AKS용 Azure Linux 컨테이너 호스트의 핵심 개념
Microsoft Azure Linux는 Microsoft에서 유지 관리하는 오픈 소스 프로젝트입니다. 즉, Microsoft는 Linux 커널에서 CVE(Common Vulnerabilities and Exposures) 인프라, 지원 및 엔드투엔드 유효성 검사에 이르기까지 전체 Azure Linux 컨테이너 호스트 스택을 담당합니다. Microsoft를 통해 타사 배포의 확인 사항 및 중요한 보안 취약성 패치와 같은 세부 정보를 걱정하지 않고도 Azure Linux를 사용하여 쉽게 AKS 클러스터를 만들 수 있습니다.
CVE 인프라
Azure Linux 컨테이너 호스트를 유지 관리하는 Microsoft의 책임 중 하나는 적용 가능한 CVE를 식별하고 CVE 수정 사항을 게시하는 등 CVE 프로세스를 설정하고 패키지 수정 사항에 대해 정의된 SLA(서비스 수준 계약)를 준수하는 것입니다. Azure Linux 팀은 프로덕션 목적으로 패키지 수정을 위해 SLA를 빌드하고 유지 관리합니다. 자세한 내용은 Azure Linux 패키지 리포지토리 구조를 참조하세요. Azure Linux 컨테이너 호스트에 포함된 패키지의 경우 Azure Linux가 NVD(National Vulnerability Database)의 CVE를 통해 하루에 두 번 보안 취약성을 스캔합니다.
Azure Linux CVE는 SUG(보안 업데이트 가이드) CVRF(Common Vulnerability Reporting Framework) API에 게시됩니다. 이를 통해 MSRC(Microsoft 보안 대응 센터)에서 조사한 보안 취약성에 대한 자세한 Microsoft 보안 업데이트를 가져올 수 있습니다. Azure Linux는 MSRC와 공동 작업하여 CVE를 빠르고 일관되게 검색, 평가, 패치할 수 있으며, 중요한 수정 사항을 다시 업스트림에 제공할 수 있습니다.
위험성이 높고 중요한 CVE는 심각하게 여겨지므로 새 AKS 노드 이미지가 사용 가능한 상태가 되기 전에 대역 외 패키지 업데이트로 릴리스할 수 있습니다. 중간 및 낮은 CVE는 다음 이미지 릴리스에 포함됩니다.
참고 항목
현재 스캔 결과는 공개적으로 게시되지 않습니다.
기능 추가 및 업그레이드
Microsoft가 CVE 인프라 및 기타 지원 스트림을 포함하여 전체 Azure Linux 컨테이너 호스트 스택을 소유하고 있는 경우 기능 요청을 제출하는 프로세스가 간소화됩니다. Azure Linux 컨테이너 호스트를 소유한 Microsoft 팀과 직접 통신하여 기능 요청을 제출하고 구현하기 위한 가속화된 프로세스를 보장할 수 있습니다. 기능 요청이 있는 경우 AKS GitHub 리포지토리에 문제를 제출하세요.
테스팅
테스트를 위해 Azure Linux 노드 이미지를 릴리스하기 전에 이미지가 AKS의 요구 사항을 충족하도록 일련의 Azure Linux 및 AKS 관련 테스트를 거칩니다. 품질 테스트에 대한 이러한 접근 방식은 프로덕션 노드에 배포되기 전에 문제를 파악하고 완화하는 데 도움이 됩니다. 이러한 테스트의 일부는 CPU, 네트워크, 스토리지, 메모리 및 클러스터 메트릭(예: 클러스터 생성 및 업그레이드 시간)을 테스트하는 성능과 관련되어 있습니다. 그렇기 때문에 이미지를 업그레이드할 때 Azure Linux 컨테이너 호스트의 성능이 저하되지 않습니다.
또한 packages.microsoft.com에 게시된 Azure Linux 패키지에는 테스트를 통해 추가적인 신뢰도와 안전성이 제공됩니다. Azure Linux 노드 이미지와 패키지는 모두 Azure 환경을 시뮬레이션하는 테스트 제품군을 통해 실행됩니다. 여기에는 AKS 확장 및 추가 기능의 유효성을 검사하는 BVT(빌드 확인 테스트)가 Azure Linux 컨테이너 호스트의 각 릴리스에서 지원됩니다. 또한 패치는 릴리스되기 전에 현재 Azure Linux 노드 이미지에 대해 테스트되어 회귀가 없으며 손상된 패키지가 프로덕션 노드에 롤아웃될 가능성이 크게 줄어듭니다.
다음 단계
이 문서에서는 CVE 인프라 및 테스트와 같은 몇 가지 핵심 Azure Linux 컨테이너 호스트 개념에 대해 다룹니다. Azure Linux 컨테이너 호스트 개념에 대한 자세한 내용은 다음 문서를 참조하세요.