Pokretanje nova verzija Flaša za flašu 1.2.0, što je distribucija Linuxa koja je razvijena uz učešće Amazona za efikasno i sigurno pokretanje izoliranih kontejnera. Ovu novu verziju karakterizira to što je u većoj mjeri uVerzija ažuriranja paketa, iako dolazi i sa nekim novim promjenama.
Distribucija Karakteriše ga pružanje nedjeljive slike sistema automatski i atomski ažurirano koje uključuje Linux kernel i minimalno sistemsko okruženje koje uključuje samo komponente potrebne za pokretanje kontejnera.
O Bottlerocket -u
Okruženje koristi systemd system manager, biblioteku Glibc, Buildroot, bootloader jesti, opaki mrežni konfigurator, vrijeme izvođenja kontejner za izolaciju kontejnera, platformu Kubernetes, AWS-iam-authenticator i Amazon ECS agent.
Alati za orkestraciju kontejnera se isporučuju u zasebnom kontejneru za upravljanje koji je podrazumevano omogućen i kojim se upravlja preko AWS SSM API-ja i agenta. Osnovna slika nedostaje komandna ljuska, SSH server i tumačeni jezici (Na primjer, bez Pythona ili Perla) - Administratorski alati i alati za otklanjanje grešaka premještaju se u zasebni spremnik usluge, koji je onemogućen prema zadanim postavkama.
Razlika ključ s obzirom na slične distribucije kao što su Fedora CoreOS, CentOS / Red Hat Atomic Host je primarni fokus na pružanju maksimalne sigurnosti u kontekstu ojačavanja sistema protiv potencijalnih pretnji, što otežava iskorištavanje ranjivosti u komponentama operativnog sistema i povećava izolaciju kontejnera.
Kontejneri se kreiraju korištenjem standardnih mehanizama jezgre Linuxa: cgroups, namespaces i seccomp. Za dodatnu izolaciju, distribucija koristi SELinux u načinu "aplikacije".
Pregrada root se montira kao samo za čitanje i konfiguracionu particiju /etc se montira u tmpfs i vraća u prvobitno stanje nakon ponovnog pokretanja. Direktno mijenjanje datoteka u /etc direktoriju, kao što su /etc/resolv.conf i /etc/containerd/config.toml, za trajno spremanje konfiguracije, korištenje API-ja ili premještanje funkcionalnosti u zasebne kontejnere, nije podržano. Za kriptografsku verifikaciju integriteta root sekcije koristi se modul dm-verity i ako se otkrije pokušaj modifikacije podataka na nivou blok uređaja, sistem se ponovo pokreće.
Većina sistemskih komponenata napisana je na jeziku Rust, koji pruža način za siguran rad sa memorijom, omogućavajući vam da izbjegnete ranjivosti uzrokovane pristupom području memorije nakon što se oslobodi, dereferenciranjem nul pokazivača i prekoračenjem ograničenja bafera.
Glavne nove značajke Bottlerocket 1.2.0
U ovoj novoj verziji Bottlerocket 1.2.0 uveden je veliki broj ažuriranja paketa čija su ažuriranja Rust verzije i zavisnosti, host-ctr, ažuriranu verziju zadanog kontejnera za upravljanje i razni paketi trećih strana.
Što se tiče novih karakteristika, ono što se ističe kod Bottlerocket 1.2.0 je to Dodata podrška za ogledala registra slika kontejnera, kao i mogućnost korišćenja samopotpisani sertifikati (CA) i parametar da se može konfigurirati ime hosta.
Takođe su dodane konfiguracije topologyManagerPolicy i topologyManagerScope za kubelet, kao i podrška za kompresiju kernela pomoću zstd algoritma.
Sa druge strane pruža mogućnost pokretanja sistema u virtuelne mašine VMware u OVA formatu (Open Virtualization Format).
Od ostalih promjena koji se ističu iz ove nove verzije:
- Ažurirana verzija distribucije aws-k8s-1.21 sa podrškom za Kubernetes 1.21.
- Uklonjena podrška za aws-k8s-1.16.
- Izbjegavajte korištenje zamjenskih znakova za primjenu rp_filter na sučelje
- Premještene migracije sa v1.1.5 na v1.2.0
Konačno ako ste zainteresirani da saznate više o tome ove nove verzije, možete provjeriti detalji u nastavku veza. Osim toga, možete također konsultovati informacije za svoje konfiguracija i upravljanje ovdje.