Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Linux bietet zwei containeroptimierte Betriebssystemoptionen für Azure Kubernetes Service (AKS): den Azure Linux Container Host und Azure Container Linux (ACL). Beide basieren auf der Azure Linux Foundation und werden von Microsoft verwaltet, unterscheiden sich jedoch in der Designphilosophie, dem Updatemodell und der Sicherheitslage.
Dieser Artikel hilft Ihnen, die Unterschiede zwischen den beiden Azure Linux-containeroptimierten Betriebssystemoptionen für AKS zu verstehen und enthält Anleitungen zur Auswahl der richtigen Option basierend auf Ihren Workloadanforderungen.
Vergleich von Azure Linux Container Host und Azure Container Linux (ACL)
In der folgenden Tabelle sind die wichtigsten Unterschiede zwischen Azure Linux-Containerhost und Azure Container Linux (ACL) in mehreren Dimensionen zusammengefasst, darunter Basisbetriebssystem, Dateisystemmodell, Updatemechanismus, Betriebssystemupgradekanäle und andere betriebliche und sicherheitsrelevante Merkmale:
| Aspect | Azure Linux-Containerhost | Azure Container Linux (ACL) |
|---|---|---|
| Basierend auf | Azure Linux | Flatcar Container Linux mit Azure Linux-Paketen und -Wartung |
| Dateisystemmodell | Veränderbar (Standard-Lese-/Schreibzugriff) | Unveränderbar (/usr ist schreibgeschützt, durch dm-verity geschützt) |
| Updatemechanismus | Paketbasierte Betriebssystemupdates | Wöchentliche bildbasierte Updates (keine einzelnen Paketupdates) |
| Betriebssystemupgradekanäle | Alle unterstützten AKS-Knoten-Betriebssystemupgradekanäle | Nur NodeImage und None |
| Paketverwaltung | RPM-basiert (dnf) |
Keine Paketverwaltung (unveränderliches Betriebssystem) |
| Anpassung | Anpassung auf Paketebene möglich | Workloadanpassung in erster Linie über Container; wenn die Bereitstellung von Software auf Hostebene erforderlich ist, wird die Erweiterbarkeit über systemd-Erweiterungen bereitgestellt. |
| Sicherheitsmodell | Gehärteter Linux-Kernel mit Azure-Optimierungen, CIS Level 1-konform | Kernel-erzwungene Unveränderlichkeit (dm-verity), SELinux erzwingt standardmäßig, vertrauenswürdigen Start mit erforderlichem Secure Boot |
| Startanforderungen | Standardgrößen für virtuelle AKS-Computer (VM) | Vertrauenswürdiger Start mit sicherem Start und vTPM erforderlich (nur VMs der Generation 2) |
| Architekturunterstützung | AMD64 und ARM64 | AMD64 und ARM64 |
| GPU-Unterstützung | Alle NVIDIA GPU AMD64 VM-Größen auf AKS | Alle NVIDIA GPU AMD64 VM-Größen auf AKS |
| FIPS-Unterstützung | Unterstützt | Noch nicht unterstützt |
| Pod Sandboxing | Unterstützt | Nicht unterstützt |
| Streaming von Artefakten | Unterstützt | Noch nicht unterstützt |
| Vertrauliche virtuelle Computer | Unterstützt | Noch nicht unterstützt |
Wann Azure Linux-Containerhost verwendet werden soll
Verwenden Sie Azure Linux-Containerhost bei Bedarf:
- Umfassende Featurekompatibilität: Vollständige Unterstützung für alle AKS-Betriebssystemupgradekanäle, FIPS, Pod-Sandboxing, Artefaktstreaming und vertrauliche VMs.
- Flexibilität auf Paketebene: Die Möglichkeit, einzelne Pakete auf Ihren Knoten zu installieren, zu aktualisieren oder anzupassen.
- Containerworkloads für allgemeine Zwecke: Ein schlanker, sicherer und stabiler Containerhost, der mit vorhandenen AKS-Erweiterungen, Add-ons und Open-Source-Tools zusammenarbeitet.
Informationen zu den ersten Schritten mit Azure Linux-Containerhost auf AKS finden Sie unter Quickstart: Bereitstellen eines Azure Linux-Containerhosts für AKS-Cluster mithilfe des Azure CLI.
Wann Azure Container Linux (ACL) verwendet werden soll
Verwenden Sie ACL bei Bedarf:
- Manipulationssichere Infrastruktur: Vom Kernel erzwungene Unveränderlichkeit mit dm-verity stellt sicher, dass das Betriebssystem-Image zur Laufzeit nicht verändert werden kann.
- Kleinste Angriffsfläche: Nur die komponenten, die zum Ausführen von Containern erforderlich sind, sind enthalten, wodurch die Anzahl der Pakete und potenzielle Einstiegspunkte für Angreifer reduziert werden.
- Konsistente, automatisierte Updates: Wöchentliche imagebasierte automatische Updates behalten jeden Knoten mit der gleichen Betriebssystemversion mit den neuesten Sicherheitspatches bei.
- Hohe Sicherheit und Compliance: SELinux (standardmäßig im Erzwingungsmodus) und vertrauenswürdiger Start mit Secure Boot (über ein Unified Kernel Image) sind standardmäßig aktiviert.
Informationen zu den ersten Schritten mit ACL auf AKS finden Sie unter Quickstart: Bereitstellen eines Azure Container Linux (ACL)-AKS-Clusters mithilfe des Azure CLI.