38 lines
1.3 KiB
Markdown
38 lines
1.3 KiB
Markdown
---
|
|
title: "Bottlerocket OS"
|
|
type: concept
|
|
tags: [AWS, Container, Operating-System, Security]
|
|
date: 2026-04-19
|
|
---
|
|
|
|
## Definition
|
|
Bottlerocket OS 是专为托管容器工作负载而设计的最小化 Linux 操作系统,与通用操作系统不同,仅包含必要组件。
|
|
|
|
## Key Characteristics
|
|
- **最小化设计**:无包管理器、无默认 shell 解释器、无默认 SSH 访问,仅包含必要的内核组件
|
|
- **变体机制**:通过变体满足特定工作负载需求(如 GPU 支持)
|
|
- **安全更新**:原地更新和节点替换两种方式,使用 dm-verity 验证根文件系统完整性
|
|
- **不可变根文件系统**:根文件系统默认不可变,/etc 是临时文件系统
|
|
- **SELinux**:默认强制启用
|
|
- **CIS Benchmark**:提供专门的硬化基准
|
|
|
|
## Variants
|
|
Bottlerocket 变体是平台、处理器架构和必要二进制组件的组合:
|
|
- 基础变体
|
|
- GPU 变体(支持 NVIDIA 驱动)
|
|
- 与 EKS、Carpenter 集成的优化变体
|
|
|
|
## Use Cases
|
|
- EKS 节点操作系统
|
|
- 自托管 Kubernetes 集群
|
|
- 容器化工作负载生产环境
|
|
|
|
## Related Concepts
|
|
- [[dm-verity]] — 根文件系统完整性验证
|
|
- [[CIS-Benchmarks]] — 安全配置基准
|
|
- [[EKS]] — 支持的 Kubernetes 服务
|
|
|
|
## Related Entities
|
|
- [[Bottlerocket]] — 维护的开源项目
|
|
- [[AWS]] — 核心维护者和赞助商
|