GN⁺: Bottlerocket - 검증된 부팅을 가진 최소한의 불변 Linux OS

 (bottlerocket.dev)
1P by neo 8달전 | favorite | 댓글 1개
  • 컨테이너 호스팅에 최적화된 Linux 기반 운영 체제
  • 컨테이너 오케스트레이터(예: Kubernetes)와 함께 작동하여 클러스터에서 실행되는 컨테이너의 라이프사이클을 자동화하도록 설계
  • 3가지 주요 목표는: 최소화, 안전한 업데이트, 보안 중심
  • 쉘이 없지만, 권한이 있는 "호스트" 컨테이너를 통해 시스템과 상호 작용할 수 있음
  • 업데이트는 특정 파티션에 다운로드되는 이미지를 통해 제공. Bottlerocket은 파티션을 교체하고 새 버전으로 Atomic 부팅
  • 여러 파티션을 사용하여 업데이트를 관리. 재부팅 시 Atomic 변경이 발생
  • 업데이트는 수동으로 또는 오케스트레이터 전용 도구인 Bottlerocket Update Operator (brupop) 및 ECS updater를 통해 관리할 수 있dma
  • Rust와 약간의 Golang으로 작성
  • Bottlerocket의 루트 파일 시스템은 변경 불가능. dm-verity는 루트 파일 시스템의 투명한 무결성 검사를 제공하며, 기본 블록 장치에 변경이 감지되면 커널이 재시작됨
  • Bottlerocket은 항상 활성화되어 있고, 강제적이며, 제한적인 SELinux 정책을 가진 가변 파일 시스템을 가지고 있어, 루트로 실행되는 컨테이너가 위험한 작업을 실행하는 것을 방지하는 데 도움을 줌
neo 8달전  [-]
Hacker News 의견
  • Bottlerocket은 독립성에 대한 명확한 경로가 없는 AWS/Amazon 프로젝트로 인식됩니다.
  • 이 OS는 Amazon 제품을 사용하지 않는 한 취약점 스캔을 제공하지 않습니다.
  • Bottlerocket은 일부 기업 사용자에게 필요한 FIPS 모드를 제공하지 않습니다.
  • Bottlerocket을 독립적으로 실행하는 경로는 주요 페이지에만 GitHub 페이지가 나열되어 있어 불투명해 보입니다.
  • Bottlerocket은 지시 사항 면에서 CoreOS와 비교됩니다.
  • "시작하기" 및 FAQ 섹션은 Bottlerocket을 실행하는 방법에 대한 명확한 지침을 제공하지 않습니다.
  • Bottlerocket은 커널, initrd, 인수의 측정을 제공하는 AMD SEV-SNP에 유용할 수 있습니다.
  • 일부 사용자는 CoreOS를 Bottlerocket보다 선호하며, Bottlerocket에서 AWS 외부 사용을 위해 오픈 소스화된 것이 있는지 의문을 제기합니다.
  • AWS 외부에서 Bottlerocket을 사용하는 것의 실용성에 대한 질문이 있습니다.
  • 이 OS는 쉘을 가지고 있지 않아, 특정 시나리오 외부에서의 사용성에 대한 우려가 있습니다.
  • 일부 사용자는 가상 파일 시스템과 네트워크를 가진 격리된 컨테이너로의 추세에 의문을 제기하며, 대신 OS와 하드웨어의 직접 사용을 제안합니다.
답변달기