Bottlerocket - un OS Linux minimal et immuable avec démarrage vérifié

 (bottlerocket.dev)
1 points par GN⁺ 2023-09-24 | 1 commentaires | Partager sur WhatsApp
  • Système d’exploitation basé sur Linux optimisé pour l’hébergement de conteneurs
  • Conçu pour fonctionner avec des orchestrateurs de conteneurs (par ex. Kubernetes) afin d’automatiser le cycle de vie des conteneurs exécutés dans un cluster
  • Ses trois objectifs principaux sont : minimisation, mises à jour sécurisées et approche axée sur la sécurité
  • Il n’a pas de shell, mais il est possible d’interagir avec le système via un conteneur « hôte » disposant des privilèges nécessaires
  • Les mises à jour sont fournies via des images téléchargées sur une partition spécifique. Bottlerocket remplace ensuite la partition et démarre de façon atomique sur la nouvelle version
  • Il utilise plusieurs partitions pour gérer les mises à jour. Les changements atomiques sont appliqués au redémarrage
  • Les mises à jour peuvent être gérées manuellement ou via des outils dédiés aux orchestrateurs comme Bottlerocket Update Operator (brupop) et ECS updater
  • Écrit en Rust avec un peu de Golang
  • Le système de fichiers racine de Bottlerocket est immuable. dm-verity fournit une vérification d’intégrité transparente du système de fichiers racine, et si une modification est détectée sur le périphérique de blocs sous-jacent, le noyau redémarre
  • Bottlerocket dispose d’un système de fichiers mutable, toujours activé, avec des politiques SELinux obligatoires et restrictives, ce qui aide à empêcher les conteneurs exécutés en root d’effectuer des opérations dangereuses

À lire aussi

1 commentaires

 
GN⁺ 2023-09-24
Avis Hacker News
  • Bottlerocket est perçu comme un projet AWS/Amazon sans voie claire vers l’indépendance.
  • Cet OS ne fournit pas de scan de vulnérabilités à moins d’utiliser des produits Amazon.
  • Bottlerocket ne propose pas de mode FIPS, nécessaire pour certains utilisateurs en entreprise.
  • La possibilité d’exécuter Bottlerocket de manière indépendante paraît opaque, car seule une page GitHub est listée sur la page principale.
  • Bottlerocket est comparé à CoreOS en matière d’orientations.
  • Les sections « Commencer » et FAQ ne donnent pas d’instructions claires sur la manière d’exécuter Bottlerocket.
  • Bottlerocket peut être utile avec AMD SEV-SNP, qui fournit des mesures du kernel, de l’initrd et des arguments.
  • Certains utilisateurs préfèrent CoreOS à Bottlerocket et se demandent si quelque chose a été open source pour un usage hors AWS.
  • Des questions se posent sur l’intérêt pratique d’utiliser Bottlerocket en dehors d’AWS.
  • Cet OS n’a pas de shell, ce qui suscite des inquiétudes sur son utilité en dehors de certains scénarios précis.
  • Certains utilisateurs remettent en question la tendance aux conteneurs isolés avec système de fichiers virtuel et réseau, et suggèrent plutôt un usage direct de l’OS et du matériel.