Bottlerocket - un OS Linux mínimo e inmutable con arranque verificado

 (bottlerocket.dev)
1 puntos por GN⁺ 2023-09-24 | 1 comentarios | Compartir por WhatsApp
  • Sistema operativo basado en Linux optimizado para alojar contenedores
  • Diseñado para funcionar junto con orquestadores de contenedores (por ejemplo, Kubernetes) y automatizar el ciclo de vida de los contenedores que se ejecutan en un clúster
  • Sus 3 objetivos principales son: minimalismo, actualizaciones seguras y enfoque en la seguridad
  • No tiene shell, pero se puede interactuar con el sistema mediante un contenedor "host" con privilegios
  • Las actualizaciones se entregan mediante imágenes que se descargan en una partición específica. Bottlerocket intercambia la partición y arranca de forma atómica con la nueva versión
  • Usa múltiples particiones para gestionar las actualizaciones. Al reiniciar, los cambios se aplican de forma atómica
  • Las actualizaciones se pueden gestionar manualmente o mediante herramientas específicas para orquestadores como Bottlerocket Update Operator (brupop) y ECS updater
  • Escrito en Rust y algo de Golang
  • El sistema de archivos raíz de Bottlerocket es inmutable. dm-verity proporciona verificación transparente de integridad del sistema de archivos raíz, y si se detecta un cambio en el dispositivo de bloques subyacente, el kernel se reinicia
  • Bottlerocket tiene un sistema de archivos mutable con políticas de SELinux siempre activadas, obligatorias y restrictivas, lo que ayuda a evitar que los contenedores que se ejecutan como root realicen operaciones peligrosas

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-09-24
Comentarios en Hacker News
  • Bottlerocket se percibe como un proyecto de AWS/Amazon sin una ruta clara hacia la independencia.
  • Este SO no ofrece escaneo de vulnerabilidades a menos que se usen productos de Amazon.
  • Bottlerocket no ofrece modo FIPS, necesario para algunos usuarios empresariales.
  • La ruta para ejecutar Bottlerocket de forma independiente parece poco clara, ya que en la página principal solo se enlaza la página de GitHub.
  • Bottlerocket se compara con CoreOS en cuanto a orientación e instrucciones.
  • Las secciones de "Primeros pasos" y preguntas frecuentes no ofrecen instrucciones claras sobre cómo ejecutar Bottlerocket.
  • Bottlerocket podría ser útil para AMD SEV-SNP, que proporciona medición del kernel, initrd y argumentos.
  • Algunos usuarios prefieren CoreOS sobre Bottlerocket y se preguntan si hay algo de Bottlerocket que se haya hecho de código abierto para usarlo fuera de AWS.
  • Hay dudas sobre la practicidad de usar Bottlerocket fuera de AWS.
  • Este SO no tiene shell, lo que genera preocupaciones sobre su usabilidad fuera de ciertos escenarios.
  • Algunos usuarios cuestionan la tendencia hacia contenedores aislados con sistema de archivos virtual y red, y sugieren en su lugar el uso directo del SO y del hardware.