Nowa wersja Bottlerocket 1.2.0, dystrybucji dla kontenerów AWS, została już wydana

Uruchomienie nowa wersja Butelkowa rakieta 1.2.0, czyli dystrybucja Linuksa opracowana przy udziale firmy Amazon w celu wydajnego i bezpiecznego uruchamiania izolowanych kontenerów. Ta nowa wersja charakteryzuje się tym, że w większym stopniu uZaktualizowana wersja pakietów, choć zawiera również kilka nowych zmian.

Dystrybucja Charakteryzuje się niepodzielnym obrazem systemu automatycznie i niepodzielnie aktualizowana, która obejmuje jądro systemu Linux i minimalne środowisko systemowe, które zawiera tylko składniki niezbędne do uruchamiania kontenerów.

O Bottlerocket

Środowisko korzysta z menedżera systemu systemd, biblioteki Glibc, Buildroot, program rozruchowy ŻARCIE, zły konfigurator sieci, środowisko uruchomieniowe pojemnikd do izolacji kontenerów platforma Kubernetes, AWS-iam-authenticator oraz agent Amazon ECS.

Narzędzia do aranżacji kontenerów są dostarczane w oddzielnym kontenerze zarządzania, który jest domyślnie włączony i zarządzany za pośrednictwem agenta i interfejsu API AWS SSM. Obraz podstawowy brakuje powłoki poleceń, serwera SSH i języków interpretowanych (na przykład bez języka Python lub Perl): narzędzia administratora i narzędzia do debugowania są przenoszone do oddzielnego kontenera usług, który jest domyślnie wyłączony.

Różnica Clave w odniesieniu do podobnych dystrybucji takie jak Fedora CoreOS, CentOS / Red Hat Atomic Host jest głównym celem zapewnienia maksymalnego bezpieczeństwa w kontekście zabezpieczenia systemu przed potencjalnymi zagrożeniami, co utrudnia wykorzystanie luk w komponentach systemu operacyjnego oraz zwiększa izolację kontenerów.

Kontenery tworzone są przy użyciu standardowych mechanizmów jądra Linux: cgroups, namespaces i seccomp. W celu dodatkowej izolacji dystrybucja używa SELinux w trybie "aplikacji".

Przegroda root jest zamontowany tylko do odczytu i partycji konfiguracyjnej / etc jest montowany w tmpfs i przywracany do pierwotnego stanu po ponownym uruchomieniu. Nie jest obsługiwana bezpośrednia modyfikacja plików w katalogu /etc, takich jak /etc/resolv.conf i /etc/containerd/config.toml, w celu trwałego zapisania ustawień, użycia interfejsu API lub przeniesienia funkcji do oddzielnych kontenerów. Do kryptograficznej weryfikacji integralności sekcji root wykorzystywany jest moduł dm-verity i w przypadku wykrycia próby modyfikacji danych na poziomie urządzenia blokowego, system jest restartowany.

Większość komponentów systemu jest napisana w języku Rust, który zapewnia sposób bezpiecznej pracy z pamięcią, co pozwala uniknąć luk w zabezpieczeniach spowodowanych dostępem do obszaru pamięci po jego zwolnieniu, wyłuskaniem wskaźników zerowych i przekroczeniem limitów buforów.

Główne nowe funkcje Bottlerocket 1.2.0

W nowej wersji Bottlerocket 1.2.0 wprowadzono wiele aktualizacji pakietów, których aktualizacje Wersje i zależności Rust, host-ctr, zaktualizowana wersja domyślnego kontenera zarządzania i różne pakiety stron trzecich.

Ze strony nowości wyróżnia się od Bottlerocket 1.2.0 to, że dodano wsparcie dla luster rejestracji obrazu kontenera, a także umiejętność korzystania certyfikaty z podpisem własnym (CA) oraz parametr umożliwiający skonfigurowanie nazwy hosta.

Dodano również ustawienia topologyManagerPolicy i topologyManagerScope dla kubelet, a także obsługę kompresji jądra przy użyciu algorytmu zstd.

Z drugiej strony zapewnił możliwość uruchamiania systemu na maszynach wirtualnych VMware w formacie OVA (Open Virtualization Format).

Z innych zmian które wyróżniają się na tle nowej wersji:

  • Zaktualizowana wersja dystrybucji aws-k8s-1.21 z obsługą Kubernetes 1.21.
  • Usunięto obsługę aws-k8s-1.16.
  • Unika się używania symboli wieloznacznych do zastosowania rp_filter do interfejsów
  • Migracje przeniesione z wersji 1.1.5 do wersji 1.2.0

W końcu jeśli chcesz dowiedzieć się więcej na ten temat tej nowej wersji możesz sprawdzić szczegóły poniżej połączyć. Oprócz tego możesz również zapoznać się z informacjami dotyczącymi Twojego konfiguracja i obsługa tutaj.


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

Bądź pierwszym który skomentuje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.