AKS için Azure Linux Container Host için temel kavramlar
Microsoft Azure Linux, Microsoft tarafından sürdürülen açık kaynaklı bir projedir. Bu, Linux çekirdeğinden Ortak Güvenlik Açıkları ve Maruz Kalmalar (CVEs) altyapısına, desteğine ve uçtan uca doğrulamaya kadar tüm Azure Linux Container Host yığınından Microsoft'un sorumlu olduğu anlamına gelir. Microsoft, üçüncü taraf dağıtımdan doğrulama ve kritik güvenlik açığı düzeltme ekleri gibi ayrıntılar konusunda endişelenmeden Azure Linux ile AKS kümesi oluşturmanızı kolaylaştırır.
CVE altyapısı
Microsoft'un Azure Linux Container Host'ı korumadaki sorumluluklarından biri, geçerli CVE'leri tanımlama ve CVE düzeltmeleri yayımlama ve paket düzeltmeleri için tanımlı Hizmet Düzeyi Sözleşmelerine (SLA) bağlı olma gibi CVE'ler için bir süreç oluşturmaktır. Azure Linux ekibi, üretim amacıyla paket düzeltmeleri için SLA'yı oluşturur ve korur. Daha fazla bilgi için bkz . Azure Linux paket deposu yapısı. Azure Linux Container Host'a dahil edilen paketler için Azure Linux, Ulusal Güvenlik Açığı Veritabanı'ndaki (NVD) CV'ler aracılığıyla günde iki kez güvenlik açıklarını tarar.
Azure Linux CV'leri Güvenlik Güncelleştirmesi Kılavuzu (SUG) Ortak Güvenlik Açığı Raporlama Çerçevesi (CVRF) API'sinde yayımlanır. Bu, Microsoft Güvenlik Yanıt Merkezi (MSRC) tarafından araştırılan güvenlik açıkları hakkında ayrıntılı Microsoft güvenlik güncelleştirmelerini almanıza olanak tanır. Azure Linux, MSRC ile işbirliği yaparak CV'leri hızlı ve tutarlı bir şekilde bulabilir, değerlendirebilir ve düzeltme eki ekleyebilir ve önemli düzeltmeleri yedekleme akışına katkıda bulunabilir.
Yüksek ve kritik CVE'ler ciddiye alınır ve yeni bir AKS düğümü görüntüsü kullanıma sunulmadan önce paket güncelleştirmesi olarak bant dışı olarak yayımlanabilir. Orta ve düşük CVE'ler bir sonraki görüntü sürümüne dahil edilir.
Not
Şu anda tarama sonuçları genel olarak yayımlanmaz.
Özellik eklemeleri ve yükseltmeleri
CVE altyapısı ve diğer destek akışları da dahil olmak üzere Azure Linux Container Host yığınının tamamının Microsoft tarafından sahip olduğu göz önünde bulundurulduğunda, özellik isteği gönderme işlemi kolaylaştırılmıştır. Özellik isteklerini göndermek ve uygulamak için hızlandırılmış bir işlem sağlayan Azure Linux Kapsayıcı Konağı'nın sahibi olan Microsoft ekibiyle doğrudan iletişim kurabilirsiniz. Özellik isteğiniz varsa lütfen AKS GitHub deposunda bir sorun oluşturun.
Test Etme
Bir Azure Linux düğüm görüntüsü test için yayımlanmadan önce, görüntünün AKS gereksinimlerini karşıladığından emin olmak için bir dizi Azure Linux ve AKS'ye özgü testlerden geçer. Kalite testi yaklaşımı, sorunları üretim düğümlerinize dağıtılmadan önce yakalamanıza ve azaltmanıza yardımcı olur. Bu testlerin bir bölümü performansla ilgili, CPU, ağ, depolama, bellek ve küme oluşturma ve yükseltme süreleri gibi küme ölçümlerini test etmedir. Bu, görüntüyü yükselttıkça Azure Linux Container Host performansının gerilememesini sağlar.
Ayrıca, packages.microsoft.com'de yayımlanan Azure Linux paketlerine de testlerimiz aracılığıyla ek bir güven ve güvenlik derecesi verilir. Hem Azure Linux düğüm görüntüsü hem de paketleri, Azure ortamının benzetimini sağlayan bir test paketi üzerinden çalıştırılır. Buna, Azure Linux Container Host'ın her sürümünde AKS uzantılarının ve eklentilerinin desteklendiğini doğrulayan Derleme Doğrulama Testleri (BVT'ler ) dahildir. Düzeltme ekleri, regresyon olmadığından emin olmak için yayımlanmadan önce geçerli Azure Linux düğümü görüntüsünde de test edilir ve bu da bozuk bir paketin üretim düğümlerinize dağıtılma olasılığını önemli ölçüde azaltır.
Sonraki adımlar
Bu makalede CVE altyapısı ve testi gibi temel Azure Linux Container Host kavramlarından bazıları yer alır. Azure Linux Container Host kavramları hakkında daha fazla bilgi için aşağıdaki makalelere bakın: