Paleidimas nauja versija 1.2.0, kuris yra „Linux“ platinimas, sukurtas dalyvaujant „Amazon“, kad būtų galima efektyviai ir saugiai valdyti izoliuotus konteinerius. Šiai naujai versijai būdingas didesnis uAtnaujinta paketų versija, nors ji taip pat turi keletą naujų pakeitimų.
Paskirstymas pasižymi nedalomu sistemos įvaizdžiu automatiškai ir atomiškai atnaujinamas, apimantis „Linux“ branduolį ir minimalią sistemos aplinką, apimančią tik komponentus, būtinus konteineriams paleisti.
Apie „Bottlerocket“
Aplinka naudojasi sistemos sistemos tvarkykle, „Glibc“ biblioteka, „Buildroot“, įkrovos įkroviklis grub, piktadarys tinklo konfigūratorius, vykdymo laikas konteinerių konteinerių izoliacijai - platforma Kubernetas, AWS-iam-autentifikatorius ir „Amazon ECS“ agentas.
Konteinerių tvarkymo įrankiai siunčiami į atskirą valdymo konteinerį, kuris įjungtas pagal numatytuosius nustatymus ir valdomas naudojant AWS SSM agentą ir API. Bazinis vaizdas trūksta komandų apvalkalo, SSH serverio ir aiškinamų kalbų (Pavyzdžiui, be „Python“ ar „Perl“) - administratoriaus įrankiai ir derinimo įrankiai perkeliami į atskirą paslaugų talpyklą, kuri pagal numatytuosius nustatymus yra išjungta.
Skirtumas raktas panašių paskirstymų atžvilgiu pvz., „Fedora CoreOS“, „CentOS“ / „Red Hat Atomic Host“ yra pagrindinis dėmesys užtikrinant maksimalų saugumą sistemai grūdinant nuo galimų grėsmių, o tai apsunkina operacinės sistemos komponentų pažeidžiamumo išnaudojimą ir padidina konteinerių izoliaciją.
Konteineriai sukurti naudojant standartinius „Linux“ branduolio mechanizmus: cgrupes, vardų sritis ir seccomp. Papildomai izoliacijai platinimas naudoja „SELinux“ „programos“ režimu.
Padalijimas root yra sumontuotas tik skaitomas ir konfigūracijos skaidinį / etc yra sumontuotas tmpfs ir atkuriamas į pradinę būseną po perkrovimo. Tiesioginis failų, esančių kataloge /etc, modifikavimas, pvz., /Etc/resolv.conf ir /etc/containerd/config.toml, modifikuoti, norint visam laikui išsaugoti konfigūraciją, naudoti API arba perkelti funkcijas į atskirus konteinerius, nepalaikomas. Kriptografiniam pagrindinės sekcijos vientisumo patikrinimui naudojamas „dm-verity“ modulis ir, jei blokavimo įrenginio lygiu aptinkamas bandymas modifikuoti duomenis, sistema perkraunama.
Dauguma sistemos komponentų parašyti „Rust“ kalba, kuris suteikia galimybę saugiai dirbti su atmintimi ir leidžia išvengti pažeidžiamumų, kuriuos sukelia prieiga prie atminties srities po to, kai ji išlaisvinama, panaikinti nulinių rodyklių rodmenis ir viršyti buferio apribojimus.
Pagrindinės naujos „Bottlerocket 1.2.0“ funkcijos
Šioje naujoje „Bottlerocket 1.2.0“ versijoje buvo įvesta daug atnaujinimų paketų, kurių atnaujinimai „Rust“ versijos ir priklausomybės, „host-ctr“, atnaujinta numatytojo valdymo sudėtinio rodinio versija ir įvairūs trečiųjų šalių paketai.
Iš naujovių jis išsiskiria iš „Bottlerocket 1.2.0“ papildomas konteinerių vaizdų registravimo veidrodžių palaikymas, taip pat galimybė naudotis savarankiškai pasirašyti sertifikatai (CA) ir parametrą, kad būtų galima sukonfigūruoti pagrindinio kompiuterio pavadinimą.
Taip pat buvo pridėti „kubelet“ „topologyManagerPolicy“ ir „topologyManagerScope“ nustatymai, taip pat palaikomas branduolio suspaudimas naudojant „zstd“ algoritmą.
Kita vertus suteikė galimybę paleisti sistemą į virtualias mašinas „VMware“ OVA (Open Virtualization Format) formatu.
Iš kitų pokyčių kurie išsiskiria iš šios naujos versijos:
- Atnaujinta platinimo „aws-k8s-1.21“ versija, palaikanti „Kubernetes 1.21“.
- Pašalinta „aws-k8s-1.16“ parama.
- Vengiama naudoti pakaitos simbolius, kad „rp_filter“ būtų taikomas sąsajoms
- Perkėlimai perkelti iš v1.1.5 į v1.2.0
Pagaliau jei norite sužinoti daugiau apie tai šios naujos versijos galite patikrinti išsami informacija toliau nuoroda. Be to, galite susipažinti su savo informacija sąranka ir tvarkymas čia.