Konsep inti untuk Azure Linux Container Host untuk AKS
Microsoft Azure Linux adalah proyek sumber terbuka yang dikelola oleh Microsoft, yang berarti bahwa Microsoft bertanggung jawab atas seluruh tumpukan Azure Linux Container Host, dari kernel Linux hingga infrastruktur Common Vulnerabilities and Exposures (CVEs), dukungan, dan validasi end-to-end. Microsoft memudahkan Anda membuat kluster AKS dengan Azure Linux, tanpa khawatir tentang detail seperti verifikasi dan patch kerentanan keamanan penting dari distribusi pihak ketiga.
Infrastruktur CVE
Salah satu tanggung jawab Microsoft dalam mempertahankan Azure Linux Container Host adalah membangun proses untuk CVE, seperti mengidentifikasi CVE yang berlaku dan menerbitkan perbaikan CVE, dan mematuhi Perjanjian Tingkat Layanan (SLA) yang ditentukan untuk perbaikan paket. Tim Azure Linux membangun dan memelihara SLA untuk perbaikan paket untuk tujuan produksi. Untuk informasi selengkapnya, lihat struktur repositori paket Azure Linux. Untuk paket yang disertakan dalam Azure Linux Container Host, Azure Linux memindai kerentanan keamanan dua kali sehari melalui CVE di Database Kerentanan Nasional (NVD).
CVE Linux Azure diterbitkan dalam API Kerangka Kerja Pelaporan Kerentanan Umum (CVRF) Panduan Pembaruan Keamanan (SUG). Ini memungkinkan Anda mendapatkan pembaruan keamanan Microsoft terperinci tentang kerentanan keamanan yang telah diselidiki oleh Microsoft Security Response Center (MSRC). Dengan berkolaborasi dengan MSRC, Azure Linux dapat dengan cepat dan konsisten menemukan, mengevaluasi, dan menambal CVE, dan berkontribusi perbaikan penting kembali ke hulu.
CVE tinggi dan kritis dianggap serius dan dapat dirilis di luar band sebagai pembaruan paket sebelum gambar node AKS baru tersedia. CVE sedang dan rendah disertakan dalam rilis gambar berikutnya.
Catatan
Saat ini, hasil pemindaian tidak diterbitkan secara publik.
Penambahan dan peningkatan fitur
Mengingat bahwa Microsoft memiliki seluruh tumpukan Azure Linux Container Host, termasuk infrastruktur CVE dan aliran dukungan lainnya, proses pengiriman permintaan fitur disederhanakan. Anda dapat berkomunikasi langsung dengan tim Microsoft yang memiliki Azure Linux Container Host, yang memastikan proses yang dipercepat untuk mengirimkan dan menerapkan permintaan fitur. Jika Anda memiliki permintaan fitur, silakan ajukan masalah pada repositori GitHub AKS.
Pengujian
Sebelum gambar node Linux Azure dirilis untuk pengujian, gambar tersebut menjalani serangkaian pengujian khusus Azure Linux dan AKS untuk memastikan bahwa gambar tersebut memenuhi persyaratan AKS. Pendekatan pengujian kualitas ini membantu menangkap dan mengurangi masalah sebelum disebarkan ke simpul produksi Anda. Bagian dari pengujian ini adalah metrik terkait performa, pengujian CPU, jaringan, penyimpanan, memori, dan kluster seperti pembuatan kluster dan waktu peningkatan. Ini memastikan bahwa performa Host Kontainer Linux Azure tidak mengalami kemunculan saat kami meningkatkan gambar.
Selain itu, paket Linux Azure yang diterbitkan ke packages.microsoft.com juga diberikan tingkat kepercayaan diri dan keamanan ekstra melalui pengujian kami. Gambar dan paket simpul Azure Linux dijalankan melalui serangkaian pengujian yang mensimulasikan lingkungan Azure. Ini termasuk Uji Verifikasi Build (BVT) yang memvalidasi ekstensi dan add-on AKS didukung pada setiap rilis Azure Linux Container Host. Patch juga diuji terhadap gambar simpul Azure Linux saat ini sebelum dirilis untuk memastikan bahwa tidak ada regresi, secara signifikan mengurangi kemungkinan paket rusak diluncurkan ke simpul produksi Anda.
Langkah berikutnya
Artikel ini membahas beberapa konsep inti Azure Linux Container Host seperti infrastruktur dan pengujian CVE. Untuk informasi selengkapnya tentang konsep Azure Linux Container Host, lihat artikel berikut ini: