O lançamento de a nova versão de Foguete de garrafa 1.2.0, que é uma distribuição Linux desenvolvida com a participação da Amazon para executar contêineres isolados com eficiência e segurança. Esta nova versão é caracterizada por ser em maior medida uUma versão de atualização dos pacotes, embora também venha com algumas novas alterações.
A distribuição É caracterizado por fornecer uma imagem de sistema indivisível atualizado automática e atomicamente que inclui o kernel Linux e um ambiente de sistema mínimo que inclui apenas os componentes necessários para executar contêineres.
Sobre a Bottlerocket
O entorno faz uso do gerenciador de sistema systemd, a biblioteca Glibc, Buildroot, bootloader larva, o configurador de rede perverso, o tempo de execução contêiner para isolamento de contêiner, a plataforma Kubernetes, AWS-iam-authenticator e o agente Amazon ECS.
As ferramentas de orquestração de contêineres são enviadas em um contêiner de gerenciamento separado que é habilitado por padrão e gerenciado por meio do agente AWS SSM e API. A imagem de base falta um shell de comando, servidor SSH e linguagens interpretadas (Por exemplo, sem Python ou Perl): Ferramentas de administrador e ferramentas de depuração são movidas para um contêiner de serviço separado, que é desabilitado por padrão.
A diferença clave com respeito a distribuições semelhantes como Fedora CoreOS, CentOS / Red Hat Atomic Host é o foco principal em fornecer segurança máxima no contexto de proteção do sistema contra ameaças potenciais, o que torna difícil explorar vulnerabilidades nos componentes do sistema operacional e aumenta o isolamento do contêiner.
Os contêineres são criados usando os mecanismos do kernel Linux padrão: cgroups, namespaces e seccomp. Para isolamento adicional, a distribuição usa SELinux no modo "aplicativo".
Partição root é montado somente leitura e a partição de configuração / etc é montado em tmpfs e restaurado ao seu estado original após a reinicialização. A modificação direta de arquivos no diretório / etc, como /etc/resolv.conf e /etc/containerd/config.toml, para salvar configurações permanentemente, usar a API ou mover funcionalidade para contêineres separados, não é suportada. Para verificação criptográfica da integridade da seção raiz, o módulo dm-verity é usado e se uma tentativa de modificar os dados for detectada no nível do dispositivo de bloco, o sistema será reinicializado.
A maioria dos componentes do sistema são escritos na linguagem Rust, que fornece um meio de trabalhar com segurança com a memória, permitindo que você evite vulnerabilidades causadas pelo acesso a uma área de memória após ela ser liberada, desreferenciando ponteiros nulos e excedendo os limites de buffer.
Principais novos recursos do Bottlerocket 1.2.0
Nesta nova versão do Bottlerocket 1.2.0 muitas atualizações foram introduzidas de pacotes dos quais as atualizações do Versões e dependências do Rust, host-ctr, a versão atualizada do contêiner de gerenciamento padrão e vários pacotes de terceiros.
Na parte das novidades, o que se destaca do Bottlerocket 1.2.0 é que adicionado suporte para espelhos de registro de imagem de contêiner, bem como a capacidade de usar certificados autoassinados (CA) e o parâmetro para poder configurar o nome do host.
As configurações topologyManagerPolicy e topologyManagerScope para kubelet também foram adicionadas, bem como o suporte para compactação de kernel usando o algoritmo zstd.
Por outro lado forneceu a capacidade de inicializar o sistema em máquinas virtuais VMware no formato OVA (Open Virtualization Format).
Das outras mudanças que se destacam nesta nova versão:
- Versão atualizada da distribuição aws-k8s-1.21 com suporte para Kubernetes 1.21.
- Removido o suporte para aws-k8s-1.16.
- O uso de curingas para aplicar rp_filter às interfaces é evitado
- As migrações foram movidas de v1.1.5 para v1.2.0
Finalmente se você estiver interessado em saber mais sobre isso desta nova versão, você pode verificar detalhes a seguir link. Além disso, você também pode consultar as informações para o seu configuração e manuseio aqui.