Kubernetes in Azure Container Service

Microsofts Cloud-Angebot zur Planung und Verwaltung von Container-Anwendungen stellt mit der Ergänzung von Kubernetes die wohl umfangreichste Auswahl an Orchestrierungswerkzeugen dar.

Microsoft hat bekannt gegeben, dass das Container-Orchestrierungswerkzeug nun vollständig im Azure Container Service unterstützt wird. Das bedeutet, dass Kunden durch entsprechende Service Level Agreements abgesichert sind beziehungsweise im Fall der Fälle Hilfe durch Microsoft einfordern können.

Kubernetes in der Azure-Cloud

Mit dem Azure Container Service lassen sich Container-Anwendungen auf der Azure-Plattform planen und orchestrieren. Kunden haben hier schon länger die Auswahl zwischen den Docker-Techniken Swarm und Compose oder – unabhängig von Docker – Mesospheres Datacenter Operating System (DC/OS), das wiederum auf dem Cluster-Framework Apache Mesos basiert. Kubernetes als weiteres, letztlich aber wohl verbreitetstes Orchestrierungswerkzeug stand als Preview-Version seit November 2016 bereit.

Durch die Einbindung von Kubernetes bekommen Anwender die Fähigkeit, Kubernetes-Cluster einfach hoch- oder herunterzuskalieren und Hochverfügbarkeits-Set-ups mit mehreren Mastern aufzusetzen. Kubernetes im Azure Container Service kann derweil auch schon mit Windows-Server-Container umgehen, das Feature hat aber derzeit noch Beta-Status.

Docker und Kubernetes

Mit Docker lassen sich Anwendungen samt ihrer Abhängigkeiten in sogenannte Container verpacken, in denen sie sich später leicht weitergeben und ausführen lassen. Im Vergleich zu virtuellen Maschinen sind die Docker-Container sparsamer im Umgang mit Ressourcen und können schneller starten. Allerdings ist zum Anfang der Konfigurationsaufwand erheblich höher – und hier soll Kubernetes helfen.

Kubernetes war auf Googles Entwicklerkonferenz I/O 2014 vorgestellt worden und hatte schnell Unterstützer wie Microsoft, IBM und Red Hat gefunden. Seit Sommer 2015 wird die Software unter dem Dach der von der Linux Foundation betriebenen Cloud Native Computing Foundation (CNCF) entwickelt.

Quelle: heise.de

RHEL-Server in Microsoft Azure waren angreifbar

Ein unsicherer Log-Server in Microsofts Cloud hätte dazu führen können, dass ein Angreifer alle auf Azure laufenden Red-Hat-Enterprise-VMs (RHEL) hätte übernehmen können.

Auf einen Schlag Root auf allen RHEL-Systemen in der Azure Cloud? Ian Duffy hätte diesen Trick durchziehen können. Der Softwareentwickler hat eine Sicherheitslücke in der Konfiguration von virtuellen Maschinen in Microsofts Cloud-Dienst Azure entdeckt. Diese betraf alle VMs mit Red Hat Enterprise Linux (RHEL) und ist von Microsoft bereits geschlossen worden. Duffy hätte die Lücke missbrauchen können, um bösartige Updates zu verteilen und die VMs zu kapern.

Fehler in RHEL Image

Beim Bau eines Azure-RHEL-Images stellte er fest, dass die Systeme mit einem RPM-Paket vorinstalliert sind, das Informationen über die VMs enthält, über die Microsoft Bet-Updates an virtuelle Maschinen in der Azure-Cloud verteilt. Über die kam Duffy an einen Log-Server heran, dessen Anmeldung so kaputt war, dass Duffy darauf Zugang erhielt, ohne den richtigen Nutzername und das dazugehörige Passwort zu kennen. In den Logs fand er dann Konfigurationsdateien und ein SSL-Zertifikat für die Update-Server, mit dem er vollen Admin-Zugang erhielt.

Mit Kontrolle über diese Server hätte Duffy ein bösartiges Update erstellen können, das ihm vollen Root-Zugang zu Systemen gegeben hätte, an die es verteilt worden wäre. Da RHEL-Updates in der Azure-Cloud in der Regel über diese Server laufen, hätte Duffy alle virtuellen Maschinen in der Cloud infizieren können, sobald diese sich nach neuen Updates umsehen – bei den meisten VMs wäre das wahrscheinlich automatisch passiert. Anstatt das allerdings zu tun, meldete Duffy die Schwachstelle an Microsoft und die Firma behob sie daraufhin prompt.

Internet der Dinge: Microsoft rüstet Azure IoT Suite auf

Microsoft möchte mit etlichen neuen Produkten in der Microsoft Azure IoT Suite das IoT-Gerätemanagement verbessern und für mehr Sicherheit und die flexiblere Anbindung von Geräten an seine Plattform sorgen.

Microsoft hat gleich mehrere neue Angebote rund um die Azure IoT Suite vorgestellt, die die Anbindung, das Management und die Sicherheit von IoT-Geräten (Internet of Things) verbessern sollen. Ziel von Microsofts Cloud-Plattform für das Internet der Dinge ist die einfache Integration einer großen Zahl von Geräten und Services in On-Premises-, Public-Cloud- oder hybride Infrastrukturen.

Mit der Erweiterung des Azure IoT Gateway SDK lassen sich sowohl ältere wie auch unzureichend vernetzte Geräte und Sensoren in IoT-Szenarien einbinden. Das SDK unterstützt hierfür Node.js, Java, C# und C. Das SDK ist quelloffen ab sofort über GitHub verfügbar.

In Kooperation mit Intel bietet Microsoft außerdem das sogenannte Grove IoT Commercial Gateway Kit an, das für die schnelle Entwicklung von Prototypen für kommerzielle Gatewayszenarien gedacht ist. Zudem listet das Partnernetzwerk von Microsoft eine Reihe zertifizierter Gateway-Hardware für Azure IoT auf, die unterschiedliche Betriebssysteme unterstützen, darunter Wind River Linux, Ubuntu, Windows 10 und Windows Server 2012.

Geräteverwaltung in der Azure IoT Suite

Außerdem ist Azure IoT Hub Device Management nun generell verfügbar. Die Anwendung umfasst Funktionen zur Skalierung und Automatisierung der Geräteverwaltung für unterschiedliche Geräte, Plattformen, Betriebssysteme und Protokolle. Die Funktion ist Teil des Azure IoT SDK. Clientseitige Unterstützung ist zurzeit für C und Node.js gegeben, C# und Java sind in Planung.

Das „Security Program“ für Azure IoT kann nun mit IP Filtering aufwarten: Anwender können damit festlegen, welche IP-Adressen von Azure IoT Hub akzeptiert (Whitelisting) oder abgelehnt werden (Blacklisting). Das IP Filtering unterstützt zurzeit die Protokolle AMQP, MQTT, AMQP/WS, MQTT/WS und HTTP/1. Ein bereits im Oktober veröffentlichtes Tutorial zeigt, wie sich IP-Adressen auf eine Blacklist setzen lassen. Microsoft möchte damit die Anbindung einer Vielzahl autonomer Geräte sicherer machen.