Talos Linux : un nouveau standard pour les clusters Kubernetes on-premises ?

Lors de KubeCon Europe 2025 à Londres, j’ai eu l’opportunité d’assister à une présentation portant sur un défi de taille : migrer 35 clusters Kubernetes dans un environnement isolé (air-gapped), en passant de nœuds déployés avec un mélange de kubeadm/Ansible/Puppet à des nœuds Talos Linux déployés via Cluster API.

Bien que la présentation ait été très intéressante (vous pouvez consulter les slides ici et visionner l’enregistrement sur la chaîne YouTube de la CNCF), j’aimerais m’attarder davantage sur le projet Talos Linux et ses caractéristiques.

Qu’est-ce que Talos Linux ?

Talos Linux est une distribution Linux moderne conçue spécialement pour exécuter des clusters Kubernetes. Voici quelques-unes de ses caractéristiques notables :

Immuable
Talos Linux est conçu pour être immuable et s'exécute toujours à partir d'une image SquashFS. Cela signifie que le système d’exploitation est en lecture seule et ne peut pas être modifié pendant son exécution. Cette immutabilité renforce considérablement la sécurité et élimine le risque de modifications non intentionnelles.
 

Minimal
Talos Linux est un système minimal qui ne comprend que les composants nécessaires à l’exécution de Kubernetes. L’OS est construit à partir de zéro, sans composants superflus. Cela réduit la surface d’attaque et améliore les performances.
 

Éphémère et déclaratif
Les nœuds Talos sont éphémères, et tout ce qui est écrit sur le disque peut être reconstruit. La configuration est déclarative : l’état souhaité du système est défini dans un fichier de configuration et une API gRPC, idéal pour les amateurs d’automatisation et de reproductibilité (comme moi !).
 

Sécurisé
Grâce à son architecture, Talos Linux offre des fonctionnalités de sécurité renforcées, assurant une robustesse face aux diverses menaces.
 

Agnostique
Talos Linux est agnostique vis-à-vis des environnements cloud, ce qui permet son déploiement sur différents fournisseurs ou sur site, sans dépendance propriétaire.
 

En résumé, pour citer la documentation officielle : « Talos est conçu pour faire une seule chose : maintenir un cluster Kubernetes. Et il le fait très, très bien. »

Mon avis

Je suis le projet Talos Linux depuis un certain temps, et j’ai été agréablement surpris de voir une institution suisse comme PostFinance adopter aussi tôt des solutions modernes comme Talos Linux et Cluster API.

Je pense que Talos Linux va devenir un acteur clé dans l’écosystème Kubernetes, notamment pour les organisations à la recherche d’une solution on-premises à la fois sécurisée, efficace et facile à gérer.

Le caractère immuable et déclaratif de Talos peut dérouter au départ, surtout pour ceux qui ont l’habitude d’outils comme Ansible ou Puppet. Mais selon moi, c’est l’avenir de la gestion des clusters Kubernetes. Je veux que mes nœuds se comportent comme des pods : faciles à créer, détruire et remplacer. Je n’ai pas envie de gérer le système d’exploitation. J’ai déjà assez à faire avec le réseau, le stockage et le cluster Kubernetes en lui-même. Alors pourquoi ne pas déléguer la gestion de l’OS à une distribution pensée pour cela ?

Avec Omni, la plateforme SaaS de Sidero Labs pour la gestion des clusters Talos Linux, je pense que Sidero Labs dispose d’un bon modèle économique pour continuer à faire évoluer le projet. En tant qu’adepte de l’Open Source, je suis bien conscient des défis liés à la pérennité d’un tel projet. Une solution SaaS me semble donc être un bon compromis.

Talos Linux VS les autres solutions

Red Hat OpenShift est une solution bien connue des grandes entreprises, mais elle va bien au-delà d’une simple distribution Kubernetes. Il s’agit d’une plateforme complète avec de nombreuses fonctionnalités intégrées (CI/CD, monitoring, etc.), mais elle est aussi coûteuse. Talos Linux se distingue par sa simplicité et son minimalisme, ce qui permet plus de flexibilité et laisse le choix aux équipes d’ajouter les briques qui leur conviennent.

RKE2 est une autre distribution Kubernetes axée sur la sécurité et la simplicité. Elle est intéressante pour les organisations à la recherche d’une solution légère. Cependant, elle nécessite un système d’exploitation sous-jacent à administrer.