Qu’est-ce que Azure Container Linux (ACL) pour Azure Kubernetes Service (AKS) ?

Dans cet article, nous fournissons une vue d’ensemble de Azure Container Linux (ACL), un système d’exploitation immuable et optimisé pour les conteneurs pour Azure Kubernetes Service (AKS). ACL est dérivé du projet Flatcar Container Linux et s’appuie sur la conception immuable éprouvée de Flatcar, axée sur les conteneurs, tout en y ajoutant les paquets Azure Linux, la maintenance et l’intégration à la plateforme. Cela permet à ACL de rester en étroite adéquation avec les innovations apportées en amont à Flatcar, tout en répondant aux exigences d’Azure en matière de production, de sécurité et de conformité. Pour en savoir plus sur Flatcar Container Linux, consultez la documentation Flatcar.

ACL est disponible de façon générale (GA) en tant qu’option de système d’exploitation dans AKS à partir de la version 1.34 d’AKS. Vous pouvez déployer des pools de nœuds ACL dans un nouveau cluster AKS ou ajouter des pools de nœuds ACL à vos clusters existants.

Note

ACL est la version ga de Flatcar Container Linux pour AKS, qui a entré en préversion publique en novembre 2025. Les fonctionnalités d’OS Guard (préversion), telles que l’intégrité du code avec l’application de la stratégie d’intégrité (IPE), seront intégrées à ACL dans une prochaine version, après quoi OS Guard (préversion) sera abandonné. Si vous avez besoin de fonctionnalités OS Guard aujourd’hui, nous vous recommandons de continuer à utiliser OS Guard et à migrer vers la liste de contrôle d’accès une fois ces fonctionnalités disponibles.

Avantages de l’utilisation de ACL sur AKS

Benefit Description
Immuabilité intégrée pour une sécurité plus forte L’immuabilité appliquée au noyau du /usr répertoire vérifie l’intégrité de l’image du système d’exploitation au démarrage et au moment de l’exécution. Cette conception permet de bloquer les modifications non autorisées avant de pouvoir affecter votre cluster et réduit le risque de falsification au niveau du système d’exploitation.
Surface d’attaque minimale ACL fournit uniquement les composants nécessaires à l’exécution des conteneurs. En réduisant la taille et la complexité du système d’exploitation, la liste de contrôle d’accès réduit le nombre de packages, de services et de points d’entrée potentiels disponibles pour les attaquants et simplifie la gestion de la sécurité.
Mises à jour automatisées des images de nœud ACL fournit des mises à jour hebdomadaires basées sur des images qui incluent les derniers correctifs de sécurité et correctifs de bogues. Cette approche maintient la cohérence et la mise à jour des versions du système d’exploitation du nœud sur le cluster et permet de réduire l’exposition aux vulnérabilités connues.
Confiance dans la chaîne d'approvisionnement S’appuie sur les packages signés d’Azure Linux et sur les processus de chaîne d’approvisionnement, en fournissant une provenance claire des composants système.
Intégration avec les fonctionnalités de sécurité Azure La prise en charge native du lancement fiable et du démarrage sécurisé fournit des protections et une attestation de démarrage mesurées.
Transparence du code source ouvert Flatcar ainsi que la plupart des technologies sous-jacentes (dm-verity et SELinux) sont en amont ou open source, et Microsoft dispose d’outils et de contributions pour prendre en charge ces fonctionnalités.

Principales fonctionnalités d’ACL

Les caractéristiques principales suivantes font d’ACL un système d’exploitation renforcé et optimisé pour les conteneurs pour AKS :

  • Immuabilité : le répertoire « /usr » est monté en tant que volume en lecture seule protégé par dm-verity. Au moment de l’exécution, le noyau valide un hachage racine signé pour détecter et bloquer la falsification
  • Contrôle d’accès obligatoire avec SELinux : la liste de contrôle d’accès inclut SELinux pour appliquer des stratégies de contrôle d’accès obligatoires qui limitent les processus pouvant accéder aux ressources système sensibles. SELinux fonctionne en mode d’application par défaut.
  • Démarrage approuvé et Démarrage sécurisé : ACL nécessite Démarrage approuvé avec Démarrage sécurisé et vTPM, afin de garantir l’intégrité de la chaîne de démarrage avant le chargement du système d’exploitation. Cette opération est obtenue à l’aide d’une image de noyau unifiée (UKI), qui regroupe le noyau, initramfs et la ligne de commande du noyau dans un seul artefact signé. Pendant le démarrage, l’UKI est mesuré et enregistré dans le vTPM, ce qui garantit l’intégrité à partir de la première étape.
  • Prise en charge des nœuds GPU NVIDIA : ACL prend en charge les pools de nœuds compatibles GPU NVIDIA sur les architectures AMD64, ce qui vous permet d’exécuter des charges de travail d’informatique haute performance (HPC) et IA/ML sur AKS avec un système d’exploitation renforcé et optimisé pour les conteneurs. ACL ne prend pas en charge les architectures ARM64 pour les pools de nœuds avec prise en charge des GPU.
  • Prise en charge des architectures AMD64 et ARM64 : ACL est disponible pour les architectures AMD64 et ARM64 sur AKS.
  • Sécurité souveraine de la chaîne d’approvisionnement : ACL hérite des pipelines de build sécurisés d’Azure Linux et des images unifiées du noyau signées (UKI).
  • ACL prend en charge l’approvisionnement automatique de nœud (NAP).

Fonctionnalités non prises en charge

ACL ne prend actuellement pas en charge les fonctionnalités suivantes :

Si votre cluster existant utilise l’une des fonctionnalités non prises en charge, vous ne pouvez peut-être pas ajouter un pool de nœuds ACL à ce cluster.

Feuille de route des fonctionnalités

Azure Linux publie une feuille de route feature qui contient des fonctionnalités en cours de développement et disponibles pour la disponibilité générale (GA) et la préversion publique.

Migrations et mises à niveau du système d’exploitation avec ACL

AKS prend en charge la migration de pools de nœuds existants vers ACL à l’aide d’une migration sur place de la référence SKU du système d’exploitation ou en créant de nouveaux pools de nœuds ACL. Pour obtenir des instructions détaillées sur la migration, les points à prendre en compte et les instructions de retour en arrière, consultez Migrer des nœuds existants vers ACL.

ACL pour la gestion des versions d’AKS

ACL pour AKS publie chaque semaine les images de nœud AKS. Le contrôle de version suit le format basé sur les dates AKS (par exemple : 202506.13.0). ACL ne prend actuellement en charge que les mises à jour complètes de l’image du nœud.

Vous pouvez consulter les images de nœud disponibles dans les notes de publication et afficher le nodeImageVersion d’un cluster en cours d’exécution à l’aide de la commande az aks nodepool list. Par exemple:

az aks nodepool list --resource-group <resource-group-name> --cluster-name <aks-cluster-name> --query '[].{name: name, nodeImageVersion: nodeImageVersion}'

Exemple de sortie :

[
{
    "name": "nodes",
    "nodeImageVersion": "AKSAzureContainerLinux-202606.01.0"
}
]

Pour commencer à utiliser ACL pour AKS, consultez les ressources suivantes :