適用於 AKS 的 Azure Linux 容器主機核心概念
Microsoft Azure Linux 是 Microsoft 所維護的開放原始碼專案,這表示 Microsoft 負責整個 Azure Linux 容器主機堆棧,從 Linux 核心到 常見弱點和暴露 (CVE) 基礎結構、支援和端對端驗證。 Microsoft 可讓您輕鬆地使用 Azure Linux 建立 AKS 叢集,而不必擔心來自第三方散發套件的驗證和重大安全性弱點修補程式等詳細數據。
CVE 基礎結構
Microsoft 維護 Azure Linux 容器主機的其中一項責任是建立 CVE 的程式,例如識別適用的 CVE 併發布 CVE 修正程式,並遵守套件修正的已定義服務等級協定 (SLA)。 Azure Linux 小組會針對生產用途建置和維護套件修正的 SLA。 如需詳細資訊,請參閱 Azure Linux 套件存放庫結構。 針對 Azure Linux 容器主機中包含的套件,Azure Linux 會透過國家弱點資料庫 (NVD) 中的 CVE 每天掃描兩次安全性弱點。
Azure Linux CVE 發佈在 安全性更新指南 (SUG) 常見弱點報告架構 (CVRF) API 中。 這可讓您取得 Microsoft 安全性回應中心 (MSRC) 所調查之安全性弱點的詳細 Microsoft 安全性更新。 藉由與 MSRC 共同作業,Azure Linux 可以快速且一致地探索、評估和修補 CVE,並貢獻上游的重要修正程式。
高和關鍵 CVE 會受到認真對待,而且可能會在有新的 AKS 節點映射可用之前,以套件更新的形式發行頻外。 下一個映像版本包含中低 CVE。
注意
目前不會公開發佈掃描結果。
功能新增和升級
由於 Microsoft 擁有整個 Azure Linux 容器主機堆疊,包括 CVE 基礎結構和其他支援串流,提交功能要求的程式會簡化。 您可以直接與擁有 Azure Linux Container Host 的 Microsoft 小組通訊,這可確保提交和實作功能要求的加速程式。 如果您有功能要求,請在 AKS GitHub 存放庫提出問題。
測試
在發行 Azure Linux 節點映像進行測試之前,它會進行一系列 Azure Linux 和 AKS 特定測試,以確保映像符合 AKS 的需求。 這種質量測試方法有助於在問題部署到生產節點之前攔截並減輕問題。 這些測試的一部分是效能相關、測試CPU、網路、記憶體、記憶體和叢集計量,例如叢集建立和升級時間。 這可確保當我們升級映射時,Azure Linux 容器主機的效能不會回歸。
此外,發佈至 packages.microsoft.com 的 Azure Linux 套件也會透過我們的測試提供額外的信賴度和安全性。 Azure Linux 節點映像和套件都是透過模擬 Azure 環境的一組測試來執行。 這包括驗證 AKS 延伸模組和附加元件之組建驗證測試(BVT)支援每個 Azure Linux 容器主機版本。 修補程式也會在發行前針對目前的 Azure Linux 節點映射進行測試,以確保沒有回歸,大幅降低將損毀套件推出至生產節點的可能性。
下一步
本文涵蓋一些核心 Azure Linux 容器主機概念,例如 CVE 基礎結構和測試。 如需 Azure Linux 容器主機概念的詳細資訊,請參閱下列文章: