Bottlerocket - Hệ điều hành Linux tối giản, bất biến với khởi động đã được xác thực

 (bottlerocket.dev)
1 điểm bởi GN⁺ 2023-09-24 | 1 bình luận | Chia sẻ qua WhatsApp
  • Hệ điều hành dựa trên Linux được tối ưu cho việc lưu trữ container
  • Được thiết kế để hoạt động cùng các bộ điều phối container (ví dụ: Kubernetes) nhằm tự động hóa vòng đời của các container chạy trong cụm
  • Ba mục tiêu chính là: tối giản, cập nhật an toàn và ưu tiên bảo mật
  • Không có shell, nhưng có thể tương tác với hệ thống thông qua container "host" có đặc quyền
  • Các bản cập nhật được cung cấp thông qua image được tải xuống một phân vùng cụ thể. Bottlerocket sẽ hoán đổi phân vùng và khởi động Atomic vào phiên bản mới
  • Sử dụng nhiều phân vùng để quản lý cập nhật. Khi khởi động lại, thay đổi Atomic sẽ được áp dụng
  • Các bản cập nhật có thể được quản lý thủ công hoặc thông qua các công cụ dành riêng cho bộ điều phối như Bottlerocket Update Operator (brupop) và ECS updater
  • Được viết bằng Rust và một ít Golang
  • Hệ thống tệp root của Bottlerocket là bất biến. dm-verity cung cấp khả năng kiểm tra tính toàn vẹn trong suốt cho hệ thống tệp root, và nếu phát hiện thay đổi trên thiết bị khối cơ sở, kernel sẽ khởi động lại
  • Bottlerocket có hệ thống tệp biến đổi với chính sách SELinux luôn được bật, mang tính bắt buộc và hạn chế, giúp ngăn các container chạy với quyền root thực thi các tác vụ nguy hiểm

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-09-24
Ý kiến trên Hacker News
  • Bottlerocket được nhìn nhận là một dự án của AWS/Amazon, không có lộ trình rõ ràng để đi tới tính độc lập.
  • Hệ điều hành này không cung cấp quét lỗ hổng nếu không sử dụng các sản phẩm của Amazon.
  • Bottlerocket không cung cấp chế độ FIPS mà một số người dùng doanh nghiệp cần.
  • Con đường để chạy Bottlerocket một cách độc lập có vẻ thiếu minh bạch, khi trên trang chính chỉ liệt kê trang GitHub.
  • Bottlerocket được đem so sánh với CoreOS về mặt hướng dẫn sử dụng.
  • Phần "Bắt đầu" và FAQ không cung cấp hướng dẫn rõ ràng về cách chạy Bottlerocket.
  • Bottlerocket có thể hữu ích cho AMD SEV-SNP, vốn cung cấp việc đo lường kernel, initrd và các tham số.
  • Một số người dùng thích CoreOS hơn Bottlerocket và đặt câu hỏi liệu có phần nào đã được mã nguồn mở để dùng Bottlerocket ngoài AWS hay không.
  • Có những câu hỏi về tính thực tiễn của việc dùng Bottlerocket bên ngoài AWS.
  • Hệ điều hành này không có shell, làm dấy lên lo ngại về khả năng sử dụng ngoài một số kịch bản cụ thể.
  • Một số người dùng đặt câu hỏi về xu hướng dùng container cô lập với hệ thống tệp ảo và mạng riêng, và thay vào đó đề xuất sử dụng trực tiếp hệ điều hành và phần cứng.