Programmi käivitamine uus versioon Pudelipesa 1.2.0, mis on Linuxi distributsioon, mis on välja töötatud Amazoni osalusel isoleeritud konteinerite tõhusaks ja ohutuks käitamiseks. Seda uut versiooni iseloomustab suuremal määral uPakettide värskendatud versioon, kuigi see sisaldab ka mõningaid uusi muudatusi.
Jaotus Seda iseloomustab jagamatu süsteemipildi pakkumine värskendatakse automaatselt ja aatomiliselt, mis sisaldab Linuxi tuuma ja minimaalset süsteemikeskkonda, mis sisaldab ainult konteinerite käitamiseks vajalikke komponente.
Bottlerocketist
Keskkond kasutab süsteemihaldurit, Glibci teeki, Buildroot, alglaadur muru, kurja võrgukonfiguraatori, käitusajaga konteiner konteineri isoleerimiseks platvorm Kubernetes, AWS-iam-autentija ja Amazon ECS-i agent.
Konteinerite korraldamise tööriistad tarnitakse eraldi halduskonteineris, mis on vaikimisi lubatud ja mida hallatakse AWS SSM agendi ja API kaudu. Aluspilt puudub käsukest, SSH -server ja tõlgitud keeled (näiteks ilma Pythoni või Perlita): administraatori tööriistad ja silumisvahendid teisaldatakse eraldi teenusekonteinerisse, mis on vaikimisi keelatud.
Erinevus võti sarnaste jaotuste osas nagu Fedora CoreOS, CentOS / Red Hat Atomic Host on esmatähtis maksimaalse turvalisuse pakkumisel süsteemi karmistamise kontekstis võimalike ohtude eest, mis raskendab operatsioonisüsteemi komponentide turvaaukude ärakasutamist ja suurendab konteinerite eraldatust.
Konteinerid luuakse Linuxi standardsete kerneli mehhanismide abil: cgroups, nimeruumid ja seccomp. Täiendavaks isoleerimiseks kasutab jaotus SELinuxit rakenduse režiimis.
Jaotus juur on kirjutuskaitstud ja konfiguratsioonisektsioon / etc paigaldatakse tmpfs -ile ja taastatakse pärast taaskäivitamist algsesse olekusse. Failide otsest muutmist kataloogis /etc (nt /etc/resolv.conf ja /etc/containerd/config.toml) seadete jäädavaks salvestamiseks, API kasutamiseks või funktsioonide teisaldamiseks eraldi konteineritesse ei toetata. Juureosa terviklikkuse krüptograafiliseks kontrollimiseks kasutatakse dm-verity moodulit ja kui blokeeritud seadme tasemel tuvastatakse katse andmeid muuta, taaskäivitatakse süsteem.
Enamik süsteemi komponente on kirjutatud Rust keeles, mis pakub vahendit mäluga ohutuks töötamiseks, võimaldades vältida haavatavusi, mis on põhjustatud juurdepääsust mälupiirkonda pärast selle vabastamist, nullviitade viitamist ja puhverpiirangute ületamist.
Bottlerocket 1.2.0 peamised uued funktsioonid
Uues versioonis Bottlerocket 1.2.0 kasutusele on võetud palju uuendusi pakettidest, mille värskendusi Rooste versioonid ja sõltuvused, host-ctr, halduskonteineri värskendatud versioon ja mitmesugused kolmanda osapoole paketid.
Uuenduste osas paistab see Bottlerocket 1.2.0 -st silma lisatud tugi konteineripiltide registreerimise peeglitele, samuti kasutamise oskus ise allkirjastatud sertifikaadid (CA) ja parameetrit, et oleks võimalik hosti nime konfigureerida.
Lisati ka kubeleti topoloogiaManagerPolicy ja topologyManagerScope seaded ning tuum tihendamiseks zstd algoritmi abil.
Teisest küljest võimaldas süsteemi käivitada virtuaalmasinatesse VMware OVA (Open Virtualization Format) vormingus.
Muudest muudatustest mis eristuvad sellest uuest versioonist:
- Jaotise aws-k8s-1.21 värskendatud versioon koos Kubernetes 1.21 toega.
- Aws-k8s-1.16 tugi on eemaldatud.
- Välditakse metamärkide kasutamist liidestele rp_filter lisamiseks
- Üleminekud teisaldati versioonilt 1.1.5 1.2.0 versioonile XNUMX
Lõpuks kui olete huvitatud sellest rohkem teada saama selle uue versiooni saate kontrollida üksikasjad järgnevas link. Lisaks saate tutvuda ka enda jaoks mõeldud teabega seadistamine ja käsitsemine siin.