Qu’est-ce que Azure Container Linux (ACL) pour Azure Kubernetes Service (AKS) ?

Dans cet article, nous fournissons une vue d’ensemble de Azure Container Linux (ACL), un système d’exploitation immuable et optimisé pour les conteneurs pour Azure Kubernetes Service (AKS). ACL est dérivé du projet Flatcar Container Linux et s’appuie sur la conception immuable éprouvée de Flatcar, axée sur les conteneurs, tout en y ajoutant les paquets Azure Linux, la maintenance et l’intégration à la plateforme. Cela permet à ACL de rester en étroite adéquation avec les innovations apportées en amont à Flatcar, tout en répondant aux exigences d’Azure en matière de production, de sécurité et de conformité. Pour en savoir plus sur Flatcar Container Linux, consultez la documentation Flatcar.

ACL est disponible de façon générale (GA) en tant qu’option de système d’exploitation dans AKS à partir de la version 1.34 d’AKS. Vous pouvez déployer des pools de nœuds ACL dans un nouveau cluster AKS, ajouter des pools de nœuds ACL à vos clusters existants et migrer des pools de nœuds Linux existants vers ACL.

Note

ACL est la version ga de Flatcar Container Linux pour AKS, qui a entré en préversion en novembre 2025. Les fonctionnalités de la protection du système d’exploitation (version préliminaire), telles que l’application de la stratégie d’intégrité, ne sont actuellement pas prises en charge. Si vous avez besoin de fonctionnalités OS Guard aujourd’hui, nous vous recommandons de continuer à utiliser OS Guard et à migrer vers la liste de contrôle d’accès une fois ces fonctionnalités disponibles.

Avantages de l’utilisation de ACL sur AKS

L’utilisation d’ACL comme système d’exploitation pour vos pools de nœuds AKS offre plusieurs avantages qui améliorent la sécurité, la fiabilité et l’efficacité opérationnelle :

  • Immuabilité intégrée pour une sécurité plus forte : l’immuabilité appliquée au noyau du répertoire vérifie l’intégrité de l’image du système d’exploitation au démarrage et au moment de l’exécution /usr . Cette conception permet de bloquer les modifications non autorisées avant de pouvoir affecter votre cluster et réduit le risque de falsification au niveau du système d’exploitation.
  • Surface d’attaque minimale : ACL ne fournit que les composants requis pour exécuter des conteneurs. En réduisant la taille et la complexité du système d’exploitation, la liste de contrôle d’accès réduit le nombre de packages, de services et de points d’entrée potentiels disponibles pour les attaquants et simplifie la gestion de la sécurité.
  • Mises à jour automatisées des images de nœuds : ACL fournit chaque semaine des mises à jour d’images incluant les derniers correctifs de sécurité et les corrections de bogues. Cette approche maintient la cohérence et la mise à jour des versions du système d’exploitation du nœud sur le cluster et permet de réduire l’exposition aux vulnérabilités connues.
  • Supply-chain trust : s’appuie sur les packages signés Azure Linux et les processus de chaîne logistique, fournissant une provenance claire pour les composants système.
  • Intégration aux fonctionnalités de sécurité Azure : la prise en charge native du lancement approuvé et du démarrage sécurisé fournit des protections et une attestation de démarrage mesurées.
  • Transparence open source : Flatcar ainsi que la plupart des technologies sous-jacentes (dm-verity et SELinux) sont en amont ou open source, et Microsoft dispose d’outils et de contributions pour prendre en charge ces fonctionnalités.

Principales fonctionnalités d’ACL

Les caractéristiques principales suivantes font d’ACL un système d’exploitation renforcé et optimisé pour les conteneurs pour AKS :

  • Immuabilité : le répertoire « /usr » est monté en tant que volume en lecture seule protégé par dm-verity. Au moment de l’exécution, le noyau valide un hachage racine signé pour détecter et bloquer la falsification
  • Contrôle d’accès obligatoire avec SELinux : la liste de contrôle d’accès inclut SELinux pour appliquer des stratégies de contrôle d’accès obligatoires qui limitent les processus pouvant accéder aux ressources système sensibles. Notez que SELinux fonctionne en mode d’application par défaut. Les stratégies SELinux peuvent évoluer au fil du temps.
  • Démarrage approuvé et Démarrage sécurisé : ACL nécessite Démarrage approuvé avec Démarrage sécurisé et vTPM, afin de garantir l’intégrité de la chaîne de démarrage avant le chargement du système d’exploitation. Cette opération est obtenue à l’aide d’une image de noyau unifiée (UKI), qui regroupe le noyau, initramfs et la ligne de commande du noyau dans un seul artefact signé. Pendant le démarrage, l’UKI est mesuré et enregistré dans le vTPM, ce qui garantit l’intégrité à partir de la première étape.
  • Prise en charge des nœuds GPU NVIDIA : ACL prend en charge les pools de nœuds compatibles GPU NVIDIA sur les architectures AMD64, ce qui vous permet d’exécuter des charges de travail d’informatique haute performance (HPC) et IA/ML sur AKS avec un système d’exploitation renforcé et optimisé pour les conteneurs. ACL ne prend pas en charge les architectures ARM64 pour les pools de nœuds avec prise en charge des GPU.
  • Prise en charge des architectures AMD64 et ARM64 : ACL est disponible pour les architectures AMD64 et ARM64 sur AKS.
  • Sécurité souveraine de la chaîne d’approvisionnement : ACL hérite des pipelines de build sécurisés d’Azure Linux et des images unifiées du noyau signées (UKI).
  • ACL prend en charge l’approvisionnement automatique de nœud (NAP).

Important

Si vous utilisez Azure Container Linux (ACL) sur AKS, vérifiez les considérations et limitations suivantes :

Feuille de route des fonctionnalités

Pour plus d’informations, consultez la feuille de route des fonctionnalités Azure Linux.

Migrations et mises à niveau du système d’exploitation avec ACL

AKS prend en charge la migration de pools de nœuds existants vers ACL à l’aide d’une migration sur place de la référence SKU du système d’exploitation ou en créant de nouveaux pools de nœuds ACL. Pour obtenir des instructions détaillées sur la migration, les points à prendre en compte et les instructions de retour en arrière, consultez Migrer des nœuds existants vers ACL.

ACL pour la gestion des versions d’AKS

ACL pour AKS publie chaque semaine les images de nœud AKS. Le contrôle de version suit le format basé sur les dates AKS (par exemple : 202506.13.0). ACL ne prend actuellement en charge que les mises à jour complètes de l’image du nœud. Pour plus d’informations, consultez images de nœud Azure Container Linux (ACL).

Vous pouvez consulter les images de nœud disponibles dans les notes de publication et afficher le nodeImageVersion d’un cluster en cours d’exécution à l’aide de la commande az aks nodepool list. Par exemple:

az aks nodepool list --resource-group <resource-group-name> --cluster-name <aks-cluster-name> --query '[].{name: name, nodeImageVersion: nodeImageVersion}'

Exemple de sortie :

[
{
    "name": "nodes",
    "nodeImageVersion": "AKSAzureContainerLinux-202606.01.0"
}
]

Pour commencer à utiliser ACL pour AKS, consultez les ressources suivantes :