Kavramlar: Azure Container Registry'de sürekli güncelleme.

Azure Container Registry'nin Sürekli Düzeltme Özelliği, kapsayıcı görüntülerindeki işletim sistemi (OS) düzeyindeki güvenlik açıklarının algılanmasını ve giderilmesini otomatikleştirir. Trivy ile düzenli taramalar zamanlayarak ve Copa'yı kullanarak güvenlik düzeltmeleri uygulayarak, kaynak koduna veya derleme işlem hatlarına erişim gerektirmeden kayıt defterinizde güvenli, up-totarih görüntüleri tutabilirsiniz. Azure Container Registry (ACR) ortamınızı güvenli ve uyumlu tutmak için zamanlamayı ve hedef görüntüleri serbestçe özelleştirin

Kullanım Örnekleri

Sürekli Düzeltme Eki Uygulamaları'nı kullanmaya yönelik birkaç senaryo aşağıdadır:

  • Kapsayıcı güvenliğini ve hijyeni zorunlu tutma: Sürekli Yama Uygulaması, kullanıcıların ana kaynağı tekrar tamamen oluşturma gereksinimi olmadan işletim sistemi kapsayıcılarının CVE'lerini (Ortak Güvenlik Açıkları ve Etkilenenler) hızla düzeltmesini sağlar.
  • Kullanım Hızı: Sürekli Düzeltme Eki Uygulama, paketleri otomatik olarak güncelleştirerek belirli görüntüler için yukarı akış güncelleştirmelerine bağımlılığı kaldırır. Popüler görüntü yayımcıları ayda yalnızca bir kez yeni bir sürüm sunabilirken, güvenlik açıkları her gün görünebilir. Sürekli yama uygulaması ile, en yeni işletim sistemi güvenlik açıkları algılandığında, kayıt deponuzdaki kapsayıcı görüntülerine anında yama yapıldığından emin olabilirsiniz.

Fiyatlandırma

Sürekli Yama, bir tüketim modeli esasına göre çalışır. Her düzeltme eki, çalışan görevin 0,0001 ABD doları/saniyelik varsayılan ACR Görevi fiyatlandırması başına ücretlendirilen işlem kaynaklarını kullanır. ACR fiyatlandırma sayfasında daha fazla bilgi bulabilirsiniz.

Önizleme Sınırlamaları

Sürekli Güncelleme şu anda genel önizleme aşamasındadır. Aşağıdaki sınırlamalar geçerlidir:

  • Windows tabanlı kapsayıcı görüntüleri desteklenmez.
  • Yalnızca sistem paketlerinden kaynaklanan "işletim sistemi düzeyi" güvenlik açıklarına yama yapılır. Bu, "apt" ve "yum" gibi bir işletim sistemi paket yöneticisi tarafından yönetilen kapsayıcı görüntüsündeki sistem paketlerini içerir. Go, Python ve NodeJS gibi programlama dilleri tarafından kullanılan paketler gibi uygulama paketlerinden kaynaklanan güvenlik açıklarına düzeltme eki uygulanamaz.
  • Hizmet Süresi Bitişi (EOSL) görüntüleri Sürekli Yama tarafından desteklenmez. EOSL görüntüleri, temel işletim sisteminin artık güncelleştirmeler, güvenlik düzeltme ekleri ve teknik destek sunmadığı görüntülere başvurur. Örnek olarak Debian 8 ve Fedora 28 gibi eski işletim sistemi sürümlerini temel alan görüntüler verilebilir. Güvenlik açıkları olmasına rağmen EOSL görüntüleri düzeltme ekinden atlanır. Önerilen yaklaşım, görüntünüzün temel işletim sistemini desteklenen bir sürüme yükseltmektir.
  • Çok kemerli görüntüler desteklenmez.
  • Sürekli düzeltme eki uygulama için 100 resim sınırı zorunlu kılındı
  • Sürekli Güncelleme, ABAC (Öznitelik Tabanlı Erişim Kontrolü) etkinleştirilmiş kayıt defterleri ve PTC (Önbellekten Çekme) kuralları etkinleştirilmiş depolar ile uyumlu değildir.
  • "Ücretsiz deneme hesapları ACR Görevi erişimi sağlamadığı için ücretsiz kredi kullanan 'Ücretsiz Deneme' kapsamında Azure Abonelikleri desteklenmez."

Önemli Kavramlar

ACR'de sürekli yama her yama için yeni bir görüntü oluşturduğundan, ACR, yamalanmış görüntülerin sürümünü ve tanımlanmasını sağlayan bir etiketleme kuralını kullanır. İki ana yaklaşım artımlı ve kayan yaklaşımlardır.

Artımlı Etiketleme

Nasıl Çalışır:

Her yeni yama, özgün etikete sayısal bir sonek (örneğin, -1, -2 vb.) ekler. Örneğin, temel görüntü python:3.11 ise, ilk düzeltme eki oluşturur python:3.11-1ve aynı temel etikette ikinci bir düzeltme eki oluşturur python:3.11-2.

Özel Sonek Kuralları:

  • -1 için -999: Bunlar yama etiketleri olarak kabul edilir.
  • -x burada x > 999: Bunlar yama etiketleri olarak yorumlanmaz; bunun yerine, bu son ekin tamamı özgün etiketin bir parçası olarak kabul edilir. (Örnek: ubuntu:jammy-20240530 etiketi, düzeltme eki uygulanmış olarak değil, özgün etiket olarak kabul edilir.) Bu, -1 ile biten yeni bir etiketi yanlışlıkla -999'ye gönderirseniz, Sürekli Yamalama'nın bunu düzeltme eki uygulanmış bir görüntü olarak değerlendireceği anlamına gelir. Uygulamak istediğiniz düzeltme eki etiketlerini -1 eki ile -999 adresine göndermekten kaçınmanızı öneririz. Düzeltme eki uygulanmış görüntünün sürümlerine isabet edilirse -999 , Sürekli Düzeltme Eki Uygulama bir hata döndürür.

Kayan Etiketleme

Nasıl çalışır:

Tek bir değiştirilebilir etiket, -patchedher zaman görüntünüzün en son düzeltme eki uygulanmış sürümüne başvurur. Örneğin, temel görüntü etiketiniz python:3.11 ise, ilk yama python:3.11-patched etiketini oluşturur. Sonraki her düzeltme eki ile -patched etiket, en son düzeltme eki yapılan sürüme işaret edecek şekilde otomatik olarak güncelleştirilir.

Sürekli düzeltme eki uygulamasının etiketlerle nasıl çalıştığını gösteren diyagram.

Hangisini Kullanmalıyım?

Artımlı (varsayılan): Her yeni düzeltme eki benzersiz bir etiketle açıkça tanımlandığından, denetlenebilirlik ve geri almaların kritik öneme sahip olduğu ortamlar için idealdir.

Kayan: CI/CD işlem hatlarınız için en son düzeltme ekine yönelik tek bir işaretçi tercih ediyorsanız idealdir. Yama başına aşağı akış uygulamalarında başvuruları güncelleştirme gereksinimini ortadan kaldırarak karmaşıklığı azaltır, ancak sıkı sürüm kontrolünden ödün vererek geri alma sürecini zorlaştırabilir.

Sonraki Adımlar

Sürekli Yama Uygulama Ayarlama

  • Last updated on