AKS 用 Azure Linux コンテナー ホストの主要概念
Microsoft Azure Linux は、Microsoft が保守するオープンソースのプロジェクトです。つまり、Linux カーネルから共通脆弱性識別子 (CVE) インフラストラクチャ、サポート、エンド ツー エンド検証まで、Microsoft が Azure Linux コンテナー ホスト スタックの全体を担当しています。 Microsoft では、検証やサードパーティによる再頒布からの重要なセキュリティ脆弱性パッチなどの詳細について懸念せずに、Azure Linux で AKS クラスターを簡単に作成できるようにします。
CVE インフラストラクチャ
Azure Linux コンテナー ホストの保守における Microsoft の責任の 1 つは、適切な CVE の識別、CVE 修正プログラムの公開、パッケージ修正プログラムの定義済みのサービス レベル アグリーメント (SLA) への準拠など、CVE のためのプロセスを確立することです。 Azure Linux チームは、運用目的のパッケージ修正プログラムの SLA を作成および維持します。 詳細については、「Azure Linux パッケージ リポジトリの構造」を参照してください。 Azure Linux コンテナー ホストに含まれるパッケージの場合、Azure Linux では National Vulnerability Database (NVD) の CVE を介して、セキュリティの脆弱性を 1 日に 2 回スキャンします。
Azure Linux CVE は、セキュリティ更新プログラム ガイド (SUG) の Common Vulnerability Reporting Framework (CVRF) API で公開されています。 これにより、Microsoft Security Response Center (MSRC) が調査したセキュリティの脆弱性に関する詳細な Microsoft セキュリティ更新プログラムを取得できます。 Azure Linux は MSRC と協力して、CVE を迅速かつ着実に検出、評価、修正し、重要な修正プログラムを上流に戻して提供できます。
重大度の高い CVE は重要視されており、新しい AKS ノード イメージが使用可能になる前に、パッケージの更新として帯域外にリリースされる場合があります。 重大度が中および低程度の CVE は、次回のイメージ リリースに含まれます。
Note
現時点では、スキャン結果は公開されていません。
機能の追加とアップグレード
CVE インフラストラクチャやその他のサポート ストリームを含め、Microsoft が Azure Linux コンテナー ホスト スタックの全体を担当していることを考慮し、機能の要求を送信するプロセスは合理化されています。 Azure Linux コンテナー ホストを担当する Microsoft チームと直接通信することができ、これによって機能の要求を送信して実装するための高速なプロセスが実現します。 機能の要求がある場合は、AKS GitHub リポジトリで問題を報告してください。
テスト
Azure Linux ノード イメージがテスト用にリリースされる前に、イメージが AKS の要件を満たしていることを確認するために、一連の Azure Linux および AKS 固有のテストが行われます。 品質テストに対するこのアプローチは、運用ノードにデプロイされる前に問題をとらえて軽減するために役立ちます。 これらのテストの一部は、パフォーマンスに関連したテスト、CPU、ネットワーク、ストレージ、メモリ、クラスター メトリック (クラスターの作成やアップグレードの時間など) です。 これにより、イメージのアップグレード時に Azure Linux コンテナー ホストのパフォーマンスが低下しないようにします。
さらに、packages.microsoft.com に公開された Azure Linux パッケージでは、テストを通じてより高い信頼度と安全性も確保されています。 Azure Linux ノード イメージおよびパッケージの両方が、Azure 環境をシミュレートする一連のテストを通じて実行されます。 これには、Azure Linux コンテナー ホストの各リリースでサポートされている AKS 拡張機能とアドオンを検証するビルド確認テスト (BFT) が含まれます。 回帰がないことを確認するために、パッチはリリースされる前に現在の Azure Linux ノード イメージに対してテストされます。これにより、破損したパッケージが運用ノードにロールアウトされる可能性が大幅に低下します。
次のステップ
この記事は、CVE インフラストラクチャおよびテストなど、主要な Azure Linux コンテナー ホストの概念の一部をカバーしています。 Azure Linux コンテナー ホストの概念の詳細については、以下の記事を参照してください。