Zahájení nová verze Bottlerocket 1.2.0, což je distribuce Linuxu, která byla vyvinuta za účasti společnosti Amazon, aby efektivně a bezpečně provozovala izolované kontejnery. Tato nová verze se vyznačuje tím, že je ve větší míře uAktualizovaná verze balíčků, přestože přichází také s několika novými změnami.
Distribuce Je charakterizován poskytováním nedělitelného obrazu systému automaticky a atomicky aktualizováno, které obsahuje linuxové jádro a minimální systémové prostředí, které obsahuje pouze součásti nutné ke spouštění kontejnerů.
O Bottlerocket
Prostředí využívá správce systému systemd, knihovnu Glibc, Buildroot, zavaděč grub, zlý konfigurátor sítě, běhový modul kontejnerd pro izolaci kontejneru platforma Kubernetes, AWS-iam-authenticator a agent Amazon ECS.
Nástroje orchestrace kontejnerů jsou dodávány v samostatném kontejneru pro správu, který je ve výchozím nastavení povolen a spravován prostřednictvím agenta AWS SSM a API. Základní obrázek postrádá příkazový shell, server SSH a interpretované jazyky (Například bez Pythonu nebo Perlu) - Nástroje pro správu a ladicí nástroje jsou přesunuty do samostatného servisního kontejneru, který je ve výchozím nastavení zakázán.
Rozdíl Clave s ohledem na podobné distribuce jako je Fedora CoreOS, CentOS / Red Hat Atomic Host je primárním zaměřením na zajištění maximální bezpečnosti v souvislosti s posilováním systému proti potenciálním hrozbám, což ztěžuje zneužití zranitelností součástí operačního systému a zvyšuje izolaci kontejneru.
Kontejnery jsou vytvářeny pomocí standardních mechanismů jádra Linuxu: cgroups, namespaces a seccomp. Pro další izolaci distribuce používá SELinux v režimu „aplikace“.
Rozdělit root je připojen jen pro čtení a konfigurační oddíl / etc je připojen na tmpfs a obnoven do původního stavu po restartu. Přímá úprava souborů v adresáři /etc, například /etc/resolv.conf a /etc/containerd/config.toml, k trvalému uložení nastavení, používání rozhraní API nebo přesunu funkcí do samostatných kontejnerů, není podporována. Pro kryptografické ověření integrity kořenové sekce se používá modul dm-verity a pokud je detekován pokus o úpravu dat na úrovni blokového zařízení, systém se restartuje.
Většina systémových komponent je napsána v jazyce Rust, který poskytuje prostředky pro bezpečnou práci s pamětí, což vám umožňuje vyhnout se zranitelnostem způsobeným přístupem do oblasti paměti po jejím uvolnění, zrušením odkazu na nulové ukazatele a překročením mezí vyrovnávací paměti.
Hlavní nové funkce Bottlerocket 1.2.0
V této nové verzi Bottlerocket 1.2.0 bylo zavedeno mnoho aktualizací balíčků, z nichž aktualizace Rezavé verze a závislosti, host-ctr, aktualizovaná verze výchozího kontejneru pro správu a různé balíčky třetích stran.
Na straně novinek, to vyniká od Bottlerocket 1.2.0 je to přidána podpora pro zrcadla registrace obrazu kontejneru, stejně jako schopnost používat certifikáty podepsané svým držitelem (CA) a parametr umožňující konfigurovat název hostitele.
Byly také přidány nastavení topologyManagerPolicy a topologyManagerScope pro kubelet a také podpora pro kompresi jádra pomocí algoritmu zstd.
Na druhou stranu poskytoval možnost zavést systém do virtuálních počítačů VMware ve formátu OVA (Open Virtualization Format).
Z dalších změn které vyčnívají z této nové verze:
- Aktualizovaná verze distribuce aws-k8s-1.21 s podporou Kubernetes 1.21.
- Odstraněna podpora pro aws-k8s-1.16.
- Je zabráněno použití zástupných znaků pro použití rp_filter na rozhraní
- Migrace byly přesunuty z v1.1.5 do v1.2.0
Konečně pokud máte zájem o tom vědět více této nové verze můžete zkontrolovat podrobnosti v následujícím textu odkaz. Kromě toho můžete také konzultovat informace o vašem nastavení a ovládání zde.