Основные понятия для узла контейнеров Linux Azure для AKS
Microsoft Azure Linux — это проект с открытым исходным кодом, поддерживаемый корпорацией Майкрософт, что означает, что корпорация Майкрософт отвечает за весь стек узлов контейнеров Linux, от ядра Linux до инфраструктуры общих уязвимостей и уязвимостей (CVEs), поддержки и сквозной проверки. Корпорация Майкрософт упрощает создание кластера AKS с помощью Azure Linux, не беспокоясь о таких деталях, как проверка и критически важные исправления уязвимостей безопасности из стороннего дистрибутива.
Инфраструктура CVE
Одной из обязанностей Корпорации Майкрософт в обслуживании узла контейнеров Linux Azure является создание процесса для CVEs, например идентификации применимых CVEs и публикации исправлений CVE, а также соблюдение определенных соглашений об уровне обслуживания (SLA) для исправлений пакетов. Команда Azure Linux создает и поддерживает соглашение об уровне обслуживания для исправлений пакетов для производственных целей. Дополнительные сведения см. в структуре репозитория пакетов Linux Для Azure. Для пакетов, включенных в узел контейнеров Linux Azure, Azure Linux проверяет уязвимости безопасности дважды в день с помощью CVEs в национальной базе данных уязвимостей (NVD).
CvEs Azure Linux публикуются в API Common Vulnerability Reporting Framework (CVRF) руководства по обновлению безопасности (SUG). Это позволяет получить подробные обновления системы безопасности Майкрософт об уязвимостях безопасности, которые были расследованы Центром реагирования майкрософт (MSRC). Сотрудничая с MSRC, Azure Linux может быстро и согласованно обнаруживать, оценивать и исправления CVEs, а также вносить критически важные исправления в вышестоящий.
Высоко и критически важные cvEs принимаются серьезно и могут быть выпущены вне диапазона в качестве обновления пакета до того, как будет доступен новый образ узла AKS. Средние и низкие CVEs включены в следующий выпуск образа.
Примечание.
В настоящее время результаты сканирования не публикуются публично.
Дополнения и обновления компонентов
Учитывая, что корпорация Майкрософт владеет всем стеком узлов контейнеров Linux Azure, включая инфраструктуру CVE и другие потоки поддержки, процесс отправки запроса на функцию упрощается. Вы можете напрямую взаимодействовать с командой Майкрософт, которая владеет узлом контейнеров Azure Linux, что обеспечивает ускоренный процесс отправки и реализации запросов функций. Если у вас есть запрос на функцию, отправьте проблему в репозиторий AKS GitHub.
Тестирование
Перед выпуском образа узла Linux Azure для тестирования он проходит ряд тестов Azure Linux и AKS, чтобы убедиться, что образ соответствует требованиям AKS. Этот подход к тестированию качества помогает перехватывать и устранять проблемы перед развертыванием на рабочих узлах. Часть этих тестов связана с производительностью, тестированием ЦП, сетью, хранилищем, памятью и метриками кластера, такими как время создания кластера и обновления. Это гарантирует, что производительность узла контейнеров Linux Azure не регрессирует при обновлении образа.
Кроме того, пакеты Azure Linux, опубликованные в packages.microsoft.com , также получают дополнительную степень достоверности и безопасности через наше тестирование. Образ узла Azure Linux и пакеты выполняются с помощью набора тестов, которые имитируют среду Azure. Сюда входят тесты проверки сборки (BVTs), которые проверяют расширения AKS и надстройки , поддерживаются в каждом выпуске узла контейнеров Linux Azure. Исправления также проверяются на текущем образе узла Linux Azure перед выпуском, чтобы убедиться, что регрессии отсутствуют, что значительно снижает вероятность развертывания поврежденного пакета на рабочие узлы.
Следующие шаги
В этой статье рассматриваются некоторые основные понятия узла контейнеров Linux Azure, такие как инфраструктура CVE и тестирование. Дополнительные сведения о концепциях узла контейнеров Linux в Azure см. в следующих статьях: