Il lancio di la nuova versione di Razzo di bottiglia 1.2.0, che è una distribuzione Linux sviluppata con la partecipazione di Amazon per eseguire container isolati in modo efficiente e sicuro. Questa nuova versione si caratterizza per essere in misura maggiore uUna versione di aggiornamento dei pacchetti, sebbene contenga anche alcune nuove modifiche.
La distribuzione È caratterizzato dal fornire un'immagine di sistema indivisibile aggiornato automaticamente e atomicamente che include il kernel Linux e un ambiente di sistema minimo che include solo i componenti necessari per eseguire i contenitori.
A proposito di Bottlerocket
L'ambiente utilizza il gestore di sistema systemd, la libreria Glibc, Buildroot, boot loader larva, il malvagio configuratore di rete, il runtime contenitore per l'isolamento dei container, la piattaforma Kubernetes, AWS-iam-authenticator e l'agente Amazon ECS.
Gli strumenti di orchestrazione dei container vengono forniti in un container di gestione separato abilitato per impostazione predefinita e gestito tramite l'agente e l'API di AWS SSM. L'immagine di base manca una shell di comando, un server SSH e linguaggi interpretati (Ad esempio, senza Python o Perl) - Gli strumenti di amministrazione e di debug vengono spostati in un contenitore di servizi separato, che è disabilitato per impostazione predefinita.
La differenza chiave rispetto a distribuzioni simili come Fedora CoreOS, CentOS / Red Hat Atomic Host è l'obiettivo principale nel fornire la massima sicurezza nel contesto dell'indurimento del sistema contro potenziali minacce, che rende difficile sfruttare le vulnerabilità nei componenti del sistema operativo e aumenta l'isolamento dei container.
I contenitori vengono creati utilizzando i meccanismi standard del kernel Linux: cgroups, namespace e seccomp. Per ulteriore isolamento, la distribuzione utilizza SELinux in modalità "applicazione".
Partizione root è montato in sola lettura e la partizione di configurazione / etc è montato su tmpfs e ripristinato al suo stato originale dopo il riavvio. La modifica diretta dei file nella directory /etc, come /etc/resolv.conf e /etc/containerd/config.toml, per salvare le impostazioni in modo permanente, utilizzare l'API o spostare funzionalità in contenitori separati, non è supportata. Per la verifica crittografica dell'integrità della sezione root, viene utilizzato il modulo dm-verity e se viene rilevato un tentativo di modificare i dati a livello di dispositivo a blocchi, il sistema viene riavviato.
La maggior parte dei componenti di sistema sono scritti in linguaggio Rust, che fornisce un mezzo per lavorare in sicurezza con la memoria, consentendo di evitare le vulnerabilità causate dall'accesso a un'area di memoria dopo che è stata liberata, dal dereferenziamento dei puntatori nulli e dal superamento dei limiti del buffer.
Principali novità di Bottlerocket 1.2.0
In questa nuova versione di Bottlerocket 1.2.0 sono stati introdotti molti aggiornamenti di pacchetti di cui gli aggiornamenti del Versioni e dipendenze di Rust, host-ctr, la versione aggiornata del contenitore di gestione predefinito e vari pacchetti di terze parti.
Da parte delle novità, si distingue da Bottlerocket 1.2.0 è che aggiunto il supporto per i mirror di registrazione delle immagini del contenitore, così come la capacità di utilizzare certificati autofirmati (CA) e il parametro per poter configurare il nome host.
Sono state aggiunte anche le impostazioni topologyManagerPolicy e topologyManagerScope per kubelet, oltre al supporto per la compressione del kernel tramite l'algoritmo zstd.
Inoltre fornito la possibilità di avviare il sistema in macchine virtuali VMware nel formato OVA (Open Virtualization Format).
Delle altre modifiche che si distinguono da questa nuova versione:
- Versione aggiornata della distribuzione aws-k8s-1.21 con supporto per Kubernetes 1.21.
- Rimosso il supporto per aws-k8s-1.16.
- Si evita l'uso di caratteri jolly per applicare rp_filter alle interfacce
- Le migrazioni sono state spostate dalla v1.1.5 alla v1.2.0
Infine se sei interessato a saperne di più di questa nuova versione, puoi controllare dettagli di seguito collegamento. Oltre a ciò puoi anche consultare le informazioni per il tuo configurazione e gestione qui.