Concetti di base per l'host contenitore Linux di Azure per il servizio Azure Kubernetes
Linux di Microsoft Azure è un progetto open source gestito da Microsoft, il che significa che Microsoft è responsabile dell'intero stack di host contenitore Linux di Azure, dal kernel Linux all'infrastruttura, fino al supporto, alla convalida end-to-end e alle vulnerabilità ed esposizione comuni dell'infrastruttura. Microsoft semplifica la creazione di un cluster del servizio Azure Kubernetes con Linux di Azure, senza doversi preoccupare dei dettagli, come le patch di verifica e vulnerabilità di sicurezza critiche da una distribuzione di terze parti.
Infrastruttura CVE
Una delle responsabilità di Microsoft nella gestione dell'host contenitore Linux di Azure consiste nello stabilire un processo per le CVE, ad esempio identificare le CVE applicabili, pubblicare correzioni per le CVE e aderire ai contratti di servizio definiti per le correzioni dei pacchetti. Il team Linux di Azure compila e gestisce il contratto di servizio per le correzioni dei pacchetti a scopo di produzione. Per altre informazioni, vedere la struttura del repository dei pacchetti Linux di Azure. Per i pacchetti inclusi nell'host contenitore Linux di Azure, Linux di Azure analizza le vulnerabilità di sicurezza due volte al giorno tramite CVE nel database di vulnerabilità nazionale (NVD).
Le CVE Linux di Azure vengono pubblicate nell'API CVRF (Common Vulnerability Reporting Framework) della Guida agli aggiornamenti della sicurezza (SUG). In questo modo, è possibile ottenere aggiornamenti dettagliati della sicurezza Microsoft sulle vulnerabilità di sicurezza analizzate dal Microsoft Security Response Center (MSRC). Collaborando con MSRC, Linux di Azure può individuare, valutare e applicare patch in modo rapido e coerente alle CVE e contribuire alle correzioni critiche upstream.
Le CVE di priorità elevata e critica vengono trattate con attenzione e possono essere rilasciate fuori banda come aggiornamento del pacchetto prima che sia disponibile una nuova immagine del nodo del servizio Azure Kubernetes. Le CVE di priorità media e bassa sono incluse nella versione successiva dell'immagine.
Nota
Al momento, i risultati dell'analisi non vengono divulgati pubblicamente.
Aggiunte e aggiornamenti delle funzionalità
Dato che Microsoft possiede l'intero stack dell'host contenitore Linux di Azure, inclusa l'infrastruttura CVE e altri flussi di supporto, il processo di invio di una richiesta di funzionalità è semplificato. È possibile comunicare direttamente con il team Microsoft proprietario dell'host contenitore Linux di Azure, che garantisce un processo accelerato per l'invio e l'implementazione delle richieste di funzionalità. Se si ha una richiesta di funzionalità, segnalare un problema nel repository GitHub del servizio Azure Kubernetes.
Test
Prima che venga rilasciata un'immagine del nodo Linux di Azure per i test, viene sottoposta a una serie di test specifici di Linux di Azure e del servizio Azure Kubernetes per assicurarsi che l'immagine soddisfi i requisiti del servizio Azure Kubernetes. Questo approccio ai test qualitativi consente di intercettare e attenuare i problemi prima che siano distribuiti nei nodi di produzione. Parte di questi test sono correlati alle prestazioni, con test di CPU, rete, archiviazione, memoria e metriche del cluster, ad esempio tempi di creazione e aggiornamento del cluster. Ciò garantisce che le prestazioni dell'host contenitore Linux di Azure non regredisca man mano che si aggiorna l'immagine.
Inoltre, ai pacchetti Linux di Azure pubblicati in packages.microsoft.com viene assegnato anche un livello di sicurezza e confidenza aggiuntivo tramite i test. Sia l'immagine del nodo Linux di Azure che i pacchetti vengono eseguiti tramite un gruppo di test che simulano un ambiente Azure. Sono inclusi i test di verifica della compilazione (BVT) per confermare che le estensioni e i componenti aggiuntivi del servizio Azure Kubernetes siano supportati in ogni versione dell'host contenitore Linux di Azure. Le patch vengono testate anche sull'immagine del nodo Linux di Azure corrente prima del rilascio per assicurarsi che non ci siano regressioni, riducendo significativamente la probabilità che un pacchetto danneggiato venga distribuito nei nodi di produzione.
Passaggi successivi
Questo articolo illustra alcuni dei concetti principali dell'host contenitore Linux di Azure, ad esempio l'infrastruttura e il test CVE. Per altre informazioni sui concetti relativi all'host contenitore Linux di Azure, vedere gli articoli seguenti: