Peluncuran versi baru dari Bottlerocket 1.2.0 Memperbarui, yang merupakan distribusi Linux yang dikembangkan dengan partisipasi Amazon untuk menjalankan container terisolasi secara efisien dan aman. Versi baru ini dicirikan dengan menjadi lebih uVersi pembaruan paket, meskipun juga dilengkapi dengan beberapa perubahan baru.
Distribusi Hal ini ditandai dengan memberikan citra sistem yang tak terpisahkan diperbarui secara otomatis dan atomik yang mencakup kernel Linux dan lingkungan sistem minimal yang hanya mencakup komponen yang diperlukan untuk menjalankan container.
Tentang Bottlerocket
Lingkungan memanfaatkan manajer sistem systemd, perpustakaan Glibc, Buildroot, bootloader grub, konfigurator jaringan yang jahat, runtime wadahd untuk isolasi kontainer, platform Kubernet, AWS-iam-authenticator, dan agen Amazon ECS.
Alat orkestrasi container dikirimkan dalam container manajemen terpisah yang diaktifkan secara default dan dikelola melalui agen dan API AWS SSM. gambar dasar tidak memiliki shell perintah, server SSH, dan bahasa yang ditafsirkan (misalnya, tanpa Python atau Perl): Alat administrator dan alat debugging dipindahkan ke wadah layanan terpisah, yang dinonaktifkan secara default.
Perbedaan kunci sehubungan dengan distribusi serupa seperti Fedora CoreOS, CentOS / Red Hat Atomic Host adalah fokus utama dalam memberikan keamanan maksimum dalam konteks memperkuat sistem terhadap potensi ancaman, yang mempersulit untuk mengeksploitasi kerentanan dalam komponen sistem operasi dan meningkatkan isolasi kontainer.
Wadah dibuat menggunakan mekanisme kernel Linux standar: cgroups, namespaces, dan seccomp. Untuk isolasi tambahan, distribusi menggunakan SELinux dalam mode "aplikasi".
Partisi root dipasang hanya-baca dan partisi konfigurasi / etc dipasang pada tmpfs dan dikembalikan ke keadaan semula setelah reboot. Modifikasi langsung file di direktori / etc, seperti /etc/resolv.conf dan /etc/containerd/config.toml, untuk menyimpan pengaturan secara permanen, menggunakan API, atau memindahkan fungsionalitas ke wadah terpisah, tidak didukung. Untuk verifikasi kriptografik integritas bagian root, modul dm-verity digunakan dan jika upaya untuk mengubah data terdeteksi pada tingkat perangkat blok, sistem akan di-boot ulang.
Sebagian besar komponen sistem ditulis dalam bahasa Rust, yang menyediakan sarana untuk bekerja secara aman dengan memori, memungkinkan Anda menghindari kerentanan yang disebabkan oleh mengakses area memori setelah dibebaskan, mendereferensikan pointer nol, dan melebihi batas buffer.
Fitur baru utama Bottlerocket 1.2.0
Dalam versi baru dari Bottlerocket 1.2.0 banyak pembaruan telah diperkenalkan paket yang pembaruannya Versi dan dependensi karat, Host-ctr, versi terbaru dari wadah manajemen default dan berbagai paket pihak ketiga.
Pada bagian dari hal baru, yang menonjol dari Bottlerocket 1.2.0 adalah bahwa menambahkan dukungan untuk mirror logging gambar kontainer, serta kemampuan untuk menggunakan sertifikat yang ditandatangani sendiri (CA) dan parameter untuk dapat mengkonfigurasi nama host.
Pengaturan topologyManagerPolicy dan topologyManagerScope untuk kubelet juga ditambahkan, serta dukungan untuk kompresi kernel menggunakan algoritma zstd.
Di sisi lain memberikan kemampuan untuk mem-boot sistem ke mesin virtual VMware dalam format OVA (Open Virtualization Format).
Dari perubahan lainnya yang menonjol dari versi baru ini:
- Versi terbaru dari distribusi aws-k8s-1.21 dengan dukungan untuk Kubernetes 1.21.
- Menghapus dukungan untuk aws-k8s-1.16.
- Penggunaan wildcard untuk menerapkan rp_filter ke antarmuka dihindari
- Migrasi telah dipindahkan dari v1.1.5 ke v1.2.0
Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentangnya dari versi baru ini, Anda dapat memeriksa detailnya sebagai berikut tautan. Selain itu Anda juga dapat berkonsultasi informasi untuk Anda pengaturan dan penanganan di sini.