Azure Linux 4.0：微软通用 Linux 的正式登场

背景

在深入探讨 Azure Linux 4.0 之前，有必要梳理微软内部 Linux 发行版的演变历程。微软并非只构建了一种 Linux 发行版，其内部曾存在多条技术路线。

早在 2022 年 2 月，就有迹象表明微软曾开发过基于 Debian 的 CBL-Delridge 发行版，用于支撑 Azure Cloud Shell。然而，该发行版从未正式对外公布。同年 11 月，Delridge 的 apt 仓库下线，Cloud Shell 迁移至微软的另一款 Linux 发行版：CBL-Mariner。

CBL 代表 Common Base Linux，这是一系列以西雅图地理名称命名的内部发行版家族。Delridge 是其中基于 Debian 的版本，而 Mariner 则是基于 RPM 的版本。Mariner 从零开始构建，其 spec 文件借鉴了 Photon OS、Fedora 和 Linux From Scratch 的经验。最终，Mariner 存活了下来，并成为了微软 Linux 战略的核心。

2024 年 3 月，微软将其正式更名为 Azure Linux，并同步更新了 GitHub 仓库名称。因此，当我们现在谈论 Azure Linux 时，指的是始于 2019 年 9 月内部开发、2020 年 11 月开源、2022 年 4 月发布 2.0 版本，并自 2023 年起作为 Azure Kubernetes Service (AKS) 容器主机的这一特定发行版。在此之前，该发行版的历史轨迹并非为了让用户在自有虚拟机上运行而设计。

核心内容

在 Build 2026 大会上，微软将 Azure Linux 4.0 推向公众预览版。这标志着微软内部 Linux 发行版的一个根本性转变：它不再仅仅是 AKS 底层的专用宿主操作系统，而是成为了一款可以在任何 Azure 虚拟机上运行的通用 Linux 发行版。

构建基础的转变：从手工维护到 Fedora 上游

Azure Linux 4.0 与 1.0 至 3.0 版本有着本质的区别。早期版本是逐个打包组装而成，而 4.0 版本则基于 Fedora 43 的快照衍生而来。

• 声明式覆盖层 (Declarative Overlays)：微软不再手动维护每一个 spec 文件。相反，它跟踪 Fedora 上游版本，并应用声明式覆盖层。这意味着每一个偏离上游 Fedora 的改动，都必须附带书面说明解释其存在的原因。渲染后的 spec 文件被提交到仓库中，用户可以清晰地查看微软具体修改了什么以及为何修改。
• 供应链透明度：这种基于上游且变更可追溯的构建方式，使得 Azure Linux 的供应链比大多数发行版更具审计能力。

组件栈的重大升级

随着构建基础的改变，Azure Linux 4.0 的核心组件栈也进行了全面更新：

• 内核：采用 Kernel 6.18 LTS，经过 Azure 调优，包含 Hyper-V 集成、GPU 和 AI 加速器支持。微软维护自己的内核分支，并将签名密钥直接嵌入构建过程中。
• 包管理器：dnf5 取代了 tdnf。tdnf 是微软从 Photon OS 继承的轻量级 C 语言重新实现的 dnf。这是用户可见的最大变化，现在用户将获得标准的 dnf5 工具链和完整的插件生态系统，而非微软特有的包管理器。
• 基础库与工具：
  • glibc 2.42
  • systemd 258
  • OpenSSL 3.5（支持后量子密码学）
  • Python 3.14
  • RPM 6.0（拥有现代化数据库后端和更强的签名验证）
• 合规性：FIPS 140-3 认证正在进行中，预计将在一般可用性阶段发布。

安全性强化

Azure Linux 4.0 在安全性方面保持了高标准：

• 所有镜像均支持 SELinux。
• 内核启用加固功能（包括 ASLR、栈保护、seccomp 和 systemd 服务沙箱）。
• 软件包和仓库均经过加密签名。
• 微软发布软件物料清单 (SBOM) 以保障供应链安全。

部署范围的扩展

Azure Linux 4.0 旨在成为被主动选择的操作系统，其部署范围覆盖所有 Azure 计算表面：

1. 虚拟机 (VMs) 和规模集：可直接从 Azure Marketplace 部署，无需额外的 OS 许可费用。
2. 容器：在 Microsoft Container Registry 上提供基础镜像、distroless 镜像和语言运行时镜像，这些镜像与 VM 镜像共享相同的供应链。
3. AKS：自 2023 年以来，它一直是 AKS 的容器主机。现在，它还与基于 Flatcar 的不可变变体 Azure Container Linux 并肩工作，后者共享相同的内核，适用于更严格的合规环境。
4. WSL：用户可以使用 wsl --install -d AzureLinux 在本地开发环境中使用与生产环境相同的 Linux 发行版（功能即将推出，建议先在 Azure 上试用）。

企业级采用现状

Azure Linux 并非无人问津。目前，Databricks 已将超过 10 万台虚拟机和超过 100 万个 CPU 核心迁移至 Azure Linux；LinkedIn 也将其基础设施迁移至 Azure Linux。此外，Azure Linux 已在 AKS、Azure SQL 和 Cosmos DB 背后运行。4.0 预览版的发布，意味着这些经过验证的基础设施能力现在向所有用户开放。

关键要点

• 定位转变：Azure Linux 4.0 是微软首款通用 Linux 发行版，不再局限于作为 AKS 或 Azure Cloud Shell 的专用底层宿主，而是成为可在任何 Azure VM 上运行的通用云操作系统。
• 上游优先策略：4.0 版本基于 Fedora 43 构建，采用“声明式覆盖层”机制，所有对上游 Fedora 的修改均有文档记录，极大提升了供应链的透明度和可审计性。
• 工具链标准化：弃用微软特有的 tdnf，转而使用标准的 dnf5 包管理器，并集成了完整的插件生态系统，降低了用户的学习成本和迁移门槛。
• 核心组件现代化：内核升级至 6.18 LTS，glibc 2.42，systemd 258，OpenSSL 3.5（支持后量子密码学），Python 3.14，以及 RPM 6.0。
• 全场景覆盖：支持从 Azure Marketplace 直接部署 VM、构建容器镜像、作为 AKS 主机以及通过 WSL 进行本地开发，实现了开发到生产的一致性。
• 安全与合规：默认启用 SELinux 和内核加固，支持 FIPS 140-3 认证，发布 SBOM，确保企业级安全标准。
• 微软 Linux 战略的延续：从 2012 年托管 Linux VM，到 2014 年“Microsoft loves Linux”，再到如今发布通用发行版，微软完成了从 Linux 消费者到 Linux 贡献者和发行版维护者的角色转变。

意义与影响

Azure Linux 4.0 的发布不仅是微软内部 Linux 项目的一个版本迭代，更是其开源战略和云基础设施战略的重要里程碑。

1. 微软 Linux 旅程的逻辑终点 回顾微软的开源历程：2012 年 Azure 开始托管 Linux VM，2014 年 Satya Nadella 提出“Microsoft loves Linux”，2016 年加入 Linux Foundation 并推出 WSL，2018 年通过 Open Invention Network 交叉许可 60,000 项专利。到 2019 年，Linux 已成为 Azure 上的主要操作系统。如今，Azure 上超过三分之二的客户核心运行着 Linux。在此背景下，发布一款任何人都可以运行的通用 Azure Linux 是这一进程的自然延伸。微软