发布于: Jun 30, 2021
今天,Amazon Web Services (AWS) 宣布 Amazon ECS优化的 Bottlerocket Amazon Machine Image (AMI) 全面开放。Bottlerocket 是专为运行容器而打造的基于 Linux 的全新开源操作系统 (OS)。Bottlerocket 仅包括运行容器所需的软件,并且附带单步骤更新机制。这有助于您改善 Amazon ECS 集群的安保状况并减少维护开销。通过此版本,Amazon ECS 还可以帮助您自动更新 Bottlerocket 的 OS,帮助您提高应用程序可用性并减少更新过程中的中断。
Bottlerocket 只包含运行容器所需的必要软件,帮助客户显著减少攻击面和漏洞影响。Bottlerocket 的根文件系统为只读,由 dm-verity 提供支持。内核会阻止所有直接写入操作,并且在后台会将任何修改检测为损坏并重新启动主机。其还附带了安全增强型 Linux (SELinux) 策略,在强制模式下启用,以实现额外隔离。除了这些安全增强功能之外,还以原子方式对 Bottlerocket 更新进行了应用和回滚,以降低更新的复杂性和故障率。此外,您还可以使用 Bottlerocket ECS Updater,这是一个 AWS CloudFormation 模板,为集群中运行 Bottlerocket 的 Amazon Elastic Compute Cloud (Amazon EC2) 实例提供自动滚动操作系统更新。