Présenté en mars dernier, Bottlerocket est maintenant livré en disponibilité générale. Ce système d’exploitation, développé sous la forme d’un projet open source par Amazon Web Services, est spécialement conçu pour exécuter des containers Linux sur des machines virtuelles ou des serveurs bare-metal. « Bottlerocket comprend uniquement le logiciel nécessaire pour exécuter les conteneurs et il est livré avec un mécanisme de mise à jour transactionnelle », décrit AWS dans un billet. Ces propriétés permettent de recourir à des orchestrateurs de conteneurs pour gérer les mises à jour d’OS avec le moins de perturbation possible, afin d’améliorer la sécurité et de réduire les coûts opérationnels, explique l’opérateur de services cloud qui fournit des images Bottlerocket pour Amazon Elastic Kubernetes Service et, en préversion, pour Elastic Container Service.
Pour mieux contrôler les accès, l'OS inclut l’architecture de sécurité SELinux (Security-Enhanced Linux) dans son mode strict (enforcing) qui restreint les accès en fonction de règles, renforce les capacités d’isolement et utilise le mécanisme de contrôle d’intégrité dm-verity pour se prémunir des infiltrations malveillantes par rootkits. Il est préférable de l’utiliser avec un orchestrateur de conteneurs, indique AWS qui fournit les instructions pour démarrer avec Kubernetes et lancer un cluster pour que l’instance de Bottlerocket puisse s'exécuter. Mais on peut aussi lancer l’OS avec ECS en passant par le service de compute EC2.
Supporté par plusieurs applications de monitoring
Les applications conteneurisées s’exécutent la plupart du temps sur des systèmes d’exploitation d’usage général dont les mises à jour se font package par package. Au contraire, la mise à jour de Bottlerocket se fait en une seule étape ce qui en facilite l’automatisation, réduit les risques d’erreur et simplifie les restaurations. Le système d'exploitation bénéficie des plans de support d’AWS et peut être utilisé dans toutes les régions commerciales de son cloud public. Différents partenaires le supportent par ailleurs dont, pour les applications de monitoring, Datadog, NewRelic, Splunk, LogicMonitor et Epsagon.