A Microsoft Build 2026, Microsoft ha annunciato la disponibilità generale di Azure Container Linux (ACL), un sistema operativo immutabile e hardened progettato specificamente per i nodi di Azure Kubernetes Service (AKS). Contemporaneamente, è entrata in public preview Azure Linux 4.0, la prima distribuzione Linux server di Microsoft per ambienti cloud enterprise. Si tratta di un cambio di paradigma significativo nella gestione dell’infrastruttura Kubernetes: addio al configuration drift, benvenuta riproducibilità totale.
Perché un OS dedicato per Kubernetes?
Chiunque gestisca cluster Kubernetes in produzione conosce bene i problemi legati alla deriva della configurazione (configuration drift). I nodi Linux tradizionali — anche se avviati da un’immagine controllata — tendono ad accumulare modifiche nel tempo: aggiornamenti in-place, file di configurazione modificati manualmente, pacchetti installati per debugging, variazioni tra ambienti diversi. Il risultato è che due nodi teoricamente identici si comportano in modo differente, rendendo debugging e ripristino molto più complessi.
L’altro fronte critico è la superficie di attacco: un OS generalista porta con sé decine di pacchetti, servizi e porte che non hanno alcuna ragione di esistere su un nodo Kubernetes. Ogni componente non necessario è un potenziale vettore di compromissione.
Azure Container Linux nasce esattamente per risolvere entrambi i problemi.
Caratteristiche tecniche di Azure Container Linux
Sistema operativo immutabile basato su Flatcar
ACL è costruito a valle di Flatcar Container Linux, la distribuzione già nota per la sua architettura immutabile e orientata ai container. L’adozione di Flatcar come base garantisce compatibilità con l’ecosistema esistente e un design maturo e collaudato. Su ACL, il filesystem di sistema è montato in sola lettura: nessun processo, nemmeno con privilegi di root, può modificare il sistema operativo a runtime. Questo elimina alla radice la possibilità di configuration drift e rende ogni nodo perfettamente riproducibile.
Integrity Policy Enforcement (IPE)
Una delle innovazioni più rilevanti di ACL è l’integrazione del Linux Security Module IPE (Integrity Policy Enforcement). IPE verifica che solo i binari provenienti da volumi firmati e trusted possano essere eseguiti. Questo controllo si estende anche alle immagini container: grazie all’integrazione con dm-verity — il meccanismo di verifica crittografica a livello di blocco del kernel Linux — ogni layer dell’immagine container viene verificato rispetto a una firma digitale prima che qualsiasi binario al suo interno possa essere eseguito.
In pratica, anche se un attaccante riuscisse a inserire codice malevolo in un layer container o nel filesystem del nodo, IPE bloccherebbe l’esecuzione di qualsiasi binario non autorizzato. È un approccio defense-in-depth particolarmente efficace contro attacchi supply chain e compromissioni post-deployment.
Aggiornamenti tramite node image upgrade
Su un OS immutabile, gli aggiornamenti non avvengono con package manager tradizionali come apt o dnf. ACL si aggiorna esclusivamente tramite il meccanismo di node image upgrade di AKS: il nodo viene sostituito con una nuova immagine aggiornata, garantendo che lo stato di partenza sia sempre pulito e noto. Questo approccio elimina i problemi tipici degli aggiornamenti in-place e semplifica enormemente la gestione del ciclo di vita dei nodi.
Azure Linux 4.0: la distribuzione server di Microsoft
Parallelamente ad ACL, Microsoft ha annunciato la public preview di Azure Linux 4.0, una distribuzione Linux server progettata per ambienti Azure cloud su larga scala. Mentre ACL è ottimizzato per i nodi Kubernetes, Azure Linux 4.0 è pensato come base per workload generici su macchine virtuali Azure. Entrambe le distribuzioni condividono il core di Azure Linux, che fornisce coerenza e compatibilità con l’ecosistema Azure.
Come usare Azure Container Linux su AKS
ACL è disponibile come opzione di sistema operativo per i node pool di AKS. Per creare un cluster o un node pool con ACL, è sufficiente specificare AzureContainerLinux come OS SKU:
# Creare un nuovo cluster AKS con Azure Container Linux
az aks create \
--resource-group myResourceGroup \
--name myAKSCluster \
--node-os-upgrade-channel NodeImage \
--os-sku AzureContainerLinux \
--generate-ssh-keys
# Aggiungere un node pool con ACL a un cluster esistente
az aks nodepool add \
--resource-group myResourceGroup \
--cluster-name myAKSCluster \
--name acnodepool \
--os-sku AzureContainerLinuxIl parametro --node-os-upgrade-channel NodeImage è consigliato per sfruttare appieno il modello di aggiornamento immutabile: AKS si occuperà automaticamente di sostituire i nodi con le versioni aggiornate dell’immagine OS.
Kubernetes 1.35 e Fleet Manager cross-cluster networking
Insieme all’annuncio di ACL, Microsoft Build 2026 ha portato altre novità rilevanti per AKS:
- Kubernetes 1.35 GA: la versione 1.35 è ora disponibile a livello generale su AKS e in fase di rollout in tutte le region.
- Azure Kubernetes Fleet Manager per cluster Arc-enabled (GA): gestione di flotte che includono cluster on-premises abilitati ad Azure Arc, con update, policy e placement da un singolo piano di controllo.
- Cross-cluster networking (preview): networking cross-cluster per Fleet Manager basato su Cilium gestito, con service discovery, policy enforcement e observability tramite eBPF.
Conclusione
Azure Container Linux è una risposta concreta ai problemi di sicurezza e riproducibilità dell’infrastruttura Kubernetes tradizionale. L’approccio immutabile, l’enforcement crittografico dei binari tramite IPE e dm-verity, e l’integrazione nativa con il ciclo di vita AKS lo rendono una scelta solida per chi gestisce workload critici in ambienti con requisiti di compliance (PCI-DSS, HIPAA, ISO 27001). Microsoft Build 2026 segna un momento importante per l’ecosistema AKS, con novità che coprono sicurezza OS, gestione multi-cluster e networking avanzato.
Fonte: Introducing Azure Container Linux (ACL) — Microsoft Community Hub | What’s new in AKS at Microsoft Build 2026