Bottlerocket - OS Linux minimal yang immutable dengan verified boot

 (bottlerocket.dev)
1 poin oleh GN⁺ 2023-09-24 | 1 komentar | Bagikan ke WhatsApp
  • Sistem operasi berbasis Linux yang dioptimalkan untuk hosting kontainer
  • Dirancang untuk bekerja bersama orkestrator kontainer (misalnya Kubernetes) guna mengotomatiskan lifecycle kontainer yang berjalan di klaster
  • Tiga tujuan utamanya adalah: minimalisme, pembaruan yang aman, dan berfokus pada keamanan
  • Tidak memiliki shell, tetapi sistem dapat diakses melalui kontainer "host" yang memiliki hak istimewa
  • Pembaruan disediakan melalui image yang diunduh ke partisi tertentu. Bottlerocket menukar partisi dan melakukan boot Atomic ke versi baru
  • Mengelola pembaruan menggunakan beberapa partisi. Saat reboot, perubahan Atomic diterapkan
  • Pembaruan dapat dikelola secara manual atau melalui alat khusus orkestrator, yaitu Bottlerocket Update Operator (brupop) dan ECS updater
  • Ditulis dengan Rust dan sedikit Golang
  • Root file system Bottlerocket tidak dapat diubah. dm-verity menyediakan pemeriksaan integritas transparan pada root file system, dan kernel akan dimulai ulang jika perubahan terdeteksi pada block device dasar
  • Bottlerocket memiliki file system variabel dengan kebijakan SELinux yang selalu aktif, wajib, dan restriktif, sehingga membantu mencegah kontainer yang berjalan sebagai root mengeksekusi operasi berbahaya

Bacaan terkait

1 komentar

 
GN⁺ 2023-09-24
Komentar Hacker News
  • Bottlerocket dipandang sebagai proyek AWS/Amazon tanpa jalur yang jelas menuju kemandirian.
  • OS ini tidak menyediakan pemindaian kerentanan kecuali Anda menggunakan produk Amazon.
  • Bottlerocket tidak menyediakan mode FIPS yang dibutuhkan oleh sebagian pengguna perusahaan.
  • Jalur untuk menjalankan Bottlerocket secara mandiri tampak tidak jelas karena di halaman utama hanya tercantum halaman GitHub.
  • Bottlerocket dibandingkan dengan CoreOS dari sisi panduan.
  • Bagian "Memulai" dan FAQ tidak memberikan petunjuk yang jelas tentang cara menjalankan Bottlerocket.
  • Bottlerocket mungkin berguna untuk AMD SEV-SNP, yang menyediakan pengukuran kernel, initrd, dan argumen.
  • Sebagian pengguna lebih memilih CoreOS daripada Bottlerocket, dan mempertanyakan apakah ada bagian yang di-open-source untuk penggunaan di luar AWS.
  • Ada pertanyaan mengenai kepraktisan penggunaan Bottlerocket di luar AWS.
  • OS ini tidak memiliki shell, sehingga ada kekhawatiran tentang kegunaannya di luar skenario tertentu.
  • Sebagian pengguna mempertanyakan tren menuju kontainer terisolasi dengan sistem berkas virtual dan jaringan, dan sebagai gantinya mengusulkan penggunaan langsung OS dan perangkat keras.