¿Qué es Azure Container Linux (ACL) para Azure Kubernetes Service (AKS)?

En este artículo, se proporciona información general sobre Azure Container Linux (ACL), un sistema operativo (SO) inmutable y optimizado para contenedores para Azure Kubernetes Service (AKS). ACL se deriva del proyecto Flatcar Container Linux y se basa en el diseño inmutable de Flatcar, probado y orientado primero a los contenedores, a la vez que incorpora paquetes, mantenimiento e integración con la plataforma de Azure Linux. Esto permite que la ACL permanezca estrechamente alineada con la innovación ascendente de Flatcar, al tiempo que cumple los requisitos de producción, seguridad y cumplimiento de Azure. Para más información sobre Flatcar Container Linux, consulte la documentación de Flatcar.

La ACL está disponible con carácter general (GA) como opción de sistema operativo en AKS a partir de AKS v1.34. Puede implementar grupos de nodos de ACL en un nuevo clúster de AKS, agregar grupos de nodos de ACL a los clústeres existentes y migrar grupos de nodos de Linux existentes a ACL.

Note

ACL es la versión de disponibilidad general de Flatcar Container Linux para AKS, que pasó a vista previa en noviembre de 2025. Las características de OS Guard (versión preliminar), como la integridad de código con el cumplimiento de directivas de integridad (IPE), actualmente no se admiten. Si necesita características de OS Guard hoy en día, se recomienda seguir usando OS Guard y migrar a la ACL una vez que esas características estén disponibles.

Ventajas de usar ACL en AKS

El uso de ACL como sistema operativo para los grupos de nodos de AKS proporciona varias ventajas que mejoran la seguridad, la confiabilidad y la eficacia operativa:

• Inmutabilidad integrada para una mayor seguridad: la inmutabilidad aplicada por kernel del /usr directorio comprueba la integridad de la imagen del sistema operativo en el arranque y el tiempo de ejecución. Este diseño ayuda a bloquear los cambios no autorizados antes de que puedan afectar al clúster y reduce el riesgo de alteración en el nivel del sistema operativo.
• Superficie de ataque mínima: la ACL solo incluye los componentes necesarios para ejecutar contenedores. Al reducir el tamaño y la complejidad del sistema operativo, la ACL minimiza el número de paquetes, servicios y posibles puntos de entrada disponibles para los atacantes y simplifica la administración de seguridad.
• Actualizaciones automatizadas de imágenes de nodo: ACL ofrece actualizaciones semanales basadas en imágenes que incluyen las últimas revisiones de seguridad y correcciones de errores. Este enfoque mantiene las versiones del sistema operativo de nodo coherentes y actuales en el clúster y ayuda a reducir la exposición a vulnerabilidades conocidas.
• Supply-chain trust: se basa en los paquetes firmados y los procesos de cadena de suministro de Linux de Azure, lo que proporciona una clara procedencia para los componentes del sistema.
• Integración con las características de seguridad de Azure: la compatibilidad nativa con inicio seguro y arranque seguro proporciona protecciones de arranque y atestación medida.
• Transparencia de código abierto: Flatcar, así como muchas de las tecnologías subyacentes (dm-verity y SELinux), proceden de proyectos upstream o son de código abierto, y Microsoft dispone de herramientas y realiza contribuciones para respaldar estas funcionalidades.

Características clave de la ACL

Las siguientes características clave distinguen ACL como un sistema operativo protegido optimizado para contenedores para AKS:

• Inmutabilidad: el directorio "/usr" se monta como un volumen de solo lectura protegido por dm-verity. En tiempo de ejecución, el kernel valida un hash raíz firmado para detectar y bloquear la manipulación.
• Control de acceso obligatorio con SELinux: ACL incluye SELinux para aplicar directivas de control de acceso obligatorias que restringen qué procesos pueden acceder a los recursos del sistema confidenciales. Tenga en cuenta que SELinux funciona en modo de aplicación de forma predeterminada. Las directivas DE SELinux pueden evolucionar con el tiempo.
• Inicio seguro y arranque seguro: ACL requiere inicio seguro con arranque seguro y vTPM, para garantizar la integridad de la cadena de arranque antes de que se cargue el sistema operativo. Esto se logra mediante una imagen de kernel unificada (UKI), que agrupa el kernel, initramfs y la línea de comandos del kernel en un único artefacto firmado. Durante el arranque, el UKI se mide y registra en vTPM, lo que garantiza la integridad de la fase más temprana.
• Compatibilidad con nodos de GPU de NVIDIA: ACL admite grupos de nodos habilitados para GPU de NVIDIA en arquitecturas AMD64, lo que le permite ejecutar cargas de trabajo de informática de alto rendimiento (HPC) y IA/ML en AKS con un sistema operativo protegido optimizado para contenedores. La ACL no admite arquitecturas ARM64 para grupos de nodos habilitados para GPU.
• Compatibilidad con arquitectura AMD64 y ARM64: la ACL está disponible para arquitecturas AMD64 y ARM64 en AKS.
• Seguridad soberana de la cadena de suministro: ACL hereda las canalizaciones de compilación seguras de Azure Linux y las imágenes unificadas del núcleo (UKI) firmadas.
• Aprovisionamiento automático de nodos: ACL admite el aprovisionamiento automático de nodos (NAP).

Importante

Si usa Azure Container Linux (ACL) en AKS, asegúrese de revisar las siguientes consideraciones y limitaciones:

• La ACL está disponible con carácter general a partir de AKS v1.34.
• La ACL requiere inicio seguro con arranque seguro y vTPM. Las variantes de arranque no fiables no están disponibles.
• ACL en Arm64 requiere SKU basados en Cobalt (v6) para habilitar la compatibilidad con Trusted Launch.
• NodeImage y None son los únicos canales de actualización del sistema operativo (SO) admitidos. Unmanaged y SecurityPatch son incompatibles con la ACL debido al directorio inmutable /usr .
• El streaming de artefactos no se admite.
• No se admite el sandboxing de pods.
• No se admiten máquinas virtuales confidenciales (CVM).
• No se admiten máquinas virtuales de generación 1.
• No se admiten nodos habilitados para FIPS.

Hoja de ruta de funcionalidades

Para obtener más información, consulte la hoja de ruta de características de Azure Linux.

Migraciones y actualizaciones del sistema operativo con ACL

AKS admite la migración de grupos de nodos existentes a ACL mediante la migración de SKU del sistema operativo local o mediante la creación de nuevos grupos de nodos de ACL. Para obtener instrucciones detalladas sobre los pasos de migración, las consideraciones y la reversión, consulte Migración de nodos existentes a ACL.

ACL para el control de versiones de AKS

ACL para AKS lanza imágenes semanales de nodos de AKS. El control de versiones sigue el formato de fecha de AKS (por ejemplo: 202506.13.0). La ACL actualmente solo admite actualizaciones completas de imágenes de nodo. Para obtener más información, consulte imágenes de nodo Azure Container Linux (ACL).

Puede consultar las imágenes de nodo disponibles en las notas de la versión y ver el nodeImageVersion de un clúster en ejecución mediante el comando az aks nodepool list. Por ejemplo:

az aks nodepool list --resource-group <resource-group-name> --cluster-name <aks-cluster-name> --query '[].{name: name, nodeImageVersion: nodeImageVersion}'

Ejemplo de resultado:

[
{
    "name": "nodes",
    "nodeImageVersion": "AKSAzureContainerLinux-202606.01.0"
}
]

Contenido relacionado

Para empezar a usar ACL para AKS, consulte los siguientes recursos:

• Implementar un clúster de ACL mediante la CLI de Azure
• Implementación de un clúster de ACL mediante una plantilla de ARM
• Adición de un grupo de nodos de ACL a un clúster existente
• Migración de nodos existentes a ACL