Lansarea noua versiune a Bottlerocket 1.2.0, care este o distribuție Linux dezvoltată cu participarea Amazon pentru a rula containere izolate în mod eficient și sigur. Această nouă versiune se caracterizează prin faptul că este într-o măsură mai mare uO versiune de actualizare a pachetelor, deși vine și cu câteva modificări noi.
Distributia Se caracterizează prin furnizarea unei imagini de sistem indivizibile actualizat automat și atomic, care include nucleul Linux și un mediu de sistem minim care include doar componentele necesare pentru a rula containere.
Despre Bottlerocket
Mediul folosește managerul de sistem systemd, biblioteca Glibc, Buildroot, încărcător de încărcare grub, configuratorul de rețea rău, timpul de execuție containerd pentru izolarea containerelor, platforma Kubernetes, AWS-iam-authenticator și agentul Amazon ECS.
Instrumentele de orchestrare a containerelor sunt livrate într-un container de gestionare separat care este activat în mod implicit și gestionat prin intermediul agentului AWS SSM și API. Imaginea de bază nu are un shell de comandă, server SSH și limbi interpretate (De exemplu, fără Python sau Perl) - Instrumentele de administrator și instrumentele de depanare sunt mutate într-un container de servicii separat, care este dezactivat în mod implicit.
La diferență cheie în ceea ce privește distribuțiile similare precum Fedora CoreOS, CentOS / Red Hat Atomic Host este accentul principal pe furnizarea de securitate maximă în contextul întăririi sistemului împotriva potențialelor amenințări, ceea ce face dificilă exploatarea vulnerabilităților componentelor sistemului de operare și crește izolarea containerelor.
Containerele sunt create utilizând mecanismele standard ale nucleului Linux: cgroups, namespaces și seccomp. Pentru o izolare suplimentară, distribuția utilizează SELinux în modul „aplicație”.
Partiție root este montat numai în citire și partiția de configurare / etc este montat pe tmpfs și restabilit la starea sa inițială după repornire. Modificarea directă a fișierelor din directorul / etc, cum ar fi /etc/resolv.conf și /etc/containerd/config.toml, pentru a salva definitiv setările, a utiliza API-ul sau pentru a muta funcționalitatea în containere separate, nu este acceptată. Pentru verificarea criptografică a integrității secțiunii rădăcină, se folosește modulul dm-verity și dacă se detectează o încercare de modificare a datelor la nivelul dispozitivului bloc, sistemul este repornit.
Majoritatea componentelor sistemului sunt scrise în limbajul Rust, care oferă un mijloc de lucru în siguranță cu memoria, permițându-vă să evitați vulnerabilitățile cauzate de accesarea unei zone de memorie după ce este eliberată, dereferențierea pointerilor nuli și depășirea limitelor tamponului.
Principalele caracteristici noi ale Bottlerocket 1.2.0
În această nouă versiune a Bottlerocket 1.2.0 au fost introduse o mulțime de actualizări de pachete ale căror actualizări ale Versiuni și dependențe Rust, host-ctr, versiunea actualizată a containerului de gestionare implicit și diverse pachete terțe.
Din partea noutăților, se evidențiază din Bottlerocket 1.2.0 este că a adăugat suport pentru oglinzile de înregistrare a imaginilor containerului, precum și capacitatea de utilizare certificate auto-semnate (CA) și parametrul pentru a putea configura numele gazdei.
S-au adăugat, de asemenea, setările topologyManagerPolicy și topologyManagerScope pentru kubelet, precum și suport pentru compresia nucleului utilizând algoritmul zstd.
Pe de altă parte a oferit posibilitatea de a porni sistemul pe mașini virtuale VMware în format OVA (Open Virtualization Format).
Dintre celelalte schimbări care se deosebesc de această nouă versiune:
- Versiune actualizată a distribuției aws-k8s-1.21 cu suport pentru Kubernetes 1.21.
- A fost eliminat suportul pentru aws-k8s-1.16.
- Folosirea metacaracterelor pentru a aplica rp_filter la interfețe este evitată
- Migrațiile au fost mutate de la v1.1.5 la v1.2.0
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta din această nouă versiune, puteți verifica detalii în cele ce urmează legătură. În plus, puteți consulta și informațiile pentru configurare și manipulare aici.