Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel bieten wir eine Übersicht über Azure Container Linux (ACL), ein unveränderliches, containeroptimiertes Betriebssystem (OS) für Azure Kubernetes Service (AKS). ACL basiert auf dem Flatcar Container Linux-Projekt und baut auf dem bewährten, auf Container ausgerichteten, immutablen Design von Flatcar auf, ergänzt um Azure Linux-Pakete, Wartung und Plattformintegration. Dies ermöglicht es ACL, eng mit den vorgelagerten Flatcar-Innovationen in Einklang zu bleiben und gleichzeitig die Produktions-, Sicherheits- und Complianceanforderungen Azure zu erfüllen. Weitere Informationen zu Flatcar Container Linux finden Sie in der Flatcar-Dokumentation.
ACL ist allgemein verfügbar (GA) als Betriebssystemoption auf AKS ab AKS v1.34. Sie können ACL-Knotenpools in einem neuen AKS-Cluster bereitstellen oder Ihren vorhandenen Clustern ACL-Knotenpools hinzufügen.
Note
ACL ist die GA-Version von Flatcar Container Linux für AKS, die im November 2025 in die öffentliche Vorschau aufgenommen wurde. OS Guard-Features (Vorschau), wie z. B. Codeintegrität mit Integrity Policy Enforcement (IPE), werden in einer zukünftigen Version in ACL integriert; danach wird OS Guard (Vorschau) eingestellt. Wenn Sie noch heute OS Guard-Features benötigen, empfehlen wir, OS Guard weiterhin zu verwenden und zu ACL zu migrieren, sobald diese Features verfügbar sind.
Vorteile der Verwendung von ACL auf AKS
| Benefit | Description |
|---|---|
| Integrierte Unveränderlichkeit für stärkere Sicherheit | Die vom Kernel erzwungene Unveränderlichkeit des /usr Verzeichnisses überprüft die Integrität des Betriebssystemimages beim Start und zur Laufzeit. Dieses Design hilft, nicht autorisierte Änderungen zu blockieren, bevor sie sich auf Ihren Cluster auswirken können, und verringert das Risiko von Manipulationen auf Betriebssystemebene. |
| Minimale Angriffsfläche | ACL enthält nur die Komponenten, die zum Ausführen von Containern erforderlich sind. Durch die Verringerung der Größe und Komplexität des Betriebssystems minimiert ACL die Anzahl der Pakete, Dienste und potenziellen Einstiegspunkte, die Angreifern zur Verfügung stehen, und vereinfacht die Sicherheitsverwaltung. |
| Automatische Aktualisierungen von Knotenimages | ACL bietet wöchentliche imagebasierte Updates, die die neuesten Sicherheitspatches und Fehlerbehebungen enthalten. Dieser Ansatz hält Knotenbetriebssystemversionen konsistent und aktuell im gesamten Cluster und trägt dazu bei, die Gefährdung bekannter Sicherheitsrisiken zu verringern. |
| Lieferkettenvertrauen | Baut auf Azure signierten Linux-Paketen und Supply-Chain-Prozessen auf und liefert klare Provenienz für Systemkomponenten. |
| Integration in Azure-Sicherheitsfeatures | Systemeigene Unterstützung für Trusted Launch und Secure Boot bietet gemessenen Startschutz und Nachweis. |
| Open-Source-Transparenz | Flatcar sowie viele der zugrunde liegenden Technologien (dm-verity und SELinux) sind upstream oder Open Source, und Microsoft verfügt über Tools und Beiträge zur Unterstützung dieser Features. |
Wichtige Features von ACL
Die folgenden wichtigsten Features unterscheiden ACL als gehärtetes, containeroptimiertes Betriebssystem für AKS:
- Unveränderlichkeit: Das Verzeichnis "/usr" wird als schreibgeschütztes Volume bereitgestellt, das durch dm-verity geschützt ist. Zur Laufzeit überprüft der Kernel einen signierten Stammhash, um Manipulationen zu erkennen und zu blockieren.
- Obligatorische Zugriffssteuerung mit SELinux: ACL umfasst SELinux, um obligatorische Zugriffssteuerungsrichtlinien zu erzwingen, die einschränken, welche Prozesse auf vertrauliche Systemressourcen zugreifen können. SELinux wird standardmäßig im Erzwingungsmodus ausgeführt.
- Vertrauenswürdiger Start und sicherer Start: ACL erfordert vertrauenswürdigen Start mit sicherem Start und vTPM, um die Integrität der Startkette sicherzustellen, bevor das Betriebssystem geladen wird. Dies wird mithilfe eines Unified Kernel Image (UKI) erreicht, das den Kernel, initramfs und die Kernel-Befehlszeile in ein einzelnes signiertes Artefakt bündeln. Während des Startvorgangs wird der UKI gemessen und im vTPM aufgezeichnet, wodurch die Integrität bereits in der frühesten Phase gewährleistet wird.
- NVIDIA GPU-Knotenunterstützung: ACL unterstützt NVIDIA GPU-fähige Knotenpools in AMD64-Architekturen, sodass Sie Hochleistungscomputing (HPC) und AI/ML-Workloads auf AKS mit einem gehärteten, containeroptimierten Betriebssystem ausführen können. ACL unterstützt keine ARM64-Architekturen für GPU-fähige Knotenpools.
- AMD64- und ARM64-Architekturunterstützung: ACL ist für AMD64- und ARM64-Architekturen auf AKS verfügbar.
- Souveräne Sicherheit der Lieferkette: ACL übernimmt die sicheren Buildpipelines von Azure Linux und signierte Unified Kernel Images (UKIs).
- Automatische Bereitstellung von Knoten: ACL unterstützt die automatische Bereitstellung von Knoten (Node Auto-Provisioning, NAP).
Nicht unterstützte Funktionen
ACL unterstützt derzeit nicht die folgenden Features:
- Die
SecurityPatch- undUnmanagedNode-OS-Upgrade-Kanäle. - VMs der Generation 1: Sie können keine VM-Größen verwenden, die nur die Generation 1 mit ACL unterstützen.
- Pod Sandboxing.
- Eine nicht vertrauenswürdige Startvariante. ACL erfordert Trusted Launch.
Wenn Ihr vorhandener Cluster eines der nicht unterstützten Features verwendet, können Sie diesem Cluster möglicherweise keinen ACL-Knotenpool hinzufügen.
Roadmap für Funktionen
Azure Linux veröffentlicht eine feature-Roadmap, die Features enthält, die sich in der Entwicklung befinden und für allgemeine Verfügbarkeit (GA) und öffentliche Vorschau verfügbar sind.
Betriebssystemmigrationen und Upgrades mit ACL
AKS unterstützt die Migration vorhandener Knotenpools zu ACL mithilfe der direkten Betriebssystem-SKU-Migration oder durch Erstellen neuer ACL-Knotenpools. Ausführliche Migrationsschritte, Überlegungen und Rollbackanweisungen finden Sie unter Migrieren vorhandener Knoten zu ACL.
ACL für AKS-Versionsverwaltung
ACL für AKS veröffentlicht wöchentlich AKS-Knotenimages. Die Versionsverwaltung folgt dem datumsbasierten AKS-Format (z. B. 202506.13.0). ACL unterstützt derzeit nur vollständige Knotenimageupdates.
Sie können verfügbare Knotenimages in den Versionshinweisen prüfen und den nodeImageVersion für einen laufenden Cluster mit dem Befehl az aks nodepool list anzeigen. Beispiel:
az aks nodepool list --resource-group <resource-group-name> --cluster-name <aks-cluster-name> --query '[].{name: name, nodeImageVersion: nodeImageVersion}'
Beispielausgabe:
[
{
"name": "nodes",
"nodeImageVersion": "AKSAzureContainerLinux-202606.01.0"
}
]
Verwandte Inhalte
Informationen zu den ersten Schritten mit der Verwendung von ACL für AKS finden Sie in den folgenden Ressourcen: