ContainerOS：Kubernetes ノード向け軽量セキュア OS - ACK

ContainerOS は、Alibaba Cloud の公式オペレーティングシステムであり、コンテナ化されたワークロード向けに最適化されており、Kubernetes エコシステムと完全に互換性があります。Alibaba Cloud Linux 3 をベースに構築された ContainerOS は、強化されたセキュリティ、起動時間の短縮、合理化されたシステムサービスとパッケージのセットを提供します。クラウドネイティブコンポーネントをデフォルトで含み、すぐに使用できます。

サポートされているシナリオ

ACK マネージドクラスターのノードプールで ContainerOS を使用できます。クラスターバージョンは 1.24 以降、コンテナーランタイムは containerd である必要があります。詳細については、「ACK マネージドクラスターの作成」をご参照ください。クラスターをアップグレードするには、「クラスターを手動でアップグレードする」をご参照ください。
ContainerOS は、Arm アーキテクチャに基づくノードや、ローカルディスクを持つインスタンスタイプをサポートしていません。

ContainerOS について

コンテナ化されたデプロイメントでは、コンテナーランタイムや Kubernetes などのクラウドネイティブコンポーネントを使用することで、インフラストラクチャの詳細ではなく、アプリケーション開発に集中できます。従来のオペレーティングシステムには、多様なユースケースをサポートするために、多くのユーザーモードツール、パッケージ、およびシステムサービスが含まれています。これにより、システムが肥大化し、起動時間が遅くなり、パッケージバージョンが断片化され、運用と保守が複雑になります。

クラウドネイティブ環境におけるこれらの課題に対処し、ユーザビリティを向上させるために、ACK はコンテナー専用に ContainerOS を設計しました。従来のオペレーティングシステムと比較して、ContainerOS は軽量でモジュール化されています。コンテナーの起動と実行が高速です。また、より強力なセキュリティと低いリソース要件を提供し、クラウドコンピューティングと大規模なデプロイメントに最適です。

機能

機能	説明
イメージの合理化	Kubernetes Pod の実行に必要なパッケージとシステムサービスのみが含まれています。システム全体の統合と最適化により、起動時間が大幅に短縮されます。ContainerOS には約 210 個のシステムパッケージが含まれています。対照的に、Alibaba Cloud Linux 3、Alibaba Cloud Linux 2、CentOS などの従来のオペレーティングシステムには、デフォルトで約 600 個のパッケージが付属しています。ディスク使用率の削減：ContainerOS はパッケージ数を 60% 以上削減し、ストレージフットプリントを大幅に低減します。 CVE への露出の削減：パッケージが少ないほど、既知の脆弱性が少なくなり、攻撃対象領域が小さくなります。 ContainerOS には Python サポートや直接 SSH ログインは含まれていません。OS の管理ではなく、アプリケーションの開発と実行に集中してください。
高速起動	エンドツーエンドの OS 最適化により、起動時間が短縮され、ACK でのノードのスケールアウト時間が短縮されます。簡素化された起動フローとクラスター管理用のプリロードされたコンテナイメージにより、ノード起動時のイメージプルによる遅延が削減されます。ACK コントロールプレーンの最適化と組み合わせることで、ノードスケーリングはさらに高速になります。たとえば、ContainerOS は 1,000 ノードをわずか 53 秒 (P90) で準備完了状態にスケールします。これは CentOS および Alibaba Cloud Linux 2 カスタムイメージの最適化を上回ります。重要ここに示されている値は理論値です。実際の測定結果は、製品の改善により若干異なる場合があります。正確な測定には、ご利用の環境を使用してください。
セキュリティ強化	ルートファイルシステムは読み取り専用です。基本的な構成要件をサポートするために、/etc および /var ディレクトリのみが書き込み可能です。この設計は、クラウドネイティブワークロード向けのイミュータブルインフラストラクチャの原則に従い、エスケープされたコンテナーがホストファイルシステムを変更するのを防ぐのに役立ちます。ContainerOS は、追跡不可能な操作のための直接システムログインをブロックします。代わりに、非定型 O&M タスク用に専用の管理コンテナーを提供します。
アトミックアップグレード	イミュータブルインフラストラクチャの原則に従い、ContainerOS には `yum` パッケージマネージャは含まれていません。代わりに、イメージレベルの更新、ロールバック (ディスクの置き換え)、および限定的なレイヤー化されたホットアップグレードをサポートしています。これにより、すべてのクラスターノードで一貫性のあるソフトウェアバージョンと構成が保証されます。各イメージはリリース前に厳格な内部テストを受けます。個々の RPM パッケージを適用し、不確実性を導入する従来の OS アップグレードとは異なり、イメージレベルのテストと公開はアップグレード後の安定性を保証します。

利点

利点	説明
コンテナー向けの垂直最適化	コンテナワークロード向けに特別に最適化されています。高速起動、セキュリティ強化、イミュータブルなルートファイルシステムなどの機能が含まれています。これらの機能は、パフォーマンスを向上させ、クラスター全体の O&M と管理を簡素化し、高いノードの一貫性を確保します。
高速ノードスケーリング	ACK コントロールプレーンの最適化と OS レベルの改善との緊密な統合により、ノードスケーリングが高速化されます。現在、ノードスケーリングは、ACK ノードの自動スケーリング時間の合計の 90% 以上を占めています。ContainerOS を使用すると、ノードプールの自動スケーリングエクスペリエンスが大幅に向上します。
OS の保守性	ACK コントロールと併用すると、ContainerOS は Kubernetes やその他のシステムソフトウェアの継続的なアップデート、タイムリーな CVE 修正、およびオンデマンドのイメージリリースをサポートします。同じくプリロードされたイメージを使用してノードの起動を高速化する Alibaba Cloud Linux 2 カスタムイメージの手法と比較して、ContainerOS は公式メンテナンスと CVE のカバー率を提供します。これにより、カスタム OS イメージのメンテナンス、アップグレード、および重大な問題の修正にかかる労力が削減されます。 ACK との共同最適化により、O&M タスクによるノードのダウンタイムも削減され、アプリケーションのスムーズな実行を維持するのに役立ちます。
Alibaba Cloud Linux 3 との互換性	ContainerOS は、Alibaba Cloud Linux 3 と同じカーネルバージョンとほとんどのパッケージを使用しています。最新のカーネル 5.10 LTS が付属しており、クラウドアプリケーション向けの最新の Linux コミュニティ機能を提供します。

セキュリティに関する注意事項

ContainerOS は、セキュリティを強化するために次の設計原則を適用します。

オペレーティングシステムのセキュリティ

機能

説明

最小実行環境

ContainerOS には、コンテナーに必要なパッケージとシステムサービスのみが含まれています (約 210 個のパッケージ)。パッケージが少ないほど、CVE が少なくなり、攻撃対象領域が小さくなります。binutils、Python、OpenSSH、tcpdump などの高リスクパッケージは削除されます。ContainerOS はスクリプト言語のサポートを最小限に抑え、Python、Perl、Ruby スクリプトをサポートしていません。

ContainerOS ノードの O&M メソッド

より強力なセキュリティのために、最小実行環境とイミュータブルなルートファイルシステムを使用します。ContainerOS ノードの O&M メソッドは、標準的な Linux システムとは異なります。詳細については、「ContainerOS ノードの O&M」をご参照ください。

イミュータブルなルートファイルシステム

yum などのパッケージマネージャはサポートしていません。追跡可能な OS の変更とロールバックには rpm-ostree を使用します。ルートファイルシステム / およびバイナリと共有ライブラリを保持するコアディレクトリ /usr は読み取り専用です。動的構成に使用される /etc ディレクトリと、ログとコンテナイメージに使用される /var ディレクトリは書き込み可能です。

ファイルシステム内のパス、プロパティ、推奨される使用法を表示するには展開します

パス	プロパティ	目的
`/` `/usr`	読み取り専用実行可能	システム整合性を確保し、改ざんを防ぐために、ルートファイルシステム `/` と `/usr` ディレクトリは読み取り専用としてマウントされます。
`/etc`	書き込み可能ステートフル	このディレクトリには、カスタム systemd サービスファイルやパーソナライズされたソフトウェア構成などのシステム構成ファイルが含まれています。これらのファイルは、システムアップグレード後も保持されます。
`/var`	書き込み可能ステートフル	このディレクトリには、`/var/run/NetworkManager` などのコンポーネントによってランタイムに作成されたディレクトリや、`/var/lib/containerd` などのコンポーネントの作業ディレクトリが保存されます。このディレクトリの内容は、システムアップグレード後も保持されます。
`/home` `/mnt` `/opt` `/root` `/usr/local`	書き込み可能ステートフル	これらのディレクトリは、`/var` ディレクトリ内のシンボリックリンクです。`/home` ディレクトリに新規ユーザーを作成したり、`/mnt` ディレクトリに他のデータディスクをマウントしたりするなど、システム操作中に使用できます。
`/run` `/tmp`	書き込み可能ステートレス	これらのディレクトリは tmpfs としてマウントされ、システムに必要な一時ファイルを保存します。これらのディレクトリ内のデータは、再起動時にクリアされます。

読み取り専用システムディスク

システムディスクは、OS の改ざんや永続的な攻撃から保護するために、読み取り専用モードに設定されています。通常の起動と操作を確実にするために、個別のデータディスクをアタッチしてください。

ユーザーデータはデータディスクに保存され、システムディスクから分離されます。デフォルトでは、データディスクは /var にマウントされます。

ContainerOS 3.5.0 以降でのみ利用可能です。

シェルインタープリターの削除

/bin/bash や /bin/sh などのシェルインタープリターはシステムから削除されます。これにより、シェルスクリプトの実行がブロックされ、悪意のあるスクリプト攻撃のリスクが低減されます。

新しいブートストラップコンテナー

ブートストラップコンテナーは、メインコンテナーが起動する前にカスタムユーザーデータ (User Data) スクリプトを実行します。初期化が完了すると、ブートストラップコンテナーは自動的に終了し、ホストシステムやプライマリアプリケーションコンテナーへのセキュリティリスクを回避します。

インフラストラクチャのセキュリティ

Alibaba Cloud Linux パッケージエコシステムに基づいています。Alibaba Cloud Linux は Alibaba Cloud の Linux サーバーディストリビューションであり、Alibaba Cloud で最も広く使用されている OS です。ContainerOS は Alibaba Cloud Linux をベースにしており、広範なクラウド固有の最適化を追加しています。長年の Alibaba Cloud Linux のパッケージングとイメージ配信の経験を再利用しています。各イメージリリース前に、ContainerOS は OS ベースラインテストと ACK 統合テストを受け、可用性とセキュリティを確保します。

課金

ContainerOS は無料イメージです。ContainerOS は ACK ノードプールで無料で利用でき、Alibaba Cloud から長期サポートを受けられます。

ただし、vCPU、メモリ、ストレージ、パブリック帯域幅、スナップショットなど、ContainerOS とともに使用されるその他のリソースは別途課金されます。詳細については、「課金概要」をご参照ください。

参照情報

ContainerOS をノードプールの OS として使用するには、「ContainerOS の使用」をご参照ください。
ContainerOS イメージリリース履歴を確認するには、「ContainerOS イメージリリース履歴」をご参照ください。