发布于: Aug 31, 2020
今天,Amazon Web Services (AWS) 宣布全面推出 Bottlerocket,这是一种专为运行容器而打造的基于 Linux 的全新开源操作系统 (OS)。Bottlerocket 仅包括运行容器所需的软件,并且附带事务更新机制。这些属性使客户能够使用容器协调器以最小的中断来管理操作系统更新,从而提高容器化应用程序的安全性并降低运营成本。AWS 提供的 Bottlerocket 映像适用于 Amazon EKS (GA) 和 Amazon ECS(预览版)。Bottlerocket 是作为 GitHub 上的开源项目开发的。
如今,大多数容器都在通用操作系统上运行,而这些操作系统旨在支持以各种格式封装的应用程序。此类操作系统需要数百个软件包,需要频繁的安全和维护更新,即使只有少数软件包用于运行容器化应用程序。Bottlerocket 专注于安全性,并通过仅包含托管容器必需的软件来减少遭受攻击的机会。它附带安全增强型 Linux (SELinux),以强制模式增加隔离,并使用 Device Mapper 的一个 Linux 内核功能 verity 目标 (dm-verity) 来帮助防止基于 rootkit 的攻击。除了这些安全增强功能之外,还以原子方式对 Bottlerocket 更新进行了应用和回滚,以进一步简化更新管理。
AWS 提供的 Bottlerocket 版本包含在 AWS Support 计划中。Bottlerocket 的第一个主要版本已接受了三年的安全更新和漏洞修复。此外,很多 AWS 合作伙伴(在此阅读合作伙伴博客)为他们在 Bottlerocket 上的应用程序提供支持,让客户可以放心地运行常见的合作伙伴应用程序。
您可以遵照此处详述的说明在所有商业区域中在 Amazon EKS、Amazon ECS 或 Amazon EC2 上开始使用 Bottlerocket。您还可以在 GitHub 存储库中对源进行分流,并遵照我们的构建指南进行更改。有关更多详细信息,请参阅 Bottlerocket 常见问题和 Bottlerocket 开源博客。