Bottlerocket - sistema operacional Linux mínimo e imutável com inicialização verificada

 (bottlerocket.dev)
1 pontos por GN⁺ 2023-09-24 | 1 comentários | Compartilhar no WhatsApp
  • Sistema operacional baseado em Linux otimizado para hospedar contêineres
  • Projetado para funcionar com orquestradores de contêineres (como Kubernetes) para automatizar o ciclo de vida dos contêineres executados em um cluster
  • Seus três objetivos principais são: minimalismo, atualizações seguras e foco em segurança
  • Não possui shell, mas é possível interagir com o sistema por meio de um contêiner de "host" com privilégios
  • As atualizações são fornecidas por meio de imagens baixadas para uma partição específica. O Bottlerocket troca a partição e faz boot atômico na nova versão
  • Usa várias partições para gerenciar atualizações. Na reinicialização, ocorre uma mudança atômica
  • As atualizações podem ser gerenciadas manualmente ou por meio das ferramentas específicas para orquestradores Bottlerocket Update Operator (brupop) e ECS updater
  • Escrito em Rust e um pouco de Golang
  • O sistema de arquivos raiz do Bottlerocket é imutável. O dm-verity fornece verificação transparente de integridade do sistema de arquivos raiz, e o kernel é reiniciado se alterações forem detectadas no dispositivo de bloco subjacente
  • O Bottlerocket possui um sistema de arquivos mutável com políticas SELinux sempre ativadas, obrigatórias e restritivas, ajudando a impedir que contêineres executados como root realizem operações perigosas

Leituras relacionadas

1 comentários

 
GN⁺ 2023-09-24
Comentários do Hacker News
  • O Bottlerocket é percebido como um projeto da AWS/Amazon sem um caminho claro para independência.
  • Este SO não oferece varredura de vulnerabilidades a menos que você use produtos da Amazon.
  • O Bottlerocket não oferece modo FIPS, necessário para alguns usuários corporativos.
  • O caminho para executar o Bottlerocket de forma independente parece pouco transparente, já que apenas a página do GitHub é listada na página principal.
  • O Bottlerocket é comparado ao CoreOS em termos de orientação.
  • As seções "Primeiros passos" e FAQ não fornecem instruções claras sobre como executar o Bottlerocket.
  • O Bottlerocket pode ser útil com o AMD SEV-SNP, que fornece medições do kernel, initrd e argumentos.
  • Alguns usuários preferem o CoreOS ao Bottlerocket e questionam se algo foi aberto como código aberto para uso fora da AWS.
  • Há dúvidas sobre a praticidade de usar o Bottlerocket fora da AWS.
  • Este SO não tem shell, o que gera preocupações sobre sua usabilidade fora de cenários específicos.
  • Alguns usuários questionam a tendência de usar contêineres isolados com sistema de arquivos virtual e rede, sugerindo em vez disso o uso direto do SO e do hardware.