Concepts fondamentaux de l’hôte de conteneur Linux Azure pour AKS
Microsoft Azure Linux est un projet open source géré par Microsoft, ce qui signifie que Microsoft est responsable de l’ensemble de la pile hôte de conteneur Linux Azure, du noyau Linux au Vulnérabilités et exposition courantes (CVEs) infrastructure, support et validation de bout en bout. Microsoft vous permet de créer facilement un cluster AKS avec Azure Linux, sans vous soucier des détails tels que la vérification et les correctifs de vulnérabilité de sécurité critiques d’une distribution tierce.
Infrastructure CVE
L’une des responsabilités de Microsoft dans la gestion de l’hôte de conteneur Linux Azure consiste à établir un processus pour les CVE, tels que l’identification des correctifs CVE applicables et la publication de correctifs CVE, et l’adhésion aux contrats de niveau de service définis (SLA) pour les correctifs de package. L’équipe Linux Azure génère et gère le contrat SLA pour les correctifs de package à des fins de production. Pour plus d’informations, consultez la structure de dépôt de package Azure Linux. Pour les packages inclus dans l’hôte de conteneur Linux Azure, Azure Linux analyse les vulnérabilités de sécurité deux fois par jour par le biais de CVE dans la base de données de vulnérabilité nationale (NVD) .
Les CVE Linux Azure sont publiées dans l’API de mise à jour de sécurité (SUG) Common Vulnerability Reporting Framework (CVRF). Cela vous permet d’obtenir des mises à jour de sécurité Microsoft détaillées sur les vulnérabilités de sécurité qui ont été examinées par Centre de réponse aux problèmes de sécurité (MSRC). En collaboration avec MSRC, Azure Linux peut rapidement et constamment découvrir, évaluer et corriger des CVE et contribuer à des correctifs critiques en amont.
Les CVE de niveau critique et élevé sont prises au sérieux et peuvent être mises en production hors bande en tant que mise à jour de package avant la disponibilité d’une nouvelle image de nœud AKS. Les CVE de niveau moyen et faible sont incluses dans la prochaine version d’image.
Remarque
À ce stade, les résultats de l’analyse ne sont pas publiés publiquement.
Ajouts et mises à niveau des fonctionnalités
Étant donné que Microsoft possède l’ensemble de la pile hôte de conteneur Linux Azure, y compris l’infrastructure CVE et d’autres flux de support, le processus d’envoi d’une demande de fonctionnalité est rationalisé. Vous pouvez communiquer directement avec l’équipe Microsoft propriétaire de l’hôte de conteneur Linux Azure, ce qui garantit un processus accéléré pour l’envoi et l’implémentation de demandes de fonctionnalités. Si vous avez une demande de fonctionnalité, envoyez un problème dans le dépôt GitHub AKS.
Test
Avant la publication d’une image de nœud Linux Azure pour les tests, elle subit une série de tests spécifiques à Azure Linux et AKS pour s’assurer que l’image répond aux exigences d’AKS. Cette approche des tests de qualité permet d’intercepter et d’atténuer les problèmes avant leur déploiement sur vos nœuds de production. Une partie de ces tests concernent les performances, testent l’UC, le réseau, le stockage, la mémoire et les métriques de cluster, telles que la création et les temps de mise à niveau du cluster. Cela permet de s'assurer que les performances de l'hôte de conteneurs Azure Linux ne régressent pas au fur et à mesure que l'image est mise à jour.
En outre, les packages Linux Azure publiés sur packages.microsoft.com reçoivent également un degré supplémentaire de confiance et de sécurité par le biais de nos tests. L’image et les packages de nœud Linux Azure sont exécutés via une suite de tests qui simulent un environnement Azure. Cela inclut les tests de vérification de build (BVT) qui valident les extensions AKS et les modules complémentaires qui sont pris en charge sur chaque version de l’hôte de conteneur Linux Azure. Les correctifs sont également testés sur l’image actuelle du nœud Linux Azure avant d’être publiées pour s’assurer qu’il n’existe aucune régression, réduisant considérablement la probabilité qu’un package endommagé soit déployé sur vos nœuds de production.
Étapes suivantes
Cet article décrit certains des principaux concepts de l’hôte de conteneur Linux Azure, tels que l’infrastructure CVE et les tests. Pour plus d’informations sur les concepts de l’hôte de conteneur Linux Azure, consultez les articles suivants :