念
Microsoft Azure Linux 是 Microsoft 所維護的開放原始碼專案,這表示 Microsoft 負責整個 Azure Linux 容器主機堆疊,從 Linux 核心到常見的弱點和漏洞 (CVE) 基礎結構、支援和端對端驗證。 Microsoft 可讓您輕鬆地使用 Azure Linux 建立 AKS 叢集,而不必擔心來自第三方散發套件的驗證和重大安全性弱點修補檔等細節問題。
CVE 基礎結構
Microsoft 維護 Azure Linux 容器主機的其中一項責任是建立 CVE 的程序,例如識別適用的 CVE 與發佈 CVE 修正程式,並遵守套件修正程式的已定義服務等級協定 (SLA)。 Azure Linux 小組會針對生產用途建置和維護套件修正程式的 SLA。 如需詳細資訊,請參閱 Azure Linux 套件存放庫結構。 針對 Azure Linux 容器主機中包含的套件,Azure Linux 會透過國家弱點資料庫 (NVD) 中的 CVE 每天掃描兩次安全性弱點。
會在安全性更新指南 (SUG) 常見弱點報告架構 (CVRF) API 中發佈 Azure Linux CVE。 這可讓您取得詳細 Microsoft 安全性更新,其內容與 Microsoft 安全性回應中心 (MSRC) 所調查的安全性弱點有關。 藉由與 MSRC 共同作業,Azure Linux 可以快速且一致地探索、評估和修補 CVE,並將重要的修正程式提供給上游。
我們會嚴肅看待高和關鍵 CVE,而且可能會在有新的 AKS 節點映像可用前,以套件更新的形式以頻外的方式發佈。 下一個映像版本包含中和低 CVE。
注意
目前不會公開發佈掃描結果。
功能新增和升級
由於 Microsoft 擁有整個 Azure Linux 容器主機堆疊,包括 CVE 基礎結構和其他支援串流,提交功能要求的流程就得以簡化。 您可以直接與擁有 Azure Linux 容器主機的 Microsoft 小組通訊,這可確保加快提交和實作功能要求的流程。 如果您有功能要求,請在 AKS GitHub 存放庫提問。
測試
在發佈 Azure Linux 節點映像進行測試之前,其會進行一系列 Azure Linux 和 AKS 特定測試,以確保該映像符合 AKS 的需求。 這種品質測試方法有助於在部署到生產節點之前攔截問題並減輕其影響。 這些測試的一部分是效能相關、測試 CPU、網路、儲存體、記憶體和叢集計量,例如叢集建立和升級時間。 這可確保當我們升級映像時,Azure Linux 容器主機的效能不會變差。
此外,發佈至 packages.microsoft.com 的 Azure Linux 套件也會透過測試提供額外的信賴度和安全性。 Azure Linux 節點映像和套件都是透過模擬 Azure 環境的一組測試來執行。 這包括建置驗證測試 (BVT),其可驗證 AKS 延伸模組和附加元件在每個 Azure Linux 容器主機的版本上是否都受到支援。 修補檔也會在發行前針對目前的 Azure Linux 節點映像進行測試,以確保沒有迴歸,進而大幅降低將損毀套件導入生產節點的可能性。
下一步
本文涵蓋一些核心 Azure Linux 容器主機的概念,例如 CVE 基礎結構和測試。 如需 Azure Linux 容器主機概念的詳細資訊,請參閱下列文章: