Programmas palaišana jaunā versija Pudeles raķis 1.2.0, kas ir Linux izplatīšana, kas ir izstrādāta, piedaloties Amazon, lai efektīvi un droši palaistu izolētus konteinerus. Šo jauno versiju raksturo tas, ka tā lielākā mērā ir uPakotņu atjaunināta versija, lai gan tajā ir arī dažas jaunas izmaiņas.
Izplatīšana To raksturo nedalāma sistēmas attēla nodrošināšana tiek automātiski un ar atomu atjaunināts, ietverot Linux kodolu un minimālu sistēmas vidi, kas ietver tikai komponentus, kas nepieciešami konteineru palaišanai.
Par Bottlerocket
Vide izmanto sistēmas pārvaldnieku, Glibc bibliotēku, Buildroot, sāknēšanas ielādētājs grub, ļaunais tīkla konfigurētājs, izpildlaiks konteinerā konteineru izolēšanai - platforma Kubernetes, AWS-iam-autentifikators un Amazon ECS aģents.
Konteineru orķestrēšanas rīki tiek piegādāti atsevišķā pārvaldības konteinerā, kas ir iespējots pēc noklusējuma un tiek pārvaldīts, izmantojot AWS SSM aģentu un API. Pamata attēls trūkst komandu apvalka, SSH servera un interpretētās valodas (Piemēram, bez Python vai Perl) - administratora rīki un atkļūdošanas rīki tiek pārvietoti uz atsevišķu pakalpojumu konteineru, kas pēc noklusējuma ir atspējots.
Atšķirība taustiņš attiecībā uz līdzīgiem sadalījumiem piemēram, Fedora CoreOS, CentOS / Red Hat Atomic Host ir galvenā uzmanība, lai nodrošinātu maksimālu drošību saistībā ar sistēmas sacietēšanu pret iespējamiem draudiem, kas apgrūtina operētājsistēmas komponentu ievainojamību izmantošanu un palielina konteineru izolāciju.
Konteineri tiek veidoti, izmantojot standarta Linux kodola mehānismus: cgrupas, nosaukumvietas un seccomp. Papildu izolācijai izplatīšana izmanto SELinux “lietojumprogrammas” režīmā.
Sadalījums root ir uzstādīts tikai lasāms un konfigurācijas nodalījumu / etc ir uzstādīts uz tmpfs un pēc pārstartēšanas tiek atjaunots sākotnējā stāvoklī. Netiek atbalstīta failu tieša modificēšana direktorijā /etc, piemēram, /etc/resolv.conf un /etc/containerd/config.toml, lai neatgriezeniski saglabātu iestatījumus, izmantotu API vai pārvietotu funkcionalitāti uz atsevišķiem konteineriem. Saknes sekcijas integritātes kriptogrāfiskai pārbaudei tiek izmantots dm-verity modulis, un, ja tiek mēģināts modificēt datus bloka ierīces līmenī, sistēma tiek restartēta.
Lielākā daļa sistēmas komponentu ir rakstīti Rust valodā, kas nodrošina drošu darbu ar atmiņu, ļaujot izvairīties no ievainojamības, ko rada piekļuve atmiņas zonai pēc tās atbrīvošanas, atcelšana uz nulles rādītājiem un bufera ierobežojumu pārsniegšana.
Bottlerocket 1.2.0 galvenās jaunās iespējas
Šajā jaunajā Bottlerocket 1.2.0 versijā ir ieviesti daudzi atjauninājumi no pakotnēm, kuru atjauninājumi Rūsas versijas un atkarības, resursdatora ctr, noklusējuma pārvaldības konteinera atjaunināto versiju un dažādas trešo pušu paketes.
No jaunumu puses tas izceļas no Bottlerocket 1.2.0 pievienots atbalsts konteineru attēlu reģistrācijas spoguļiem, kā arī lietošanas iespējas pašparakstīti sertifikāti (CA) un parametru, lai varētu konfigurēt resursdatora nosaukumu.
Tika pievienoti arī kubelet topologyManagerPolicy un topologyManagerScope iestatījumi, kā arī kodola saspiešanas atbalsts, izmantojot zstd algoritmu.
No otras puses nodrošināja iespēju ielādēt sistēmu virtuālajās mašīnās VMware OVA (Open Virtualization Format) formātā.
No pārējām izmaiņām kas izceļas no šīs jaunās versijas:
- Atjaunināta izplatīšanas aws-k8s-1.21 versija ar Kubernetes 1.21 atbalstu.
- Noņemts atbalsts aws-k8s-1.16.
- Ir jāizvairās no aizstājējzīmju izmantošanas, lai saskarnēm lietotu rp_filter
- Migrācijas ir pārvietotas no versijas 1.1.5 uz v1.2.0
Beidzot ja jūs interesē uzzināt vairāk par to šo jauno versiju varat pārbaudīt sīkāka informācija saite. Papildus tam jūs varat arī iepazīties ar savu informāciju uzstādīšana un apstrāde šeit.