AWS開源Bottlerocket容器操作系統(tǒng)

Amazon Web Services（AWS）今天提供了Bottlerocket，Bottlerocket是一種基于Linux的開源操作系統(tǒng)，專門用于運行容器。

AWS于3月首次宣布了Bottlerocket，今天在發(fā)布的博客中，AWS產品經理Samartha Chandrashekar表示，該技術可提高容器安全性。他寫道，這樣做部分是“僅包括運行容器所需的軟件”，從而減少了攻擊面。它還使用安全性增強的Linux（SELinux），它支持訪問控制安全策略，并增加了容器與主機操作系統(tǒng)之間的隔離度。

此外，Bottlerocket使用Device-mapper的verity目標（dm-verity），這是Linux內核功能，它提供完整性檢查以幫助防止對操作系統(tǒng)的持續(xù)威脅，例如覆蓋核心系統(tǒng)軟件。Bottlerocket中的現代Linux內核包括eBPF，這減少了許多低級系統(tǒng)操作對內核模塊的需求。而且，Bottlerocket的大部分內容都是用Rust編寫的，Rust是一種較新的編程語言，專注于內存安全并防止與內存相關的錯誤，例如可能導致安全漏洞的緩沖區(qū)溢出。

為了進行調試，用戶可以使用Bottlerocket的API運行“管理容器”。admin容器是Amazon Linux 2容器映像，它包含用于故障排除和調試Bottlerocket的實用程序。它以提升的特權運行，并且還允許用戶安裝標準調試工具，例如traceroute，strace，tcpdump。

按比例建造

Chandrashekar寫道，除了提高容器安全性之外，Bottlerocket還使大規(guī)模管理大型分布式環(huán)境和自動執(zhí)行更新變得更加容易。他解釋說：“對其他通用Linux發(fā)行版的更新是在逐個軟件包的基礎上進行的，它們的軟件包之間的復雜依賴關系可能導致錯誤，使流程難以實現自動化?！?/span>

但他補充說，由于Bottlerocket是專門為容器設計的，因此可以應用更新并自動回滾。

盡管Bottlerocket可以作為獨立的OS運行，但它還可以與任何容器編排器集成以自動修補主機并提高可管理性。AWS提供的構建特別適用于Amazon EKS和Amazon ECS（預覽）。

開源Bottlerocket

AWS還在GitHub上將Bottlerocket作為一個開源項目啟動，該項目使客戶可以自定義與協調器和容器運行時的集成，并生成自己的構建。GitHub將托管所有設計文檔，代碼，構建工具和測試，并且開發(fā)人員可以使用GitHub工作流為Bottlerocket源代碼做出貢獻。

此外，AWS表示，ISV合作伙伴可以在客戶更新到最新版本的Bottlerocket之前快速驗證其軟件。

來源：www.sdxcentral.com