게시된 날짜: Jun 30, 2021
오늘, Amazon Web Services (AWS)는 Amazon ECS 최적화 Bottlerocket Amazon Machine Image(AMI)의 정식 출시를 발표했습니다. Bottlerocket은 컨테이너를 실행하기 위해 특별히 설계된 새로운 오픈 소스 Linux 기반 OS(운영 체제)입니다. Bottlerocket에는 컨테이너 실행에 필요한 소프트웨어만 포함되며 단일 단계 업데이트 메커니즘이 함께 제공됩니다. 이 기능을 사용하면 보안 태세를 향상하고 Amazon ECS 클러스터의 유지 관리 부담을 줄일 수 있습니다. 이 릴리스를 통해 Amazon ECS는 Bottlerocket을 위한 OS 업데이트의 자동화도 지원하므로 애플리케이션 가용성을 개선하고 업데이트 시 서비스 중단을 줄일 수 있습니다.
Bottlerocket은 컨테이너를 실행하는 데 필요한 필수 소프트웨어만 포함하므로 고객은 취약성이 미치는 영향 및 공격 표면을 대폭 줄일 수 있습니다. Bottlerocket의 루트 파일 시스템은 dm-verity에서 지원하는 읽기 전용 방식을 사용합니다. 커널은 모든 직접 쓰기를 차단하며 배경에서는 모든 수정을 손상으로 감지하고 호스트를 재부팅합니다. 또한 추가 격리를 위해 강제 모드에서는 SELinux(Security-Enhanced Linux) 정책이 활성화됩니다. 이러한 보안 강화 기능 외에도 Bottlerocket 업데이트를 적용하여 원자 단위 방식으로 롤백하므로 업데이트 복잡성과 실패 사례가 줄어듭니다. 그뿐 아니라, 클러스터에서 Bottlerocket을 실행하는 Amazon EC2(Amazon Elastic Compute Cloud) 인스턴스에 대한 자동화된 롤링 OS 업데이트를 제공하는 AWS CloudFormation 템플릿인 Bottlerocket ECS Updater도 사용할 수 있습니다.