Amazon Bottlerocket, операционная система на базе Linux с открытым исходным кодом, предназначенная для запуска контейнеров как на виртуальных машинах, так и на хостах с голым металлом, теперь широко доступна.
Bottlerocket-это минимальный дистрибутив Linux, ориентированный на тот же рынок, что и оптимизированная для контейнеров операционная система Google. Amazon говорит, что Bottlerocket был разработан на основе того, как клиенты Amazon используют Amazon Linux для запуска контейнеров и запуска таких сервисов, как AWS Fargate. Fargate-это вычислительный движок для Amazon ECS и EKS, который позволяет запускать контейнеры без необходимости управлять серверами или кластерами. Самарта Чандрашекар, менеджер по продуктам AWS, сказала::
«На каждом этапе процесса проектирования мы оптимизировали Bottlerocket для обеспечения безопасности, скорости и простоты обслуживания.»
Фокус безопасности Bottlerocket начинается с того, что он включает в себя только программное обеспечение, необходимое для запуска контейнеров, что уменьшает поверхность атаки безопасности. Он использует Linux с улучшенной безопасностью (SELinux) в принудительном режиме для повышения изоляции между контейнерами и операционной системой хоста, а также использует стандартные технологии ядра Linux для реализации изоляции между контейнеризированными рабочими нагрузками, такими как группы управления (cgroups), пространства имен и seccomp. Bottlerocket использует Device-mapper’s verity target (dm-verity), функцию ядра Linux, которая обеспечивает проверку целостности, чтобы предотвратить сохранение злоумышленниками угроз в ОС, таких как перезапись основного системного программного обеспечения.
Bottlerocket разрабатывался и будет разрабатываться как проект с открытым исходным кодом на GitHub с общедоступной дорожной картой. Amazon говорит, что Bottlerocket поставляется с механизмом одношагового обновления. Большинство контейнеров работают в операционных системах общего назначения, где обновления применяются по пакетам, что затрудняет автоматизацию обновления. Bottlerocket был разработан таким образом, чтобы обновления можно было применять и откатывать за один шаг, чтобы их было легко автоматизировать, и процесс обновления основан на проекте с открытым исходным кодом, размещенном в Cloud Native Computing Foundation.
Поскольку Bottlerocket является проектом с открытым исходным кодом, пользователи смогут настроить его с помощью интеграции с пользовательскими оркестраторами, ядрами или средами выполнения контейнеров, используемыми для запуска их инфраструктуры. Все проектные документы, код, инструменты сборки, тесты и документация для Bottlerocket будут размещены на GitHub. Bottlerocket включает в себя стандартные компоненты с открытым исходным кодом, такие как ядро Linux и среда выполнения контейнера.
Bottlerocket доступен в виде образа машины Amazon для EC2 в качестве предварительного просмотра и, как правило, доступен с Amazon EKS.