Talos: Ein Minimal-Linux für Kubernetes
Kahlschlag als Prinzip: Die Linux-Distribution Talos schmeißt alles raus, was man nicht für Kubernetes braucht. Sogar SSH.
Talos Linux ist eine Distribution, die für genau einen Anwendungsfall konzipiert wurde: Sie soll der ideale Untersatz für Kubernetes sein. Damit wollen die Entwickler einen tiefen Graben überbrücken: Zu den Stärken von Kubernetes, also der containerisierten Applikationsschicht, gehört die deklarative Konfiguration und die Fähigkeit zur Selbstheilung etwa durch Redundanz. Die darunterliegenden Betriebssysteme, etwa Linux-Distributionen wie Ubuntu oder Debian, orientieren sich jedoch oft noch an den Paradigmen des klassischen Serverbetriebs.
- Die Entwickler von Talos haben ihre Linux-Distribution als optimale Basis für Kubernetes entworfen.
- Talos verfügt über ein unveränderliches (immutable) Dateisystem und nimmt Befehle nur über ein gRPC-API an. Übliche Systemwerkzeuge wie systemd und SSH fehlen.
- Die minimale Basis soll die Angriffsfläche reduzieren. Die deklarative Natur des Systems soll Konfigurationsdrift verhindern.
Typische Server-Betriebssysteme sind langlebig, potenziell pflegeintensiv und wenn Admin A heute an der einen Schraube und Admin B morgen an der anderen Schraube dreht, stellt sich über die Zeit gern Konfigurationsdrift ein. Der gewünschte und der tatsächliche Zustand des Systems ist also nicht mehr deckungsgleich. Mit einem Automatisierungswerkzeug wie Ansible kann man den Konfigurationsdrift klassischer Linux-Distributionen im Zaum halten. Es knetet Linuxe zuverlässig nach den eigenen Vorstellungen zurecht, bedient sich dafür aber beim typischen Linux-Werkzeugkasten mit SSH, Paketmanager und Shell.
Talos wirft all diese Werkzeuge über Bord, denn die sind nicht nur praktisch für Admins, sondern auch für Angreifer. Während sich klassische Linux-Distributionen möglichst breit aufstellen, kann man sich Talos eher wie eine Firmware für Kubernetes vorstellen. Statt SSH, APT und Bash gibt es talosctl, YAML und ein gRPC-API.
Das war die Leseprobe unseres heise-Plus-Artikels "Talos: Ein Minimal-Linux für Kubernetes". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
