아마존 회사 발표했다. 최종 릴리스에 대해 병 로켓 — 컨테이너를 실행하고 효과적으로 관리하기 위한 전문 배포판입니다.

Bottlerocket(그런데, 소형 수제 흑색 화약 로켓에 붙은 이름)은 컨테이너용 최초의 OS는 아니지만 AWS 서비스와의 기본 통합 덕분에 널리 보급될 가능성이 높습니다. 시스템은 Amazon 클라우드에 초점을 맞추고 있지만 오픈 소스 코드를 사용하면 로컬 서버, Raspberry Pi, 경쟁 클라우드, 컨테이너 없는 환경 등 어디에서나 구축할 수 있습니다.

이는 Red Hat이 묻은 CoreOS 배포판을 완벽하게 대체할 가치가 있는 제품입니다.

실제로 Amazon Web Services 부서에는 이미 Amazon Linux가 있습니다. 이 버전은 최근 두 번째 버전으로 출시되었습니다. 이는 Docker 컨테이너 또는 Linux KVM, Microsoft Hyper-V 및 VMware에서 실행할 수 있는 범용 배포판입니다. ESXi 하이퍼바이저. AWS 클라우드에서 실행되도록 최적화되었지만 Bottlerocket이 출시되면서 모든 사람이 더 안전하고 현대적이며 더 적은 리소스를 사용하는 새로운 시스템으로 업그레이드하도록 권장됩니다.

AWS가 Bottlerocket을 발표했습니다. 2020 년 XNUMX 월. 그녀는 CoreOS, Rancher OS 및 Project Atomic을 영감의 원천으로 언급하면서 이것이 최초의 "컨테이너용 Linux"가 아니라는 점을 즉시 인정했습니다. 개발자들은 운영 체제가 "오랫동안 Amazon 규모로 프로덕션 서비스를 운영하면서 배운 교훈과 지난 XNUMX년 동안 컨테이너를 실행하는 방법에 대해 얻은 경험의 결과"라고 썼습니다.

극도의 미니멀리즘

Linux에서는 컨테이너를 실행하는 데 필요하지 않은 모든 것이 제거되었습니다. 회사에 따르면 이 디자인은 공격 표면을 줄입니다.

즉, 기본 시스템에 설치되는 패키지 수가 적어 OS 유지 관리 및 업데이트가 더 쉬워지고 종속성으로 인한 문제 발생 가능성이 줄어들어 리소스 사용량이 줄어듭니다. 기본적으로 여기의 모든 내용은 별도의 컨테이너 내에서 작동하며 기본 시스템은 거의 그대로입니다.

Amazon은 또한 모든 셸과 인터프리터를 제거하여 이를 사용하거나 사용자가 실수로 권한을 상승시킬 위험을 제거했습니다. 미니멀리즘과 보안을 위해 기본 이미지에는 명령 셸, SSH 서버 또는 Python과 같은 해석 언어가 포함되어 있지 않습니다. 관리자 도구는 기본적으로 비활성화되어 있는 별도의 서비스 컨테이너에 배치됩니다.

시스템은 API와 오케스트레이션이라는 두 가지 방법으로 관리됩니다.

개별 소프트웨어를 업데이트하는 패키지 관리자 대신 Bottlerocket은 전체 파일 시스템 이미지를 다운로드하고 재부팅합니다. 로드가 실패하면 자동으로 롤백되고, 워크로드가 실패하면 수동으로 롤백이 트리거될 수 있습니다(API를 통한 명령).

뼈대 TUF (업데이트 프레임워크)는 이미지 기반 업데이트를 대체 또는 "마운트 해제된" 파티션에 다운로드합니다. 두 개의 디스크 파티션이 시스템에 할당되며 그 중 하나에는 활성 시스템이 포함되고 업데이트는 두 번째 파티션에 복사됩니다. 이 경우 루트 파티션은 읽기 전용 모드로 마운트되고 파티션은 /etc RAM의 파일 시스템과 함께 마운트됨 tmpfs 다시 시작한 후 원래 상태를 복원합니다. 구성 파일을 직접 수정 /etc 지원되지 않음: 설정을 저장하려면 API를 사용하거나 기능을 별도의 컨테이너로 이동해야 합니다.

API 업데이트 방식

Безопасность

컨테이너는 Linux 커널의 표준 메커니즘인 cgroup, 네임스페이스 및 seccomp에 의해 생성되며 강제 액세스 제어 시스템, 즉 추가 격리를 위해 사용됩니다. SELinux를 "강제" 모드에서.

기본적으로 정책은 컨테이너와 커널 간에 리소스를 공유하도록 활성화됩니다. 바이너리는 사용자나 프로그램이 바이너리를 실행하지 못하도록 플래그로 보호됩니다. 그리고 파일 시스템에 접근하면 Bottlerocket은 변경 사항을 확인하고 추적할 수 있는 도구를 제공합니다.

"자체 검사 부팅" 모드는 device-mapper-verity 기능을 통해 구현됩니다(DM-진실), 부팅하는 동안 루트 파티션의 무결성을 확인합니다. AWS는 dm-verity를 ​​"핵심 시스템 소프트웨어 덮어쓰기와 같이 OS에서 악성 코드가 실행되는 것을 방지하기 위해 무결성 검사를 제공하는 Linux 커널의 기능"이라고 설명합니다.

시스템에 필터도 있습니다 eGMP (확장 BPF, Alexey Starovoitov가 개발한)를 사용하면 커널 모듈을 낮은 수준의 시스템 작업을 위해 보다 안전한 BPF 프로그램으로 대체할 수 있습니다.

실행 모델
사용자 정의
편집
Безопасность
실패 모드
리소스에 대한 액세스

사용자
작업
예
어떤
사용자 권리
인터럽트 실행
시스템 호출, 오류

핵심
작업
아니
공전
아니
커널 패닉
прямой

BPF
событие
예
JIT, 코어-RE
검증, JIT
에러 메시지
제한된 도우미

BPF가 일반 사용자 또는 커널 수준 코드와 다른 점 출처

AWS는 Bottlerocket이 "관리 권한이 있는 프로덕션 서버에 대한 연결을 방지하여 보안을 더욱 강화하는 운영 모델을 사용"하며 "각 개별 호스트에 대한 제어가 제한되는 대규모 분산 시스템에 적합"하다고 밝혔습니다.

시스템 관리자를 위해 관리자 컨테이너가 제공됩니다. 그러나 AWS는 관리자가 Bottlerocket 내부에서 작업할 필요가 없을 것이라고 생각합니다. "별도의 Bottlerocket 인스턴스에 로그인하는 행위는 자주 발생하지 않는 작업, 즉 고급 디버깅 및 문제 해결을 위한 것입니다." 쓰기 개발자.

러스트 언어

커널 상단의 OS 계측은 대부분 Rust로 작성되었습니다. 이 언어는 그 성격상 안전하지 않은 메모리 액세스 가능성을 줄입니다.과 스레드 간의 경쟁 조건을 제거합니다..

플래그는 빌드 시 기본적으로 적용됩니다. --enable-default-pie и --enable-default-ssp 실행 파일의 주소 공간 무작위화를 활성화합니다(위치 독립적 실행 파일, PIE) 및 스택 오버플로 보호.

C/C++ 패키지의 경우 추가 플래그가 포함됩니다. -Wall, -Werror=format-security, -Wp,-D_FORTIFY_SOURCE=2, -Wp,-D_GLIBCXX_ASSERTIONS и -fstack-clash-protection.

Rust 및 C/C++ 외에도 일부 패키지는 Go로 작성되었습니다.

AWS 서비스와의 통합

유사한 컨테이너 운영 체제와의 차이점은 Amazon이 Bottlerocket을 AWS에서 실행하고 다른 AWS 서비스와 통합하도록 최적화했다는 것입니다.

가장 널리 사용되는 컨테이너 오케스트레이터는 Kubernetes이므로 AWS는 자체 EKS(Enterprise Kubernetes Service)와의 통합을 도입했습니다. 오케스트레이션 도구는 별도의 제어 컨테이너에 제공됩니다. 병로켓 제어 컨테이너, 이는 기본적으로 활성화되고 API 및 AWS SSM 에이전트를 통해 관리됩니다.

과거에 유사한 계획이 실패했던 점을 고려하면 Bottlerocket이 성공할 수 있을지 지켜보는 것은 흥미로울 것입니다. 예를 들어 Vmware의 PhotonOS는 소유권이 주장되지 않은 것으로 밝혀졌고 RedHat은 CoreOS와 프로젝트를 종료했습니다, 해당 분야의 선구자로 간주되었습니다.

Bottlerocket이 AWS 서비스에 통합되면서 이 시스템은 고유한 방식으로 독특해졌습니다. 이것이 아마도 일부 사용자가 CoreOS 또는 Alpine과 같은 다른 배포판보다 Bottlerocket을 선호하는 주된 이유일 것입니다. 시스템은 처음에 EKS 및 ECS와 함께 작동하도록 설계되었지만 이것이 반드시 필요한 것은 아니라는 점을 다시 한번 강조합니다. 첫째, Bottlerocket은 직접 조립해 보세요 예를 들어 호스팅 솔루션으로 사용하세요. 둘째, EKS 및 ECS 사용자는 여전히 OS를 선택할 수 있습니다.

Bottlerocket 소스 코드는 Apache 2.0 라이선스에 따라 GitHub에 게시됩니다. 개발자들은 이미 버그 보고서 및 기능 요청에 응답.

광고의 권리에

VDSina 제공 일일 결제 VDS. 자신의 이미지를 포함하여 모든 운영 체제를 설치할 수 있습니다. 각 서버는 500메가비트의 인터넷 채널에 연결되어 있으며 DDoS 공격으로부터 무료로 보호됩니다!

출처 : habr.com