Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Azure Kubernetes Service (AKS) için sabit, kapsayıcı için iyileştirilmiş bir işletim sistemi (OS) olan Azure Container Linux'a (ACL) genel bir bakış sağlıyoruz. ACL, Flatcar’ın kendini kanıtlamış, konteyner öncelikli ve değiştirilemez tasarımını temel alan Flatcar Container Linux projesinden türetilmiştir; buna Azure Linux paketleri, servis ve bakım süreçleri ile platform tümleştirmesi eklenmiştir. Bu, ACL'nin Azure üretim, güvenlik ve uyumluluk gereksinimlerini karşılarken yukarı akış Flatcar yenilikleriyle yakından uyumlu kalmasını sağlar. Flatcar Container Linux hakkında daha fazla bilgi edinmek için Flatcar belgelerine bakın.
ACL, AKS v1.34'den itibaren AKS'de bir işletim sistemi seçeneği olarak genel olarak kullanılabilir (GA). ACL düğüm havuzlarını yeni bir AKS kümesine dağıtabilir veya mevcut kümelerinize ACL düğüm havuzları ekleyebilirsiniz.
Note
ACL, Aks için Flatcar Container Linux'un Kasım 2025'te genel önizlemeye giren GA sürümüdür. Bütünlük İlkesi Zorlaması (IPE) ile kod bütünlüğü gibi OS Guard (önizleme) özellikleri, gelecek bir sürümde ACL'ye dahil edilecek ve bundan sonra OS Guard (önizleme) kullanımdan kaldırılacaktır. Bugün OS Guard özelliklerine ihtiyacınız varsa, OS Guard kullanmaya devam etmeniz ve bu özellikler kullanıma sunulduktan sonra ACL'ye geçiş yapmanızı öneririz.
AKS'de ACL kullanmanın avantajları
| Benefit | Description |
|---|---|
| Daha güçlü güvenlik için yerleşik değişmezlik |
/usr dizininin çekirdek tarafından zorunlu kılınan değişmezliği, önyükleme sırasında ve çalışma zamanında işletim sistemi görüntüsünün bütünlüğünü doğrular. Bu tasarım, yetkisiz değişikliklerin kümenizi etkilemeden önce engellenmesine yardımcı olur ve işletim sistemi düzeyinde değişiklik riskini azaltır. |
| Minimum saldırı yüzeyi | ACL yalnızca kapsayıcıları çalıştırmak için gereken bileşenleri iletir. ACL, işletim sisteminin boyutunu ve karmaşıklığını azaltarak, saldırganların kullanabileceği paket, hizmet ve olası giriş noktası sayısını en aza indirir ve güvenlik yönetimini basitleştirir. |
| Otomatik düğüm görüntü güncelleştirmeleri | ACL, en son güvenlik düzeltme eklerini ve hata düzeltmelerini içeren haftalık görüntü tabanlı güncelleştirmeler sunar. Bu yaklaşım düğüm işletim sistemi sürümlerinin küme genelinde tutarlı ve güncel kalmasını sağlar ve bilinen güvenlik açıklarına maruz kalma durumunu azaltmaya yardımcı olur. |
| Tedarik zinciri güveni | Azure Linux'un imzalı paketlerini ve tedarik zinciri süreçlerini kullanarak sistem bileşenleri için net bir kanıtlanmışlık sağlar. |
| Azure güvenlik özellikleriyle tümleştirme | Güvenilen Başlatma ve Güvenli Önyükleme için yerel destek, ölçülen önyükleme korumaları ve kanıtlama sağlar. |
| Açık kaynak saydamlığı | Flatcar’ın yanı sıra, altyapısındaki teknolojilerin birçoğu da (dm-verity ve SELinux) upstream projelerden gelir veya açık kaynaklıdır ve Microsoft, bu özellikleri desteklemek için araçlar sunar ve katkıda bulunur. |
ACL'nin temel özellikleri
Aşağıdaki temel özellikler ACL'yi AKS için sağlamlaştırılmış, kapsayıcı için iyileştirilmiş bir işletim sistemi olarak ayırt eder:
- Değiştirilemezlik: '/usr' dizini, dm-verity tarafından korunan salt okunur bir birim olarak bağlanır. Çalışma sırasında çekirdek, kurcalamayı algılayıp engellemek için imzalı bir kök karmasını doğrular.
- SELinux ile zorunlu erişim denetimi: ACL, hassas sistem kaynaklarına erişebilecek işlemleri kısıtlayan zorunlu erişim denetimi ilkelerini zorlamak için SELinux içerir. SELinux varsayılan olarak zorlama modunda çalışır.
- Güvenilen Başlatma ve Güvenli Önyükleme: ACL, işletim sistemi yüklenmeden önce önyükleme zincirinin bütünlüğünü sağlamak için Güvenli Önyükleme ve vTPM ile Güvenilen Başlatma gerektirir. Bu, çekirdek, initramfs ve çekirdek komut satırını tek bir imzalı yapıda paketleyen Birleştirilmiş Çekirdek Görüntüsü (UKI) kullanılarak elde edilir. Önyükleme sırasında UKI ölçülür ve vTPM'ye kaydedilerek en erken aşamadan itibaren bütünlüğün korunması sağlanır.
- NVIDIA GPU düğümü desteği: ACL, AMD64 mimarilerinde NVIDIA GPU özellikli düğüm havuzlarını destekler ve sağlamlaştırılmış, kapsayıcı için iyileştirilmiş bir işletim sistemiyle AKS üzerinde yüksek performanslı bilgi işlem (HPC) ve AI/ML iş yükleri çalıştırmanıza olanak sağlar. ACL, GPU özellikli düğüm havuzları için ARM64 mimarilerini desteklemez.
- AMD64 ve ARM64 mimarisi desteği: ACL, AKS'de hem AMD64 hem de ARM64 mimarileri için kullanılabilir.
- Tedarik Zinciri Güvenliğinde Egemenlik: ACL, Azure Linux’un güvenli derleme ardışık düzenlerini ve imzalı Birleşik Çekirdek Görüntülerini (UKI’ler) devralır.
- Düğüm otomatik sağlama: ACL, düğüm otomatik sağlamayı (NAP) destekler.
Desteklenmeyen özellikler
ACL şu anda aşağıdaki özellikleri desteklemez:
-
SecurityPatchveUnmanageddüğüm işletim sistemi yükseltme kanalları. - 1. Nesil VM'ler: Yalnızca ACL ile 1. Nesil'i destekleyen VM boyutlarını kullanamazsınız.
- Pod Korumalı Alanı.
- Trusted Launch olmayan bir sürüm. ACL, Güvenilen Başlatma gerektirir.
Mevcut kümeniz desteklenmeyen özelliklerden herhangi birini kullanıyorsa, bu kümeye bir ACL düğüm havuzu ekleyemeyebilirsiniz.
Özellik yol haritası
Azure Linux, geliştirme aşamasında olan ve genel kullanılabilirlik (GA) ve genel önizleme için kullanılabilen özellikler içeren bir feature yol haritası yayımlar.
ACL ile işletim sistemi geçişleri ve yükseltmeleri
AKS, yerinde işletim sistemi SKU geçişi kullanarak veya yeni ACL düğüm havuzları oluşturarak mevcut düğüm havuzlarının ACL'ye geçirilmesini destekler. Ayrıntılı geçiş adımları, dikkat edilmesi gerekenler ve geri alma yönergeleri için bkz. Mevcut düğümleri ACL'ye geçirme.
AKS sürümlendirmesi için ACL
AKS için ACL, AKS düğüm imajlarını haftalık olarak yayımlar. Sürüm oluşturma, AKS tarih tabanlı biçimi izler (örneğin: 202506.13.0). ACL şu anda yalnızca tam düğüm görüntü güncelleştirmelerini destekler.
Sürüm notlarında kullanılabilir düğüm görüntülerini kontrol edebilir ve çalışan bir kümenin nodeImageVersion öğesini az aks nodepool list komutunu kullanarak görüntüleyebilirsiniz. Örneğin:
az aks nodepool list --resource-group <resource-group-name> --cluster-name <aks-cluster-name> --query '[].{name: name, nodeImageVersion: nodeImageVersion}'
Örnek çıkış:
[
{
"name": "nodes",
"nodeImageVersion": "AKSAzureContainerLinux-202606.01.0"
}
]
İlgili içerik
AKS için ACL kullanmaya başlamak için aşağıdaki kaynaklara bakın: