Bottlerocket - 検証済みブートを備えた最小限の不変 Linux OS

 (bottlerocket.dev)
1 ポイント 投稿者 GN⁺ 2023-09-24 | 1件のコメント | WhatsAppで共有
  • コンテナホスティングに最適化された Linux ベースのオペレーティングシステム
  • コンテナオーケストレーター(例: Kubernetes)と連携して動作し、クラスターで実行されるコンテナのライフサイクルを自動化するよう設計
  • 3つの主要な目標は、最小化、安全なアップデート、セキュリティ重視
  • シェルはないが、権限を持つ「ホスト」コンテナを通じてシステムと対話できる
  • アップデートは特定のパーティションにダウンロードされるイメージとして提供される。Bottlerocket はパーティションを切り替え、新しいバージョンへ Atomic ブートする
  • 複数のパーティションを使ってアップデートを管理。再起動時に Atomic な変更が適用される
  • アップデートは手動で、またはオーケストレーター専用ツールである Bottlerocket Update Operator(brupop)および ECS updater を通じて管理できる
  • Rust と少量の Golang で記述
  • Bottlerocket のルートファイルシステムは変更不可。dm-verity はルートファイルシステムの透過的な整合性検証を提供し、基盤となるブロックデバイスで変更が検出されるとカーネルが再起動される
  • Bottlerocket には常時有効で、強制的かつ制限的な SELinux ポリシーを持つ可変ファイルシステムがあり、root で実行されるコンテナが危険な操作を実行するのを防ぐのに役立つ

関連記事

1件のコメント

 
GN⁺ 2023-09-24
Hacker Newsの意見
  • Bottlerocketは、独立性への明確な道筋がない AWS/Amazon のプロジェクトとして認識されています。
  • この OS は、Amazon 製品を使用しない限り脆弱性スキャンを提供しません。
  • Bottlerocket は、一部の企業ユーザーに必要な FIPS モードを提供していません。
  • Bottlerocket を独立して実行する方法は、メインページに GitHub ページしか掲載されておらず、不透明に見えます。
  • Bottlerocket は、ガイダンスの面で CoreOS と比較されています。
  • 「はじめに」および FAQ セクションは、Bottlerocket の実行方法について明確な手順を提供していません。
  • Bottlerocket は、カーネル、initrd、引数の測定を提供する AMD SEV-SNP に有用である可能性があります。
  • 一部のユーザーは Bottlerocket よりも CoreOS を好んでおり、Bottlerocket に AWS 以外での利用に向けてオープンソース化されたものがあるのか疑問を呈しています。
  • AWS 以外で Bottlerocket を使用することの実用性について疑問があります。
  • この OS にはシェルがないため、特定のシナリオ以外での使い勝手に懸念があります。
  • 一部のユーザーは、仮想ファイルシステムとネットワークを備えた隔離コンテナへの流れに疑問を呈し、その代わりに OS とハードウェアを直接利用することを提案しています。