Contenedores

SO optimizado para contenedores - Fortalecimiento de la seguridad y operaciones del host de contenedores con Bottlerocket

Aprenda a optimizar hosts de contenedores con AWS Bottlerocket. Cubre el diseño mínimo del SO, actualizaciones automáticas, infraestructura inmutable e integración con ECS/EKS.

約 4 分で読めます

El desafío de los sistemas operativos para hosts de contenedores

Al utilizar instancias EC2 como nodos de trabajo para ECS o EKS, la elección del SO del host tiene un impacto significativo en la seguridad y las operaciones. Los sistemas operativos de propósito general como Amazon Linux 2 o Ubuntu incluyen muchos paquetes innecesarios para ejecutar contenedores (gestores de paquetes, shells, diversas utilidades), todos los cuales amplían la superficie de ataque. La aplicación de parches del SO también conlleva el riesgo de problemas de dependencias al actualizar paquetes individuales. Bottlerocket es un SO basado en Linux diseñado específicamente para contenedores, desarrollado por AWS, que resuelve fundamentalmente estos desafíos. Incluye únicamente el runtime de contenedores (containerd), el kubelet de Kubernetes (para EKS) o el agente de ECS, y componentes mínimos del sistema, eliminando exhaustivamente el software innecesario.

Diseño de seguridad e infraestructura inmutable

El diseño de seguridad de Bottlerocket es multicapa. El sistema de archivos raíz se monta como solo lectura, y dm-verity verifica la integridad a nivel de bloque. Si se detecta manipulación, el sistema se niega a arrancar. SELinux está habilitado por defecto, restringiendo los privilegios de los procesos de contenedores al mínimo. Como no existe un gestor de paquetes, es imposible instalar software en tiempo de ejecución, lo que reduce el riesgo de ataques a la cadena de suministro. El acceso SSH está deshabilitado por defecto, y la gestión se realiza mediante API (a través del agente SSM). Las actualizaciones del SO utilizan actualizaciones atómicas basadas en imágenes que reemplazan todo el SO con una nueva imagen. Las actualizaciones utilizan un esquema de particiones A/B, y si el arranque desde la nueva imagen falla, el sistema revierte automáticamente a la versión anterior.

Integración con ECS/EKS y operaciones

Bottlerocket proporciona AMIs compatibles tanto con ECS como con EKS. Para EKS, puede utilizarlo simplemente seleccionando Bottlerocket como el tipo de AMI para grupos de nodos administrados. Karpenter (autoescalador de nodos) también admite la especificación de AMIs de Bottlerocket. Para ECS, se lanzan instancias de contenedores utilizando la AMI de Bottlerocket optimizada para ECS. La configuración se realiza mediante datos de usuario en formato TOML, especificando la información del clúster de Kubernetes o el nombre del clúster de ECS. El Bottlerocket Update Operator (para EKS) automatiza las actualizaciones progresivas que actualizan secuencialmente los nodos del clúster. Ejecuta automáticamente el ciclo de drenaje de un nodo (evacuación de Pods), actualización y reincorporación, actualizando el SO sin interrupción del servicio. Bottlerocket es gratuito y solo se aplican los cargos de instancias EC2. Puede aprender sistemáticamente las operaciones de Kubernetes desde lo básico hasta temas avanzados a través de libros (Amazon).

Precios de Bottlerocket

Bottlerocket es gratuito. Seleccionar la AMI de Bottlerocket como SO para sus instancias EC2 solo genera los mismos cargos de instancia EC2 que Amazon Linux 2. No hay tarifas de licencia del SO. Aunque Bottlerocket no proporciona ahorros de costos directos, los beneficios indirectos incluyen la reducción del esfuerzo operativo mediante la aplicación automática de parches de seguridad y la reducción de costos de respuesta a incidentes gracias a una superficie de ataque reducida.

Resumen - Directrices para el uso de Bottlerocket

Bottlerocket es un SO Linux mínimo optimizado para cargas de trabajo de contenedores. Sus principales fortalezas son el sistema de archivos inmutable, SELinux, dm-verity, actualizaciones atómicas para alta seguridad e integración nativa con ECS/EKS. Si está ejecutando nodos de trabajo basados en EC2 en ECS o EKS, migrar de Amazon Linux 2 a Bottlerocket puede fortalecer la seguridad y simplificar la gestión del SO. Si utiliza Fargate, la gestión del SO del host es innecesaria, por lo que Bottlerocket no es necesario.

Servicios relacionados

BottlerocketUn sistema operativo de código abierto basado en Linux diseñado específicamente para ejecutar contenedoresAmazon EKSUn servicio administrado para construir y operar fácilmente clústeres de Kubernetes en AWSAmazon ECSUn servicio de orquestación de contenedores para ejecutar y gestionar fácilmente aplicaciones en contenedores

Artículos relacionados

Orquestación de contenedores - Optimización de operaciones Kubernetes con Amazon EKSExplicamos la operación gestionada de Kubernetes utilizando Amazon EKS.Orquestación de contenedores con Amazon ECS - Definición de tareas y diseño de serviciosPresentamos sistemáticamente desde el diseño de definiciones de tareas hasta estrategias de despliegue de servicios, diferenciación entre Fargate y EC2, y patrones de configuración de Auto Scaling.Construcción de service mesh con AWS App Mesh - Control de comunicación entre microservicios y observabilidadPresentamos cómo configurar de forma declarativa despliegues canary con sidecar Envoy, políticas de reintento y cifrado mTLS, y cómo visualizar las dependencias entre servicios con la integración de X-Ray.

Más sobre este tema

Simplificación del despliegue de contenedores - Despliegue sin configuración con AWS App RunnerExplicamos el método de despliegue de aplicaciones web en contenedores con AWS App Runner. Presentamos de forma práctica la diferenciación con ECS/Fargate, el auto-escalado, la integración con VPC y la conexión con pipelines CI/CD.Gestión de imágenes de contenedor con Amazon ECR - Políticas de ciclo de vida y escaneo de imágenesPresentamos patrones operativos para eliminar automáticamente imágenes antiguas con políticas de ciclo de vida en repositorios privados y detectar vulnerabilidades con escaneo de imágenes.Orquestación de contenedores con Amazon ECS - Definición de tareas y diseño de serviciosPresentamos sistemáticamente desde el diseño de definiciones de tareas hasta estrategias de despliegue de servicios, diferenciación entre Fargate y EC2, y patrones de configuración de Auto Scaling.Desglose de la estructura de costos de ECS on Fargate - Combinación práctica de Spot, ARM y escaladoDesglosamos la estructura de precios de ECS on Fargate en 3 ejes: CPU, memoria y almacenamiento, y explicamos técnicas prácticas de optimización de costos combinando Fargate Spot, Graviton (ARM) y Service Auto Scaling.Orquestación de contenedores - Optimización de operaciones Kubernetes con Amazon EKSExplicamos la operación gestionada de Kubernetes utilizando Amazon EKS.Operación de contenedores serverless con AWS Fargate - Patrones de uso con ECS y EKSContenedores serverless sin gestión de instancias, con diferenciación de uso entre ECS y EKS y optimización de costos mediante dimensionamiento de tareas.

Artículos y servicios similares

BottlerocketSistema operativo basado en Linux especializado en la ejecución de contenedores, que logra seguridad y operabilidad con una huella mínimaContribución al código abierto de AWS - El significado estratégico de Bottlerocket, Firecracker, Cedar y OpenSearchExplicamos las características técnicas de los proyectos de código abierto liderados por AWS como Bottlerocket, Firecracker, Cedar y OpenSearch, y la singularidad de la estrategia OSS de AWS.Orquestación de contenedores - Optimización de operaciones Kubernetes con Amazon EKSExplicamos la operación gestionada de Kubernetes utilizando Amazon EKS.Amazon EKSServicio que proporciona el plano de control de Kubernetes de forma completamente administrada, permitiendo migrar cargas de trabajo Kubernetes on-premises a la nube de forma transparente