投稿日: Jun 30, 2021
本日、Amazon Web Services (AWS) が Amazon ECS 用に最適化された Bottlerocket Amazon マシンイメージ (AMI) の一般提供開始を発表しました。Bottlerocket はコンテナを実行するために構築されたオープンソースの Linux ベースオペレーティングシステムです。Bottlerocket には、コンテナの実行に必要なソフトウェアのみが含まれており、単一のステップ更新メカニズムが組み込まれています。これにより、セキュリティ体制を改善し、Amazon ECS クラスターの保守オーバーヘッドを抑制できます。今回のリリースにより、Amazon ECS はまた、Bottlerocket の自動的な OS 更新にも役立ちます。これによりアプリケーションの可用性向上、更新中のダウンタイムの削減などが実現できます。
Bottlerocket には、お客様が攻撃対象と脆弱性の影響をを大きく緩和するのに役立つコンテナの実行に必要な基盤となるソフトウェアのみが含まれます。Bottlerocket のルートファイルシステムは読み込み専用で、dm-verity にサポートされています。カーネルはすべての直接書き込みをブロックし、背景ではすべての変更を破損として検出し、ホストをリブートします。さらに、Security-Enhanced Linux (SELinux) ポリシーが組み込まれており、さらなる分離を強制するモードが有効になっています。これらのセキュリティ強化に加えて、Bottlerocket への更新はアトミックに適用およびロールバックされるため、更新の複雑な処理や失敗を減らすことができます。さらに、クラスターで Bottlerocket を実行している Amazon Elastic Compute Cloud (Amazon EC2) インスタンス用に自動のローリング OS 更新を提供する Bottlerocket ECS Updater、AWS CloudFormation テンプレートも使用できます。