• IT-Karriere:
  • Services:

Bottlerocket: Amazon baut sich eigenen Container-Host

Ein minimales Linux-System, ohne Paketverwaltung, SSH oder Shell, dafür ganz viel Rust - das reicht Amazon als Host-OS für Container.

Artikel veröffentlicht am ,
Amazons Bottlerocket ist ein kleiner Container-Host.
Amazons Bottlerocket ist ein kleiner Container-Host. (Bild: Amazon)

Der Cloud-Provider Amazon Web Services hat das Linux-System Bottlerocket angekündigt, das für den Einsatz als Container-Host gedacht ist. Laut Amazon spiegelt das System die jahrelangen Erfahrungen des Unternehmens im Container-Ökosystem wider. Einige der genutzten Techniken kommen einem dabei durchaus bekannt vor, Amazon setzt zusätzlich aber auch auf eigene Lösungen.

Stellenmarkt
  1. DATAGROUP Köln GmbH, verschiedene Standorte
  2. Hays AG, Bonn

So basiert Bottlerocket natürlich auf einem minimalen Linux-Kernel, nutzt die Glibc sowie auch Grub. Als Init-System wird Systemd verwendet, für Netzwerkverbindungen setzt Amazon auf Wicked, das von Suse erstellt wird. Für die Container-Laufzeitumgebung sorgt Containerd von Docker.

Damit unterscheidet sich das System von Amazon nicht grundlegend von den Angeboten der kommerziellen Linux-Distributoren wie Suses MicroOS oder Red Hats CoreOS, das aus dem Atomic Host und Core OS Container Linux zusammengeführt wurde.

Bottlerocket nutzt außerdem auch die Paketdefinition von RPM, verzichtet in der Distribution selbst aber auf eine Paketverwaltung. Vielmehr werden Abbilder erzeugt, die nur lesend eingehängt werden sollen. Zum Update wird dann auf eine neue Partition mit neuem Abbild gewechselt, was mittels TUF (The Update Framework) erfolgt. TUF stammt aus dem Kubernetes-Umfeld.

Viele Sicherheitstechniken

Zusätzlich dazu legt Amazon aber viel Wert auf eigene Techniken, die sich vor allem durch ihre Sicherheit auszeichnen sollen. So nutzt Bottlerocket das Werkzeug dm-verity, um die Integrität der unveränderbaren Partitionen zu überprüfen.

Für /etc nutzt das System außerdem Tmpfs und die direkte Konfiguration von darin enthaltenen Dateien wird nicht unterstützt. Ebenso verzichtet das System auf SSH, eine Shell und Interpreter, so dass etwa Python nicht verfügbar ist. Kompiliert werden die Binärdateien außerdem mit vielen Hardening-Optionen. Die Konfiguration und der Zugriff von außen geschehen ausschließlich über APIs und Clients sowie einen speziellen Admin-Container im Kubernetes-Cluster.

Die eigenen Anwendungen und API-Dienste von Bottlerocket hat das Team von Amazon zudem komplett in Rust geschrieben, wodurch die von C bekannten typischen Speicherfehler verhindert werden sollen. Auch das Build-System der Pakete ist in Rust neu geschrieben worden. Weitere Details liefert die Dokumentation des Projekts auf Github.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 519€ statt 553,30€ im Vergleich
  2. (aktuell u. a. Hasbro Nerf Laser Ops für 21,99€, HP X27i Gaming-Monitor 339€, AK Racing Gaming...
  3. (aktuell u. a. Blade Hawks RGB Gaming-Mauspad für 20,90€, Vooe Powerbank 26.800 mAh für 21...
  4. (u. a. Samsung UE65RU8009UXZG für 677€, Huawei Medipad T5 für 159€, Lenovo Idealpad L340 für...

Folgen Sie uns
       


Golem.de baut die ISS aus Lego zusammen

Mit 864 Einzelteilen und rund 90 Minuten Bauzeit ist die Lego-ISS bei Weitem nicht so komplex wie ihr Vorbild.

Golem.de baut die ISS aus Lego zusammen Video aufrufen
Alternatives Android im Test: /e/ will Google ersetzen
Alternatives Android im Test
/e/ will Google ersetzen

Wie Google, nur mit Privatsphäre - /e/ verbindet ein alternatives Android mit Cloudfunktionen und einer Suchmaschine.
Ein Test von Moritz Tremmel


    Coronavirus: Spiele statt Schule
    Coronavirus
    Spiele statt Schule

    Wer wegen des Coronavirus mit Kindern zu Hause ist, braucht einen spannenden Zeitvertreib. Unser Autor - selbst Vater - findet: Computerspiele können ein sinnvolles Angebot sein. Vorausgesetzt, man wählt die richtigen.
    Von Rainer Sigl

    1. CCC "Contact Tracing als Risikotechnologie"
    2. Coronapandemie Robert Koch-Institut sammelt Gesundheitsdaten von Sportuhren
    3. Google Chrome rollt Regeln für Same-Site-Cookies vorerst zurück

    Gesetzentwurf zum Leistungsschutzrecht: Acht Wörter sollen reichen
    Gesetzentwurf zum Leistungsschutzrecht
    Acht Wörter sollen reichen

    Auszüge von mehr als acht Wörtern sollen beim Leistungsschutzrecht lizenzpflichtig werden, von Vorschaubildern ist keine Rede mehr.
    Von Justus Staufburg

    1. Medienstaatsvertrag Droht wirklich das Ende des Urheberrechts?
    2. Leistungsschutzrecht Drei Wörter sollen ...
    3. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein

      •  /