What is Azure Container Linux (ACL) for خدمة Azure Kubernetes ‏(AKS)?

في هذا المقال، نقدم نظرة عامة على Azure Container Linux (ACL)، وهو نظام تشغيل (OS) غير قابل للتغيير ومحسن للحاويات لصالح خدمة Azure Kubernetes ‏(AKS). ACL مشتق من مشروع Flatcar Container Linux، مستندا إلى التصميم الثابت الذي يثبت Flatcar يعتمد على الحاوية أولا، مع دمج حزم Azure Linux والصيانة وتكامل المنصة. يتيح ذلك ل ACL البقاء متوافقة بشكل وثيق مع ابتكارات Flatcar المتقدمة مع تلبية متطلبات الإنتاج والأمن والامتثال ل Azure. لمعرفة المزيد حول Flatcar Container Linux ، راجع وثائق Flatcar.

تتوفر ACL بشكل عام (GA) كخيار نظام تشغيل على AKS بدءا من AKS v1.34. يمكنك نشر مجموعات عقد ACL في عنقود AKS جديد، وإضافة مجموعات عقد ACL إلى عناقيد الحالية، ونقل مجموعات عقد لينكس الحالية إلى ACL.

ملاحظة

ACL هو الإصدار العام من Flatcar Container Linux لجهاز AKS، والذي دخل العرض التمهيدي في نوفمبر 2025. ميزات OS Guard (المعاينة)، مثل سلامة الكود مع تطبيق سياسة النزاهة (IPE)، غير مدعومة حاليا. إذا كنت بحاجة إلى ميزات OS Guard اليوم، نوصي بالاستمرار في استخدام OS Guard والانتقال إلى ACL بمجرد توفر هذه الميزات.

فوائد استخدام الرباط الصليبي الأمامي على AKS

استخدام ACL كنظام تشغيل لمجموعات عقد AKS يوفر عدة فوائد تعزز الأمان والموثوقية والكفاءة التشغيلية:

• ثبات مدمج لزيادة الأمان: تتحقق الثبات المفروض من النواة في /usr الدليل على سلامة صورة نظام التشغيل عند الإقلاع ووقت التشغيل. يساعد هذا التصميم في حجب التغييرات غير المصرح بها قبل أن تؤثر على مجموعة المجموعات ويقلل من خطر التلاعب بمستوى نظام التشغيل.
• سطح هجوم بسيط: تشحن ACL فقط المكونات المطلوبة لتشغيل الحاويات. من خلال تقليل حجم وتعقيد نظام التشغيل، يقلل ACL من عدد الحزم والخدمات ونقاط الدخول المحتملة المتاحة للمهاجمين ويبسط إدارة الأمان.
• تحديثات صور العقد الآلية: تقدم ACL تحديثات أسبوعية قائمة على الصور تتضمن أحدث تحديثات الأمان وإصلاحات الأخطاء. يحافظ هذا النهج على اتساق وتحديث إصدارات نظام تشغيل العقد عبر العنقود ويساعد في تقليل التعرض للثغرات المعروفة.
• Supply-chain trust: يبني على حزم لينكس الموقعة وعمليات سلسلة التوريد في Azure، ويوفر منشأا واضحا لمكونات النظام.
• التكامل مع ميزات أمان Azure: يوفر الدعم الأصلي ل Trusted Launch وSecure Boot حماية التمهيد المقاسة والتصديق.
• شفافية المصدر المفتوح: Flatcar بالإضافة إلى العديد من التقنيات الأساسية (dm-verity و SELinux) موجودة في البداية أو مصدر مفتوح، ولدى Microsoft أدوات ومساهمات تدعم هذه الميزات.

الميزات الرئيسية ل ACL

الميزات الرئيسية التالية تميز ACL كنظام تشغيل محصن ومحسن للحاويات ل AKS:

• الثباتية: يتم تركيب مجلد '/usr' كوحدة صوت للقراءة فقط محمية بواسطة dm-verity. عند وقت التشغيل، تقوم النواة بالتحقق من تجزئة جذر موقعة لاكتشاف وحظر التلاعب
• التحكم الإلزامي في الوصول مع SELinux: يتضمن ACL نظام SELinux لتطبيق سياسات التحكم الإلزامية في الوصول التي تقيد أي العمليات يمكنها الوصول إلى موارد النظام الحساسة. لاحظ أن SELinux تعمل في وضع النفاذ بشكل افتراضي. قد تتطور سياسات SELinux مع مرور الوقت.
• التشغيل الموثوق والإقلاع الآمن: يتطلب ACL التشغيل الموثوق مع الإقلاع الآمن وvTPM، لضمان سلامة سلسلة الإقلاع قبل تحميل نظام التشغيل. يتم تحقيق ذلك باستخدام صورة نواة موحدة (UKI)، والتي تجمع النواة وسطر أوامر النواة والنواة في أداة واحدة موقعة. أثناء التمهيد ، يتم قياس UKI وتسجيله في vTPM ، مما يضمن السلامة من المرحلة المبكرة.
• دعم عقد NVIDIA GPU: يدعم ACL تجمعات العقد المدعومة بمعالج NVIDIA GPU على معماريات AMD64، مما يسمح لك بتشغيل أحمال عمل الحوسبة عالية الأداء (HPC) وAI/ML على AKS مع نظام تشغيل محصن ومحسن للحاويات. لا يدعم ACL معماريات ARM64 لمجموعات العقد المدعومة بمعالج الرسوميات.
• دعم بنية AMD64 وARM64: يتوفر ACL لكل من معماري AMD64 وARM64 على AKS.
• Sovereign Supply Chain Security: يرث ACL خطوط البناء الآمنة Azure لينكس وصور النواة الموحدة الموقعة (UKIs).
• التوفير التلقائي للعقدة: يدعم ACL التوفير التلقائي للعقدة (NAP).

مهم

إذا كنت تستخدم Azure Container Linux (ACL) على AKS، تأكد من مراجعة الاعتبارات والقيود التالية:

• يتوفر ACL بشكل عام بدءا من AKS v1.34.
• يتطلب ACL التشغيل الموثوق مع Secure Boot وvTPM. نسخ الإطلاق غير الموثوقة غير متوفرة.
• يتطلب ACL على Arm64 وحدات SKU مبنية على كوبالت (v6) لتمكين التوافق مع Trusted Launch.
• NodeImage وهي Noneقنوات ترقية نظام التشغيل (OS) المدعومة الوحيدة. Unmanaged وغير SecurityPatch متوافقة مع ACL بسبب المجلد غير القابل /usr للتغيير.
• دفق القطع الأثرية غير مدعوم.
• Pod Sandboxing غير مدعوم.
• الأجهزة الظاهرية السرية (CVMs) غير مدعومة.
• الجيل الأول من الأجهزة الافتراضية غير مدعومة.
• العقد التي تدعم FIPS غير مدعومة.

خارطة طريق الميزات

لمزيد من المعلومات، راجع خارطة طريق ميزات لينكس Azure.

ترحيل وترقيات نظام التشغيل باستخدام ACL

يدعم AKS ترحيل مجموعات العقد القائمة إلى ACL باستخدام ترحيل وحدات SKU في النظام الموجود أو عن طريق إنشاء مجموعات عقد ACL جديدة. للحصول على خطوات ترحيل مفصلة، واعتبارات، وتعليمات التراجع، انظر ترحيل العقد الموجودة إلى ACL.

ACL لإصدار AKS

ACL for AKS يصدر صور عقدة AKS أسبوعيا. يتبع تعيين الإصدار تنسيق AKS المستند إلى التاريخ (على سبيل المثال: 202506.13.0). ACL حاليا يدعم فقط تحديثات صور العقدة بالكامل. لمزيد من المعلومات، راجع Azure صور عقد لينكس الحاوية (ACL).

يمكنك التحقق من صور العقد المتاحة في ملاحظات الإصدار وعرض مجموعة nodeImageVersion تعمل باستخدام az aks nodepool list الأمر. على سبيل المثال:

az aks nodepool list --resource-group <resource-group-name> --cluster-name <aks-cluster-name> --query '[].{name: name, nodeImageVersion: nodeImageVersion}'

مثال على الإخراج:

[
{
    "name": "nodes",
    "nodeImageVersion": "AKSAzureContainerLinux-202606.01.0"
}
]

المحتوى ذو الصلة

للبدء في استخدام ACL ل AKS، راجع الموارد التالية:

• نشر مجموعة ACL باستخدام Azure CLI
• نشر عنقود ACL باستخدام قالب ARM
• إضافة تجمع عقد ACL إلى مجموعة موجودة
• نقل العقد الحالية إلى ACL