ההשקה של הגרסה החדשה של בקבוק בקבוק 1.2.0, שהיא הפצת לינוקס שפותחה בהשתתפות אמזון להפעלת מכולות מבודדות ביעילות ובבטחה. גרסה חדשה זו מתאפיינת בכך שהיא במידה רבה יותר uגרסת עדכון של חבילות, למרות שהיא מגיעה גם עם כמה שינויים חדשים.
ההפצה הוא מאופיין במתן תמונת מערכת בלתי ניתנת לחלוקה מתעדכן אוטומטית ואטומית הכולל את ליבת לינוקס וסביבת מערכת מינימלית הכוללת רק את הרכיבים הדרושים להפעלת מכולות.
לגבי Bottlerocket
הסביבה עושה שימוש במנהל המערכת systemd, ספריית Glibc, Buildroot, מטעין אתחול לְחַטֵט, מבנה הרשת המרושע, זמן הריצה מכיל לבידוד מכולות, הפלטפורמה קוברנטס, AWS-iam-authenticator, וסוכן ECS של אמזון.
כלי תזמור המכולות נשלחים בכלי ניהול נפרד שמופעל כברירת מחדל ומנוהל באמצעות סוכן SSM ו- API של AWS. תמונת הבסיס חסר מעטפת פקודה, שרת SSH ושפות מפורשות (לדוגמא, ללא פייתון או פרל) - כלי מנהל וכלי ניפוי באגים מועברים למיכל שירות נפרד, אשר מושבת כברירת מחדל.
ההבדל הקלאווה ביחס להפצות דומות כגון Fedora CoreOS, CentOS / Red Hat Atomic Host הוא ההתמקדות העיקרית במתן אבטחה מרבית בהקשר של התקשות המערכת מפני איומים פוטנציאליים, מה שמקשה על ניצול נקודות תורפה ברכיבי מערכת ההפעלה ומגביר את בידוד המכולות.
מכולות נוצרות באמצעות מנגנוני הליבה הסטנדרטיים של לינוקס: קבוצות c, מרחבי שמות ו- seccomp. לבידוד נוסף, ההפצה משתמשת ב- SELinux במצב "יישום".
חֲלוּקָה השורש מותקן לקריאה בלבד ומחיצת התצורה / etc מותקן על tmpfs ומשוחזר למצב המקורי לאחר אתחול מחדש. אין תמיכה בשינוי ישיר של קבצים בספריית /etc, כגון /etc/resolv.conf ו /etc/containerd/config.toml, לשמירה קבועה של הגדרות, שימוש ב- API או העברת פונקציונליות למכלים נפרדים. לצורך אימות קריפטוגרפי של תקינות סעיף השורש, נעשה שימוש במודול dm-verity ואם מתגלה ניסיון לשנות את הנתונים ברמת מכשיר החסימה, המערכת מופעלת מחדש.
מרבית רכיבי המערכת כתובים בשפת Rust, המספק אמצעי לעבודה בבטחה עם זיכרון, המאפשר לך להימנע מפגיעות הנגרמות כתוצאה מגישה לאזור זיכרון לאחר שחרורו, הפניית מצבי null וחריגה ממגבלות החיץ.
התכונות החדשות העיקריות של Bottlerocket 1.2.0
בגרסה חדשה זו של Bottlerocket 1.2.0 הוכנסו הרבה עדכונים של חבילות מהן העדכונים של גרסאות חלודה ותלות, host-ctr, הגרסה המעודכנת של מיכל הניהול המוגדר כברירת מחדל וחבילות צד שלישי שונות.
מצד החידושים, מתבלט מכך שבוטלרוקרט 1.2.0 הוא זה נוספה תמיכה במראות רישום תמונת מיכל, כמו גם את היכולת להשתמש אישורים בחתימה עצמית (CA) והפרמטר כדי שתוכל להגדיר את שם המארח.
נוספו גם הגדרות topologyManagerPolicy וטופולוגיהManagerScope עבור קובלט, כמו גם תמיכה בדחיסת גרעין באמצעות האלגוריתם zstd.
מאידך גיסא סיפק את האפשרות לאתחל את המערכת למכונות וירטואליות VMware בפורמט OVA (Open Virtualization Format).
משאר השינויים הבולטים מהגרסה החדשה הזו:
- גרסה מעודכנת של ההפצה aws-k8s-1.21 עם תמיכה ב- Kubernetes 1.21.
- תמיכה הוסרה עבור aws-k8s-1.16.
- יש להימנע משימוש בתווים כלליים להחלת rp_filter על ממשקים
- ההעברות עברו מ- v1.1.5 ל- v1.2.0
בסופו של דבר אם אתה מעוניין לדעת יותר על כך של הגרסה החדשה הזו, אתה יכול לבדוק פרטים בהמשך קישור. בנוסף לזה אתה יכול גם להתייעץ עם המידע שלך התקנה וטיפול כאן.