Bottlerocket

Bottlerocket — це спеціалізована операційна система для запуску контейнерів, яку розробляє Amazon Web Services.

Вона створена для сценаріїв, де сервер або віртуальна машина не повинні бути “універсальним Linux-комп'ютером”, а мають виконувати одну чітку роль:

бути надійним вузлом для контейнерів

Bottlerocket використовується для:

• Amazon EKS;
• Amazon ECS;
• Kubernetes-кластерів;
• container nodes;
• immutable infrastructure;
• cloud-native workloads;
• edge-сценаріїв;
• CI/CD-кластерів;
• production container workloads;
• автоматизованих fleet-середовищ.

AWS офіційно описує Bottlerocket як Linux-based open-source operating system, purpose-built for running containers, яка включає лише essential software required to run containers. :contentReference[oaicite:0]{index=0}

Характеристика	Значення
Назва	Bottlerocket
Розробник	Amazon Web Services
Тип	Linux-based container operating system
Ліцензія	Open source
Основне призначення	Запуск контейнерів
Типова роль	Kubernetes або ECS node
Package manager	Відсутній
Root filesystem	Immutable
Налаштування	API-driven configuration
Доступ до host	Control container, admin container, SSM, обмежений SSH через admin container
Оновлення	Image-based updates, rollback, waves, orchestrator-aware draining
Контейнерні платформи	Kubernetes, Amazon EKS, Amazon ECS
Актуальна версія на травень 2026	Bottlerocket 1.57.0

Офіційна документація Bottlerocket зазначає, що most recent release — Bottlerocket OS 1.57.0, і підкреслює, що Bottlerocket сильно відрізняється від general purpose Linux-дистрибутивів, бо оптимізований саме для hosting containers і взаємодії з orchestrator-ами на кшталт Kubernetes або ECS. :contentReference[oaicite:1]{index=1}

Звичайний серверний Linux, наприклад Ubuntu Server або AlmaLinux, схожий на повний набір інструментів:

shell
package manager
system services
manual configuration
extra utilities
user-installed packages

Bottlerocket схожий на спеціальний контейнерний “фундамент”:

container runtime
orchestrator integration
minimal host OS
API configuration
automatic updates
small attack surface

Тобто Bottlerocket не питає:

“Які пакети ви хочете встановити на сервер?”

Він радше каже:

“Я буду чистим і передбачуваним вузлом,
а ваші застосунки запускайте в контейнерах.”

Bottlerocket з'явився у період, коли container infrastructure стала масовою, а класичні server OS почали виглядати занадто великими для Kubernetes/ECS nodes.

Ключові етапи:

Рік	Подія
2020	AWS представила Bottlerocket як special-purpose operating system для hosting Linux containers.
2020	Bottlerocket став open source-проєктом на GitHub.
2020	З'явилися early preview-релізи для Kubernetes і ECS-сценаріїв.
2021	Amazon ECS-optimized Bottlerocket AMI стала generally available.
2020-ті	Bottlerocket розвивається для EKS, ECS, Kubernetes, AWS EC2, Arm, NVIDIA, FIPS та інших variant-сценаріїв.
2026	Bottlerocket продовжує розвиватися як container OS для AWS і cloud-native середовищ.

AWS у 2020 році описувала Bottlerocket як new special-purpose operating system designed for hosting Linux containers. :contentReference[oaicite:2]{index=2}

У класичному Linux-адмініструванні звично:

зайти по SSH
подивитися логи
поставити пакет
підправити конфіг
перезапустити сервіс

У Bottlerocket філософія інша:

не лагодити node вручну,
а замінювати, оновлювати, конфігурувати через API
і дозволяти orchestrator-у керувати workload-ами.

Це ближче до cloud-native мислення:

• node disposable;
• configuration declarative;
• workloads run in containers;
• updates automated;
• drift minimized;
• manual snowflake servers avoided.

Одна з головних особливостей Bottlerocket — immutable root filesystem.

Це означає, що базова система не змінюється так, як у звичайному Linux.

У традиційному сервері адміністратор може:

apt install щось
dnf install щось
редагувати системні файли
додавати утиліти
змінювати host поступово

У Bottlerocket такого підходу навмисно уникають.

Amazon ECS-документація прямо зазначає, що Bottlerocket optimized for container workloads, має security focus, не включає package manager і є immutable. :contentReference[oaicite:3]{index=3}

Immutable-підхід допомагає зменшити:

• configuration drift;
• випадкові зміни;
• різницю між nodes;
• ризик встановлення зайвого software;
• attack surface;
• складність troubleshooting;
• непередбачувані production-стани.

Якщо node зламався або став “дивним”, cloud-native підхід часто такий:

не лікувати вручну,
а замінити node на новий чистий екземпляр.

Bottlerocket навмисно не має звичного package manager.

Це важливо, бо package manager на host-системі дозволив би:

• встановлювати додаткові програми;
• змінювати базовий образ;
• створювати різні стани між nodes;
• збільшувати attack surface;
• ускладнювати оновлення.

У Bottlerocket застосунки мають запускатися в контейнерах, а не встановлюватися в host OS.

Bottlerocket налаштовується через API.

Замість ручного редагування великої кількості конфігураційних файлів використовується API-модель.

Приклад логіки:

settings.kubernetes.cluster-name
settings.kubernetes.api-server
settings.kubernetes.cluster-certificate
settings.host-containers.admin.enabled
settings.ntp.time-servers

Для роботи з API використовується:

apiclient

Приклад:

apiclient get

apiclient set settings.host-containers.admin.enabled=true

Control container — спеціальний host container, який використовується для керування Bottlerocket.

У AWS-варіантах control container часто містить AWS Systems Manager agent, що дозволяє працювати з інстансом через SSM.

Amazon ECS-документація зазначає, що Bottlerocket за замовчуванням має enabled control container, який запускає AWS Systems Manager agent для команд або shell sessions на EC2 Bottlerocket instances. :contentReference[oaicite:4]{index=4}

Admin container — контейнер для глибшого адміністративного доступу.

Він зазвичай вимкнений за замовчуванням і вмикається лише тоді, коли потрібне troubleshooting.

Офіційний FAQ Bottlerocket пояснює, що SSM є preferred way to access a Bottlerocket node, а якщо SSM не підходить, можна отримати доступ через SSH за допомогою admin container. :contentReference[oaicite:5]{index=5}

У багатьох Linux-системах адміністратор думає:

Є сервер → зайду по SSH.

У Bottlerocket ідея інша:

Є node → керую через SSM/API/orchestrator.
SSH — лише допоміжний аварійний шлях.

Це змінює культуру адміністрування.

Bottlerocket ніби каже:

“Не роби з кожного node ручну унікальну сніжинку.
Керуй fleet-ом системно.”

Bottlerocket використовує variants.

Variant — це готовий набір драйверів, інструментів і компонентів, адаптований під конкретну архітектуру, платформу та orchestrator.

Офіційна документація пояснює, що Bottlerocket не є general purpose Linux distribution і не має package manager; натомість він має variants — pre-defined sets of drivers, tools and applications for specific architecture, platform and orchestrator. :contentReference[oaicite:6]{index=6}

Приклади логіки variants:

Variant-ідея	Для чого
aws-k8s	Kubernetes node на AWS.
aws-ecs	Amazon ECS container instance.
NVIDIA variants	GPU workloads.
FIPS variants	Compliance-oriented сценарії.
aarch64 variants	Arm-based інстанси.
x86_64 variants	Звичайні x86_64 сервери або інстанси.

Bottlerocket дуже часто використовують як ОС для Kubernetes nodes.

Типова схема:

Amazon EKS Cluster
   |
   +--> Bottlerocket worker node
   +--> Bottlerocket worker node
   +--> Bottlerocket worker node
        |
        +--> kubelet
        +--> container runtime
        +--> pods

У Kubernetes-сценарії Bottlerocket працює як базова ОС для worker node, але застосунки живуть у pods.

Bottlerocket також підтримує Amazon ECS.

Типова схема:

Amazon ECS Cluster
   |
   +--> Bottlerocket container instance
   +--> ECS agent
   +--> tasks
   +--> services

Для ECS є спеціальні Bottlerocket AMI та ECS Updater.

Bottlerocket ECS Updater — це service для ECS-кластера, який допомагає підтримувати Bottlerocket container instances up to date; він перевіряє оновлення, drain-ить tasks і застосовує updates. :contentReference[oaicite:7]{index=7}

Оновлення Bottlerocket виконуються не як звичайне:

apt upgrade
dnf update
zypper update

а як image-based update.

Bottlerocket має механізм:

• перевірки оновлень;
• завантаження нового образу;
• reboot у нову версію;
• rollback у разі проблем;
• оновлення хвилями;
• інтеграції з orchestrator-ом.

AWS FAQ зазначає, що reboots можуть керуватися orchestrator-ами на кшталт Kubernetes, які drain and restart containers across hosts для rolling updates; Bottlerocket також підтримує rollback у разі failures. :contentReference[oaicite:8]{index=8}

Для Kubernetes є Bottlerocket Update Operator.

Його роль:

• перевіряти доступні оновлення;
• планувати оновлення nodes;
• drain-ити pods;
• застосовувати update;
• перезавантажувати node;
• повертати node у cluster;
• зменшувати disruption.

Це відповідає ідеї, що node не оновлюється “сам по собі”, а разом з orchestrator-ом.

Для Amazon ECS є Bottlerocket ECS Updater.

Його роль:

• перевіряти оновлення для Bottlerocket container instances;
• drain-ити ECS tasks;
• оновлювати instances;
• координувати оновлення в cluster;
• зменшувати вплив на workloads.

Оновлення Bottlerocket можуть rollout-итися waves, щоб зменшити impact потенційних проблем. :contentReference[oaicite:9]{index=9}

У класичному Linux оновлення — це багато маленьких змін:

оновити пакет A
оновити бібліотеку B
оновити kernel C
оновити сервіс D

У Bottlerocket логіка ближча до:

перейти з одного перевіреного образу ОС
на інший перевірений образ ОС.

Це схоже на оновлення firmware або mobile OS більше, ніж на класичне ручне адміністрування сервера.

Bottlerocket створений із сильним security-фокусом.

Основні ідеї:

• мінімальний набір пакетів;
• немає package manager;
• immutable root filesystem;
• API-driven configuration;
• обмежений host access;
• SELinux;
• image-based updates;
• rollback;
• separation через containers;
• менший attack surface;
• integration з SSM;
• підтримка FIPS variants у відповідних сценаріях.

AWS підкреслює, що Bottlerocket includes only essential software required to run containers, що допомагає зменшити maintenance overhead і покращити secure workflow. :contentReference[oaicite:10]{index=10}

Attack surface — це кількість місць, через які систему потенційно можна атакувати.

У звичайному серверному Linux можуть бути:

• зайві пакети;
• shell tools;
• interpreters;
• package manager;
• network services;
• local users;
• manual changes.

Bottlerocket зменшує attack surface, бо не включає багато речей, які не потрібні для container host.

Bottlerocket використовує SELinux для додаткового контролю доступу.

SELinux допомагає обмежити процеси навіть тоді, коли звичайні UNIX-права доступу дозволили б більше.

У container host це важливо, бо host має бути максимально захищеним від workload-ів.

Багато Linux-дистрибутивів пишаються універсальністю:

можна сервер
можна desktop
можна firewall
можна NAS
можна workstation
можна експериментальний ПК

Bottlerocket навпаки каже:

я не для всього.
я для контейнерів.

І саме ця спеціалізація робить його корисним.

Загальна схема:

Hardware / EC2 Instance / VM
        |
        v
Bottlerocket OS
        |
        +--> Linux Kernel
        +--> Immutable root filesystem
        +--> API settings model
        +--> container runtime
        +--> control container
        +--> optional admin container
        +--> update system
        |
        v
Orchestrator Layer
        |
        +--> Kubernetes / EKS
        +--> ECS
        |
        v
Workloads
        |
        +--> Pods
        +--> Containers
        +--> Tasks
        +--> Services

Bottlerocket має концепцію host containers.

Це спеціальні контейнери, які мають доступ до host-рівня для керування або troubleshooting.

Типові:

Host container	Призначення
Control container	Керування системою, SSM, API-доступ.
Admin container	Глибший troubleshooting-доступ, зазвичай вимкнений.

Це незвично для адміністраторів класичних Linux-серверів, але логічно для container-first системи: навіть адміністративні інструменти живуть як контейнери.

Bottlerocket підтримує Linux containers і OCI-compatible images.

Це означає, що він працює з сучасним container ecosystem.

Типові workload-и:

• web applications;
• APIs;
• microservices;
• sidecars;
• agents;
• logging;
• monitoring;
• batch jobs;
• ML inference workloads у GPU variants;
• Kubernetes pods;
• ECS tasks.

Bottlerocket розроблений AWS, тому особливо добре інтегрується з AWS-сервісами.

Типові інтеграції:

• Amazon EKS;
• Amazon ECS;
• Amazon EC2;
• AWS Systems Manager;
• IAM roles;
• EC2 AMIs;
• SSM Session Manager;
• CloudWatch agents через контейнери;
• AWS GPU instances;
• Graviton / Arm instances;
• EKS managed node groups у відповідних сценаріях.

Хоча Bottlerocket асоціюється з AWS, він є open source і може використовуватися не лише в AWS.

Офіційний сайт Bottlerocket зазначає, що це free and open-source software, developed in the open on GitHub. :contentReference[oaicite:11]{index=11}

Але на практиці найбільш природне середовище для нього — AWS, EKS, ECS і EC2.

Перевага	Опис
Контейнерна спеціалізація	Система створена саме для запуску контейнерів.
Менший attack surface	Немає зайвих пакетів і package manager.
Immutable root	Менше випадкових змін і configuration drift.
API-driven configuration	Зручно для автоматизації та fleet management.
Orchestrator-aware updates	Оновлення можуть координуватися з Kubernetes або ECS.
Rollback	Можна повернутися до попередньої версії після проблем.
AWS integration	Добре працює з EKS, ECS, EC2 і SSM.
Open source	Код розвивається відкрито на GitHub.

Недолік	Опис
Не general purpose OS	Не підходить для звичайного серверного адміністрування.
Немає package manager	Неможливо просто встановити потрібний пакет на host.
Незвична модель доступу	SSH не є основним способом роботи.
Потрібна container/orchestrator-культура	Найкраще розкривається в Kubernetes/ECS.
Менше гнучкості на host	Host навмисно обмежений.
Сильна AWS-орієнтація	Найзручніший саме в AWS-екосистемі.
Learning curve	Потрібно зрозуміти API settings, variants, host containers і update model.

Критерій	Bottlerocket	Ubuntu Server
Призначення	Container host.	Загальний серверний Linux.
Package manager	Немає.	APT.
Root filesystem	Immutable.	Змінюваний.
Доступ	SSM/API/control container/admin container.	SSH і shell за замовчуванням.
Оновлення	Image-based, rollback, orchestrator-aware.	Package-based через APT.
Найкращий сценарій	EKS/ECS/Kubernetes nodes.	VPS, web servers, databases, Docker host, general server.

Критерій	Bottlerocket	Amazon Linux
Призначення	Спеціально для контейнерів.	General purpose Linux для AWS.
Package manager	Немає.	DNF/YUM залежно від версії.
Адміністрування	API-first.	Класичний Linux-підхід.
Host modification	Обмежена.	Звичайна.
Контейнери	Основна ціль.	Один із можливих сценаріїв.
Для кого	Kubernetes/ECS platform teams.	AWS admins, application teams, general workloads.

Критерій	Bottlerocket	Flatcar Container Linux
Походження	AWS.	Спадкоємець CoreOS Container Linux-напрямку.
Фокус	AWS/EKS/ECS/container nodes.	Container Linux для різних платформ.
Оновлення	Image-based, waves, orchestrator-aware.	A/B updates, automatic updates.
Package manager	Немає.	Немає в класичному сенсі.
Найсильніше середовище	AWS.	Multi-cloud/on-prem container infrastructure.

Критерій	Bottlerocket	Talos Linux
Основний фокус	Containers, EKS/ECS, AWS integration.	Kubernetes-only OS.
Керування	Bottlerocket API, SSM, orchestrator.	API-driven через talosctl.
SSH	Не основний шлях, admin container як fallback.	Немає SSH.
Орієнтація	Kubernetes і ECS.	Kubernetes.
Vendor ecosystem	AWS.	Sidero Labs / Talos ecosystem.

Bottlerocket доцільно обрати, якщо:

• потрібні Kubernetes worker nodes;
• використовується Amazon EKS;
• використовується Amazon ECS;
• потрібна immutable container OS;
• важлива мінімальна attack surface;
• команда готова до API-driven management;
• потрібні automated updates;
• потрібен rollback;
• workloads запускаються лише в контейнерах;
• інфраструктура вже в AWS;
• є platform engineering-підхід.

Bottlerocket може бути не найкращим варіантом, якщо:

• потрібен звичайний VPS;
• потрібно вручну встановлювати пакети на host;
• потрібен SSH-first administration;
• потрібно запускати non-container services на host;
• команда не використовує Kubernetes або ECS;
• потрібна максимальна гнучкість host-системи;
• інфраструктура не AWS і немає бажання адаптувати Bottlerocket;
• потрібна desktop або general server OS.

Помилка	Чому виникає	Як правильно думати
“Де apt або dnf?”	Bottlerocket не має package manager.	Застосунки мають бути в контейнерах.
“Чому не можу просто зайти SSH?”	SSH не є основним шляхом.	Використовувати SSM/control container/admin container.
“Чому root filesystem read-only?”	Це immutable design.	Не змінювати host вручну, а керувати через API/images.
“Як поставити агент моніторингу?”	Host-система не для ручного встановлення.	Запускати агент як контейнер/DaemonSet/sidecar.
“Чому оновлення потребує reboot?”	Image-based update перемикає системний образ.	Координувати reboot через orchestrator.
“Чому Bottlerocket не як Ubuntu?”	Бо це не general purpose Linux.	Сприймати його як container appliance OS.

1. Обрати правильний Bottlerocket variant.
2. Підготувати EKS/ECS або Kubernetes cluster.
3. Налаштувати IAM/SSM доступ.
4. Передати user data / settings.
5. Перевірити control container.
6. Увімкнути admin container лише за потреби.
7. Налаштувати logging і monitoring як containers.
8. Налаштувати update strategy.
9. Використовувати Update Operator або ECS Updater.
10. Тестувати rolling updates.
11. Перевірити rollback-процес.
12. Документувати node lifecycle.

Факт	Пояснення
Bottlerocket не має package manager	Це зроблено навмисно, щоб зменшити attack surface і configuration drift.
Bottlerocket immutable	Root filesystem не змінюється як у звичайному Linux.
SSH не є основним способом доступу	Preferred access у AWS-сценаріях — через SSM і control container.
Admin container зазвичай потрібен лише для troubleshooting	Ідея — не адмініструвати node руками щодня.
Bottlerocket оновлюється образами	Це більше схоже на оновлення appliance, ніж на package upgrade.
Updates можуть іти хвилями	Це зменшує ризик одночасної проблеми на всіх nodes.
Bottlerocket має variants	Замість універсальної ОС є збірки під конкретні platform/orchestrator/architecture сценарії.
Bottlerocket — open source	Проєкт розвивається відкрито на GitHub.

Bottlerocket — це операційна система для епохи, коли сервери стали витратним матеріалом кластерів.

Раніше сервер часто був “особистістю”:

у нього було ім'я,
на нього заходили по SSH,
його налаштовували руками,
він жив роками.

У cloud-native світі node часто має бути іншим:

створився,
приєднався до cluster,
запустив containers,
оновився,
замінився,
зник.

Bottlerocket створений саме для цього другого світу.

Він не дуже зручний для ручного адміністрування, зате добре підходить для автоматизованих container clusters, де важливі однаковість, безпека, оновлення й мінімум зайвого.

Рекомендовані практики:

• використовувати актуальні Bottlerocket releases;
• не вмикати admin container без потреби;
• використовувати SSM для доступу;
• налаштувати IAM least privilege;
• запускати agents як containers;
• використовувати signed/verified container images;
• обмежувати privileged containers;
• використовувати Kubernetes Pod Security / admission policies;
• налаштувати logging і monitoring;
• тестувати update waves;
• мати rollback-план;
• не намагатися перетворювати Bottlerocket на general purpose Linux.

У 2026 році Bottlerocket є важливою container OS для AWS-орієнтованих середовищ.

Його використовують там, де потрібні:

• EKS worker nodes;
• ECS container instances;
• immutable host OS;
• автоматизовані updates;
• менший attack surface;
• container-only workloads;
• GPU/FIPS/architecture-specific variants;
• platform engineering;
• cloud-native operations.

Bottlerocket не замінює Ubuntu Server, RHEL або Debian як універсальна ОС. Він замінює їх саме в ролі container host, де універсальність не потрібна, а спеціалізація — перевага.

Bottlerocket — це спеціалізована Linux-based операційна система від AWS для запуску контейнерів.

Її головні переваги:

• container-first design;
• immutable root filesystem;
• відсутність package manager;
• менший attack surface;
• API-driven configuration;
• integration з EKS/ECS;
• control і admin containers;
• image-based updates;
• rollback;
• update waves;
• open source development.

Головні обмеження:

• не general purpose OS;
• незручна для ручного SSH-адміністрування;
• немає package manager;
• сильна AWS-орієнтація;
• потребує Kubernetes/ECS-мислення;
• не підходить для non-container workloads;
• має learning curve для класичних Linux-адміністраторів.

Bottlerocket найкраще підходить командам, які будують container platform, EKS/ECS clusters або immutable cloud-native infrastructure і хочуть, щоб host OS була мінімальною, безпечною, передбачуваною й автоматизованою.

• AWS Bottlerocket official page
• Bottlerocket official documentation
• Bottlerocket GitHub repository
• Bottlerocket FAQ
• AWS ECS Bottlerocket documentation
• Bottlerocket variants documentation
• Bottlerocket Update Operator
• Bottlerocket ECS Updater
• AWS Containers Blog: Bottlerocket special-purpose container OS
• AWS Open Source Blog: Bottlerocket security features

Bottlerocket AWS Amazon Web Services Linux Container OS Kubernetes Amazon EKS Amazon ECS Docker OCI containers Immutable infrastructure Cloud-native Amazon EC2 AWS Systems Manager SSM Flatcar Container Linux Talos Linux Ubuntu Server Amazon Linux DevOps Операційні системи