Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Azure Linux to projekt typu open source obsługiwany przez firmę Microsoft, co oznacza, że firma Microsoft jest odpowiedzialna za cały stos hostów kontenerów systemu Linux z jądra systemu Linux do infrastruktury wspólnych luk w zabezpieczeniach i ekspozycji (CVE), obsługi i kompleksowej weryfikacji. Firma Microsoft ułatwia tworzenie klastra usługi AKS za pomocą systemu Azure Linux bez obaw o szczegóły, takie jak weryfikacja i krytyczne poprawki luk w zabezpieczeniach z dystrybucji innej firmy.
Ważne
Od 30 listopada 2025 r. usługa Azure Kubernetes Service (AKS) nie obsługuje już ani nie zapewnia aktualizacji zabezpieczeń dla systemu Azure Linux 2.0. Obraz węzła systemu Linux 2.0 platformy Azure został zamrożony w wersji 202512.06.0. Od 31 marca 2026 r. obrazy węzłów zostaną usunięte i nie będzie można skalować pul węzłów. Przeprowadź migrację do obsługiwanej wersji systemu Linux platformy Azure, uaktualniając pule węzłów do obsługiwanej wersji rozwiązania Kubernetes lub migrując do systemu osSku AzureLinux3. Aby uzyskać więcej informacji, zobacz Wycofywanie: pule węzłów Linux 2.0 platformy Azure w usłudze AKS.
Infrastruktura CVE
Jedną z obowiązków firmy Microsoft w utrzymaniu hosta kontenera systemu Linux platformy Azure jest ustanowienie procesu CVE, takiego jak identyfikowanie odpowiednich CVE i publikowanie poprawek CVE oraz przestrzeganie zdefiniowanych umów dotyczących poziomu usług (SLA) dla poprawek pakietów. Zespół ds. systemu Linux platformy Azure kompiluje i utrzymuje umowę SLA dla poprawek pakietów w celach produkcyjnych. Aby uzyskać więcej informacji, zobacz strukturę repozytorium pakietów Linux dla platformy Azure. W przypadku pakietów zawartych w hoście kontenera systemu Linux w Azure, Azure Linux skanuje pod kątem luk w zabezpieczeniach dwa razy dziennie na podstawie CVE z Krajowej Bazy Danych Luk w Zabezpieczeniach (NVD).
CVE dla Azure Linux są publikowane w interfejsie API Ramy Zgłaszania Wspólnych Luk w Zabezpieczeniach (CVRF) w Przewodniku Aktualizacji Zabezpieczeń (SUG). Dzięki temu można uzyskać szczegółowe aktualizacje zabezpieczeń firmy Microsoft dotyczące luk w zabezpieczeniach, które zostały zbadane przez Centrum zabezpieczeń firmy Microsoft (MSRC). Współpracując z MSRC, system Azure Linux może szybko i spójnie odnajdywać, oceniać i poprawiać luki bezpieczeństwa (CVE), a także współtworzyć krytyczne poprawki do głównego projektu.
Wysokie i krytyczne CVE są traktowane poważnie i mogą zostać wydane poza pasmem jako aktualizacja pakietu przed udostępnieniem nowego obrazu węzła usługi AKS. Średnie i niskie CVE są uwzględniane w następnym wydaniu obrazu.
Uwaga
Obecnie wyniki skanowania nie są publikowane publicznie.
Dodatki i uaktualnienia funkcji
Biorąc pod uwagę, że firma Microsoft jest właścicielem całego stosu hostów kontenerów systemu Linux platformy Azure, w tym infrastruktury CVE i innych strumieni pomocy technicznej, proces przesyłania żądania funkcji jest usprawniony. Możesz komunikować się bezpośrednio z zespołem firmy Microsoft, który jest właścicielem hosta kontenera systemu Linux platformy Azure, co zapewnia przyspieszony proces przesyłania i implementowania żądań funkcji. Jeśli masz żądanie funkcji, zgłoś problem w repozytorium GitHub usługi AKS.
Testowanie
Zanim obraz węzła platformy Azure z systemem Linux zostanie wydany na potrzeby testowania, przechodzi serię testów specyficznych dla systemu Azure Linux i AKS, aby upewnić się, że obraz spełnia wymagania usługi AKS. Takie podejście do testowania jakości pomaga wychwytywać i rozwiązywać problemy przed ich wdrożeniem w węzłach produkcyjnych. Część tych testów dotyczy wydajności, testowania procesora, sieci, pamięci masowej, pamięci i klastra, w tym czasów tworzenia i aktualizacji klastra. Gwarantuje to, że wydajność hosta kontenera systemu Linux platformy Azure nie pogarsza się w miarę uaktualniania obrazu.
Ponadto pakiety systemu Linux platformy Azure opublikowane w packages.microsoft.com mają również dodatkowy stopień pewności i bezpieczeństwa podczas testowania. Zarówno obraz węzła systemu Linux platformy Azure, jak i pakiety są uruchamiane za pomocą zestawu testów, które symulują środowisko platformy Azure. Obejmuje to testy weryfikacji kompilacji (BVTs), które sprawdzają, czy rozszerzenia i dodatki AKS są obsługiwane we wszystkich wersjach hosta kontenera systemu Linux na platformie Azure. Poprawki są również testowane względem bieżącego obrazu węzła systemu Linux platformy Azure przed wydaniem, aby upewnić się, że nie ma regresji, co znacznie zmniejsza prawdopodobieństwo wprowadzenia uszkodzonego pakietu do węzłów produkcyjnych.
Następne kroki
W tym artykule opisano niektóre podstawowe pojęcia dotyczące hosta kontenerów systemu Linux platformy Azure, takie jak infrastruktura CVE i testowanie. Aby uzyskać więcej informacji na temat pojęć związanych z hostem kontenerów systemu Linux platformy Azure, zobacz następujące artykuły: