MicrosoftがAzure Kubernetes Service(AKS)専用に設計した新OS「Azure Container Linux(ACL)」を一般提供(GA)開始した。従来AKSで利用されてきたFlatcar Container Linuxのサポートが2026年6月8日——つまり明日——廃止となるため、該当ユーザーには即時対応が求められる。

Azure Container Linux(ACL)が目指すもの

ACLはMicrosoftがAKSのノードOS向けに新たに設計したコンテナ最適化イミュータブルOSだ。「イミュータブル(Immutable)」とは「変更不能」を意味し、OSのファイルシステムが実行中に書き換えられない設計になっている。

従来のLinuxは管理者がパッケージを個別にインストール・アップデートできる「ミュータブル(変更可能)」な設計だった。これは柔軟性が高い反面、アップデートの状態管理が複雑になり、「ドリフト」と呼ばれる構成の意図しない変化が発生しやすかった。ノードごとに微妙に状態が異なり、「あのノードだけ挙動が違う」という問題の温床でもある。

ACLはこの問題を根本から解決する。OSイメージ全体を一つの単位として管理し、アップデートはアトミックスワップ——つまりOSイメージ全体の切り替え——で適用する。部分的な更新途中での失敗が起きない設計で、切り替えに失敗した場合でも前のイメージへのロールバックが容易だ。

イミュータブルOSがもたらすセキュリティ上のメリット

この設計はゼロトラスト・セキュリティとの相性が抜群だ。

読み取り専用のOSでは、仮にコンテナの脆弱性を突いた攻撃が成功しても、攻撃者がOSのバイナリや設定ファイルを直接改ざんすることができない。マルウェアがOS層に永続化するための足がかりを構造的に奪う。

また「構成ドリフト」の排除は、コンプライアンス観点でも重要だ。「先週まで問題なかったのに今日はこうなっている」というノード間の状態のばらつきがなくなり、監査対応や障害再現性の確保が格段に楽になる。「今動いているから大丈夫」という根拠のない安心感ではなく、設計によって状態の一貫性を保証できる点が大きい。

サポートライフサイクルと移行タイムライン

ACLは3年間のサポートライフサイクルを提供する。エンタープライズ用途として標準的な期間だが、OSアップデートがアトミックスワップで適用されるため、従来より計画的なメンテナンスが可能になる。

Flatcar Container LinuxのAKSサポートは2026年6月8日——つまり明日——廃止となる。AKSクラスターでFlatcarを利用中のユーザーは今すぐ確認を要する。

実務への影響

AKSを本番利用している日本のエンジニアやインフラ担当者にとって、今日確認すべきことは2点だ。

1. ノードプールのOS設定確認 az aks nodepool show コマンドでノードプールのOS設定を確認し、Flatcarを使用しているノードプールがないかをチェックする。AzureポータルのAKSクラスター画面からも確認可能だ。

2. ACLへの移行計画 新規クラスターではACLがデフォルトになる方向にある。既存クラスターの移行はノードプールの再作成が基本的なアプローチとなる。

イミュータブルOSという特性上、ノード上に直接ファイルを配置したり、OS層にカスタムパッケージをインストールしたりしている運用は設計の見直しが必要だ。「DaemonSetでツールをデプロイする」「initContainerで初期設定を行う」といったKubernetesネイティブなアプローチへの移行を推奨する。

筆者の見解

イミュータブルOSをAKSの標準として採用するという判断は、Azureプラットフォームの方向性として筋がいいと思う。コンテナ基盤のノードOSが可変であることは、長年「仕方がないもの」として受け入れられてきたが、本来それはリスクだった。

ゼロトラストを語る文脈ではネットワーク層や認証層の話が先行しがちだが、ノードOSのイミュータビリティはインフラ層のゼロトラスト実装として「構造でセキュリティを担保する」設計思想だ。小手先のパッチ当てではなく、OSの設計レベルから変えてきたのは評価に値する。

FlatcarからACLへの移行は、単なるOS切り替えではなく、運用モデルそのものの見直しを迫るものでもある。「ノードに直接入って設定する」という昔ながらの運用スタイルを持ち込んでいるチームには変化が必要になるが、それはKubernetesの本来の思想に立ち返るという意味で悪い変化ではない。Azureプラットフォームの上でコンテナ基盤を動かすなら、その基盤の進化と足並みをそろえることが長期的な運用コスト削減の最短ルートだ。

出典: この記事は Introducing Azure Container Linux (ACL) の内容をもとに、筆者の見解を加えて独自に執筆したものです。