Представьте: у нас в «КонтейнерОпс» целых 12 bare-metal серверов, и все они крутятся под Kubernetes на Ubuntu 22.04. Однажды произошёл неприятный инцидент: кто-то воспользовался уязвимостью в одном из pod-ов, получил shell на ноде, а затем, через CVE в ядре, смог эскалировать свои привилегии до root. И, конечно, тут же установил криптомайнер. Но самое интересное, что выяснилось в ходе расследования: на той самой ноде мы насчитали 847 установленных пакетов! А вот Kubernetes из этого огромного числа использовал всего лишь 23.
Talos Linux — это дистрибутив, заточенный исключительно под запуск Kubernetes:
- Нет SSH — управление только через API (talosctl)
- Нет shell — нет bash, sh, login
- Нет пакетного менеджера — нет apt, yum, apk
- Неизменяемая root FS — squashfs, read-only
- Mutual TLS — все коммуникации шифрованы
- ~80 МБ — весь образ ОС
| Параметр | Ubuntu 22.04 | Talos Linux |
|---|---|---|
| Размер образа | ~3 GB | ~80 MB |
| Установленных пакетов | 800+ | 0 (монолит) |
| Поверхность атаки | Широкая | Минимальная |
| SSH доступ | Да | Нет |
| Время обновления ноды | 10-30 мин | 2-3 мин |
| Конфигурация | Файлы + systemd | Единый YAML через API |

Комментарии 0