AWS、コンテナホスト用のLinuxベースOS「Bottlerocket」を正式リリース：セキュリティ、運用管理の優位性を強調

Amazon Web Services（AWS）は、同社が設計し、コンテナ実行に最適化した新しいLinuxベースのオープンソースOS「Bottlerocket」の一般提供を開始した。

[＠IT]

　Amazon Web Services（AWS）は2020年8月31日（米国時間）、同社が設計し、コンテナの実行や管理に最適化した新しいLinuxベースのオープンソースOS「Bottlerocket」の一般提供を開始したと発表した。

　Bottlerocketは、コンテナ実行に必要なソフトウェアのみを含んでおり、トランザクショナルな更新メカニズムを付属している。これらの特性により、ユーザーはコンテナオーケストレーターを使用して、最小限の中断でOSの更新を管理できる。また、コンテナ化されたアプリケーションのセキュリティが向上し、運用コストを削減できるとしている。

　AWSが提供するBottlerocketイメージは、フルマネージドKubernetesサービス「Amazon EKS（Amazon Elastic Kubernetes Service）」およびフルマネージドコンテナオーケストレーションサービス「Amazon ECS（Amazon Elastic Container Service）」（プレビュー）で利用できる。BottlerocketはGitHubでオープンソースプロジェクトとして開発されている。

セキュリティに重点

　従来、ほとんどのコンテナが汎用（はんよう）OSで実行または管理されている。汎用OSは、さまざまな形式でパッケージ化されたアプリケーションをサポートするように数百のパッケージが含まれ構築されたものだ。そのため、セキュリティやメンテナンスを目的とした更新を頻繁に実施する必要がある。だが、これらのパッケージのうち、コンテナ化されたアプリケーションの実行に使用されるものはごく少数だ。

　これに対し、Bottlerocketはセキュリティに重点を置きつつ、コンテナを実行するのに不可欠なソフトウェアのみを含んでいるため、攻撃対象領域が縮小されている。

　さらに、「control groups（cgroups）」「namespace」「seccomp」といった標準Linuxカーネル技術を使って、コンテナ化されたワークロード間の分離を実現するだけでなく、「Security-Enhanced Linux（SELinux）」を強制モードで使用し、コンテナとホストOSの分離を向上させている。

　Bottlerocketは、Device Mapperのverityターゲット（dm-verity）というLinuxカーネル機能も使用する。この機能は完全性をチェックし、ルートキットベースの攻撃の防止に役立つ。

　Bottlerocketの大部分は、スレッドの安全性確保とメモリ関連のエラー防止に役立つモダンプログラミング言語である「Rust」で書かれている。

運用管理に優れる

　Bottlerocketは、クラスタ内のノードの管理と自動更新を容易にすることで、運用管理の効率化を実現している。さまざまな形式でパッケージ化されたアプリケーションをサポートする汎用Linuxディストリビューションの更新では、パッケージ単位で更新が行われ、パッケージ間の複雑な依存関係がエラーを引き起こす恐れがある。このため、このプロセスは自動化が難しい。

　汎用OSは、ワークロードに合わせて各インスタンスを柔軟に構成できるため、従来のLinuxツールを使った管理は複雑だ。Bottlerocketは、更新の適用やロールバックがアトミックな方法で行われる。そのため、容易に自動化でき、管理オーバーヘッドや運用コストの削減が期待できるという。

　Bottlerocketはコンテナオーケストレーターと連携し、ホストへのパッチ適用を自動化することで、運用コスト、管理性、アップタイムを改善する。任意のオーケストレーターとともに使えるように設計されている。

　AWSが提供するBottlerocketのビルドは、AWSサポートプランの対象となる。Bottlerocketの最初のメジャーリリースには、3年間のセキュリティ更新とバグ修正が含まれている。多くのAWSパートナーが、Bottlerocketで動作する自社アプリケーションをサポートしている。

　Bottlerocketは、AWSの全商用リージョンにおけるAmazon EKS、Amazon ECS、またはIaaSの「Amazon EC2（Amazon Elastic Compute Cloud）」で利用できる。また、GitHubリポジトリに変更を加えることもできる。