Pelancaran versi baru dari Bottlerocket 1.2.0, yang merupakan sebaran Linux yang dikembangkan dengan penyertaan Amazon untuk menjalankan bekas terpencil dengan cekap dan selamat. Versi baru ini dicirikan oleh penggunaan yang lebih besarVersi kemas kini pakej, walaupun ia juga dilengkapi dengan beberapa perubahan baru.
Pembahagian dicirikan dengan memberikan imej sistem yang tidak dapat dipisahkan dikemas kini secara automatik dan atom yang merangkumi kernel Linux dan persekitaran sistem minimum yang merangkumi hanya komponen yang diperlukan untuk menjalankan kontena.
Mengenai Bottlerocket
Persekitaran memanfaatkan pengurus sistem systemd, perpustakaan Glibc, Buildroot, pemuat but grub, konfigurasi rangkaian yang jahat, masa runtime bekasd untuk pengasingan kontena, platform Kubernetes, Pengesah AWS-iam, dan ejen Amazon ECS.
Alat orkestrasi kontena dihantar dalam wadah pengurusan berasingan yang diaktifkan secara lalai dan diuruskan melalui ejen dan API AWS SSM. Imej asas kekurangan shell perintah, pelayan SSH, dan bahasa yang ditafsirkan (Contohnya, tanpa Python atau Perl) - Alat pentadbir dan alat debug dipindahkan ke wadah perkhidmatan yang berasingan, yang dilumpuhkan secara lalai.
Perbezaan kunci berkenaan dengan pembahagian yang serupa seperti Fedora CoreOS, CentOS / Red Hat Atomic Host adalah fokus utama untuk memberikan keselamatan maksimum dalam konteks pengerasan sistem daripada ancaman yang berpotensi, yang menjadikannya sukar untuk mengeksploitasi kelemahan dalam komponen sistem operasi dan meningkatkan pengasingan kontena.
Kontainer dibuat menggunakan mekanisme kernel Linux standard: kumpulan, ruang nama, dan seccomp. Untuk pengasingan tambahan, pengedaran menggunakan SELinux dalam mod "aplikasi".
Partition root dipasang hanya baca dan partition konfigurasi / etc dipasang pada tmpfs dan dikembalikan ke keadaan asalnya setelah reboot. Pengubahsuaian langsung fail dalam direktori / etc, seperti /etc/resolv.conf dan /etc/containerd/config.toml, untuk menyimpan konfigurasi secara kekal, menggunakan API, atau memindahkan fungsi ke pemisahan bekas tidak disokong. Untuk pengesahan kriptografi mengenai integriti bahagian akar, modul dm-verity digunakan dan jika percubaan untuk mengubah data dikesan pada tahap peranti blok, sistem akan dihidupkan semula.
Sebilangan besar komponen sistem ditulis dalam bahasa Rust, yang menyediakan cara untuk bekerja dengan aman dengan memori, memungkinkan Anda untuk menghindari kerentanan yang disebabkan oleh mengakses kawasan memori setelah dibebaskan, tidak menunjuk titik nol, dan melebihi had penyangga.
Ciri baru utama Bottlerocket 1.2.0
Dalam versi baru Bottlerocket 1.2.0 ini banyak kemas kini telah diperkenalkan pakej yang kemas kini dari Versi karat dan pergantungan, host-ctr, versi kemas kini wadah pengurusan lalai dan pelbagai pakej pihak ketiga.
Pada bahagian yang baru, yang menonjol dari Bottlerocket 1.2.0 adalah itu sokongan tambahan untuk cermin penebangan gambar kontena, serta kemampuan untuk menggunakan sijil yang ditandatangani sendiri (CA) dan parameter untuk dapat mengkonfigurasi nama host.
Tetapan topologyManagerPolicy dan topologyManagerScope untuk kubelet juga ditambahkan, serta sokongan untuk pemampatan kernel menggunakan algoritma zstd.
Sebaliknya memberikan keupayaan untuk boot sistem ke mesin maya VMware dalam format OVA (Open Virtualization Format).
Daripada perubahan yang lain yang menonjol dari versi baru ini:
- Versi pengedaran aws-k8s-1.21 yang dikemas kini dengan sokongan untuk Kubernetes 1.21.
- Sokongan dikeluarkan untuk aws-k8s-1.16.
- Penggunaan wildcard untuk menerapkan rp_filter ke antaramuka dielakkan
- Migrasi beralih dari v1.1.5 ke v1.2.0
Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya versi baru ini, anda boleh menyemak perincian dalam perkara berikut pautan. Di samping itu, anda juga boleh melihat maklumat untuk anda persediaan dan pengendalian di sini.