Discussion :

[Stan Adkens]

AWS lance Bottlerocket, un système d'exploitation conçu pour héberger des conteneurs,
En version developer preview

Amazon Web Services a dévoilé mardi un système d'exploitation open source appelé Bottlerocket, conçu spécialement pour faire fonctionner des conteneurs sur des machines virtuelles ou sur des serveurs physiques (bare-metal server), selon une annonce publiée sur le blog d’AWS. Le système comporte un processus en une seule étape pour prendre en charge les mises à jour automatisées. Bottlerocket est basé sur une distribution Linux qui s'apparente à des projets tels que le projet Container Linux de CoreOS, aujourd'hui disparu, et le système d'exploitation optimisé pour les conteneurs de Google. Le système d'exploitation gratuit est actuellement en phase de prévisualisation pour les développeurs, d’après le billet de blog d’AWS.

Pour le moment, l’équipe Bottlerocket se concentre sur l'utilisation du système comme système d'exploitation hôte dans les clusters Kubernetes d'AWS EKS. « Nous sommes impatients de recevoir des commentaires et de continuer à travailler sur d'autres cas d'utilisation ! », a écrit l’équipe dans leur publication sur GitHub. Selon la publication, Bottlerocket est conçu de telle sorte que différents environnements de cloud computing et orchestrateurs de conteneurs puissent être pris en charge à l'avenir. L’équipe appelle une version de Bottlerocket qui prend en charge différentes fonctionnalités ou caractéristiques d'intégration une "variant". Les artefacts d'une construction comprennent l'architecture et le nom de la "variant". Par exemple, une version x86_64 de la "variant" aws-k8s-1.15 produira une image nommée bottlerocket-aws-k8s-1.15-x86_64-<version>-<commit>.img.

Comme le souligne Jeff Barr, Chief Evangelist chef d'AWS, dans son billet de blog, Bottlerocket prend en charge les images Docker et les images conformes au format d'image de l'Open Container Initiative, ce qui signifie qu'il fera fonctionner tous les conteneurs basés sur Linux que vous pourrez lui lancer. L'une des caractéristiques qui distinguent Bottlerocket, selon Barr, est qu'il élimine le système de mise à jour par paquets.

Il utilise plutôt un modèle basé sur une image qui « permet un retour en arrière rapide et complet si nécessaire », comme l’indique Barr, ce qui permet de réduire les temps d'arrêt et de minimiser les défaillances du processus, l'idée ici étant que cela facilite les mises à jour. Cela contraste avec la plupart des systèmes d'exploitation à usage général qui utilisent une approche paquet par paquet. Au cœur de ce processus de mise à jour, se trouve "The Update Framework", un projet open source hébergé par la Cloud Native Computing Foundation.

Dans le cadre de la conception allégée, Bottlerock adopte une approche différente de l'authentification et de la connexion sécurisée que l'on trouve normalement sur les systèmes d'usage général, d’après Barr. Il n'y a pas de serveur SSH pour prendre en charge les connexions sécurisées, bien que les utilisateurs puissent utiliser un conteneur séparé pour accéder aux contrôles administratifs. « L'accès SSH est déconseillé et n'est disponible que dans le cadre d'un conteneur d'administration séparé que vous pouvez activer selon vos besoins et utiliser ensuite à des fins de dépannage », a écrit Barr dans son annonce.

Selon le post sur GitHub, Bottlerocket dispose d'un conteneur "de contrôle", activé par défaut, qui fonctionne en dehors de l'orchestrateur dans une instance séparée de "containerd". « Ce conteneur exécute l'agent SSM d’Amazon qui vous permet d'exécuter des commandes, ou de lancer des sessions shell, sur les instances de Bottlerocket dans EC2 », d’après l’annonce. Le post indique également que vous pouvez facilement remplacer ce conteneur "de contrôle" par le vôtre.

Le système d’exploitation dispose également d'un conteneur d’administration, désactivé par défaut, qui fonctionne en dehors de l'orchestrateur dans une instance séparée de "containerd". « Ce conteneur dispose d'un serveur SSH qui vous permet de vous connecter en tant qu'utilisateur EC2 en utilisant votre clé SSH enregistrée dans EC2. Là aussi, l’annonce sur GitHub indique que vous pouvez facilement remplacer ce conteneur d'administration par le vôtre.

Bottlerocket se concentre sur la sécurité et la maintenabilité, en fournissant une plateforme fiable, cohérente et sûre pour les charges de travail basées sur les conteneurs, d’après le post sur GitHub. AWS retient quelques caractéristiques notables de son système d’exploitation dédié à l’hébergement des conteneurs : un accès à l'API pour configurer votre système, avec des méthodes d'accès hors bande sécurisées lorsque vous en avez besoin ; des mises à jour basées sur les changements de partition, pour des mises à jour rapides et fiables du système ; une configuration modélisée qui est automatiquement migrée par les mises à jour et la sécurité comme priorité absolue.

AWS déclare qu'elle fournira trois ans de support (après la disponibilité générale) pour ses propres builds de Bottlerocket. Pour l'instant, le projet est très axé sur AWS, bien sûr, mais le code est disponible sur GitHub avec une multitude d'outils et de documentation pour soutenir son utilisation. Parmi ceux-ci figure une charte de Bottlerocket, qui affirme que le système d'exploitation est ouvert et « n'est pas une distribution Kubernetes, ni une distribution Amazon ». Mais malgré sa nature ouverte, le système d'exploitation est optimisé pour fonctionner au mieux avec les outils AWS prêts à l'emploi, en particulier le service Kubernetes élastique (EKS) d'Amazon, même s’il y a de fortes chances que d'autres développent le travail d'AWS.

La société lance le projet en coopération avec un certain nombre de partenaires, dont Alcide, Armory, CrowdStrike, Datadog, New Relic, Sysdig, Tigera, Trend Micro et Waveworks. Michael Gerstenhaber, directeur de la gestion des produits chez Datadog, a déclaré dans un communiqué :

« Les systèmes d'exploitation optimisés pour les conteneurs donneront aux équipes de développement la vitesse et l'efficacité supplémentaires pour exécuter des charges de travail à plus haut débit avec une meilleure sécurité et un meilleur temps de fonctionnement ». « Nous sommes ravis de travailler avec AWS sur Bottlerocket, afin que les clients puissent continuer à surveiller ces environnements éphémères en toute confiance », a-t-il ajouté.

Sources : Blog AWS, GitHub

Et vous ?

Que pensez-vous de Bottlerocket OS ?
Quelles sont les caractéristiques qui retiennent votre attention ?

Lire aussi

Amazon annonce Open Distro for Elasticsearch, une distribution à valeur ajoutée d'Elasticsearch, qui est 100% open source
Google Cloud Platform parvient à se rapprocher des performances d'AWS et de Microsoft Azure, selon un rapporrt
Microsoft Azure serait supérieur à Google Cloud Platform et à AWS en termes de performances réseau, d'après un rapport de ThousandEyes

[Stéphane le calme]

Amazon Web Services annonce la disponibilité générale de Bottlerocket, un nouvel OS open source Linux,
conçu spécialement pour faire fonctionner des conteneurs

C'est en mars qu'Amazon Web Services a dévoilé Bottlerocket, un système d'exploitation open source Linux qui est conçu spécialement pour faire fonctionner des conteneurs. Bottlerocket est basé sur une distribution Linux qui s'apparente à des projets tels que le projet Container Linux de CoreOS, aujourd'hui disparu, et le système d'exploitation optimisé pour les conteneurs de Google.

« Aujourd'hui, Amazon Web Services (AWS) a annoncé la disponibilité générale de Bottlerocket, un nouveau système d'exploitation (OS) open source Linux qui est conçu spécialement pour faire fonctionner des conteneurs. Bottlerocket inclut uniquement le logiciel nécessaire à l'exécution des conteneurs et est fourni avec un mécanisme de mise à jour transactionnel. Ces propriétés permettent aux clients d'utiliser des orchestrateurs de conteneurs pour gérer les mises à jour du système d'exploitation avec un minimum de perturbations, ce qui permet d'améliorer la sécurité et de réduire les coûts d'exploitation des applications conteneurisées. Les images Bottlerocket fournies par AWS sont disponibles pour Amazon EKS (disponibilité générale) et Amazon ECS (version préliminaire). Bottlerocket est développé comme projet open source sur GitHub.

« Aujourd'hui, la plupart des conteneurs fonctionnent sur des systèmes d'exploitation polyvalents conçus pour prendre en charge des applications empaquetées dans différents formats. De tels systèmes d'exploitation incluent des centaines de packages, et ont besoin de mises à jour de sécurité et de maintenance fréquentes même si vous n'utilisez que quelques packages pour exécuter vos applications conteneurisées. Bottlerocket vise à renforcer la sécurité et à réduire l'exposition aux attaques en incluant uniquement le logiciel essentiel à l'hébergement des conteneurs. Bottlerocket est fourni avec Security-Enhanced Linux (SELinux) en mode application d'isolement supplémentaire et utilise la vérification de cibles (dm-verity) de Device Mapper, une fonctionnalité du noyau Linux qui permet d'éviter les attaques rootkit. Outre ces améliorations relatives à la sécurité, des mises à jour de Bottlerocket sont appliquées et restaurées de manière atomique afin de simplifier davantage la gestion des mises à jour.

« Les builds de Bottlerocket fournies par AWS sont couvertes dans les plans AWS Support. La première version majeure de Bottlerocket bénéficie de mises à jour de sécurité et de corrections de bugs pendant trois ans. De plus, de nombreux partenaires AWS offrent une prise en charge de leurs applications sur Bottlerocket, ce qui permet aux clients d'exécuter les applications partenaires courantes ».

Bottlerocket Linux écrit en grande partie en Rust

Amazon Web Services (AWS) a annoncé que son nouveau Bottlerocket Linux pour les conteneurs est en grande partie écrit en Rust.

Rust a été choisi, car il se prête plus facilement à l'écriture de logiciels sécurisés. Samartha Chandrashekar, chef de produit AWS, a déclaré que cela « contribue à garantir la sécurité des threads et à éviter les erreurs liées à la mémoire, telles que les dépassements de mémoire tampon qui peuvent conduire à des failles de sécurité ». De nombreux autres développeurs sont d'accord avec Chandrashekar.

Bottlerocket a également amélioré sa sécurité en utilisant la vérification de cibles (dm-verity) de Device Mapper, une fonctionnalité du noyau Linux qui permet d'empêcher les attaquants d'écraser le logiciel système principal ou d'autres attaques de type rootkit. Il comprend également extended Berkeley Packet Filter (eBPF). Sous Linux, eBPF est utilisé pour une surveillance sûre et efficace des fonctions du noyau.

Ce nouveau Linux décourage les connexions administratives aux serveurs de production. Le conteneur d'administration exécute Amazon Linux 2. Il contient des utilitaires de dépannage et de débogage de Bottlerocket et s'exécute avec des privilèges élevés. L'objectif est de rendre la connexion à une instance de Bottlerocket de production individuelle largement inutile, sauf pour le débogage et le dépannage avancés.

Pour s'assurer que les instances Bottlerocket sont aussi sécurisées que possible, elles s'exécutent avec Security-Enhanced Linux (SELinux) en mode d'application. Cela augmente l'isolation entre les conteneurs et le système d'exploitation hôte.

Normalement, lorsque quelqu'un mentionne SELinux, les administrateurs craignent d'avoir des difficultés à exécuter des applications dessus. AWS assure aux utilisateurs que ce n'est pas le cas ici. Outre la sécurité, Bottlerocket est également conçu pour être rapide et facile à maintenir.

Il le fait, comme d'autres distributions Linux orientées conteneur telles que Flatcar Container Linux, Red Hat Enterprise Linux CoreOS (RHCOS) et RancherOS, en incluant le strict nécessaire pour exécuter les conteneurs. De nombreux partenaires AWS prennent déjà en charge leurs applications sur Bottlerocket telles que Datadog, Splunk et Puppet.

Un support de trois ans

Pour administrer Bottlerock, vous devez initialement utiliser Amazon Elastic Container Service (ECS) ou Amazon Elastic Kubernetes Service (EKS). Notez qu'AWS déclare qu'un support de trois ans pour ses propres builds de Bottlerocket est fourni. Pour l'instant, le projet est très axé sur AWS, bien sûr, mais le code est disponible sur GitHub avec une multitude d'outils et de documentation pour soutenir son utilisation. Parmi ceux-ci figure une charte de Bottlerocket, qui affirme que le système d'exploitation est ouvert et « n'est pas une distribution Kubernetes, ni une distribution Amazon ». Mais malgré sa nature ouverte, le système d'exploitation est optimisé pour fonctionner au mieux avec les outils AWS prêts à l'emploi.

Selon l'annonce sur GitHub, Bottlerocket dispose d'un conteneur "de contrôle", activé par défaut, qui fonctionne en dehors de l'orchestrateur dans une instance séparée de "containerd". « Ce conteneur exécute l'agent SSM d’Amazon qui vous permet d'exécuter des commandes, ou de lancer des sessions shell, sur les instances de Bottlerocket dans EC2 », d’après l’annonce. L'annonce indique également que vous pouvez facilement remplacer ce conteneur "de contrôle" par le vôtre.

Le système d’exploitation dispose également d'un conteneur d’administration, désactivé par défaut, qui fonctionne en dehors de l'orchestrateur dans une instance séparée de "containerd". « Ce conteneur dispose d'un serveur SSH qui vous permet de vous connecter en tant qu'utilisateur EC2 en utilisant votre clé SSH enregistrée dans EC2. Là aussi, l’annonce sur GitHub indique que vous pouvez facilement remplacer ce conteneur d'administration par le vôtre.

Bottlerocket prend en charge les images Docker et les images conformes au format d'image de l'Open Container Initiative, ce qui signifie qu'il fera fonctionner tous les conteneurs basés sur Linux que vous pourrez lui lancer. L'une des caractéristiques qui distinguent Bottlerocket, selon Barr, est qu'il élimine le système de mise à jour par paquets.

Comme le souligne Jeff Barr, Chief Evangelist chef d'AWS, Bottlerocket prend en charge les images Docker et les images conformes au format d'image de l'Open Container Initiative, ce qui signifie qu'il fera fonctionner tous les conteneurs basés sur Linux que vous pourrez lui lancer. L'une des caractéristiques qui distinguent Bottlerocket, selon Barr, est qu'il élimine le système de mise à jour par paquets.

Il utilise plutôt un modèle basé sur une image qui « permet un retour en arrière rapide et complet si nécessaire », comme l’indique Barr, ce qui permet de réduire les temps d'arrêt et de minimiser les défaillances du processus, l'idée ici étant que cela facilite les mises à jour. Cela contraste avec la plupart des systèmes d'exploitation à usage général qui utilisent une approche paquet par paquet. Au cœur de ce processus de mise à jour, se trouve "The Update Framework", un projet open source hébergé par la Cloud Native Computing Foundation.

AWS retient quelques caractéristiques notables de son système d’exploitation dédié à l’hébergement des conteneurs : un accès à l'API pour configurer votre système, avec des méthodes d'accès hors bande sécurisées lorsque vous en avez besoin ; des mises à jour basées sur les changements de partition, pour des mises à jour rapides et fiables du système ; une configuration modélisée qui est automatiquement migrée par les mises à jour et la sécurité comme priorité absolue.

Source : Amazon