Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Neste artigo, fornecemos uma visão geral de Azure ACL (Container Linux), um sistema operacional (SO) imutável e otimizado para contêineres para AKS (Serviço de Kubernetes do Azure). O ACL é derivado do projeto Flatcar Container Linux, com base no design imutável comprovado da Flatcar, com foco em contêineres, ao mesmo tempo em que incorpora pacotes do Azure Linux, manutenção e integração com a plataforma. Isso permite que a ACL permaneça em estreita sintonia com as inovações upstream do Flatcar, ao mesmo tempo em que atende aos requisitos de produção, segurança e conformidade do Azure. Para saber mais sobre o Flatcar Container Linux, consulte a documentação do Flatcar.
ACL está em disponibilidade geral (GA) como opção de sistema operacional no AKS a partir do AKS v1.34. Você pode implantar pools de nós de ACL em um novo cluster do AKS ou adicionar pools de nós de ACL aos clusters existentes.
Note
ACL é a versão GA do Flatcar Container Linux para AKS, que entrou em prévia pública em novembro de 2025. Os recursos do OS Guard (versão prévia), como a integridade de código com o Integrity Policy Enforcement (IPE), serão incorporados ao ACL em uma versão futura e, depois disso, o OS Guard (versão prévia) será descontinuado. Se você precisar dos recursos do OS Guard hoje, recomendamos continuar usando o OS Guard e migrar para o ACL assim que esses recursos estiverem disponíveis.
Benefícios de usar ACL no AKS
| Benefit | Description |
|---|---|
| Imutabilidade interna para uma segurança mais forte | A imutabilidade do diretório /usr, imposta pelo kernel, verifica a integridade da imagem do sistema operacional na inicialização e em tempo de execução. Esse design ajuda a bloquear alterações não autorizadas antes que elas possam afetar seu cluster e reduz o risco de adulteração no nível do sistema operacional. |
| Superfície de ataque mínima | A ACL fornece apenas os componentes necessários para executar contêineres. Ao reduzir o tamanho e a complexidade do sistema operacional, a ACL minimiza o número de pacotes, serviços e possíveis pontos de entrada disponíveis para invasores e simplifica o gerenciamento de segurança. |
| Atualizações automatizadas da imagem de nó | A ACL fornece atualizações semanais baseadas em imagem que incluem os patches de segurança mais recentes e correções de bugs. Essa abordagem mantém as versões do sistema operacional do nó consistentes e atuais em todo o cluster e ajuda a reduzir a exposição a vulnerabilidades conhecidas. |
| Confiança na cadeia de suprimentos | Baseia-se nos pacotes assinados do Azure Linux e nos processos da cadeia de suprimentos, fornecendo proveniência clara para os componentes do sistema. |
| Integração com recursos de segurança do Azure | O suporte nativo para Inicialização Confiável e Inicialização Segura fornece proteções de inicialização medidas e atestação. |
| Transparência de software livre | Flatcar, bem como muitas das tecnologias subjacentes (dm-verity e SELinux) são upstream ou código aberto, e Microsoft tem ferramentas e contribuições para dar suporte a esses recursos. |
Principais recursos de ACL
Os seguintes recursos principais distinguem a ACL como um sistema operacional protegido e otimizado para contêiner para AKS:
- Imutabilidade: o diretório '/usr' é montado como um volume somente leitura protegido por dm-verity. Em runtime, o kernel valida um hash raiz assinado para detectar e bloquear a adulteração
- Controle de acesso obrigatório com SELinux: ACL inclui SELinux para impor políticas de controle de acesso obrigatórias que restringem quais processos podem acessar recursos confidenciais do sistema. O SELinux opera no modo de imposição por padrão.
- Inicialização confiável e inicialização segura: a ACL requer inicialização confiável com Inicialização Segura e vTPM, para garantir a integridade da cadeia de inicialização antes que o sistema operacional seja carregado. Isso é feito usando uma UKI (Unified Kernel Image), que agrupa o kernel, initramfs e linha de comando kernel em um único artefato assinado. Durante a inicialização, o UKI é medido e registrado no vTPM, garantindo a integridade desde o estágio inicial.
- Suporte a nós com GPU NVIDIA: a ACL oferece suporte a pools de nós com GPU NVIDIA em arquiteturas AMD64, permitindo que você execute cargas de trabalho de HPC (computação de alto desempenho) e IA/ML no AKS com um sistema operacional reforçado e otimizado para contêineres. A ACL não dá suporte a arquiteturas ARM64 para pools de nós habilitados para GPU.
- Suporte à arquitetura AMD64 e ARM64: a ACL está disponível para arquiteturas AMD64 e ARM64 no AKS.
- Segurança soberana da cadeia de suprimentos: ACL herda os pipelines de compilação seguros do Azure Linux e as Imagens Unificadas de Kernel (UKIs) assinadas.
- Provisionamento automático de nós: ACL oferece suporte ao NAP.
Recursos sem suporte
Atualmente, a ACL não dá suporte aos seguintes recursos:
- Os canais de atualização do
SecurityPatchUnmanagede do nó. - VMs de geração 1: você não pode usar tamanhos de VM que só dão suporte à Geração 1 com ACL.
- Isolamento de pod.
- Uma variante de inicialização não confiável. A ACL requer inicialização confiável.
Se o cluster existente usar qualquer um dos recursos sem suporte, talvez você não consiga adicionar um pool de nós de ACL a esse cluster.
Plano de funcionalidades
Azure Linux publica um roteiro de recursos que inclui recursos em desenvolvimento e recursos disponíveis em disponibilidade geral (GA) e em visualização pública.
Migrações e atualizações do sistema operacional com ACL
O AKS oferece suporte à migração de pools de nós existentes para ACL usando a migração local da SKU do sistema operacional ou criando novos pools de nós ACL. Para obter etapas de migração detalhadas, considerações e instruções de reversão, consulte Migrar nós existentes para ACL.
ACL para controle de versão do AKS
ACL para AKS lança imagens semanais de nós do AKS. O controle de versão segue o formato baseado em data do AKS (por exemplo: 202506.13.0). Atualmente, a ACL oferece suporte apenas a atualizações completas da imagem do nó.
Você pode verificar as imagens de nós disponíveis nas notas de versão e ver o nodeImageVersion de um cluster em execução usando o comando az aks nodepool list. Por exemplo:
az aks nodepool list --resource-group <resource-group-name> --cluster-name <aks-cluster-name> --query '[].{name: name, nodeImageVersion: nodeImageVersion}'
Exemplo de saída:
[
{
"name": "nodes",
"nodeImageVersion": "AKSAzureContainerLinux-202606.01.0"
}
]
Conteúdo relacionado
Para começar a usar ACL para AKS, consulte os seguintes recursos: