Concetti di base per l'host contenitore Linux di Azure per il servizio Azure Kubernetes
Microsoft Azure Linux è un progetto open source gestito da Microsoft, il che significa che Microsoft è responsabile dell'intero stack di host contenitore Linux di Azure, dal kernel Linux all'infrastruttura, al supporto e alla convalida end-to-end dell'infrastruttura, delle vulnerabilità e delle esposizioni comuni. Microsoft semplifica la creazione di un cluster del servizio Azure Kubernetes con Linux di Azure, senza doversi preoccupare dei dettagli, ad esempio le patch di verifica e vulnerabilità di sicurezza critiche da una distribuzione di terze parti.
Infrastruttura CVE
Una delle responsabilità di Microsoft nella gestione dell'host contenitore Linux di Azure consiste nello stabilire un processo per le CVE, ad esempio identificare le CVE applicabili e pubblicare correzioni CVE e aderire ai contratti di servizio definiti per le correzioni dei pacchetti. Il team Linux di Azure compila e gestisce il contratto di servizio per le correzioni dei pacchetti a scopo di produzione. Per altre informazioni, vedere la struttura del repository dei pacchetti Linux di Azure. Per i pacchetti inclusi nell'host contenitore Linux di Azure, Azure Linux analizza le vulnerabilità di sicurezza due volte al giorno tramite CVE nel database di vulnerabilità nazionale (NVD).
Le CVE Linux di Azure vengono pubblicate nell'API CVRF (Common Vulnerability Reporting Framework) della Guida agli aggiornamenti della sicurezza (SUG). In questo modo è possibile ottenere aggiornamenti dettagliati della sicurezza Microsoft sulle vulnerabilità di sicurezza analizzate da Microsoft Security Response Center (MSRC). Collaborando con MSRC, Azure Linux può individuare, valutare e applicare patch in modo rapido e coerente ai CVE e contribuire alle correzioni critiche upstream.
Le CVE elevate e critiche vengono prese sul serio e possono essere rilasciate fuori banda come aggiornamento del pacchetto prima che sia disponibile una nuova immagine del nodo del servizio Azure Kubernetes. Le CVE medie e basse sono incluse nella versione successiva dell'immagine.
Nota
Al momento, i risultati dell'analisi non vengono pubblicati pubblicamente.
Aggiunte e aggiornamenti delle funzionalità
Dato che Microsoft possiede l'intero stack host contenitore Linux di Azure, inclusa l'infrastruttura CVE e altri flussi di supporto, il processo di invio di una richiesta di funzionalità è semplificato. È possibile comunicare direttamente con il team Microsoft proprietario dell'host contenitore Linux di Azure, che garantisce un processo accelerato per l'invio e l'implementazione delle richieste di funzionalità. Se si ha una richiesta di funzionalità, inviare un problema nel repository GitHub del servizio Azure Kubernetes.
Test in corso
Prima che venga rilasciata un'immagine del nodo Linux di Azure per i test, viene sottoposta a una serie di test specifici di Azure Linux e del servizio Azure Kubernetes per assicurarsi che l'immagine soddisfi i requisiti del servizio Azure Kubernetes. Questo approccio ai test qualitativi consente di intercettare e attenuare i problemi prima di essere distribuiti nei nodi di produzione. Parte di questi test sono correlati alle prestazioni, test cpu, rete, archiviazione, memoria e metriche del cluster, ad esempio tempi di creazione e aggiornamento del cluster. Ciò garantisce che le prestazioni dell'host contenitore Linux di Azure non regredisca man mano che si aggiorna l'immagine.
Inoltre, ai pacchetti Linux di Azure pubblicati in packages.microsoft.com viene assegnato anche un livello di sicurezza e sicurezza aggiuntivo tramite i test. Sia l'immagine del nodo Linux di Azure che i pacchetti vengono eseguiti tramite un gruppo di test che simulano un ambiente Azure. Sono inclusi i test di verifica della compilazione (BVT) che convalidano le estensioni e i componenti aggiuntivi del servizio Azure Kubernetes sono supportati in ogni versione dell'host contenitore Linux di Azure. Le patch vengono testate anche sull'immagine del nodo Linux di Azure corrente prima del rilascio per assicurarsi che non ci siano regressioni, riducendo significativamente la probabilità che un pacchetto danneggiato venga distribuito nei nodi di produzione.
Passaggi successivi
Questo articolo illustra alcuni dei concetti principali dell'host contenitore Linux di Azure, ad esempio l'infrastruttura e il test CVE. Per altre informazioni sui concetti relativi all'host contenitore Linux di Azure, vedere gli articoli seguenti:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per