Bottlerocket - ระบบปฏิบัติการ Linux แบบไม่เปลี่ยนแปลงขนาดเล็กพร้อม Verified Boot

 (bottlerocket.dev)
1 คะแนน โดย GN⁺ 2023-09-24 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ระบบปฏิบัติการบนพื้นฐาน Linux ที่ปรับแต่งมาสำหรับการโฮสต์คอนเทนเนอร์
  • ออกแบบมาให้ทำงานร่วมกับตัวจัดการคอนเทนเนอร์ออร์เคสเตรชัน (เช่น Kubernetes) เพื่อทำให้วงจรชีวิตของคอนเทนเนอร์ที่รันอยู่ในคลัสเตอร์เป็นอัตโนมัติ
  • เป้าหมายหลัก 3 ประการคือ: ความเล็กกระทัดรัด, การอัปเดตที่ปลอดภัย, และยึดความปลอดภัยเป็นศูนย์กลาง
  • ไม่มีเชลล์ แต่สามารถโต้ตอบกับระบบผ่านคอนเทนเนอร์ "host" ที่มีสิทธิ์ได้
  • การอัปเดตถูกส่งมอบผ่านอิมเมจที่ดาวน์โหลดลงในพาร์ทิชันเฉพาะ Bottlerocket จะสลับพาร์ทิชันและบูตแบบ Atomic ไปยังเวอร์ชันใหม่
  • ใช้หลายพาร์ทิชันเพื่อจัดการการอัปเดต โดยจะเกิดการเปลี่ยนแปลงแบบ Atomic ตอนรีบูต
  • การอัปเดตสามารถจัดการได้ทั้งแบบแมนนวล หรือผ่านเครื่องมือเฉพาะสำหรับออร์เคสเตรเตอร์อย่าง Bottlerocket Update Operator (brupop) และ ECS updater
  • เขียนด้วย Rust และ Golang เล็กน้อย
  • ระบบไฟล์รากของ Bottlerocket ไม่สามารถแก้ไขเปลี่ยนแปลงได้ โดย dm-verity ให้การตรวจสอบความถูกต้องสมบูรณ์ของระบบไฟล์รากแบบโปร่งใส และหากตรวจพบการเปลี่ยนแปลงในบล็อกดีไวซ์พื้นฐาน เคอร์เนลจะรีสตาร์ต
  • Bottlerocket มีระบบไฟล์แบบแปรผันที่เปิดใช้งานตลอดเวลา เป็นแบบบังคับ และมีนโยบาย SELinux ที่เข้มงวดและจำกัด ซึ่งช่วยป้องกันไม่ให้คอนเทนเนอร์ที่รันด้วยสิทธิ์ root ทำงานที่เป็นอันตรายได้

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-09-24
ความคิดเห็นจาก Hacker News
  • Bottlerocket ถูกมองว่าเป็นโปรเจกต์ของ AWS/Amazon ที่ยังไม่มีเส้นทางสู่ความเป็นอิสระอย่างชัดเจน
  • ระบบปฏิบัติการนี้ไม่ให้บริการสแกนช่องโหว่ เว้นแต่จะใช้งานผลิตภัณฑ์ของ Amazon
  • Bottlerocket ไม่มีโหมด FIPS ที่ผู้ใช้องค์กรบางส่วนต้องการ
  • แนวทางในการรัน Bottlerocket อย่างอิสระดูไม่ชัดเจน เนื่องจากในหน้าหลักมีเพียงหน้า GitHub เท่านั้นที่ถูกระบุไว้
  • Bottlerocket ถูกนำไปเปรียบเทียบกับ CoreOS ในแง่ของคำแนะนำการใช้งาน
  • ส่วน "เริ่มต้นใช้งาน" และ FAQ ไม่ได้ให้คำแนะนำที่ชัดเจนเกี่ยวกับวิธีการรัน Bottlerocket
  • Bottlerocket อาจมีประโยชน์กับ AMD SEV-SNP ซึ่งให้การวัดค่าเคอร์เนล, initrd และอาร์กิวเมนต์
  • ผู้ใช้บางรายชอบ CoreOS มากกว่า Bottlerocket และตั้งคำถามว่ามีส่วนใดของ Bottlerocket ที่โอเพนซอร์สมาเพื่อใช้นอก AWS หรือไม่
  • มีคำถามเกี่ยวกับความเหมาะสมในทางปฏิบัติของการใช้ Bottlerocket นอก AWS
  • ระบบปฏิบัติการนี้ไม่มีเชลล์ ทำให้เกิดความกังวลเรื่องการใช้งานนอกเหนือจากบางสถานการณ์เฉพาะ
  • ผู้ใช้บางรายตั้งคำถามต่อแนวโน้มของคอนเทนเนอร์แบบแยกส่วนที่มีระบบไฟล์เสมือนและเครือข่ายเป็นของตัวเอง และเสนอว่าควรใช้ OS และฮาร์ดแวร์โดยตรงแทน