Bottlerocket: Amazon baut sich eigenen Container-Host

Ein minimales Linux-System, ohne Paketverwaltung, SSH oder Shell, dafür ganz viel Rust - das reicht Amazon als Host-OS für Container.

Artikel veröffentlicht am ,
Amazons Bottlerocket ist ein kleiner Container-Host.
Amazons Bottlerocket ist ein kleiner Container-Host. (Bild: Amazon)

Der Cloud-Provider Amazon Web Services hat das Linux-System Bottlerocket angekündigt, das für den Einsatz als Container-Host gedacht ist. Laut Amazon spiegelt das System die jahrelangen Erfahrungen des Unternehmens im Container-Ökosystem wider. Einige der genutzten Techniken kommen einem dabei durchaus bekannt vor, Amazon setzt zusätzlich aber auch auf eigene Lösungen.

Stellenmarkt
  1. Datenbankadministrator (w/m/d)
    Oberfinanzdirektion Karlsruhe, Stuttgart
  2. IT Service Manager Capacity Management (w/m/d)
    EnBW Energie Baden-Württemberg AG, Karlsruhe
Detailsuche

So basiert Bottlerocket natürlich auf einem minimalen Linux-Kernel, nutzt die Glibc sowie auch Grub. Als Init-System wird Systemd verwendet, für Netzwerkverbindungen setzt Amazon auf Wicked, das von Suse erstellt wird. Für die Container-Laufzeitumgebung sorgt Containerd von Docker.

Damit unterscheidet sich das System von Amazon nicht grundlegend von den Angeboten der kommerziellen Linux-Distributoren wie Suses MicroOS oder Red Hats CoreOS, das aus dem Atomic Host und Core OS Container Linux zusammengeführt wurde.

Bottlerocket nutzt außerdem auch die Paketdefinition von RPM, verzichtet in der Distribution selbst aber auf eine Paketverwaltung. Vielmehr werden Abbilder erzeugt, die nur lesend eingehängt werden sollen. Zum Update wird dann auf eine neue Partition mit neuem Abbild gewechselt, was mittels TUF (The Update Framework) erfolgt. TUF stammt aus dem Kubernetes-Umfeld.

Viele Sicherheitstechniken

Golem Akademie
  1. Terraform mit AWS
    14./15. September 2021, online
  2. Cloud Computing mit Amazon Web Services (AWS)
    18.-20. Oktober 2021, Online
Weitere IT-Trainings

Zusätzlich dazu legt Amazon aber viel Wert auf eigene Techniken, die sich vor allem durch ihre Sicherheit auszeichnen sollen. So nutzt Bottlerocket das Werkzeug dm-verity, um die Integrität der unveränderbaren Partitionen zu überprüfen.

Für /etc nutzt das System außerdem Tmpfs und die direkte Konfiguration von darin enthaltenen Dateien wird nicht unterstützt. Ebenso verzichtet das System auf SSH, eine Shell und Interpreter, so dass etwa Python nicht verfügbar ist. Kompiliert werden die Binärdateien außerdem mit vielen Hardening-Optionen. Die Konfiguration und der Zugriff von außen geschehen ausschließlich über APIs und Clients sowie einen speziellen Admin-Container im Kubernetes-Cluster.

Die eigenen Anwendungen und API-Dienste von Bottlerocket hat das Team von Amazon zudem komplett in Rust geschrieben, wodurch die von C bekannten typischen Speicherfehler verhindert werden sollen. Auch das Build-System der Pakete ist in Rust neu geschrieben worden. Weitere Details liefert die Dokumentation des Projekts auf Github.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Frommer Legal
Große Abmahnwelle wegen Filesharing in Deutschland

Mehrere Zehntausend Menschen suchen derzeit Hilfe bei einer Anwaltskanzlei, weil sie wegen angeblich illegalem Filesharing abgemahnt wurden.

Frommer Legal: Große Abmahnwelle wegen Filesharing in Deutschland
Artikel
  1. Ärger um Drachenschanze: Dorf verhängt Sonderverbote wegen umstrittenem Youtuber
    Ärger um Drachenschanze
    Dorf verhängt Sonderverbote wegen umstrittenem Youtuber

    Seit Jahren ist das Dorf Altschauerberg Schauplatz von Provokationen gegen den Youtuber Rainer Winkler. Jetzt sollen neue Gesetze die Ordnung wiederherstellen.

  2. Kriminalität: Dresdnerin wegen Mordauftrag im Darknet angeklagt
    Kriminalität
    Dresdnerin wegen Mordauftrag im Darknet angeklagt

    Eine 41-Jährige aus Dresden ist angeklagt, im Darknet einen Mord in Auftrag gegeben zu haben. Für die Ermordung der neuen Freundin ihres Ex-Mannes soll sie 0,2 Bitcoin geboten haben.

  3. Kim Schmitz' Lebensgeschichte: Die Dotcom-Blase
    Kim Schmitz' Lebensgeschichte
    Die Dotcom-Blase

    Glaubt man seiner Autobiografie, wollte Kim Schmitz als Jugendlicher einfach nur raus aus seinem Leben. Also schuf er sich ein neues: als Kim Dotcom.
    Von Stephan Skrobisch

Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day nur noch heute • SSD (u. a. Samsung 980 Pro 1TB PCIe 4.0 140,19€) • Gaming-Laptops von Razer & MSI • Crucial 32GB Kit DDR4-4000 269,79€ • 30% auf Warehouse • Primetime bei Saturn (u. a. Switch Lite 166,24€) • Gaming-Chairs • Gönn dir Dienstag [Werbung]
    •  /