アマゾン社 発表した 最終リリースについて ボトルロケット — コンテナを実行し、それらを効果的に管理するための特殊なディストリビューション。

Bottlerocket (ちなみに、小型の自家製黒色火薬ロケットに付けられた名前) は、コンテナ用の最初の OS ではありませんが、AWS のサービスとデフォルトで統合されているため、普及する可能性があります。 このシステムは Amazon クラウドに焦点を当てていますが、オープン ソース コードにより、サーバー上、Raspberry Pi 上、競合するクラウド上、さらにはコンテナレス環境など、どこにでも構築できます。

これは、Red Hat が埋め込んだ CoreOS ディストリビューションの完全に価値のある代替品です。

実際、アマゾン ウェブ サービス部門にはすでに Amazon Linux があり、最近その第 XNUMX バージョンがリリースされました。これは、Docker コンテナ内で、または Linux KVM、Microsoft Hyper-V、および VMware で実行できる汎用ディストリビューションです。 ESXi ハイパーバイザー。 これは AWS クラウド上で実行するように最適化されていましたが、Bottlerocket のリリースにより、より安全で最新で使用リソースの少ない新しいシステムにアップグレードすることが全員に推奨されています。

AWSがボトルロケットを発表 2020年XNUMX月。 彼女は、これが最初の「コンテナ用 Linux」ではないことをすぐに認め、CoreOS、Rancher OS、Project Atomic をインスピレーションの源として挙げました。 開発者らは、このオペレーティングシステムは「Amazonの規模で実稼働サービスを長年運営してきたことから学んだ教訓と、コンテナの実行方法について過去XNUMX年間に得た経験の結果」であると書いている。

極端なミニマリズム

Linux では、コンテナーの実行に必要でないものはすべて取り除かれています。 同社によれば、この設計により攻撃対象領域が減少します。

これは、ベース システムにインストールされるパッケージが少なくなるため、OS の保守と更新が容易になるだけでなく、依存関係による問題の可能性が減り、リソースの使用量が削減されることを意味します。 基本的に、ここでのすべては個別のコンテナ内で動作し、基盤となるシステムは実質的に裸です。

Amazon はまた、すべてのシェルとインタープリターを削除し、それらが使用されたり、ユーザーが誤って権限を昇格したりするリスクを排除しました。 ミニマリズムとセキュリティのため、基本イメージにはコマンド シェル、SSH サーバー、または Python などのインタープリタ言語は含まれていません。 管理者ツールは別のサービス コンテナに配置されますが、デフォルトでは無効になっています。

システムは、API とオーケストレーションの XNUMX つの方法で管理されます。

個々のソフトウェアを更新するパッケージ マネージャーの代わりに、Bottlerocket は完全なファイル システム イメージをダウンロードし、そのイメージで再起動します。 ロードが失敗すると自動的にロールバックされ、ワー​​クロードの失敗により手動でロールバックをトリガーできます (API 経由のコマンド)。

フレームワーク TUF (更新フレームワーク) は、イメージベースの更新を代替パーティションまたは「アンマウント」パーティションにダウンロードします。 システムには XNUMX つのディスク パーティションが割り当てられ、そのうちの XNUMX つはアクティブ システムを含み、更新は XNUMX 番目のパーティションにコピーされます。 この場合、ルート パーティションは読み取り専用モードでマウントされ、パーティションは /etc ファイルシステムとともにRAMにマウントされる tmpfs 再起動後に元の状態に戻ります。 構成ファイルを直接変更する /etc サポートされていません: 設定を保存するには、API を使用するか、機能を別のコンテナーに移動する必要があります。

API更新スキーム

セキュリティ

コンテナは、Linux カーネルの標準メカニズム (cgroup、名前空間、seccomp) によって作成され、強制アクセス制御システムとして、つまり追加の分離のために使用されます。 SELinuxの 「強制」モードで。

デフォルトでは、コンテナとカーネル間でリソースを共有するポリシーが有効になっています。 バイナリは、ユーザーまたはプログラムが実行できないようにフラグで保護されています。 そして、ファイル システムにアクセスできた場合、Bottlerocket は加えられた変更を確認および追跡するツールを提供します。

「検証済みブート」モードは、device-mapper-verity 関数 (dm-ベリティ)、ブート中にルート パーティションの整合性をチェックします。 AWS は、dm-verity について「コア システム ソフトウェアの上書きなど、マルウェアが OS 上で実行されるのを防ぐための整合性チェックを提供する Linux カーネルの機能」と説明しています。

システムにはフィルターもあります eGMP (拡張BPF、 アレクセイ・スタロヴォイトフによって開発された)、これにより、カーネル モジュールを、低レベルのシステム操作用のより安全な BPF プログラムに置き換えることができます。

実行モデル
ユーザー定義の
編集
セキュリティ
故障モード
リソースへのアクセス

ユーザー
チャレンジ
はい
任意の
ユーザーの権利
実行の中断
システムコール、障害

コア
チャレンジ
ノー
静的
ノー
カーネルパニック
ストレート

BPF
событие
はい
ジット、コアレ
検証、JIT
エラーメッセージ
限られたヘルパー

BPF と通常のユーザー レベルまたはカーネル レベルのコードの違い ソース

AWSは、Bottlerocketは「管理者権限による運用サーバーへの接続を防ぐことでセキュリティをさらに強化する運用モデルを採用」しており、「個々のホストの制御が制限されている大規模な分散システムに適している」と述べた。

管理者コンテナはシステム管理者向けに提供されます。 しかし AWS は、管理者が Bottlerocket 内で作業する必要が頻繁にあるとは考えていません。「別の Bottlerocket インスタンスにログインするという行為は、高度なデバッグやトラブルシューティングなど、頻度の低い操作を目的としています。」 書きます 開発者。

Rust言語

カーネル上の OS インストルメンテーションは、ほとんどが Rust で書かれています。 この言語はその性質上、 安全でないメモリアクセスの可能性を軽減しますと スレッド間の競合状態を排除します.

フラグはビルド時にデフォルトで適用されます --enable-default-pie и --enable-default-ssp 実行可能ファイルのアドレス空間のランダム化を有効にする (位置に依存しない実行可能ファイル、PIE) およびスタック オーバーフロー保護。

C/C++ パッケージの場合、追加のフラグが含まれています -Wall, -Werror=format-security, -Wp,-D_FORTIFY_SOURCE=2, -Wp,-D_GLIBCXX_ASSERTIONS и -fstack-clash-protection.

Rust と C/C++ 以外に、一部のパッケージは Go で書かれています。

AWS サービスとの統合

同様のコンテナオペレーティングシステムとの違いは、Amazon が AWS 上で実行し、他の AWS サービスと統合できるように Bottlerocket を最適化していることです。

最も人気のあるコンテナ オーケストレーターは Kubernetes であるため、AWS は独自の Enterprise Kubernetes Service (EKS) との統合を導入しました。 オーケストレーション ツールは別のコントロール コンテナーに含まれています ボトルロケット制御コンテナこれはデフォルトで有効になっており、API と AWS SSM エージェントを通じて管理されます。

過去に同様の取り組みがいくつか失敗したことを考えると、Bottlerocket が軌道に乗るかどうかは興味深いところです。 たとえば、Vmware の PhotonOS は請求されていないことが判明し、RedHat は CoreOS と プロジェクトを閉じた、この分野の先駆者と考えられていました。

Bottlerocket を AWS サービスに統合することで、このシステムは独自の方法でユニークなものになります。 おそらくこれが、一部のユーザーが CoreOS や Alpine などの他のディストリビューションよりも Bottlerocket を好む主な理由です。 このシステムは当初、EKS および ECS と連携して動作するように設計されていますが、これは必須ではないことを繰り返します。 まず、ボトルロケット缶 自分で組み立てる たとえば、ホストされたソリューションとして使用します。 第二に、EKS および ECS ユーザーは引き続き OS を選択できます。

Bottlerocket のソース コードは、Apache 2.0 ライセンスに基づいて GitHub で公開されています。 開発者はすでに バグレポートや機能リクエストに対応する.

広告の権利について

VDSina 提供 日払いの VDS。 独自のイメージからなど、任意のオペレーティング システムをインストールできます。 各サーバーは 500 メガビットのインターネット チャネルに接続されており、DDoS 攻撃から無料で保護されています。

出所： habr.com