Представлен Talos — «современный Linux-дистрибутив для Kubernetes»

На днях американский инженер Andrew Rynhard представил ^[1] интересный проект: компактный дистрибутив Linux, предназначенный специально для запуска Kubernetes-кластеров. Он получил название из древнегреческой мифологии — Talos ^[2].

Проект появился под вдохновением от твита Kelsey Hightower'а ^[3] ещё 2015 года, в котором он говорил, что нам осталось лишь дождаться появления условной KubeOS (после чего жизнь облачных окружений станет окончательно замечательной):

К слову, с появлением Talos эта история получила продолжение ^[4]: некто ответил на исторический твит, что такая система уже появилась, и автор Talos заявил, что будет рад, если Kelsey посмотрит на проект. Реакции последнего, впрочем, (пока) не последовало.

Судя по всему ^[5], разработкой Talos занимался один человек (представляющий себя в рамках целой компании — Autonomy ^[6]) — ушло у него на это более года. И вот теперь, когда статус минимальной готовности достигнут, автор ожидает, что к нему присоединятся другие представители Kubernetes/cloud native-сообщества. Итак, в чём же суть проекта?

Принципы и особенности Talos

Talos позиционируется как современный Linux-дистрибутив, созданный специально (и исключительно!) для Kubernetes. Для достижения поставленной цели в его реализации придерживаются следующих подходов:

Минимализм

Повсеместный минимализм — один из краеугольных камней архитектуры Talos. Одним из ярких примеров здесь является используемая служба инициализации ^[7], которая (вопреки современным тенденциям в этой области) следует философии UNIX, что «каждая программа делает одну вещь, но хорошо»:

Мы хотели сделать init ориентированным на единственную задачу — запуск Kubernetes. В нём попросту нет механизмов для каких-либо других действий.

Разработчики пошли дальше и лишили свою операционную систему привычного системным администраторам пользовательского доступа к хосту: в Talos нет ни командных оболочек, ни SSH-демона, ни даже возможности запускать собственные процессы на хосте. И действительно: зачем всё это, если вам нужно запускать Kubernetes и только? Практически все процессы в Talos работают в рамках контейнеров.

Однако, поскольку мир не так уж идеален (чтобы ОС полностью функционировала «сама»), инструменты для эксплуатации ОС всё же есть:

• демон osd ^[8], реализованный по принципу предоставления минимально необходимых привилегий (Principle of Least Privilege) и предлагающий API (на базе gRPC) для управления узлами;
• CLI-утилита osctl ^[9], позволяющая общаться со службой osd, что запускается на каждом узле.

Так и реализован набор базовых возможностей по эксплуатации: перезагрузка служб и узлов кластера, получение логов ядра (dmesg) и из контейнеров, вставка данных в конфигурационные файлы узлов и т.п.

Все перечисленные компоненты (init, osd, osctl…), как и некоторые другие ^[10] в составе дистрибутива, написаны на языке Go. К слову, весь исходный код распространяется на условиях Open Source-лицензии Mozilla Public License 2.0.

Безопасность

Описанный выше минималистский подход (всё необходимое только для запуска Kubernetes) + принцип выдачи лишь минимальных привилегий уже сами по себе снижают потенциальную поверхность атаки. Кроме того, в Talos:

• включённое в состав ядро настроено в соответствии с рекомендациями проекта KSSP ^[11] (Kernel Self Protection Project), фокусирующегося на возможностях ядра к самостоятельной защите от потенциальных багов и уязвимостей (вместо использования userspace-утилит для тех же целей);
• корневая файловая система монтируется в read-only, что — в совокупности с отсутствием shell'ов/SSH — делает систему неизменной (immutable);
• используется двухсторонний TLS (mTLS) для взаимодействия с API;
• настройки и конфигурации Kubernetes применяются в соответствии с указаниями CIS ^[12] (Center for Internet Security).

Дополнительный плюс, вытекающий из минимализма и фокусировки на immutable, — предсказуемость системы в поведении (т.к. снижается число факторов, влияющих на окружение).

Актуальность

Авторы обещают базировать Talos на предпоследнем upstream-релизе Kubernetes (впрочем, прямо сейчас поддерживается ^[13] K8s 1.13.3) и последнем доступном LTS-релизе ядра Linux (сейчас используется 4.19.10).

Системные компоненты

Основными составляющими дистрибутива (помимо ядра и «фирменных» утилит) являются:

• musl-libc — как стандартная библиотека Си;
• golang — для init и других своих инструментов;
• gRPC — для API;
• containerd — для запуска системных служб в контейнерах (используется с плагином CRI ^[14] для Kubernetes);
• kubeadm — для развёртывания кластеров.

Работа с Talos

Примеры деплоя Talos для случаев использования AWS, KVM и Xen приведены в документации проекта ^[15]. Для быстрой иллюстрации того, как это выглядит, вот алгоритм инсталляции с виртуальными машинами Linux KVM:

1. Установка узла мастера на хост:

docker run  --rm  --privileged --volume /dev:/dev 
 autonomy/talos:latest image -b /dev/sdb -f -p bare-metal 
 -u http://${IP}:8080/master.yaml

2. Создание ВМ:

virt-install -n master --description "Kubernetes master node."  
    --os-type=Linux --os-variant=generic --virt-type=kvm --cpu=host  
    --vcpus=2 --ram=4096 --disk path=/dev/sdb  
    --network bridge=br0,model=e1000,mac=52:54:00:A8:4C:E1  
    --graphics none --boot hd --rng /dev/random

3. Аналогичные действия для создания рабочего узла:

docker run --rm --privileged --volume /dev:/dev  
 autonomy/talos:latest image -b /dev/sdc -f -p bare-metal  
 -u http://${IP}:8080/worker.yaml

virt-install -n master --description "Kubernetes worker node." 
    --os-type=Linux --os-variant=generic --virt-type=kvm --cpu=host  
    --vcpus=2 --ram=4096 --disk path=/dev/sdc  
     --network bridge=br0,model=e1000,mac=52:54:00:B9:5D:F2  
    --graphics none --boot hd --rng /dev/random

Настройка взаимодействия между osd и osctl по большому счёту сводится к генерации ключей для их аутентификации (уже упомянутый mTLS) и описана здесь ^[16].

Дальнейшая работа с ними сводится к командам вроде osctl reboot, osctl stats и osctl logs. Демонстрация вывода контейнеров в пространстве имён k8s.io:

$ osctl ps -k
NAMESPACE   ID       IMAGE          PID    STATUS
k8s.io      0ca1…    sha256:da86…   2341   RUNNING
k8s.io      356f…    sha256:da86…   2342   RUNNING
…
k8s.io      e42e…    sha256:4ff8…   2508   RUNNING
k8s.io      kubelet  k8s.gcr.io/…   2068   RUNNING

Процесс конфигурации Kubernetes-кластера с Talos — доступен здесь ^[17] (mater-узлы) и здесь ^[18] (workers).

Статус и перспективы

Проект находится в стадии альфа-версии (последний релиз — v0.1.0-alpha.18 ^[19]) и, конечно, на данном этапе выглядит больше как занятный эксперимент, чем что-либо по-настоящему близкое к production.

Однако всплеск интереса к Talos после его недавнего анонса (уже 600+ звёзд на GitHub) и призыв единственного автора к совместному творчеству могут послужить отличным стимулом для его развития.

Активность в issues ^[20] проекта Talos в последние дни

По меньшей мере, в дистрибутиве заложены актуальные для мира cloud native идеи, качественная реализация которых — дело времени.

P.S.

Читайте также в нашем блоге:

• «В AWS представили Firecracker — микровиртуализацию для Linux ^[21]»;
• «Прошлое, настоящее и будущее Docker и других исполняемых сред контейнеров в Kubernetes ^[22]»;
• «Red Hat заменяет Docker на Podman ^[23]»;
• «Linux-дистрибутив from scratch для сборки Docker-образов — наш опыт с dappdeps ^[24]».

Автор: Дмитрий Шурупов

Источник ^[25]