ContainerOS是为容器场景垂直优化的阿里云官方操作系统,完全兼容现有的Kubernetes生态。ContainerOS在Alibaba Cloud Linux3的基础上,提供了更高的安全性、更快的启动速度和极为精简的系统服务与软件包,默认集成云原生组件,开箱即用。本文介绍ContainerOS的背景信息、特性以及优势。

适用范围

ContainerOS目前仅适用于阿里云ACK托管节点池,且容器运行时为Containerd。关于托管节点池的更多信息,请参见托管节点池概述

背景信息

在云原生快速发展的大背景下,应用被容器化部署,云原生组件(容器运行时、Kubernetes)的出现使得您可以聚焦于应用的开发,而不必过多地关注底层基础设施的细节。传统的操作系统OS发行版为了适应更多的使用场景,包含了大量的用户态工具、软件包、系统服务等,使得OS变得极为臃肿、启动慢、各种软件包种类繁多、版本零散,给运维人员带来了极大的挑战。为了解决传统OS在云原生场景下的各种适配问题,给容器服务的用户带来更好的使用体验,一个专为容器场景而生的操作系统ContainerOS应运而生。

您可以在ACK托管节点池中免费使用ContainerOS镜像,并免费获得阿里云针对该操作系统的长期支持。

产品特性

  • 镜像精简

    ContainerOS只包含Kubernetes Pods运行所依赖的软件包和系统服务,通过全系统整合优化,极大地缩短了系统启动时间,精简的操作系统使得整个系统的攻击面也大大减小。ContainerOS不提供Python支持,不直接提供SSH登录功能,更多时候ContainerOS对于您是一个透明的存在。您只需要专注于业务的开发和运行,而不必关心操作系统层面的问题。

  • 安全加固

    ContainerOS根文件系统为只读权限,只有/etc/var目录可写,以满足基础的系统配置需求。这种设计既符合云原生场景下的基础设施不可变原则,又能防止逃逸容器篡改主机文件系统。同时,ContainerOS禁止用户直接登录到系统中进行一系列可能无法追溯的操作,但仍然提供一个专用的运维容器满足非日常的运维需求。关于运维容器使用方法,请参见ContainerOS运维容器使用指导

  • 原子升级

    ContainerOS遵循云原生不可变基础设施原则,不支持单个RPM包粒度的安装、卸载和升级,不提供YUM等软件包管理工具,只支持以整个操作系统镜像为粒度的更新和回滚,以此来保证集群内各个节点的软件包版本与系统配置的一致性。每个镜像经过内部严格的测试之后才会上线,相较于传统操作系统基于单个RPM包的升级带来的不确定性,以镜像为粒度的测试发布更能保证升级后系统的稳定性。

优势

  • ContainerOS针对容器场景垂直优化,具有启动快、安全加固、根文件系统不可变等特征,既提升了性能,又方便集群范围的运维与管理,最大程度上保持集群内各个节点的一致性。
  • 提升OS的可运维能力,镜像按需发布。ContainerOS与容器服务ACK管控配合,可持续更新Kubernetes和其它系统软件版本、修复CVE漏洞。
  • ContainerOS与容器服务ACK联合优化,大大缩短了Kubernetes节点因为运维导致的不可用时间,有利于业务平稳运行。
  • ContainerOS内核版本以及绝大部分软件包与Alibaba Cloud Linux3完全保持一致,采用最新的kernel 5.10 LTS,为云上应用程序环境提供Linux社区的最新操作系统功能。关于Alibaba Cloud Linux3的更多信息,请参见Alibaba Cloud Linux 3概述

计费

ContainerOS是免费镜像,但当您使用ContainerOS镜像时,需要支付其他资源产生的费用,例如vCPU、内存、存储、公网带宽和快照等。关于其他资源的计费详情,请参见计费概述

更新记录

关于ContainerOS镜像发布的更多信息,请参见操作系统镜像发布记录

相关文档