De lancering van de nieuwe versie van Flessenraket 1.2.0, een Linux-distributie die is ontwikkeld met de medewerking van Amazon om geïsoleerde containers efficiënt en veilig uit te voeren. Deze nieuwe versie wordt gekenmerkt door in grotere mate uEen updateversie van pakketten, hoewel deze ook met enkele nieuwe wijzigingen komt.
De verdeling Het wordt gekenmerkt door een ondeelbaar systeembeeld automatisch en atomair bijgewerkt met de Linux-kernel en een minimale systeemomgeving die alleen de componenten bevat die nodig zijn om containers uit te voeren.
Over Bottlerocket
De omgeving maakt gebruik van de systemd system manager, de Glibc bibliotheek, Buildroot, bootloader ETEN, de slechte netwerkconfigurator, de runtime bevat voor containerisolatie, het platform Kubernetes, AWS-iam-authenticator en de Amazon ECS-agent.
Hulpprogramma's voor het orkestreren van containers worden geleverd in een afzonderlijke beheercontainer die standaard is ingeschakeld en wordt beheerd via de AWS SSM-agent en API. De basisafbeelding mist een opdrachtshell, SSH-server en geïnterpreteerde talen (Bijvoorbeeld zonder Python of Perl) - Beheerderstools en foutopsporingsprogramma's worden verplaatst naar een aparte servicecontainer, die standaard is uitgeschakeld.
Het verschil kliefde met betrekking tot vergelijkbare distributies zoals Fedora CoreOS, CentOS / Red Hat Atomic Host is de primaire focus op het bieden van maximale veiligheid in de context van het versterken van het systeem tegen potentiële bedreigingen, wat het moeilijk maakt om kwetsbaarheden in componenten van het besturingssysteem te misbruiken en de isolatie van containers vergroot.
Containers worden gemaakt met behulp van de standaard Linux-kernelmechanismen: cgroups, namespaces en seccomp. Voor extra isolatie gebruikt de distributie SELinux in "toepassings"-modus.
Partitie root is alleen-lezen gemount en de configuratiepartitie / etc is gemount op tmpfs en hersteld naar de oorspronkelijke staat na opnieuw opstarten. Directe wijziging van bestanden in de map / etc, zoals /etc/resolv.conf en /etc/containerd/config.toml, om instellingen permanent op te slaan, de API te gebruiken of functionaliteit te verplaatsen om containers te scheiden, wordt niet ondersteund. Voor cryptografische verificatie van de integriteit van de rootsectie wordt de dm-verity-module gebruikt en als een poging om de gegevens te wijzigen wordt gedetecteerd op blokapparaatniveau, wordt het systeem opnieuw opgestart.
De meeste systeemcomponenten zijn geschreven in de Rust-taal, waarmee u veilig met geheugen kunt werken, waardoor u kwetsbaarheden kunt vermijden die worden veroorzaakt door toegang tot een geheugengebied nadat het is vrijgemaakt, het verwijderen van null-pointers en het overschrijden van bufferlimieten.
Belangrijkste nieuwe kenmerken van Bottlerocket 1.2.0
In deze nieuwe versie van Bottlerocket 1.2.0 er zijn veel updates geïntroduceerd van pakketten waarvan de updates van de Rust-versies en afhankelijkheden, host-ctr, de bijgewerkte versie van de standaardbeheercontainer en verschillende pakketten van derden.
Aan de kant van de nieuwigheden onderscheidt het zich van Bottlerocket 1.2.0 is dat ondersteuning toegevoegd voor spiegels voor registratie van containerafbeeldingen, evenals de mogelijkheid om zelfondertekende certificaten (CA) en de parameter om de hostnaam te kunnen configureren.
De topologyManagerPolicy- en topologyManagerScope-instellingen voor kubelet zijn ook toegevoegd, evenals ondersteuning voor kernelcompressie met behulp van het zstd-algoritme.
Bovendien bood de mogelijkheid om het systeem op virtuele machines op te starten VMware in het OVA-formaat (Open Virtualization Format).
Van de andere veranderingen die zich onderscheiden van deze nieuwe versie:
- Bijgewerkte versie van de aws-k8s-1.21-distributie met ondersteuning voor Kubernetes 1.21.
- Ondersteuning voor aws-k8s-1.16 verwijderd.
- Het gebruik van jokertekens om rp_filter toe te passen op interfaces wordt vermeden
- Migraties verplaatst van v1.1.5 naar v1.2.0
Eindelijk als u er meer over wilt weten van deze nieuwe versie, kunt u controleren: details in het volgende koppeling. Daarnaast kunt u ook de informatie voor uw hier instellen en afhandelen.