ACK での高速なコンテナ起動およびノードスケーリング向けに、Alibaba Cloud Linux 3 をベースに構築された最小限で安全なオペレーティングシステムです。
対応シナリオ
-
ContainerOS は、クラスターバージョン 1.24 以降および containerd ランタイムを使用する ACK マネージドクラスター のノードプールで実行されます。詳細については、「ACK マネージドクラスターの作成」をご参照ください。アップグレード方法については、「クラスターの手動アップグレード」をご参照ください。
-
ContainerOS は Arm ノードまたはローカルディスクを搭載したインスタンスタイプをサポートしていません。
背景情報
従来のオペレーティングシステムには、コンテナに不要なパッケージやサービスが多数含まれており、イメージが肥大化したり、起動時間が長くなったり、メンテナンスが複雑になったりする原因となっています。
ACK ではこれらの課題に対処するために ContainerOS を設計しました。従来のオペレーティングシステムと比べて軽量で、起動が高速、リソース使用量も少ないため、大規模なコンテナデプロイメントに最適です。
特徴
|
特徴 |
説明 |
|
イメージの最適化 |
Kubernetes Pod の実行に必要なパッケージおよびサービスのみを含むことで起動時間を短縮しています。ContainerOS には約 210 個のパッケージが含まれますが、従来のオペレーティングシステム(Alibaba Cloud Linux 3 (Alinux 3)、Alinux 2、CentOS など)には約 600 個のパッケージが含まれています。
ContainerOS には Python および直接 SSH ログイン機能が含まれていません。OS 管理ではなくアプリケーションに集中できます。 |
|
高速起動 |
エンドツーエンドの OS 最適化により、起動およびスケールアウト時間を短縮します。簡略化された起動フローと事前読み込み済みの管理イメージにより、起動時のプル遅延を排除します。ACK コントロールプレーンの最適化と組み合わせることで、ノードスケーリングがさらに高速になります。 たとえば、ContainerOS は P90 で 1,000 ノードを 53 秒で準備完了状態にスケーリングし、CentOS や Alinux 2 カスタムイメージ 方式を上回ります。 重要
これらの値は理論値であり、実際の結果は異なる場合があります。正確な結果を得るには、ご利用の環境でテストしてください。 |
|
セキュリティ強化 |
ルートファイルシステムは読み取り専用で、/etc および /var のみが書き込み可能です。この不変設計により、エスケープしたコンテナがホストを改ざんするのを防ぎます。直接ログインはブロックされており、例外的な運用保守 (O&M) には 管理コンテナ を使用してください。 |
|
アトミックアップグレード |
ContainerOS には 各イメージはリリース前に厳格なテストを経ています。個別の RPM アップグレードとは異なり、イメージレベルでの公開により、アップグレード後の安定性が保証されます。 |
メリット
|
メリット |
説明 |
|
コンテナ向けの縦方向最適化 |
高速起動、セキュリティ強化、不変のルートファイルシステムによりコンテナワークロード向けに最適化されており、パフォーマンスを向上させ、クラスターの運用保守 (O&M) を簡素化し、ノードの一貫性を確保します。 |
|
高速なノードスケーリング |
ACK コントロールプレーンおよび OS レベルの最適化により、ノードスケーリングが高速化されます。ノードスケーリングは自動スケーリング全体の 90 %以上を占めるため、ContainerOS は自動スケーリングのパフォーマンスを大幅に向上させます。 |
|
OS のメンテナンス性 |
ACK と連携して、ContainerOS は継続的な Kubernetes 更新、タイムリーな CVE 修正、オンデマンドでのイメージリリースを提供します。Alinux 2 カスタムイメージ 方式とは異なり、ContainerOS は公式のメンテナンスおよび CVE カバー率を提供し、カスタム OS の維持負担を軽減します。 ACK との共同最適化により、運用保守タスクによるノードのダウンタイムも削減されます。 |
|
Alinux 3 との互換性 |
ContainerOS は Alinux 3 と同じカーネルおよび大部分のパッケージを共有しており、最新の Linux コミュニティ機能を備えたカーネル 5.10 LTS を搭載しています。 |
セキュリティに関する注意事項
ContainerOS は、オペレーティングシステムおよびインフラストラクチャの両方でセキュリティを強化しています。
オペレーティングシステムのセキュリティ
|
特徴 |
説明 |
|
|
最小限の実行環境 |
ContainerOS にはコンテナに必要な約 210 個のパッケージのみが含まれており、CVE および攻撃対象領域を削減します。binutils、Python、OpenSSH、tcpdump などの高リスクパッケージは削除され、スクリプト言語(Perl、Ruby)はサポートされていません。 |
|
|
ContainerOS ノードの運用保守 (O&M) 方法 |
強化されたセキュリティのために、最小限の実行環境と不変のルートファイルシステムを使用します。運用・保守(O&M)方法は標準的な Linux とは異なります。詳細については、「ContainerOS ノードの運用・保守(O&M)」をご参照ください。 |
|
|
不変のルートファイルシステム |
yum などのパッケージマネージャをサポートしていません。トレース可能な OS 変更およびロールバックには rpm-ostree を使用します。 |
|
|
読み取り専用のシステムディスク |
システムディスクは読み取り専用となっており、OS を改ざんや永続的攻撃から保護します。通常の運用には別途データディスクを接続してください。 ユーザーデータはデータディスクに保存され、システムディスクから分離されます。デフォルトでは、データディスクは |
ContainerOS 3.5.0 以降でのみ利用可能です。 |
|
シェルインタープリターの削除 |
/bin/bash や /bin/sh などのシェルインタープリターが削除されており、シェルスクリプトの実行をブロックし、悪意のあるスクリプトによる攻撃リスクを低減します。 |
|
|
新しい Bootstrap コンテナ |
Bootstrap コンテナは、メインコンテナの開始前に User Data スクリプトを実行し、初期化後に自動的に終了します。これにより、ホストまたはアプリケーションコンテナへのセキュリティリスクを回避します。 |
|
インフラストラクチャのセキュリティ
Alibaba Cloud で最も広く使用されている OS である Alinux をベースに構築された ContainerOS は、クラウドネイティブ向けに最適化された長年のパッケージングおよびイメージ配信の経験を継承しています。各リリースは OS ベースラインおよび ACK 統合テストを経ています。
課金
ContainerOS は無料のイメージです。ContainerOS は ACK ノードプールで無償で利用でき、Alibaba Cloud による長期サポートが提供されます。
ただし、ContainerOS とともに使用する vCPU、メモリ、ストレージ、パブリック帯域幅、スナップショットなどの他のリソースは別途課金されます。詳細については、「課金概要」をご参照ください。
参照
-
「ContainerOS の使用」をご参照ください。
-
「ContainerOS イメージのリリース履歴」をご参照ください。