Uruchomienie nowa wersja Butelkowa rakieta 1.2.0, czyli dystrybucja Linuksa opracowana przy udziale firmy Amazon w celu wydajnego i bezpiecznego uruchamiania izolowanych kontenerów. Ta nowa wersja charakteryzuje się tym, że w większym stopniu uZaktualizowana wersja pakietów, choć zawiera również kilka nowych zmian.
Dystrybucja Charakteryzuje się niepodzielnym obrazem systemu automatycznie i atomowo aktualizowane, które obejmuje jądro Linuksa i minimalne środowisko systemowe, które zawiera tylko komponenty potrzebne do uruchamiania kontenerów.
O Bottlerocket
Środowisko korzysta z menedżera systemu systemd, biblioteki Glibc, Buildroot, program rozruchowy ŻARCIE, zły konfigurator sieci, środowisko uruchomieniowe pojemnikd do izolacji kontenerów platforma Kubernetes, AWS-iam-authenticator oraz agent Amazon ECS.
Narzędzia do aranżacji kontenerów są dostarczane w oddzielnym kontenerze zarządzania, który jest domyślnie włączony i zarządzany za pośrednictwem agenta i interfejsu API AWS SSM. Obraz podstawowy brakuje powłoki poleceń, serwera SSH i języków interpretowanych (na przykład bez języka Python lub Perl): narzędzia administratora i narzędzia do debugowania są przenoszone do oddzielnego kontenera usług, który jest domyślnie wyłączony.
Różnica Clave w odniesieniu do podobnych dystrybucji takie jak Fedora CoreOS, CentOS / Red Hat Atomic Host jest głównym celem zapewnienia maksymalnego bezpieczeństwa w kontekście zabezpieczenia systemu przed potencjalnymi zagrożeniami, co utrudnia wykorzystanie luk w komponentach systemu operacyjnego oraz zwiększa izolację kontenerów.
Kontenery tworzone są przy użyciu standardowych mechanizmów jądra Linux: cgroups, namespaces i seccomp. W celu dodatkowej izolacji dystrybucja używa SELinux w trybie "aplikacji".
Przegroda root jest zamontowany tylko do odczytu i partycji konfiguracyjnej / etc jest montowany w tmpfs i przywracany do pierwotnego stanu po ponownym uruchomieniu. Nie jest obsługiwana bezpośrednia modyfikacja plików w katalogu /etc, takich jak /etc/resolv.conf i /etc/containerd/config.toml, w celu trwałego zapisania ustawień, użycia interfejsu API lub przeniesienia funkcji do oddzielnych kontenerów. Do kryptograficznej weryfikacji integralności sekcji root wykorzystywany jest moduł dm-verity i w przypadku wykrycia próby modyfikacji danych na poziomie urządzenia blokowego, system jest restartowany.
Większość komponentów systemu jest napisana w języku Rust, który zapewnia sposób bezpiecznej pracy z pamięcią, co pozwala uniknąć luk w zabezpieczeniach spowodowanych dostępem do obszaru pamięci po jego zwolnieniu, wyłuskaniem wskaźników zerowych i przekroczeniem limitów buforów.
Główne nowe funkcje Bottlerocket 1.2.0
W nowej wersji Bottlerocket 1.2.0 wprowadzono wiele aktualizacji pakietów, których aktualizacje Wersje i zależności Rust, host-ctr, zaktualizowana wersja domyślnego kontenera zarządzania i różne pakiety stron trzecich.
Ze strony nowości wyróżnia się od Bottlerocket 1.2.0 to, że dodano wsparcie dla luster rejestracji obrazu kontenera, a także umiejętność korzystania certyfikaty z podpisem własnym (CA) oraz parametr umożliwiający skonfigurowanie nazwy hosta.
Dodano również ustawienia topologyManagerPolicy i topologyManagerScope dla kubelet, a także obsługę kompresji jądra przy użyciu algorytmu zstd.
Z drugiej strony zapewnił możliwość uruchamiania systemu na maszynach wirtualnych VMware w formacie OVA (Open Virtualization Format).
Z innych zmian które wyróżniają się na tle nowej wersji:
- Zaktualizowana wersja dystrybucji aws-k8s-1.21 z obsługą Kubernetes 1.21.
- Usunięto obsługę aws-k8s-1.16.
- Unika się używania symboli wieloznacznych do zastosowania rp_filter do interfejsów
- Migracje przeniesione z wersji 1.1.5 do wersji 1.2.0
W końcu jeśli chcesz dowiedzieć się więcej na ten temat tej nowej wersji możesz sprawdzić szczegóły poniżej połączyć. Oprócz tego możesz również zapoznać się z informacjami dotyczącymi Twojego konfiguracja i obsługa tutaj.