Запуск новая версия Бутылочная ракета 1.2.0, который представляет собой дистрибутив Linux, разработанный при участии Amazon для эффективного и безопасного запуска изолированных контейнеров. Эта новая версия отличается тем, что в большей степени uОбновленная версия пакетов, хотя она также содержит некоторые новые изменения.
Распространение Характеризуется неделимым образом системы. автоматически и атомарно обновляется, включая ядро Linux и минимальную системную среду, которая включает только компоненты, необходимые для запуска контейнеров.
О Bottlerocket
Окружающая среда использует системный менеджер systemd, библиотеку Glibc, Buildroot, загрузчик ГРУБ, злой сетевой конфигуратор, среда выполнения контейнер для изоляции контейнера платформа Кубернетес, AWS-iam-Authenticator и агент Amazon ECS.
Инструменты оркестрации контейнеров поставляются в отдельном контейнере управления, который включен по умолчанию и управляется через агент и API AWS SSM. Базовое изображение отсутствует командная оболочка, SSH-сервер и интерпретируемые языки (Например, без Python или Perl) - инструменты администратора и инструменты отладки перемещены в отдельный контейнер службы, который по умолчанию отключен.
Различия ключ относительно аналогичных распределений такие как Fedora CoreOS, CentOS / Red Hat Atomic Host основное внимание уделяется обеспечению максимальной безопасности в контексте усиления защиты системы от потенциальных угроз, что затрудняет использование уязвимостей в компонентах операционной системы и увеличивает изоляцию контейнеров.
Контейнеры создаются с использованием стандартных механизмов ядра Linux: cgroups, namespaces и seccomp. Для дополнительной изоляции дистрибутив использует SELinux в «прикладном» режиме.
Раздел root монтируется только для чтения и раздел конфигурации / etc монтируется на tmpfs и восстанавливается в исходное состояние после перезагрузки. Прямая модификация файлов в каталоге / etc, таких как /etc/resolv.conf и /etc/containerd/config.toml, для постоянного сохранения настроек, использования API или перемещения функций в отдельные контейнеры не поддерживается. Для криптографической проверки целостности корневого раздела используется модуль dm-verity, и при обнаружении попытки изменения данных на уровне блочного устройства система перезагружается.
Большинство компонентов системы написано на языке Rust., который предоставляет средства безопасной работы с памятью, позволяя избежать уязвимостей, вызванных доступом к области памяти после ее освобождения, разыменованием нулевых указателей и превышением ограничений буфера.
Основные новые функции Bottlerocket 1.2.0
В этой новой версии Bottlerocket 1.2.0 было введено много обновлений пакетов, из которых обновления Версии и зависимости Rust, host-ctr, обновленная версия контейнера управления по умолчанию и различные сторонние пакеты.
Что касается новинок, то от Bottlerocket 1.2.0 он отличается тем, что добавлена поддержка зеркал журналирования образов контейнеров, а также возможность использовать самоподписанные сертификаты (CA) и параметр, позволяющий настроить имя хоста.
Также были добавлены настройки topologyManagerPolicy и topologyManagerScope для kubelet, а также поддержка сжатия ядра с использованием алгоритма zstd.
Более того предусмотрена возможность загрузки системы в виртуальные машины VMware в формате OVA (Open Virtualization Format).
Из других изменений которые выделяются из этой новой версии:
- Обновленная версия дистрибутива aws-k8s-1.21 с поддержкой Kubernetes 1.21.
- Удалена поддержка aws-k8s-1.16.
- Избегается использование подстановочных знаков для применения rp_filter к интерфейсам.
- Миграции перенесены с v1.1.5 на v1.2.0
В конце концов если вам интересно узнать об этом больше этой новой версии вы можете проверить подробности в следующих ссылка на сайт. В дополнение к этому вы также можете ознакомиться с информацией для вашего настройка и обработка здесь.