Перейти до вмісту

Bottlerocket

Матеріал з K2 ERP Wiki

dnf install щось

shell

У традиційному сервері адміністратор здатна:

у нього було ім'я,

Admin container — контейнер для глибшого адміністративного доступу. Звичайний серверний Linux, як приклад Ubuntu Server або AlmaLinux, схожий на повний набір інструментів:

12. можна NAS виступає як node → керую через SSM/API/orchestrator. |- | Rollback | Можна повернутися до попередньої версії після проблем. |- | Орієнтація | Kubernetes і ECS. Налаштувати IAM/SSM доступ. | Класичний Linux-підхід. |}

я для контейнерів. | Сприймати його як container appliance OS. |}

SELinux оптимізує обмежити процеси навіть тоді, коли звичайні UNIX-права доступу дозволили б більше. | Немає в класичному сенсі. ! оновити бібліотеку B а як image-based update. приєднався до cluster,

Bottlerocket з'явився у період, коли container infrastructure стала масовою, а класичні server OS почали виглядати занадто великими для Kubernetes/ECS nodes. :contentReference [oaicite:0]{index=0}

|- | Походження | AWS. |}

43. Висновок

38. Базовий чеклист для використання

Людське пояснення: Ubuntu Server — це майстерня з багатьма інструментами. * не general purpose OS;

  • незручна для ручного SSH-адміністрування;
  • немає package manager;
  • сильна AWS-орієнтація;
  • потребує Kubernetes/ECS-мислення;
  • не підходить для non-container workloads;
  • має learning curve для класичних Linux-адміністраторів. |-

| 2020-ті | Bottlerocket розвивається для EKS, ECS, Kubernetes, AWS EC2, Arm, NVIDIA, FIPS та інших variant-сценаріїв. “Які пакети ви хочете встановити на сервер?” Bottlerocket схожий на спеціальний контейнерний “фундамент”: 

+--> Bottlerocket worker node

|- | Control container | Керування системою, SSM, API-доступ. Amazon ECS-документація зазначає, що Bottlerocket за замовчуванням має enabled control container, який запускає AWS Systems Manager agent для команд або shell sessions на EC2 Bottlerocket instances. |- | Керування | Bottlerocket API, SSM, orchestrator. Він замінює їх саме в ролі container host, де універсальність не потрібна, а спеціалізація — перевага. Hardware / EC2 Instance / VM 

+--> pods

Загальна схема:
== 11. Admin container ==

“Не роби з кожного node ручну унікальну сніжинку. Bottlerocket
apiclient set settings.host-containers.admin.enabled=true

 v

Приклади логіки variants:

Bottlerocket — це спеціалізована Linux-based операційна платформа від AWS для запуску контейнерів. Якщо node зламався або став “дивним”, cloud-native підхід часто такий:

</div>

== 18. ECS Updater ==

* EKS worker nodes;
* ECS container instances;
* immutable host OS;
* автоматизовані updates;
* менший attack surface;
* container-only workloads;
* GPU/FIPS/architecture-specific variants;
* platform engineering;
* cloud-native operations. Типова схема:
== 42. Bottlerocket у сучасній інфраструктурі ==

Ключові етапи:

Це критично, бо package manager на host-системі дозволив би:

Bottlerocket навпаки каже:

10. Його головна роль — бути мінімальним, безпечним і автоматизованим container host. |-
| API-driven configuration
| інтуїтивно для автоматизації та fleet management. Amazon Linux

orchestrator integration

 +--> Containers

Він не дуже зручний для ручного адміністрування, зате добре підходить для автоматизованих container clusters, де важливі однаковість, безпека, оновлення версій й мінімум зайвого. +--> Bottlerocket container instance

У Bottlerocket ідея інша:

small attack surface
[[Amazon EKS]]
оновлення версій Bottlerocket виконуються не як звичайне:
|-
| Bottlerocket не має package manager
| Це зроблено навмисно, щоб зменшити attack surface і configuration drift. :contentReference [oaicite:11]{index=11}
{| class="wikitable"
'''Bottlerocket''' — це спеціалізована операційна платформа для запуску контейнерів, яку розробляє Amazon Web Services. Значення

[[Amazon Linux]]
бути надійним вузлом для контейнерів
== 15. Bottlerocket і Amazon ECS ==
! Використовувати Update Operator або ECS Updater. |-
| Admin container
| Глибший troubleshooting-доступ, зазвичай вимкнений. |}

Bottlerocket створений із сильним security-фокусом. |}

! Bottlerocket зменшує attack surface, бо не містить багато речей, які не потрібні для container host.

{| class="wikitable"

2.== 17. Update Operator ==

офіційний FAQ Bottlerocket пояснює, що SSM виступає як preferred way to access a Bottlerocket node, а якщо SSM не підходить, можна отримати доступ через SSH за допомогою admin container.== 8. Немає package manager == zypper update У Bottlerocket застосунки мають запускатися в контейнерах, а не встановлюватися в host OS. |- | Bottlerocket immutable | Root filesystem не змінюється як у звичайному Linux. | Kubernetes-only OS. Для Kubernetes виступає як Bottlerocket Update Operator. |- | “Чому не можу без зусиль зайти SSH?” | SSH не виступає як основним шляхом. У класичному Linux оновлення версій — це багато маленьких змін: ! :contentReference [oaicite:2]{index=2} apiclient get

31. Порівняння з Ubuntu Server

! |- | Admin container зазвичай потрібен лише для troubleshooting | Ідея — не адмініструвати node руками щодня. |- | aarch64 variants | Arm-based інстанси. |- | SSH | Не базовий шлях, admin container як fallback. Налаштувати logging і monitoring як containers. | General purpose Linux для AWS. | A/B updates, automatic updates. |- | NVIDIA variants | GPU workloads. це відкрита Linux-based операційна платформа від Amazon Web Services. ! API configuration

Але на практиці найбільш природне середовище для нього — AWS, EKS, ECS і EC2. Якщо хочеться чистий container node — тоді саме так. +--> ECS agent 


== 9. API-driven configuration ==
подивитися логи
settings.ntp.time-servers
{| class="wikitable"

== 16. оновлення версій Bottlerocket ==

! | VPS, web servers, databases, Docker host, general server. AWS підкреслює, що Bottlerocket includes only essential software required to run containers, що оптимізує зменшити maintenance overhead і покращити secure workflow. Призначення

{| class="wikitable"

|-
| Не general purpose OS
| Не підходить для звичайного серверного адміністрування. * потрібен звичайний VPS;
* потрібно вручну встановлювати пакети на host;
* потрібен SSH-first administration;
* потрібно запускати non-container services на host;
* команда не використовує Kubernetes або ECS;
* потрібна максимальна гнучкість host-системи;
* інфраструктура не AWS і немає бажання адаптувати Bottlerocket;
* потрібна desktop або general server OS. :contentReference [oaicite:1]{index=1}

 +--> control container

а замінити node на новий чистий екземпляр. Bottlerocket здатна бути не найкращим варіантом, якщо: а ваші застосунки запускайте в контейнерах.” user-installed packages |- | базовий фокус | Containers, EKS/ECS, AWS integration. “Я буду чистим і передбачуваним вузлом,

! Типова схема: можна сервер

Ubuntu Server

11. | Використовувати SSM/control container/admin container. | Немає SSH. Хоча Bottlerocket асоціюється з AWS, він виступає як open source і здатна використовуватися не лише в AWS. Критерій запустив containers, package manager 
AWS у 2020 році описувала Bottlerocket як new special-purpose operating system designed for hosting Linux containers. |-
| Менший attack surface
| Немає зайвих пакетів і package manager. |-
| Доступ
| SSM/API/control container/admin container. |-
| Package manager
| Немає. Перевага

== 37. Типові помилки новачків ==

Flatcar Container Linux

Це відповідає ідеї, що node не оновлюється “сам по собі”, а разом з orchestrator-ом. | У Bottlerocket філософія інша: Типові: Attack surface — це кількість місць, через які систему потенційно можна атакувати. Недолік

  • container-first design;
  • immutable root filesystem;
  • відсутність package manager;
  • менший attack surface;
  • API-driven configuration;
  • integration з EKS/ECS;
  • control і admin containers;
  • image-based updates;
  • rollback;
  • update waves;
  • open source development. |-
SSH не виступає як основним способом доступу Preferred access у AWS-сценаріях — через SSM і control container. не лікувати вручну,

зайти по SSH

minimal host OS 


 +--> update system
== 23. Цікавий факт: Bottlerocket — це Linux, який не хоче бути “універсальним” ==
 |
settings.host-containers.admin.enabled
і дозволяти orchestrator-у керувати workload-ами. | DNF/YUM залежно від версії. на інший перевірений образ ОС. Ubuntu Server

Приклад:

* перевіряти оновлення версій для Bottlerocket container instances;
* drain-ити ECS tasks;
* оновлювати instances;
* координувати оновлення версій в cluster;
* зменшувати вплив на workloads. | API-driven через talosctl.<pre>

! |-
| Vendor ecosystem
| AWS. Bottlerocket підтримує Linux containers і OCI-compatible images.[[Amazon EC2]]

* потрібні Kubernetes worker nodes;
* застосовується для Amazon EKS;
* застосовується для Amazon ECS;
* потрібна immutable container OS;
* важлива мінімальна attack surface;
* команда готова до API-driven management;
* потрібні automated updates;
* потрібен rollback;
* workloads запускаються лише в контейнерах;
* інфраструктура вже в AWS;
* виступає як platform engineering-підхід. Bottlerocket

<pre>
Його роль:
== 29. конкурентні переваги Bottlerocket ==
 +--> kubelet
перезапустити сервіс
[[SSM]]

<pre>

== 44. Джерела ==
Типові workload-и:
оновити сервіс D
<pre>

Це означає, що він функціонує з сучасним container ecosystem. {| class="wikitable"

поставити пакет

40. Людське пояснення: чим виступає як Bottlerocket

settings.kubernetes.api-server

  • перевірки оновлень;
  • завантаження нового образу;
  • reboot у нову версію;
  • rollback у разі проблем;
  • оновлення версій хвилями;
  • інтеграції з orchestrator-ом. ! | Загальний серверний Linux. |-
оновлення версій - Немає package manager SSH і shell за замовчуванням. |- Immutable root Менше випадкових змін і configuration drift. Перевірити control container. SEO-опис Спадкоємець CoreOS Container Linux-напрямку. Bottlerocket

Bottlerocket так само підтримує Amazon ECS. ! |-

Менше гнучкості на host - Host modification Обмежена.
я не для всього. {| class="wikitable"
[[Amazon Web Services]]

Типові інтеграції:

Bottlerocket має концепцію '''host containers'''. |-
| Orchestrator-aware updates
| оновлення версій можуть координуватися з Kubernetes або ECS. зник.<div style="border-left: 6px solid #2e7d32; background: #e8f5e9; padding: 12px 16px; margin: 16px 0;">

 +--> Tasks

== Див. 45. так само ==

'''Control container''' — спеціальний host container, який застосовується для для керування Bottlerocket. |}

Bottlerocket дуже часто використовують як ОС для Kubernetes nodes. | Застосунки мають бути в контейнерах. Увімкнути admin container лише за потреби. Host container
{| class="wikitable"

! | Звичайна. |-
| Root filesystem
| Immutable.[[Immutable infrastructure]]
У AWS офіційно описує Bottlerocket як Linux-based open-source operating system, purpose-built for running containers, яка передбачено лише essential software required to run containers. Документувати node lifecycle. |-
| 2020
| З'явилися early preview-релізи для Kubernetes і ECS-сценаріїв. |-
| Bottlerocket оновлюється образами
| Це більше схоже на оновлення версій appliance, ніж на package upgrade. | Один із можливих сценаріїв. v
Його використовують там, де потрібні:
|-
| aws-k8s
| Kubernetes node на AWS. |-
| Bottlerocket має variants
| Замість універсальної ОС виступає як збірки під конкретні platform/orchestrator/architecture сценарії. SSH — лише допоміжний аварійний шлях. Характеристика

== 39. Цікаві факти ==

* мінімальний набір пакетів;
* немає package manager;
* immutable root filesystem;
* API-driven configuration;
* обмежений host access;
* SELinux;
* image-based updates;
* rollback;
* separation через containers;
* менший attack surface;
* integration з SSM;
* технічна підтримка FIPS variants у відповідних сценаріях. |-
| Призначення
| Container host. У ньому немає звичного package manager, платформа виступає як immutable, конфігурація робляться через API, а оновлення версій задумано виконувати хвилями разом з orchestrator-ом. Факт

* зайві пакети;
* shell tools;
* interpreters;
* package manager;
* network services;
* local users;
* manual changes.{{SEO
|title=Bottlerocket — контейнерна Linux-операційна система від AWS
|description=Огляд Bottlerocket: призначення, історія, AWS, Kubernetes, ECS, immutable root filesystem, API-driven configuration, control container, admin container, оновлення, безпека, переваги, недоліки та цікаві факти.
|keywords=Bottlerocket, AWS, Amazon Web Services, Linux, container OS, Kubernetes, Amazon EKS, Amazon ECS, immutable OS, container host, OCI containers, Update Operator, ECS Updater
}}

! SEO-опис

офіційний сайт Bottlerocket зазначає, що це free and open-source software, developed in the open on GitHub. +--> Bottlerocket worker node
- Фокус Sidero Labs / Talos ecosystem. :contentReference [oaicite:7]{index=7}

Bottlerocket налаштовується через API. :contentReference [oaicite:6]{index=6}

  • Amazon EKS;
  • Amazon ECS;
  • Kubernetes-кластерів;
  • container nodes;
  • immutable infrastructure;
  • cloud-native workloads;
  • edge-сценаріїв;
  • CI/CD-кластерів;
  • production container workloads;
  • автоматизованих fleet-середовищ. | AWS admins, application teams, general workloads. :contentReference [oaicite:5]{index=5}

settings.kubernetes.cluster-name

  • встановлювати додаткові програми;
  • змінювати базовий образ;
  • створювати різні стани між nodes;
  • збільшувати attack surface;
  • ускладнювати оновлення версій. можна desktop

14. Bottlerocket і Kubernetes

Чому це цікаво: Bottlerocket — це не “ще один серверний Linux”. |-

“Як поставити агент моніторингу?” Координувати reboot через orchestrator. замінився,
Bottlerocket — це операційна платформа для епохи, коли сервери стали витратним матеріалом кластерів. Критерій

Він зазвичай вимкнений за замовчуванням і вмикається лише тоді, коли потрібне troubleshooting. Критерій

extra utilities

  • Amazon EKS;
  • Amazon ECS;
  • Amazon EC2;
  • AWS Systems Manager;
  • IAM roles;
  • EC2 AMIs;
  • SSM Session Manager;
  • CloudWatch agents через контейнери;
  • AWS GPU instances;
  • Graviton / Arm instances;
  • EKS managed node groups у відповідних сценаріях.


Керуй fleet-ом системно.”

* AWS Bottlerocket official page
* Bottlerocket official documentation
* Bottlerocket GitHub repository
* Bottlerocket FAQ
* AWS ECS Bottlerocket documentation
* Bottlerocket variants documentation
* Bottlerocket Update Operator
* Bottlerocket ECS Updater
* AWS Containers Blog: Bottlerocket special-purpose container OS
* AWS Open Source Blog: Bottlerocket security features

[[AWS Systems Manager]]

<pre>
[[Bottlerocket]]
AWS FAQ зазначає, що reboots можуть керуватися orchestrator-ами на кшталт Kubernetes, які drain and restart containers across hosts для rolling updates; Bottlerocket так само підтримує rollback у разі failures. :contentReference [oaicite:4]{index=4}

[[Amazon ECS]]

! |-
| Незвична модель доступу
| SSH не виступає як основним способом роботи. 5. Для Amazon ECS виступає як '''Bottlerocket ECS Updater'''. Підготувати EKS/ECS або Kubernetes cluster. Тестувати rolling updates. |-
| Сильна AWS-орієнтація
| Найзручніший саме в AWS-екосистемі. |-
| Потрібна container/orchestrator-культура
| Найкраще розкривається в Kubernetes/ECS. |-
| 2021
| Amazon ECS-optimized Bottlerocket AMI стала generally available. | Container Linux для різних платформ. | Multi-cloud/on-prem container infrastructure. Talos Linux

<pre>
== 32. Порівняння з Amazon Linux ==
{| class="wikitable"
Основні ідеї:
|-
| Призначення
| Спеціально для контейнерів. +--> ECS
Він радше каже:
можна експериментальний ПК
1. |-
| Package manager
| Немає. |-
| “Чому root filesystem read-only?”
| Це immutable design. |}

змінювати host поступово

__TOC__

== 33. Порівняння з Flatcar Container Linux ==

 +--> container runtime
У 2026 році Bottlerocket виступає як важливою container OS для AWS-орієнтованих середовищ.

Для ECS виступає як спеціальні Bottlerocket AMI та ECS Updater.[[AWS]]

* node disposable;
* configuration declarative;
* workloads run in containers;
* updates automated;
* drift minimized;
* manual snowflake servers avoided. |}

 +--> Immutable root filesystem

settings.kubernetes.cluster-certificate

У багатьох Linux-системах адміністратор думає:

можна firewall

додавати утиліти

* web applications;
* APIs;
* microservices;
* sidecars;
* agents;
* logging;
* monitoring;
* batch jobs;
* ML inference workloads у GPU variants;
* Kubernetes pods;
* ECS tasks. :contentReference [oaicite:10]{index=10}
9. |-
| “Чому оновлення версій потребує reboot?”
| Image-based update перемикає системний образ. Подія





він жив роками. v



27. Bottlerocket і AWS


Orchestrator Layer

Для роботи з API застосовується для:



21. Attack surface


+--> optional admin container





оновити kernel C







35. Коли варто використовувати Bottlerocket


Amazon ECS-документація прямо зазначає, що Bottlerocket optimized for container workloads, має security focus, не містить package manager і виступає як immutable. |}

можна workstation

Variant — це готовий набір драйверів, інструментів і компонентів, адаптований під конкретну архітектуру, платформу та orchestrator. |-



2026

Bottlerocket продовжує розвиватися як container OS для AWS і cloud-native середовищ.

створився,
Це змінює культуру адміністрування. Це означає, що базова платформа не змінюється так, як у звичайному Linux. :contentReference [oaicite:8]{index=8}
Це схоже на оновлення версій firmware або mobile OS більше, ніж на класичне ручне адміністрування сервера. підправити конфіг

Одна з головних особливостей Bottlerocket — immutable root filesystem. |-



aws-ecs

Amazon ECS container instance. Тобто Bottlerocket не питає:

Офіційна документація пояснює, що Bottlerocket не виступає як general purpose Linux distribution і не має package manager; натомість він має variants — pre-defined sets of drivers, tools and applications for specific architecture, platform and orchestrator. :contentReference [oaicite:3]{index=3}
DevOps
критично: Bottlerocket не призначений для класичного адміністрування через SSH, ручного встановлення пакетів і запуску довільних сервісів на host-системі. Flatcar Container Linux
редагувати системні файли



25. Host containers


28. Bottlerocket поза AWS





“Де apt або dnf?”

Package-based через APT. 7.== 7. Чому immutable OS корисна ==

6. Immutable root filesystem


3.== 22. SELinux ==
<pre>

<pre>

! його налаштовували руками,
Bottlerocket OS
Amazon EKS Cluster
Це спеціальні контейнери, які мають доступ до host-рівня для керування або troubleshooting. Приклад логіки:





manual configuration



 |
[[OCI containers]]
[[Docker]]
 |
У звичайному серверному Linux можуть бути:
Bottlerocket має механізм:
 |
Її головні конкурентні переваги:
== 26. Bottlerocket і OCI containers ==
== 10. Control container ==
Bottlerocket доцільно обрати, якщо:
Bottlerocket ніби каже:

== 3. Bottlerocket простими словами ==

system services

<div style="border-left: 6px solid #1565c0; background: #e3f2fd; padding: 12px 16px; margin: 16px 0;">

'''Практичний сенс:''' якщо хочеться встановити багато пакетів на host, Bottlerocket, ймовірно, не той інструмент.

Bottlerocket найкраще підходить командам, які будують container platform, EKS/ECS clusters або immutable cloud-native infrastructure і хочуть, щоб host OS була мінімальною, безпечною, передбачуваною й автоматизованою. оновлення версій Bottlerocket можуть rollout-итися waves, щоб зменшити impact потенційних проблем. через Bottlerocket ECS Updater — це service для ECS-кластера, який користувачі можуть підтримувати Bottlerocket container instances up to date; він перевіряє оновлення версій, drain-ить tasks і застосовує updates.
<pre>
8. | Не змінювати host вручну, а керувати через API/images. |-
| Open source
| Код розвивається відкрито на GitHub. |-
| “Чому Bottlerocket не як Ubuntu?”
| Бо це не general purpose Linux. Пояснення
{| class="wikitable"
 +--> Linux Kernel

 +--> API settings model

 +--> container runtime
[[Linux]]
Замість ручного редагування великої кількості конфігураційних файлів застосовують, коли потрібно API-модель. |-
| Назва
| Bottlerocket
|-
| Розробник
| Amazon Web Services
|-
| Тип
| Linux-based container operating system
|-
| ліцензійний пакет
| Open source
|-
| Основне призначення
| Запуск контейнерів
|-
| Типова роль
| Kubernetes або ECS node
|-
| Package manager
| Відсутній
|-
| Root filesystem
| Immutable
|-
| конфігурація
| API-driven configuration
|-
| Доступ до host
| Control container, admin container, SSM, обмежений SSH через admin container
|-
| оновлення версій
| Image-based updates, rollback, waves, orchestrator-aware draining
|-
| Контейнерні платформи
| Kubernetes, Amazon EKS, Amazon ECS
|-
| Актуальна реліз системи на травень 2026
| Bottlerocket 1.57.0
|}

 +--> services

[[Операційні системи]]

container runtime

на нього заходили по SSH,
apt install щось
Вона розроблена для сценаріїв, де сервер або віртуальна машина не повинні бути “універсальним Linux-комп'ютером”, а мають виконувати одну чітку роль:
Workloads
dnf update
Рекомендовані практики:
![[Cloud-native]]

У AWS-варіантах control container часто містить AWS Systems Manager agent, що дає можливість працювати з інстансом через SSM. Immutable-підхід оптимізує зменшити:

Це незвично для адміністраторів класичних Linux-серверів, але логічно для container-first системи: навіть адміністративні інструменти живуть як контейнери. Обрати правильний Bottlerocket variant. |-
| 2020
| Bottlerocket став open source-проєктом на GitHub. |-
| оновлення версій
| Image-based, waves, orchestrator-aware. Налаштувати update strategy. Головні обмеження:

! У container host це критично, бо host має бути максимально захищеним від workload-ів. |
apiclient
Amazon ECS Cluster
 +--> Bottlerocket worker node
Bottlerocket розроблений AWS, тому особливо добре інтегрується з AWS-сервісами. Bottlerocket — це заводський компонент, який має одну роботу: стабільно й безпечно запускати контейнери. * перевіряти доступні оновлення версій;
* планувати оновлення версій nodes;
* drain-ити pods;
* застосовувати update;
* перезавантажувати node;
* повертати node у cluster;
* зменшувати disruption. Variant-ідея

Bottlerocket навмисно не має звичного package manager. | Запускати агент як контейнер/DaemonSet/sidecar. | Kubernetes. +--> tasks

== 19. Цікавий факт: Bottlerocket оновлює не “пакети”, а образ системи ==

== 36. Коли Bottlerocket здатна бути не найкращим вибором ==
! Рік
! Bottlerocket використовує SELinux для додаткового контролю доступу. |-
| Контейнери
| Основна ціль.


4. історія продукту


}

а замінювати, оновлювати, конфігурувати через API

! Чому виникає

У Bottlerocket логіка ближча до:



[[Container OS]]



У Bottlerocket такого підходу навмисно уникають. Для чого



|-
| 2020
| AWS представила Bottlerocket як special-purpose operating system для hosting Linux containers. Передати user data / settings. |-
| Найсильніше середовище
| AWS. ! apt upgrade
Окремо варто відзначити спеціально розроблена; так само реалізовано Amazon EKS, Amazon ECS і інших container-oriented середовищах виступає ключовою рисою запуску контейнерів у Kubernetes забезпечується через '''Головна ідея:''' Bottlerocket. Критерій

== 2. Коротка характеристика ==

<pre>

[[Категорія:Linux]]

У cloud-native світі node часто має бути іншим:
== 41. Безпека ==
Bottlerocket застосовується для для:
|-
| Контейнерна спеціалізація
| платформа розроблена саме для запуску контейнерів.


34. Порівняння з Talos Linux


оновився,



  • configuration drift;
    • 

  • випадкові зміни;
    • 

  • різницю між nodes;
    • 

  • ризик встановлення зайвого software;
    • 

  • attack surface;
    • 

  • складність troubleshooting;
    • 

  • непередбачувані production-стани. |-


FIPS variants

-

Updates можуть іти хвилями

-

Bottlerocket — open source

Проєкт розвивається відкрито на GitHub.


виступає як сервер → зайду по SSH. Його роль:
Раніше сервер часто був “особистістю”:



12. Цікавий факт: SSH у Bottlerocket — не провідний шлях


20. Безпека


Bottlerocket не замінює Ubuntu Server, RHEL або Debian як універсальна ОС. Перевірити rollback-процес. Помилка




Bottlerocket використовує variants. |-



Адміністрування

}

У Kubernetes-сценарії Bottlerocket функціонує як базова ОС для worker node, але застосунки живуть у pods. |-



Найкращий сценарій

-

AWS integration

Добре функціонує з EKS, ECS, EC2 і SSM.== 5. Цікавий факт: Bottlerocket — це ОС, яку майже не треба “лагодити руками” ==

Talos Linux
Kubernetes




І саме ця спеціалізація робить його корисним. | APT. |-



Для кого

Kubernetes/ECS platform teams.== 1. Загальний SEO-опис ==

== 13. Variants ==

+--> Services



Багато Linux-дистрибутивів пишаються універсальністю:



== 30. Недоліки Bottlerocket ==
Bottlerocket створений саме для цього другого світу. :contentReference [oaicite:9]{index=9}
== 24. технічна архітектура Bottlerocket ==

<pre>
перейти з одного перевіреного образу ОС
automatic updates

<pre>

 +--> Kubernetes / EKS

не лагодити node вручну,

</div>

! Bottlerocket
4. |-
| Package manager
| Немає. |-
| Learning curve
| Потрібно зрозуміти API settings, variants, host containers і update model. |-
| x86_64 variants
| Звичайні x86_64 сервери або інстанси. | Змінюваний.


оновити пакет A

У класичному Linux-адмініструванні звично:

Це ближче до cloud-native мислення:




+--> Pods



  • використовувати актуальні Bottlerocket releases;
    • 

  • не вмикати admin container без потреби;
    • 

  • використовувати SSM для доступу;
    • 

  • налаштувати IAM least privilege;
    • 

  • запускати agents як containers;
    • 

  • використовувати signed/verified container images;
    • 

  • обмежувати privileged containers;
    • 

  • використовувати Kubernetes Pod Security / admission policies;
    • 

  • налаштувати logging і monitoring;
    • 

  • тестувати update waves;
    • 

  • мати rollback-план;
    • 

  • не намагатися перетворювати Bottlerocket на general purpose Linux. Офіційна документація Bottlerocket зазначає, що most recent release — Bottlerocket OS 1.57.0, і підкреслює, що Bottlerocket сильно відрізняється від general purpose Linux-дистрибутивів, бо оптимізований саме для hosting containers і взаємодії з orchestrator-ами на кшталт Kubernetes або ECS. Як правильно думати
























Отримано з https://wiki.kyiv.ua/index.php?title=Bottlerocket&oldid=1338