aws bottlerocket容器操作系统全面上市-凯发官网首页

　　aws今天宣布bottlerocket全面上市，这是一款专门为了运行软件容器而开发的开源linux发行版。

　　

　　主流的linux发行版不仅设计可以运行容器（容器让应用可以运行在多个计算环境中），而且还可以运行一系列其他工作负载，因为支持大量用例，所以有大量难以管理的组件。

　　

　　在开发bottlerocket时，aws去掉了很多标准linux组件，只保留了运行容器工作负载所需的组件，从而打造了一个易于管理且更为安全的操作系统，之所以安全性更高，是因为bottlerocket较小的代码库减少了黑客可以利用的潜在漏洞。

　　

　　此外，aws采取了许多其他防护措施来防止威胁，例如工程师利用rust语言编写了bottlerocket的大部分内容，这与主要用c语言编写的linux内核相比降低了缓冲区溢出的可能性。

　　

　　此外aws还提高了bottlerocket的安全性以应对所谓的持久性威胁。持久性威胁（也称为持久性恶意软件）是一种恶意程序，可以获取对操作系统关键组件的访问权，并利用这些组件隐藏其踪迹。

　　

　　bottlerocket通过称为dm-verity的linux内核功能来降低此类攻击的风险，该功能会检测未经许可被篡改的操作系统，而这也是发现隐藏持久性恶意软件的一个可靠方法。

　　

　　aws产品经理samartha chandrashekar在博客文章中表示：“bottlerocket还可以通过阻止与生产服务器的管理连接来强制实施一种操作模型，进一步提高安全性。”管理员帐户通常可以广泛访问云实例，这使其成为黑客的目标。“登录到单个bottlerocket实例，对于高级调试和故障排除来说是一种不常见的操作行为。”

　　

　　bottlerocket简化容器运行的另一种方法，是简化操作系统更新。将操作系统变更部署到运行关键任务应用的容器环境，这种行为是存在风险的，因为部署问题可能会导致停机。考虑到这一点，aws在bottlerocket中开发了一项名为原子更新的功能，让管理员可以在导致错误的情况下安全地撤消操作系统变更。

　　

　　“可以以原子方式应用和回滚bottlerocket的更新，使其更容易实现自动化，减少管理开销，降低运营成本，”chandrashekar说道。