Az AKS-hez készült Azure Linux Container Host alapfogalmai
A Microsoft Azure Linux egy nyílt forráskódú projekt, amelyet a Microsoft tart fenn, ami azt jelenti, hogy a Microsoft felelős a teljes Azure Linux Container Host-veremért, a Linux kerneltől kezdve a Közös biztonsági rések és kitettségek (CVEs) infrastruktúráig, támogatásig és végpontok közötti ellenőrzésig. A Microsoft segítségével egyszerűen hozhat létre AKS-fürtöt az Azure Linux használatával anélkül, hogy aggódnia kellene olyan részletek miatt, mint az ellenőrzés és a kritikus biztonsági rések javítása egy harmadik féltől származó disztribúcióból.
CVE-infrastruktúra
A Microsoft egyik feladata az Azure Linux-tárológazda fenntartása, hogy létrehozzon egy folyamatot a CVE-k számára, például a vonatkozó CVE-k azonosítását és a CVE-javítások közzétételét, valamint a csomagjavítások meghatározott szolgáltatásiszint-szerződéseinek (SLA-k) betartását. Az Azure Linux csapata létrehozza és fenntartja az SLA-t a csomagjavításokhoz éles célokra. További információkért tekintse meg az Azure Linux-csomag adattárstruktúráját. Az Azure Linux Container Hostban található csomagok esetében az Azure Linux naponta kétszer ellenőrzi a biztonsági réseket a nemzeti biztonságirés-adatbázisban (NVD) található CVE-k segítségével.
Az Azure Linux CV-eket a Biztonsági frissítési útmutató (SUG) Common Vulnerability Reporting Framework (CVRF) API-ban tesszük közzé. Ez lehetővé teszi, hogy részletes biztonsági frissítéseket kapjon a Microsoft biztonsági réseiről, amelyeket a Microsoft Security Response Center (MSRC) vizsgált. Az MSRC-vel együttműködve az Azure Linux képes gyorsan és következetesen felderíteni, kiértékelni és kijavítani a CVE-eket, és hozzájárulni a kritikus javítások biztonsági mentéséhez.
A magas és kritikus cve-k komolyan veszik, és sávon kívül is megjelenhetnek csomagfrissítésként, mielőtt egy új AKS-csomópont lemezképe elérhetővé válik. A következő képkiadás a közepes és az alacsony CVE-ket tartalmazza.
Feljegyzés
A vizsgálati eredmények jelenleg nem nyilvánosan jelennek meg.
Funkciók kiegészítései és frissítései
Mivel a Microsoft a teljes Azure Linux Container Host-vermet birtokolja, beleértve a CVE-infrastruktúrát és az egyéb támogatási streameket is, a funkciókérés elküldésének folyamata egyszerűbbé válik. Közvetlenül kommunikálhat az Azure Linux Container Hostot birtokoló Microsoft-csapattal, amely gyorsított folyamatot biztosít a funkciókérések elküldéséhez és végrehajtásához. Ha szolgáltatáskérése van, küldjön egy problémát az AKS GitHub-adattárban.
Tesztelés
Mielőtt egy Azure Linux-csomópont lemezképét tesztelésre bocsátanák ki, az Azure Linux- és AKS-specifikus tesztek sorozatán megy keresztül annak biztosítása érdekében, hogy a rendszerkép megfeleljen az AKS követelményeinek. A minőségtesztelés ezen megközelítése segít a problémák megoldásában és megoldásában, mielőtt üzembe helyeznénk őket az éles csomópontokon. Ezeknek a teszteknek a része a teljesítményhez kapcsolódó, a processzor, a hálózat, a tárolás, a memória és a fürtmetrika tesztelése, például a fürtlétrehozás és a frissítési idő. Ez biztosítja, hogy az Azure Linux Container Host teljesítménye ne omlott vissza a rendszerkép frissítése során.
Emellett a packages.microsoft.com számára közzétett Azure Linux-csomagok a tesztelésen keresztül további megbízhatóságot és biztonságot is kapnak. Az Azure Linux-csomópont rendszerképe és a csomagok is egy Azure-környezetet szimuláló tesztcsomagon futnak. Ez magában foglalja az AKS-bővítmények és bővítmények ellenőrzésére szolgáló build-ellenőrzési teszteket (BVT-ket ) az Azure Linux Container Host minden egyes kiadásában. A javítások a jelenlegi Azure Linux-csomópont lemezképén is tesztelve vannak, mielőtt ki lettek adva, hogy ne legyenek regressziók, ami jelentősen csökkenti annak a valószínűségét, hogy egy sérült csomagot adnak ki az éles csomópontokon.
Következő lépések
Ez a cikk néhány alapvető Azure Linux Container Host-fogalmat, például a CVE-infrastruktúrát és a tesztelést ismerteti. Az Azure Linux Container Host fogalmaival kapcsolatos további információkért tekintse meg az alábbi cikkeket: