Le lancement de la nouvelle version de Fusée à bouteille 1.2.0, qui est une distribution Linux développée avec la participation d'Amazon pour exécuter des conteneurs isolés de manière efficace et sûre. Cette nouvelle version se caractérise par être dans une plus grande mesure uUne version de mise à jour des packages, bien qu'elle vienne également avec de nouveaux changements.
La distribution se caractérise par la fourniture d'une image système indivisible automatiquement et atomiquement mis à jour qui inclut le noyau Linux et un environnement système minimal qui inclut uniquement les composants nécessaires pour exécuter les conteneurs.
À propos de Bottlerocket
L'environnement utilise le gestionnaire de système systemd, la bibliothèque Glibc, Buildroot, chargeur de démarrage VER, le configurateur de réseau méchant, le runtime conteneur pour l'isolement des conteneurs, la plate-forme Kubernetes, AWS-iam-authenticator et l'agent Amazon ECS.
Les outils d'orchestration de conteneur sont livrés dans un conteneur de gestion distinct qui est activé par défaut et géré via l'agent et l'API AWS SSM. L'image de base manque d'un shell de commande, d'un serveur SSH et de langages interprétés (Par exemple, sans Python ou Perl) - Les outils d'administration et les outils de débogage sont déplacés vers un conteneur de services distinct, qui est désactivé par défaut.
La différence fendit par rapport à des distributions similaires tels que Fedora CoreOS, CentOS / Red Hat Atomic Host est l'objectif principal de fournir une sécurité maximale dans le contexte du renforcement du système contre les menaces potentielles, ce qui rend difficile l'exploitation des vulnérabilités des composants du système d'exploitation et augmente l'isolement des conteneurs.
Les conteneurs sont créés à l'aide des mécanismes standard du noyau Linux : cgroups, namespaces et seccomp. Pour une isolation supplémentaire, la distribution utilise SELinux en mode "application".
Cloison root est monté en lecture seule et la partition de configuration /etc est monté sur tmpfs et restauré à son état d'origine après redémarrage. La modification directe des fichiers dans le répertoire /etc, tels que /etc/resolv.conf et /etc/containerd/config.toml, pour enregistrer de manière permanente la configuration, utiliser l'API ou déplacer des fonctionnalités vers des conteneurs séparés n'est pas prise en charge. Pour la vérification cryptographique de l'intégrité de la section racine, le module dm-verity est utilisé et si une tentative de modification des données est détectée au niveau du périphérique de bloc, le système est redémarré.
La plupart des composants du système sont écrits dans le langage Rust, qui fournit un moyen de travailler en toute sécurité avec la mémoire, vous permettant d'éviter les vulnérabilités causées par l'accès à une zone de mémoire après sa libération, le déréférencement des pointeurs nuls et le dépassement des limites de la mémoire tampon.
Principales nouveautés de Bottlerocket 1.2.0
Dans cette nouvelle version de Bottlerocket 1.2.0 beaucoup de mises à jour ont été introduites de packages dont les mises à jour des Versions et dépendances de Rust, host-ctr, la version mise à jour du conteneur de gestion par défaut et divers packages tiers.
Du côté des nouveautés, il se démarque de Bottlerocket 1.2.0 c'est que ajout de la prise en charge des miroirs de journalisation d'images de conteneur, ainsi que la possibilité d'utiliser certificats auto-signés (CA) et le paramètre pour pouvoir configurer le nom d'hôte.
Les paramètres topologyManagerPolicy et topologyManagerScope pour kubelet ont également été ajoutés, ainsi que la prise en charge de la compression du noyau à l'aide de l'algorithme zstd.
Par ailleurs fourni la possibilité de démarrer le système dans des machines virtuelles VMware au format OVA (Open Virtualization Format).
Des autres changements qui se démarquent de cette nouvelle version:
- Version mise à jour de la distribution aws-k8s-1.21 avec prise en charge de Kubernetes 1.21.
- Suppression de la prise en charge d'aws-k8s-1.16.
- L'utilisation de caractères génériques pour appliquer rp_filter aux interfaces est évitée
- Migrations passées de la v1.1.5 à la v1.2.0
Enfin si vous souhaitez en savoir plus de cette nouvelle version, vous pouvez vérifier détails dans ce qui suit relier. En plus de cela, vous pouvez également consulter les informations pour votre configuration et manipulation ici.