Mariner 是由 Microsoft 创建的开源 Linux 发行版,目前在 Azure Kubernetes 服务 (AKS) 上以容器主机的形式推出了预览版。 在不同的 AKS、AKS-HCI 和 Arc 产品中,Mariner 容器主机提供从云到边缘的可靠性和一致性。 可以在新群集中部署 Mariner 节点池,将 Mariner 节点池添加到现有 Ubuntu 群集,或将 Ubuntu 节点迁移到 Mariner 节点。 若要详细了解 Mariner,请参阅 Mariner 文档。
为何使用 Mariner
AKS 上的 Mariner 容器主机使用本机 AKS 映像,该映像提供单个位置用于完成所有 Linux 开发。 每个包都是从源代码生成的并已经过验证,确保服务在已认证的组件上运行。 Mariner 是轻量级软件,只包含运行容器工作负载所必需的一组包。 它减小了受攻击面,消除了不必要的包的修补和维护工作。 Mariner 的基础层包含一个针对 Azure 优化的 Azure 强化内核。 详细了解 Mariner 的关键功能。
如何在 AKS 上使用 Mariner
若要在 AKS 上开始使用 Mariner,请参阅:
如何升级 Mariner 节点
建议通过为群集启用自动升级来使群集保持最新且受保护状态。 若要启用自动升级,请参阅:
若要手动升级群集上的节点映像,可以运行 az aks nodepool upgrade:
az aks nodepool upgrade \
--resource-group myResourceGroup \
--cluster-name myAKSCluster \
--name myNodePool \
--node-image-only
区域可用性
在 AKS 所在的同一区域中可以使用 Mariner。
限制
Mariner 目前存在以下限制:
- SGX 和 FIPS 的映像 SKU 不可用。
- 它不符合美国联邦信息处理标准 (FIPS) 140 合规性要求和 Center for Internet Security (CIS) 认证。
- Mariner 尚不能通过 Azure 门户进行部署。
- 目前仅 Qualys、Trivy 和 Microsoft Defender for Containers 漏洞扫描工具支持 Mariner。
- Mariner 不支持 AppArmor。 可以手动配置对 SELinux 的支持。
- Mariner 尚不支持某些加载项、扩展和开源集成。 支持 Azure Monitor、Grafana、Helm、Key Vault 和容器见解。