Conceptos básicos del host de contenedor linux de Azure para AKS
Microsoft Azure Linux es un proyecto de código abierto mantenido por Microsoft, lo que significa que Microsoft es responsable de toda la pila del host de contenedor de Azure Linux, desde el kernel de Linux hasta la infraestructura de Puntos vulnerables y exposiciones comunes (CVE), la compatibilidad y la validación de un extremo a otro. Microsoft le facilita la creación de un clúster de AKS con Azure Linux para que no tenga que preocuparse por detalles como las revisiones de comprobación y vulnerabilidades de seguridad críticas de una distribución de terceros.
Infraestructura de CVE
Una de las responsabilidades de Microsoft en el mantenimiento del host de contenedor de Azure Linux consiste en establecer un proceso para los CVE, como identificar los CVE aplicables y publicar correcciones de CVE, además de cumplir los acuerdos de nivel de servicio (SLA) definidos para las correcciones de paquetes. El equipo de Azure Linux compila y mantiene el Acuerdo de Nivel de Servicio para correcciones de paquetes con fines de producción. Para más información, consulte la estructura del repositorio de paquetes de Azure Linux. En el caso de los paquetes incluidos en el host de contenedor de Azure Linux, Azure Linux examina las vulnerabilidades de seguridad dos veces al día a través de los CVE en la Base de Datos Nacional de Vulnerabilidades (NVD) de Estados Unidos.
Los CVE de Azure Linux se publican en la API Security Update Guide (SUG) Common Vulnerability Reporting Framework (CVRF). Esto le permite obtener actualizaciones detalladas de seguridad de Microsoft sobre vulnerabilidades de seguridad que el Centro de respuestas de seguridad de Microsoft (MSRC) ha investigado. Al colaborar con MSRC, Azure Linux puede detectar, evaluar y aplicar revisiones de forma rápida y coherente a las CVE, y contribuir a correcciones críticas en la cadena.
Los CV altos y críticos se toman en serio y se pueden liberar fuera de banda como una actualización de paquete antes de que esté disponible una nueva imagen de nodo de AKS. Las CV medias y bajas se incluyen en la siguiente versión de imagen.
Nota:
En este momento, los resultados del examen no se ven públicamente.
Adiciones y actualizaciones de características
Dado que Microsoft posee toda la pila del host de contenedor de Azure Linux, incluida la infraestructura de CVE y otras secuencias de soporte técnico, el proceso de envío de una solicitud de característica se simplifica. Puede comunicarse directamente con el equipo de Microsoft que posee el host de contenedor de Azure Linux, lo que garantiza un proceso acelerado para enviar e implementar solicitudes de características. Si tiene una solicitud de característica, registre una incidencia en el repositorio de GitHub de AKS.
Prueba
Antes de que se publique una imagen de nodo de Azure Linux para pruebas, se somete a una serie de pruebas específicas de Azure Linux y AKS para asegurarse de que la imagen cumpla los requisitos de AKS. Este enfoque para las pruebas de calidad ayuda a detectar y mitigar los problemas antes de implementarlos en los nodos de producción. Parte de estas pruebas son métricas relacionadas con el rendimiento, las pruebas de CPU, la red, el almacenamiento, la memoria y las métricas de clúster, como los tiempos de creación y actualización del clúster. Esto garantiza que el rendimiento del host de contenedor de Azure Linux no retroceda a medida que actualizamos la imagen.
Además, los paquetes de Azure Linux publicados en packages.microsoft.com también reciben un grado adicional de confianza y seguridad a través de nuestras pruebas. Tanto la imagen de nodo como los paquetes de Azure Linux se ejecutan a través de un conjunto de pruebas que simulan un entorno de Azure. Esto incluye las pruebas de comprobación de la compilación (BVT) que validan que las extensiones y complementos de AKS se admiten en cada versión del host de contenedor de Azure Linux. Las revisiones también se prueban con la imagen actual del nodo de Azure Linux antes de publicarse para asegurarse de que no hay regresiones, lo que reduce significativamente la probabilidad de que se implemente un paquete dañado en los nodos de producción.
Pasos siguientes
En este artículo, se describen algunos de los conceptos principales del host de contenedor de Azure Linux, como la infraestructura y las pruebas de CVE. Para más información sobre los conceptos del host de contenedor de Azure Linux, consulte los artículos siguientes: