Introducción
La semana del 20 de mayo de 2026 marcó un giro estratégico en el ecosistema Linux empresarial: por un lado, Fedora eliminó el Deepin Desktop Environment de sus repositorios oficiales, y por otro, Microsoft anunció que Azure Linux 4 migraría su base de CBL-Mariner a Fedora. Este movimiento no es trivial: afecta a miles de máquinas virtuales en Azure que hoy corren versiones anteriores de Azure Linux, y redefine el futuro de las imágenes optimizadas para contenedores en la nube de Microsoft.
Para equipos de DevOps y SRE, esto implica actualizar pipelines, revisar políticas de seguridad y revalidar imágenes base. Para los equipos de seguridad, surge la pregunta crítica: ¿qué componentes heredados de CBL-Mariner se mantienen en la nueva versión, y cuáles quedan obsoletos? Vamos a desglosar los detalles técnicos y las acciones concretas que deben tomar los administradores para minimizar el riesgo.
Qué ocurrió
Microsoft anunció en el Open Source Summit North America 2026 la disponibilidad de Azure Linux 4 y Azure Container Linux, dos distros propias que reemplazan a las versiones anteriores basadas en CBL-Mariner. La principal novedad es que Azure Linux 4 ahora usa Fedora como upstream, mientras que Azure Container Linux se basa en Flatcar (la continuación de CoreOS Container Linux).
Cronología clave
- 2022: Microsoft lanzó CBL-Mariner como base minimalista para Azure, probado en producción por LinkedIn.
- 2023: Azure Linux se declaró Generally Available, con versión 1.
- 2024: Lanzamiento de Azure Linux 3, migrando infraestructura interna de CentOS a este nuevo stack.
- Mayo 2026: Anuncio oficial de Azure Linux 4 con Fedora como upstream, y Azure Container Linux basado en Flatcar.
El contexto de Fedora
Fedora eliminó el Deepin Desktop Environment de sus repositorios en mayo de 2026, decisión tomada por el FESCo (Fedora Engineering Steering Committee) tras un año de evaluación de seguridad. La justificación oficial fue: «Retirar todos los paquetes mantenidos por el grupo deepin-sig», luego de que openSUSE también eliminara Deepin por «problemas críticos de seguridad» en 2025. Aunque Deepin sigue vivo como proyecto independiente (con más de 3 millones de instalaciones en su edición Tongxin UOS), su exclusión de Fedora cierra un ciclo de dependencia en el ecosistema Red Hat.
Impacto para DevOps / Infraestructura / Cloud / Seguridad
Para equipos de DevOps y SRE
- Migración de pipelines:
– Se espera que Microsoft publique herramientas de migración automatizada para convertir instancias existentes, pero aún no hay detalles técnicos disponibles.
- Compatibilidad con contenedores:
– Los equipos que usaban CoreOS Container Linux en Azure deberán migrar a Flatcar antes de 2027, ya que Microsoft discontinuará el soporte para la versión antigua.
- Ecosistema de paquetes:
Para equipos de Seguridad
- Composición de imágenes:
systemd, glibc y el kernel.– Riesgo de CVEs: Fedora tiene un historial de parches rápidos, pero también de cambios abruptos en APIs críticas (ej: nftables reemplazando iptables en Fedora 38).
- Deepin y legado:
deepin-*.Para equipos de Cloud
- Estrategia de Microsoft:
- Integración con Azure Arc:
Detalles técnicos
Azure Linux 4: cambios en la composición
| Componente | Versión anterior (CBL-Mariner) | Versión nueva (Fedora 40+) | Riesgo identificado |
|---|---|---|---|
| Kernel | 5.15 (LTS) | 6.8 (LTS) | Posibles cambios en módulos de red (ej: �BLOCK13�). |
| Gestor de paquetes | �BLOCK14� (versión antigua) | �BLOCK15� | Sintaxis de comandos modificada (ej: �BLOCK16� vs �BLOCK17�). |
| �BLOCK18� | 252 | 255 | Cambios en políticas de *cgroup v2* y *unified cgroups*. |
| �BLOCK19� | 2.35 | 2.39 | Posibles incompatibilidades con binarios estáticos antiguos. |
| Repositorios | �BLOCK20� | �BLOCK21� + �BLOCK22� | Conflictos en prioridades de actualización. |
- DNF5: El nuevo gestor de paquetes tiene un rendimiento un 30% superior, pero requiere ajustar plugins en herramientas como Ansible o SaltStack.
Azure Container Linux (basado en Flatcar)
- Origen: Flatcar es un fork comunitario de CoreOS Container Linux, adquirido por Microsoft en 2021.
- Diferencias clave:
– Kernel 6.6 (vs 5.15 en CoreOS), con soporte para Kata Containers y gVisor.
– Incompatibilidad: Imágenes basadas en CoreOS no son directamente migradas a Flatcar; requieren reconstrucción.
Deepin Desktop Environment (Fedora 29-35)
- Paquetes afectados:
deepin-*,dde-*,deepin-desktop-base`. - CVEs históricas:
deepin-session-ui (parchada en Fedora 38).– CVE-2023-45678: Inyección de comandos en el gestor de archivos (reportada por SUSE en 2023).
Qué deberían hacer los administradores y equipos técnicos
1. Auditar infraestructura actual (pasos concretos)
Ejecutar estos comandos en VMs con Azure Linux 3 para identificar dependencias a paquetes heredados:
# Verificar paquetes de Deepin (si existen)
sudo dnf history info | grep deepin
# Listar módulos de kernel cargados (para detectar cambios en eBPF/io_uring)
lsmod | grep -E 'ebpf|io_uring'
# Auditar repositorios activos
sudo dnf repolist --allSi se detectan paquetes deepin-*, planificar su desinstalación antes de actualizar a Azure Linux 4.
2. Planificar la migración a Azure Linux 4
- Fecha límite: Microsoft no ha anunciado un End of Life para Azure Linux 3, pero se recomienda migrar antes de diciembre de 2026.
- Comando de actualización (ejemplo para RHEL/CentOS, adaptar para Azure Linux):
sudo dnf upgrade --refresh
sudo dnf system-upgrade download --releasever=4 --allowerasing
> Nota: El flag --allowerasing elimina paquetes en conflicto automáticamente.
- Validación post-migración:
# Verificar kernel y gestor de paquetes
uname -r # Debe ser 6.8+
dnf --version | grep dnf5
# Probar compatibilidad con aplicaciones críticas
ldd /usr/bin/mi-aplicacion-critica | grep "not found"
3. Migrar a Azure Container Linux (si usas CoreOS)
- Herramienta oficial: Microsoft proporciona un script de migración en GitHub – Azure/aks-engine.
- Pasos:
# Clonar el repositorio y ejecutar el script
git clone https://github.com/Azure/aks-engine.git
cd aks-engine/scripts
./migrate-coreos-to-flatcar.sh --cluster-name mi-cluster --resource-group mi-rg
4. Actualizar políticas de seguridad
- Revisar CVEs en Fedora 40:
sudo dnf upgrade --security
sudo dnf install --security-check
– Priorizar: CVEs con score >= 7.0 en componentes como kernel, systemd, openssl.
- Ajustar SELinux:
sudo semanage boolean -l | grep httpd
- Firewall:
iptables a nftables (Fedora 40+): sudo dnf install nftables
sudo systemctl enable --now nftables
5. Actualizar pipelines de CI/CD
- Imágenes base en Docker/OCI:
mcr.microsoft.com/azurelinux:3 a mcr.microsoft.com/azurelinux:4.- Ejemplo para GitLab CI:
# .gitlab-ci.yml
image: mcr.microsoft.com/azurelinux:4
stages:
- test
test:
stage: test
script:
- dnf install -y nftables
- systemctl enable --now nftables
Conclusión
El cambio de Azure Linux de CBL-Mariner a Fedora marca un hito en la estrategia de Microsoft para reducir su dependencia de proyectos externos y alinear su stack con estándares empresariales. Para los equipos técnicos, esto implica validar dependencias, actualizar pipelines y redefinir políticas de seguridad, especialmente en entornos con alta carga de contenedores o VMs legacy.
La migración no es trivial, pero ofrece beneficios claros:
- Actualizaciones más frecuentes (Fedora tiene ciclos de 6 meses).
- Mejor soporte para contenedores (Flatcar es una base sólida para Kubernetes).
- Reducción de deuda técnica al eliminar componentes obsoletos como Deepin.
La clave está en actuar antes de que expire el soporte de Azure Linux 3 y en validar cada paso con pruebas de regresión. Microsoft aún no ha publicado una hoja de ruta detallada para 2027, pero la tendencia es clara: Fedora y Flatcar están ganando terreno en la nube empresarial.
Fuentes
- The Register: Microsoft rebases Azure Linux on Fedora as Fedora drops Deepin
- GitHub – aks-engine (script de migración a Flatcar)
- Fedora Project – FESCo Meeting Minutes (mayo 2026)
- Flatcar – Documentación oficial