你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文概述了 Azure Kubernetes 服务(AKS)上的 Azure Linux with OS Guard(预览版),包括关键功能、区域可用性以及资源以便入门。
什么是具有 OS Guard 的 Azure Linux?
使用 OS Guard 的 Azure Linux 是 Azure Linux 的强化不可变变体。 它为 AKS 上的容器主机提供强大的运行时完整性、防篡改性和企业级安全性。 OS Guard 基于 Azure Linux 构建,并添加了内核和运行时功能,这些功能强制实施代码完整性,保护根文件系统免受未经授权的更改,并应用强制访问控制。
可以在新群集中使用 OS Guard 节点池部署 Azure Linux,将具有 OS Guard 节点池的 Azure Linux 添加到现有的 Azure Linux 或 Ubuntu 群集,或使用 OS Guard 节点将 Azure Linux 或 Ubuntu 节点迁移到 Azure Linux。
若要了解有关使用 OS Guard 的 Azure Linux 的详细信息,请参阅 包含 OS Guard 的 Azure Linux 文档。
为什么将 Azure Linux 与 AKS 上的 OS Guard 配合使用?
在 AKS 上使用 OS Guard 的 Azure Linux 通过添加增强的安全功能来帮助保护容器工作负载免受高级威胁,从而构建了 Azure Linux 的优势。 OS Guard 提供:
-
不可变性:目录
/usr装载为受 dm-verity 保护的只读卷,防止执行被篡改或不受信任的代码。 - 代码完整性:OS Guard 集成了 完整性策略强制(IPE)Linux 安全模块 ,以确保只允许来自受信任签名卷的二进制文件执行。 (IPE 在公共预览版期间以审核模式运行。
- 强制访问控制:OS Guard 集成 SELinux,以限制哪些进程可以访问系统中的敏感资源。 (SELinux 在公共预览版期间以宽松模式运行。
- 与 Azure 安全功能集成:对受信任启动和安全启动的原生支持,可提供测量启动保护和证明功能。
- 已验证的容器层:使用已签名的 dm-verity 哈希验证容器映像和层。 这可确保在运行时仅使用经过验证的层,从而降低容器逃逸或被篡改的风险。
- 主权供应链安全:OS Guard 继承 Azure Linux 的安全生成管道、签名的统一内核映像(UKIs)和软件材料清单(SBOM)。
详细了解 Azure Linux 与 OS Guard 的主要功能。
区域可用性
具有 OS Guard 的 Azure Linux 可用于 AKS 所在的同一 区域 。
在 AKS 上使用 OS Guard 开始使用 Azure Linux
通过以下资源在 AKS 上使用 OS Guard 开始使用 Azure Linux:
- 使用 OS Guard 使用 Azure Linux 创建群集
- 如何使用 OS Guard 群集升级 Azure Linux
- 将具有 OS Guard 节点池的 Azure Linux 添加到现有群集
- 使用 OS Guard 迁移到 Azure Linux
- 使用 OS Guard 群集在 Azure Linux 上启用遥测和监视
后续步骤
若要了解有关使用 OS Guard 的 Azure Linux 的详细信息,请参阅 包含 OS Guard 的 Azure Linux 文档。
