吳明宜Amazon Web Services(AWS) 本周宣佈以 Linux 為核心開發、代管容器應用專用的作業系統 Bottlerocket 正式推出。
受歡迎的 Linux 開發版不只跑容器,也支援其他作業。由於它們支援許多種應用情境,因此上面各種元件變得很難管理。
AWS 是在今年三月宣佈 Bottlerocket 。開發 Bottlerocket 時,AWS 去除許多標準的 Linux 元件,只留下跑容器任必要的元件,因此這個作業系統又好管理,又安全,這是因為 Bottlerocket 的程式相當精簡,大量減少了可能被駭客攻擊的漏洞。
此外 AWS 也為 Bottlerocket 加入其他防護。這個作業系統主體是以 Rust 語言寫成,比撰寫 Linux 核心的 C 語言不易受到緩衝溢位攻擊。
Bottlerocket 也較不易遭到滲透式威脅。滲透式威脅是一種可存取作業系統重要元件,然後利用它們躲避安全軟體偵測的惡意程式。 AWS 產品經理 Smanrtha Chandrashekar 指出,Bottlerocket 可切斷管理員和營運伺服器的連結,藉此強化安全性。這是因為管理管理員帳號往往具有強大的雲端存取權限,而使其帳號成為駭客下手目標。我們刻意使登入 Bottlerocket 單一執行個體變成進階除錯裏較少用的流程。
而簡化作業系統更新也是使 Bottlerocket 成為跑容器最佳選擇的特色。對跑關鍵應用的容器環境來說,要更新底層作業系統有很高風險,因為可能導致停機。為此 AWS 為 Bottlerocket 加入一項自動更新功能,可在更新發生錯誤時,管理員可安全恢復原狀。
Chandrashekar 指出,「Bottlerocket 更新可以分很細部署部署或是恢復,這使得更新更為自動化,進而減少管理的麻煩及營運成本。」
Bottlerocket 現可在 GitHub 下載。