AWS開源Bottlerocket容器操作系統(tǒng)

Amazon Web Services（AWS）今天提供了Bottlerocket，Bottlerocket是一種基于Linux的開源操作系統(tǒng)，專門用于運行容器。

AWS于3月首次宣布了Bottlerocket，今天在發(fā)布的博客中，AWS產(chǎn)品經(jīng)理Samartha Chandrashekar表示，該技術(shù)可提高容器安全性。他寫道，這樣做部分是“僅包括運行容器所需的軟件”，從而減少了攻擊面。它還使用安全性增強的Linux（SELinux），它支持訪問控制安全策略，并增加了容器與主機操作系統(tǒng)之間的隔離度。

此外，Bottlerocket使用Device-mapper的verity目標(biāo)（dm-verity），這是Linux內(nèi)核功能，它提供完整性檢查以幫助防止對操作系統(tǒng)的持續(xù)威脅，例如覆蓋核心系統(tǒng)軟件。Bottlerocket中的現(xiàn)代Linux內(nèi)核包括eBPF，這減少了許多低級系統(tǒng)操作對內(nèi)核模塊的需求。而且，Bottlerocket的大部分內(nèi)容都是用Rust編寫的，Rust是一種較新的編程語言，專注于內(nèi)存安全并防止與內(nèi)存相關(guān)的錯誤，例如可能導(dǎo)致安全漏洞的緩沖區(qū)溢出。

為了進(jìn)行調(diào)試，用戶可以使用Bottlerocket的API運行“管理容器”。admin容器是Amazon Linux 2容器映像，它包含用于故障排除和調(diào)試Bottlerocket的實用程序。它以提升的特權(quán)運行，并且還允許用戶安裝標(biāo)準(zhǔn)調(diào)試工具，例如traceroute，strace，tcpdump。

按比例建造

Chandrashekar寫道，除了提高容器安全性之外，Bottlerocket還使大規(guī)模管理大型分布式環(huán)境和自動執(zhí)行更新變得更加容易。他解釋說：“對其他通用Linux發(fā)行版的更新是在逐個軟件包的基礎(chǔ)上進(jìn)行的，它們的軟件包之間的復(fù)雜依賴關(guān)系可能導(dǎo)致錯誤，使流程難以實現(xiàn)自動化。”

但他補充說，由于Bottlerocket是專門為容器設(shè)計的，因此可以應(yīng)用更新并自動回滾。

盡管Bottlerocket可以作為獨立的OS運行，但它還可以與任何容器編排器集成以自動修補主機并提高可管理性。AWS提供的構(gòu)建特別適用于Amazon EKS和Amazon ECS（預(yù)覽）。

開源Bottlerocket

AWS還在GitHub上將Bottlerocket作為一個開源項目啟動，該項目使客戶可以自定義與協(xié)調(diào)器和容器運行時的集成，并生成自己的構(gòu)建。GitHub將托管所有設(shè)計文檔，代碼，構(gòu)建工具和測試，并且開發(fā)人員可以使用GitHub工作流為Bottlerocket源代碼做出貢獻(xiàn)。

此外，AWS表示，ISV合作伙伴可以在客戶更新到最新版本的Bottlerocket之前快速驗證其軟件。

來源：www.sdxcentral.com