A nova versão do Bottlerocket 1.2.0, a distro para contêineres AWS, já foi lançada

O lançamento de a nova versão de Bottlerocket 1.2.0, que é uma distribuição Linux desenvolvida com a participação da Amazon para executar contêineres isolados com eficiência e segurança. Esta nova versão é caracterizada por ser em maior medida uUma versão de atualização dos pacotes, embora também venha com algumas novas alterações.

A distribuição É caracterizado por fornecer uma imagem de sistema indivisível atualizado automática e atomicamente que inclui o kernel Linux e um ambiente de sistema mínimo que inclui apenas os componentes necessários para executar contêineres.

Sobre a Bottlerocket

O entorno faz uso do gerenciador de sistema systemd, a biblioteca Glibc, Buildroot, bootloader larva, o configurador de rede perverso, o tempo de execução contêiner para isolamento de contêiner, a plataforma Kubernetes, AWS-iam-authenticator e o agente Amazon ECS.

As ferramentas de orquestração de contêineres são enviadas em um contêiner de gerenciamento separado que é habilitado por padrão e gerenciado por meio do agente AWS SSM e API. A imagem de base falta um shell de comando, servidor SSH e linguagens interpretadas (Por exemplo, sem Python ou Perl): Ferramentas de administrador e ferramentas de depuração são movidas para um contêiner de serviço separado, que é desabilitado por padrão.

A diferença clave com respeito a distribuições semelhantes como Fedora CoreOS, CentOS / Red Hat Atomic Host é o foco principal em fornecer segurança máxima no contexto de proteção do sistema contra ameaças potenciais, o que torna difícil explorar vulnerabilidades nos componentes do sistema operacional e aumenta o isolamento do contêiner.

Os contêineres são criados usando os mecanismos do kernel Linux padrão: cgroups, namespaces e seccomp. Para isolamento adicional, a distribuição usa SELinux no modo "aplicativo".

Partição root é montado somente leitura e a partição de configuração / etc é montado em tmpfs e restaurado ao seu estado original após a reinicialização. A modificação direta de arquivos no diretório / etc, como /etc/resolv.conf e /etc/containerd/config.toml, para salvar configurações permanentemente, usar a API ou mover funcionalidade para contêineres separados, não é suportada. Para verificação criptográfica da integridade da seção raiz, o módulo dm-verity é usado e se uma tentativa de modificar os dados for detectada no nível do dispositivo de bloco, o sistema será reinicializado.

A maioria dos componentes do sistema são escritos na linguagem Rust, que fornece um meio de trabalhar com segurança com a memória, permitindo que você evite vulnerabilidades causadas pelo acesso a uma área de memória após ela ser liberada, desreferenciando ponteiros nulos e excedendo os limites de buffer.

Principais novos recursos do Bottlerocket 1.2.0

Nesta nova versão do Bottlerocket 1.2.0 muitas atualizações foram introduzidas de pacotes dos quais as atualizações do Versões e dependências do Rust, host-ctr, a versão atualizada do contêiner de gerenciamento padrão e vários pacotes de terceiros.

Na parte das novidades, o que se destaca do Bottlerocket 1.2.0 é que adicionado suporte para espelhos de registro de imagem de contêiner, bem como a capacidade de usar certificados autoassinados (CA) e o parâmetro para poder configurar o nome do host.

As configurações topologyManagerPolicy e topologyManagerScope para kubelet também foram adicionadas, bem como o suporte para compactação de kernel usando o algoritmo zstd.

Por outro lado forneceu a capacidade de inicializar o sistema em máquinas virtuais VMware no formato OVA (Open Virtualization Format).

Das outras mudanças que se destacam nesta nova versão:

  • Versão atualizada da distribuição aws-k8s-1.21 com suporte para Kubernetes 1.21.
  • Removido o suporte para aws-k8s-1.16.
  • O uso de curingas para aplicar rp_filter às interfaces é evitado
  • As migrações foram movidas de v1.1.5 para v1.2.0

Finalmente se você estiver interessado em saber mais sobre isso desta nova versão, você pode verificar detalhes a seguir link. Além disso, você também pode consultar as informações para o seu configuração e manuseio aqui.


O conteúdo do artigo segue nossos princípios de Ética editorial. Para relatar um erro, clique Clique aqui.

Seja o primeiro a comentar

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.