S'acaba de donar a conèixer el llançament de la nova versió de Bottlerocket 1.2.0, La qual és una distribució de Linux que és desenvolupada amb la participació d'Amazon per executar contenidors aïllats de manera eficient i segura. Aquesta nova versió es caracteritza per ser en major mesura ona versió d'actualització de paquets, tot i que també arriba amb alguns canvis nous.
la distribució es caracteritza per proporciona una imatge de sistema indivisible actualitzada de manera automàtica i atòmica que inclou el nucli de Linux i un entorn de sistema mínim que inclou només els components necessaris per executar contenidors.
sobre Bottlerocket
L'entorn fa ús de l'gestor de sistema systemd, la biblioteca Glibc, buildroot, el carregador d'arrencada GRUB, el configurador de xarxa wicked, el temps d'execució contenidor per a l'aïllament de contenidors, la plataforma Kubernetes, AWS-iam-autenticador, i l'agent d'Amazon ECS.
Les eines d'orquestració de contenidors s'envien en un contenidor d'administració separat que està habilitat per defecte i administrat a través de l'API i l'agent de AWS SSM. La imatge base manca d'un shell de comandaments, un servidor SSH i llenguatges interpretats (Per exemple, sense Python o Perl): les eines per a l'administrador i les eines de depuració es mouen a un contenidor de serveis separat, que està deshabilitat per omissió.
la diferència Hendió pel que fa a distribucions similars com Fedora coreos, CentOS / Red Hat Atomic Host és l'enfocament principal a proporcionar la màxima seguretat en el context d'enfortir el sistema contra possibles amenaces, el que dificulta l'explotació de vulnerabilitats en els components de sistema operatiu i augmenta l'aïllament de contenidors.
Els contenidors es creen utilitzant els mecanismes estàndard de el nucli de Linux: cgroups, namespaces i seccomp. Per a un aïllament addicional, la distribució utilitza SELinux en mode de «aplicació».
la partició root es munta com de sol lectura i la partició de configuració / Etc es munta en tmpfs i es restaura al seu estat original després de la represa. No s'admet la modificació directa d'arxius en el directori / etc, com /etc/resolv.conf i /etc/containerd/config.toml, per guardar permanentment la configuració, utilitzar l'API o moure la funcionalitat a contenidors separats. Per a la verificació criptogràfica de la integritat de la secció root, s'utilitza el mòdul dm-Verity i si es detecta un intent de modificar les dades en el nivell de el dispositiu de bloc, es reinicia el sistema.
La majoria dels components de sistema estan escrits en el llenguatge Rust, Que proporciona mitjans per treballar de forma segura amb la memòria, el que li permet evitar vulnerabilitats causades per accedir a una àrea de memòria després que s'allibera, desreferenciar punters nuls i excedir els límits de la memòria intermèdia.
Principals novetats de Bottlerocket 1.2.0
En aquesta nova versió de Bottlerocket 1.2.0 s'han introduït una gran quantitat d'actualitzacions de paquets dels quals es destaquen les actualitzacions de les versions i dependències de Rust, host-ctr, la versió actualitzada de l'contenidor d'administració predeterminat i diversos paquets de tercers.
Per la part de les novetats es destaca de Bottlerocket 1.2.0 és que s'ha afegit el suport per miralls de registre d'imatges de contenidors, Així com la capacitat d'usar certificats autofirmados (CA) i el paràmetre per poder configurar el nom d'amfitrió.
També es van agregar les configuracions de topologyManagerPolicy i topologyManagerScope per kubelet, així com el suport per a la compressió de l'nucli mitjançant l'algoritme zstd.
D'altra banda es va proporcionar la capacitat de poder arrencar el sistema en màquines virtuals VMware en el format OVA (Open Virtualization Format).
Dels altres canvis que es destaquen d'aquesta nova versió:
- Versió actualitzada de la distribució AWS-k8s-1.21 amb compatibilitat amb Kubernetes 1.21.
- Suport eliminat per AWS-k8s-1.16.
- S'evita l'ús de comodins per aplicar rp_filter a interfícies
- S'han mogut les migracions de v1.1.5 a v1.2.0
Finalment si estàs interessat en poder conèixer més a l'respecte d'aquesta nova versió, pots consultar els detalls en el següent enllaç. A més de que també pots consultar la informació per a la seva configuració i maneig aquí.