Kernkonzepte für den Azure Linux Containerhost für AKS
Microsoft Azure Linux ist ein Open-Source-Projekt, das von Microsoft gepflegt wird. Das bedeutet, dass Microsoft für den gesamten Azure Linux Containerhost-Stack verantwortlich ist, vom Linux-Kernel bis hin zur Infrastruktur für Common Vulnerabilities and Exposures (CVE, häufige Sicherheitslücken und Schwachstellen), Support und End-to-End-Validierung. Microsoft macht es Ihnen leicht, einen AKS-Cluster mit Azure Linux zu erstellen, ohne sich um Details wie Verifizierung und Patches für kritische Sicherheitslücken aus einer Drittanbieter-Distribution kümmern zu müssen.
CVE-Infrastruktur
Eine der Verantwortlichkeiten von Microsoft bei der Wartung des Azure Linux Containerhost ist die Einrichtung eines Prozesses für CVEs, wie z. B. die Identifizierung anwendbarer CVEs und die Veröffentlichung von CVE-Fixes sowie die Einhaltung definierter Vereinbarungen zum Servicelevel (SLAs) für Paketfixes. Das Azure Linux-Team erstellt und pflegt die SLA für Paketfixes für Produktionszwecke. Weitere Informationen finden Sie in der Repositorystruktur des Azure Linux-Pakets. Für die Pakete, die im Azure Linux-Containerhost enthalten sind, sucht Azure Linux zweimal pro Tag über CVEs in der National Vulnerability Database (NVD) nach Sicherheitsrisiken.
Azure Linux CVEs werden in der SecurityUpdate Guide (SUG) Common Vulnerability Reporting Framework (CVRF)-API veröffentlicht. So können Sie detaillierte Microsoft-Sicherheitsupdates zu Sicherheitslücken erhalten, die vom Microsoft Security Response Center (MSRC) untersucht wurden. Durch die Zusammenarbeit mit MSRC ist Azure Linux in der Lage, schnell und konsequent CVEs zu entdecken, zu bewerten und zu patchen und kritische Korrekturen zurück ins Netz zu stellen.
Hohe und kritische CVEs werden ernst genommen und können out-of-band als Paketaktualisierung veröffentlicht werden, bevor ein neues AKS-Knoten-Image verfügbar ist. Mittlere und niedrige CVEs sind in der nächsten Bildversion enthalten.
Hinweis
Zur Zeit werden die Scanergebnisse nicht veröffentlicht.
Funktionserweiterungen und Upgrades
Da Microsoft Eigentümer des gesamten Azure Linux Containerhost-Stacks ist, einschließlich der CVE-Infrastruktur und anderer Support-Streams, ist der Prozess der Einreichung einer Featureanforderung optimiert. Sie können direkt mit dem Microsoft-Team kommunizieren, das für den Azure Linux Containerhost zuständig ist, was einen beschleunigten Prozess für die Einreichung und Umsetzung von Featureanforderungen gewährleistet. Wenn Sie eine Featureanforderung haben, erstellen Sie bitte ein Ticket im AKS GitHub Repository.
Testen
Bevor ein Azure Linux-Knotenimage zum Testen freigegeben wird, durchläuft es eine Reihe von Azure Linux- und AKS-spezifischen Tests, um sicherzustellen, dass das Image die Anforderungen von AKS erfüllt. Dieser Ansatz für Qualitätstests hilft dabei, Probleme zu erkennen und zu entschärfen, bevor sie auf Ihren Produktionsknoten bereitgestellt werden. Ein Teil dieser Tests bezieht sich auf die Leistung, d. h. auf CPU, Netzwerk, Speicher, Arbeitsspeicher und Cluster-Metriken wie z. B. die Erstellungs- und Aktualisierungszeiten von Clustern. Dadurch wird sichergestellt, dass die Leistung des Azure Linux Containerhost nicht zurückgeht, wenn wir das Image aktualisieren.
Darüber hinaus erhalten die Azure Linux-Pakete, die auf packages.microsoft.com veröffentlicht werden, durch unsere Tests ein zusätzliches Maß an Vertrauen und Sicherheit. Sowohl das Azure-Linux-Knotenimage als auch die Pakete werden einer Reihe von Tests unterzogen, die eine Azure-Umgebung simulieren. Dazu gehören Buildverifizierungstests (Build Verification Tests, BVT), die sicherstellen, dass AKS-Erweiterungen und Add-Ons in jeder Version des Azure Linux Containerhost unterstützt werden. Patches werden außerdem vor der Veröffentlichung mit dem aktuellen Azure Linux-Knotenimage getestet, um sicherzustellen, dass es keine Regressionen gibt. Dadurch wird die Wahrscheinlichkeit, dass ein fehlerhaftes Paket auf Ihre Produktionsknoten ausgerollt wird, erheblich verringert.
Nächste Schritte
In diesem Artikel werden einige der wichtigsten Konzepte von Azure Linux Containerhost wie CVE-Infrastruktur und Tests behandelt. Weitere Informationen zu den Konzepten von Azure Linux Containerhost finden Sie in den folgenden Artikeln: