作者：黃韶宇、初揚

稽核&校對：溪洋、海珠

編輯&排版：雯燕

LifseaOS

在剛剛過去的雲棲大會上，一款新的 Linux Base 作業系統悄悄釋出，它就是 LifseaOS（Lightweight, Fast, Secure, Atomic Operating System）。

LifseaOS 是專門為容器場景而特別優化的 OS，即業界統稱的 ContainerOS。它具有以下幾個突出的特點：

輕量（Lightweight）：LifseaOS 預設整合 Containerd、Kubernetes 元件，僅僅保留 Kubernetes Pods 執行所需的系統服務與軟體包，相比傳統作業系統（Alibaba Cloud Linux 2/3、CentOS）軟體包數量減少 60%，映象大小減少70%。

快速（Fast）：LifseaOS 裁剪掉了大量雲上場景無需的硬體驅動，必要的核心驅動模組修改為 built-in 模式，去除了 initramfs，udev 規則也被大大簡化，大大提升了啟動時間，OS 首次啟動從傳統 OS 的 1min 以上下降到了 2s 左右。

安全（Secure）：LifseaOS 根檔案系統為只讀許可權，只有 /etc 和 /var 目錄可以滿足基礎的系統配置需求。去除了 sshd 服務與 python 支援，減少 sshd CVE 漏洞帶來的威脅。同時將 OS 的常規運維 API 化，減少使用者直接登入系統進行一些可能無法追溯的黑屏操作而帶來的穩定性、安全性風險。不過，LifseaOS 仍然提供一個專用的運維容器用以登入系統，滿足緊急的運維需求，運維容器需要通過 API 按需拉起，預設不開啟。

映象原子管理（Atomic）：LifseaOS 不支援單個 rpm 包的安裝、升級和解除安裝，通過 ostree 技術，將 OS 映象版本化管理，更新作業系統上的軟體包、或者固化的配置時，需要以整個映象為粒度進行更新（或回滾），儘可能保證叢集中各個節點的軟體包版本與系統配置的一致性。

通過以上針對性的優化，LifseaOS 可以在基於 Kubernetes 的雲原生叢集中保證大規模叢集內宿主機的版本一致性，在針對 OS 進行運維時，以不可變基礎設施的思維對整個叢集的 OS 進行滾動升級、滾動回退，將 OS 運維“雲原生化”。同時，通過與 ACK 的深度整合，使用者可以實現開箱即用，叢集內實現快速的彈性擴容，擴容效率相比傳統 OS 提升 100%。

OpenAnolis龍蜥社群已經成立了ContainerOS的特別興趣小組，LifseaOS相關程式碼也將貢獻到龍蜥社群，敬請大家期待，更多資訊請前往下方連結檢視：https://openanolis.cn/sig/container-os

在容器服務 ACK 節點池中使用 LifseaOS

阿里雲容器服務 ACK 為使用者提供了企業級 Kubernetes 容器化應用生命週期管理服務。容器服務 ACK 節點池為使用者提供了一組同質節點（同一個節點池內的節點具有相同的配置）的管理能力，具有配置一致性，運維一致性的特點，可以大大降低節點的批量運維與管理成本。

在 ACK 節點池中可以使用 ContainerOS（基於 LifseaOS），相比傳統的 Linux OS 而言，ContainerOS 為容器場景深度優化，具備更加安全、輕量、啟動快速、不可變映象等優點。ContainerOS 結合 ACK 託管節點池的自動化管理能力，包括節點快速 CVE 修復、節點自愈、映象自動升級等，能夠進一步降低使用者在 OS 運維方面的管理負擔，讓使用者更加關注上層應用。

目前 ContainerOS 已在 ACK Pro 1.20.4 及以上版本叢集的託管節點池中開放，您可以前往【ACK 產品控制檯】建立基於 ContainerOS 的託管節點池，參考下圖：

現在開始玩轉 ContainerOS 吧。

相關連結：

1）ACK 產品控制檯建立連結：
https://cs.console.aliyun.com/#/authorize

2）ContainerOS SIG組連結：
https://openanolis.cn/sig/container-os

點選此處，即可檢視阿里雲容器服務 ACK 產品詳情！