使用英语阅读

通过


你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 AKS 的 Azure Linux 容器主机的核心概念

Microsoft Azure Linux 是 Microsoft 维护的开源项目,即 Microsoft 负责整个 Azure Linux 容器主机堆栈,从 Linux 内核到常见漏洞和风险 (CVE) 基础结构、支持以及端到端验证。 Microsoft 支持轻松使用 Azure Linux 创建 AKS 群集,而无需担心来自第三方分发的验证和关键安全漏洞修补程序等细节。

CVE 基础结构

Microsoft 在维护 Azure Linux 容器主机方面的职责之一是为 CVE 建立一个流程,例如识别适用的 CVE 和发布 CVE 修补程序,以及遵循为包修补程序定义的服务级别协议 (SLA)。 Azure Linux 团队为用于生产的包修补程序生成和维护 SLA。 有关详细信息,请参阅 Azure Linux 包存储库结构。 对于 Azure Linux 容器主机中包含的包,Azure Linux 每天通过国家漏洞数据库 (NVD) 中的 CVE 扫描两次安全漏洞。

Azure Linux CVE 发布在安全更新指南 (SUG) 常见漏洞报告框架 (CVRF) API 中。 方便你获取有关已由 Microsoft 安全响应中心 (MSRC) 调查过的安全漏洞的详细 Microsoft 安全更新。 通过与 MSRC 协作,Azure Linux 可以快速、一致地发现、评估和修补 CVE,并向上游提供关键修补程序。

我们会认真对待高危和关键 CVE,并可能在提供新的 AKS 节点映像之前,以软件包更新的形式在带外发布。 下一个映像版本中包括中和低 CVE。

备注

目前,扫描结果不会公开发布。

功能添加和升级

鉴于 Microsoft 拥有整个 Azure Linux 容器主机堆栈(包括 CVE 基础结构和其他支持流),因此可以简化提交功能请求的过程。 你可以直接与负责 Azure Linux 容器主机的 Microsoft 团队沟通,确保更快完成提交和实现功能请求的过程。 如果有功能请求,请在 AKS GitHub 存储库中提出问题。

测试

Azure Linux 节点映像在发布用于测试之前,会接受一系列 Azure Linux 和 AKS 专项测试,以确保映像满足 AKS 的要求。 在部署到生产节点之前,这种质量测试方法有助于发现和缓解问题。 其中部分测试与性能相关,测试 CPU、网络、存储、内存和群集指标,例如群集创建和升级时间。 这可确保升级映像时,Azure Linux 容器主机的性能不会下降。

此外,发布到 packages.microsoft.com 的 Azure Linux 包也通过我们的测试获得了额外的可信度和安全保证。 Azure Linux 节点映像和包都需要完成模拟 Azure 环境的一整套测试。 其中包括验证 AKS 扩展和加载项在 Azure Linux 容器主机的每个版本中都受支持的版本验收测试 (BVT)。 在发布之前,还会针对当前 Azure Linux 节点映像测试修补程序,以确保没有回归问题,从而显著减少将损坏的包推出到生产节点的可能性。

后续步骤

本文介绍 Azure Linux 容器主机的一些核心概念,例如 CVE 基础结构和测试。 有关 Azure Linux 容器主机概念的详细信息,请参阅以下文章: