Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje přehled Azure Linuxu s OS Guard (Preview) ve službě Azure Kubernetes Service (AKS), včetně klíčových funkcí, dostupnosti oblastí a prostředků, které vám pomůžou začít.
Co je Azure Linux s OS Guardem?
Azure Linux s OS Guard je posílená neměnná varianta Azure Linuxu. Poskytuje silnou integritu modulu runtime, odolnost proti manipulaci a zabezpečení na podnikové úrovni pro hostitele kontejnerů v AKS. OS Guard je založený na Azure Linuxu a přidává funkce jádra a modulu runtime, které vynucují integritu kódu, chrání kořenový systém souborů před neoprávněnými změnami a používají povinné řízení přístupu.
Azure Linux s fondy uzlů OS Guard můžete nasadit v novém clusteru, přidat Azure Linux s fondy uzlů OS Guard do stávajících clusterů Azure Linux nebo Ubuntu nebo migrovat uzly Azure Linux nebo Ubuntu do Azure Linuxu pomocí uzlů OS Guard.
Další informace o Azure Linuxu s OS Guard najdete v dokumentaci k Azure Linuxu s OS Guardem.
Proč používat Azure Linux s OS Guard v AKS?
Azure Linux s OS Guard v AKS vychází z výhod Azure Linuxu přidáním vylepšených funkcí zabezpečení, které pomáhají chránit úlohy kontejnerů před pokročilými hrozbami. OS Guard poskytuje:
-
Neměnnost: Adresář
/usrje připojený jako svazek jen pro čtení chráněný verzí dm-verity, který brání spuštění manipulovaného nebo nedůvěryhodného kódu. - Integrita kódu: OS Guard integruje modul zabezpečení IPE (Integrity Policy Enforcement) pro Linux , aby se zajistilo, že se smí spouštět jenom binární soubory z důvěryhodných podepsaných svazků. (IPE běží v režimu auditování ve verzi Public Preview.)
- Povinné řízení přístupu: OS Guard integruje SELinux a omezuje procesy, které mají přístup k citlivým prostředkům v systému. (SELinux funguje v režimu permissive během verze Public Preview.)
- Integrace s funkcemi zabezpečení Azure: Nativní podpora důvěryhodného spuštění a zabezpečeného spouštění poskytuje měřenou ochranu spouštění a ověření identity.
- Ověřené vrstvy kontejneru: Obrazy a vrstvy kontejnerů se ověřují pomocí podepsaných hodnot hash dm-verity. Tím se zajistí, že se za běhu použijí jenom ověřené vrstvy, což snižuje riziko úniku nebo manipulace s kontejnery.
- Zabezpečení suverénního dodavatelského řetězce: OS Guard dědí zabezpečené kanály buildu Azure Linuxu, podepsané image sjednocených jader (UKI) a softwarové vyúčtování materiálů (SBOM).
Přečtěte si další informace o klíčových funkcích Azure Linuxu s OS Guard.
Regionální dostupnost
Azure Linux s OS Guard je k dispozici pro použití ve stejných oblastech jako AKS.
Začínáme s Azure Linuxem s OS Guardem v AKS
Začněte s Azure Linuxem a OS Guard na AKS pomocí následujících zdrojů:
- Vytvoření clusteru s Azure Linuxem pomocí OS Guard
- Postup upgradu Azure Linuxu pomocí clusterů OS Guard
- Přidání fondu uzlů OS Guard v Azure Linuxu do existujícího clusteru
- Migrace do Azure Linuxu pomocí OS Guard
- Povolení telemetrie a monitorování v Azure Linuxu pomocí clusteru OS Guard
Další kroky
Další informace o Azure Linuxu s OS Guard najdete v dokumentaci k Azure Linuxu s OS Guardem.
Spolupracujte s námi na GitHubu
Zdroj tohoto obsahu najdete na GitHubu, kde můžete také vytvářet a kontrolovat problémy a žádosti o přijetí změn. Další informace najdete v našem průvodci pro přispěvatele.
Azure Kubernetes Service