All Products
Search
Document Center

Container Service for Kubernetes:Apa itu ContainerOS

Last Updated:Jun 18, 2026

Sistem operasi minimal dan aman yang dibangun di atas Alibaba Cloud Linux 3 untuk booting kontainer yang cepat dan penskalaan node di ACK.

Skenario yang didukung

  • ContainerOS berjalan di kelompok node kluster ACK yang dikelola dengan versi kluster 1.24 atau lebih baru dan runtime containerd. Lihat Create an ACK managed cluster. Untuk upgrade, lihat Manually upgrade a cluster.

  • ContainerOS tidak mendukung node Arm atau tipe instans dengan disk lokal.

Latar belakang

Sistem operasi tradisional mencakup jauh lebih banyak paket dan layanan daripada yang dibutuhkan oleh kontainer, sehingga menghasilkan citra yang besar, waktu boot yang lambat, dan pemeliharaan yang rumit.

ACK merancang ContainerOS untuk mengatasi masalah ini. ContainerOS lebih ringan, melakukan boot lebih cepat, dan menggunakan lebih sedikit sumber daya dibandingkan sistem operasi tradisional—ideal untuk penerapan kontainer skala besar.

Fitur

Feature

Description

Image Streamlining

Hanya menyertakan paket dan layanan yang diperlukan untuk menjalankan Pod Kubernetes, mempercepat waktu boot. ContainerOS menyertakan sekitar 210 paket, dibandingkan sekitar 600 paket pada sistem operasi tradisional seperti Alibaba Cloud Linux 3 (Alinux 3), Alinux 2, dan CentOS.

  • Mengurangi penggunaan disk: lebih dari 60% lebih sedikit paket mengurangi jejak penyimpanan.

  • Mengurangi paparan CVE: Lebih sedikit paket berarti lebih sedikit kerentanan yang diketahui dan permukaan serangan yang lebih kecil.

ContainerOS tidak menyertakan Python dan login SSH langsung. Fokuslah pada aplikasi, bukan manajemen OS.

Fast boot

Optimisasi OS end-to-end mempercepat proses boot dan mempersingkat waktu skala keluar. Alur boot yang disederhanakan dan gambar manajemen yang telah dimuat sebelumnya menghilangkan penundaan pull selama startup. Dikombinasikan dengan optimisasi control-plane ACK, penskalaan node menjadi lebih cepat.

Sebagai contoh, ContainerOS menskalakan 1.000 node hingga siap dalam 53 detik (P90), mengungguli CentOS dan pendekatan Alinux 2 custom image.

Penting

Nilai-nilai ini bersifat teoretis dan dapat bervariasi. Lakukan pengujian di lingkungan Anda untuk hasil yang akurat.

Security hardening

Sistem file root bersifat read-only—hanya /etc dan /var yang dapat ditulis. Desain immutable ini mencegah kontainer yang lolos dari memodifikasi host. Login langsung diblokir; gunakan administrative container untuk O&M non-rutin.

Atomic upgrades

ContainerOS tidak menyertakan yum dan menggunakan pembaruan tingkat gambar, rollback (penggantian disk), serta hot upgrade terbatas. Hal ini memastikan versi dan konfigurasi yang konsisten di semua node.

Setiap gambar menjalani pengujian ketat sebelum dirilis. Berbeda dengan upgrade RPM individual, penerbitan tingkat gambar menjamin stabilitas pasca-upgrade.

Manfaat

Benefit

Description

Vertical optimization for containers

Dioptimalkan untuk beban kerja kontainer dengan boot cepat, penguatan keamanan, dan sistem file root immutable—meningkatkan performa, menyederhanakan O&M kluster, dan memastikan konsistensi node.

Fast node scaling

Optimisasi control-plane ACK dan tingkat OS secara bersama-sama mempercepat penskalaan node. Penskalaan node menyumbang lebih dari 90% dari total waktu autoscaling, sehingga ContainerOS secara signifikan meningkatkan performa autoscaling.

OS maintainability

Bersama ACK, ContainerOS menyediakan pembaruan Kubernetes berkelanjutan, perbaikan CVE tepat waktu, dan rilis gambar sesuai permintaan. Berbeda dengan pendekatan Alinux 2 custom image, ContainerOS menawarkan pemeliharaan resmi dan cakupan CVE, sehingga mengurangi upaya pemeliharaan OS kustom.

Optimisasi bersama dengan ACK juga mengurangi downtime node akibat tugas O&M.

Alinux 3 compatibility

ContainerOS berbagi kernel dan sebagian besar paket yang sama dengan Alinux 3, menyertakan kernel 5.10 LTS dengan fitur-fitur terbaru dari komunitas Linux.

Catatan keamanan

ContainerOS memperkuat keamanan baik di tingkat OS maupun infrastruktur.

Keamanan sistem operasi

Feature

Description

Minimal execution environment

ContainerOS hanya menyertakan sekitar 210 paket yang diperlukan untuk kontainer, sehingga mengurangi CVE dan permukaan serangan. Paket berisiko tinggi seperti binutils, Python, OpenSSH, dan tcpdump dihapus, dan bahasa skrip (Perl, Ruby) tidak didukung.

ContainerOS node O&M method

Menggunakan lingkungan eksekusi minimal dan sistem file root yang tidak dapat diubah untuk keamanan yang lebih kuat. Metode O&M berbeda dari Linux standar—lihat O&M node ContainerOS.

Immutable root file system

Tidak mendukung manajer paket seperti yum. Menggunakan rpm-ostree untuk perubahan OS yang dapat dilacak dan rollback. / dan /usr bersifat read-only; /etc (konfigurasi) dan /var (log, gambar kontainer) dapat ditulis.

Perluas untuk melihat path, atribut, dan penggunaan yang direkomendasikan dalam sistem file

Path

Properties

Purpose

/

/usr

Read-only

Executable

Sistem file root / dan direktori /usr dipasang sebagai read-only untuk memastikan integritas sistem dan mencegah perubahan tidak sah.

/etc

Writable

Stateful

Direktori ini berisi file konfigurasi sistem, seperti file layanan systemd kustom dan konfigurasi perangkat lunak yang dipersonalisasi. File-file ini tetap tersimpan setelah upgrade sistem.

/var

Writable

Stateful

Direktori ini menyimpan direktori yang dibuat oleh komponen saat waktu proses, seperti /var/run/NetworkManager, dan direktori kerja komponen, seperti /var/lib/containerd. Isi direktori ini tetap tersimpan setelah upgrade sistem.

/home

/mnt

/opt

/root

/usr/local

Writable

Stateful

Direktori-direktori ini merupakan tautan simbolik di dalam direktori /var. Hal ini membuatnya tersedia untuk digunakan selama operasi sistem, seperti membuat pengguna baru di direktori /home atau memasang disk data lain di direktori /mnt.

/run

/tmp

Writable

Stateless

Direktori ini dipasang sebagai tmpfs dan menyimpan file sementara yang dibutuhkan oleh sistem. Data dalam direktori ini dihapus saat restart.

Read-only system disk

Disk sistem bersifat read-only untuk melindungi OS dari perubahan tidak sah dan serangan persisten. Pasang disk data terpisah untuk operasi normal.

Data pengguna disimpan di disk data, sehingga terisolasi dari disk sistem. Secara default, disk data dipasang ke /var.

Hanya tersedia di ContainerOS 3.5.0 dan versi lebih baru.

Removed shell interpreters

Interpreter shell seperti /bin/bash dan /bin/sh dihapus, sehingga memblokir eksekusi skrip shell dan mengurangi risiko serangan skrip berbahaya.

New Bootstrap container

Kontainer Bootstrap menjalankan skrip User Data sebelum kontainer utama dimulai dan keluar secara otomatis setelah inisialisasi—menghindari risiko keamanan terhadap host atau kontainer aplikasi.

Keamanan infrastruktur

Dibangun di atas Alinux—OS Alibaba Cloud yang paling banyak digunakan—ContainerOS mewarisi pengalaman bertahun-tahun dalam pengemasan dan pengiriman citra dengan optimisasi cloud-native. Setiap rilis menjalani pengujian garis dasar OS dan pengujian integrasi ACK.

Penagihan

ContainerOS adalah citra gratis. ContainerOS tersedia untuk kelompok node ACK tanpa biaya tambahan dan didukung jangka panjang oleh Alibaba Cloud.

Namun, sumber daya lain yang digunakan bersama ContainerOS—seperti vCPU, memori, penyimpanan, bandwidth publik, dan snapshot—ditagih secara terpisah. Lihat Billing overview.

Referensi