Nisja e versioni i ri i Këllëfi i shisheve 1.2.0, e cila është një shpërndarje Linux që është zhvilluar me pjesëmarrjen e Amazon për të drejtuar kontejnerë të izoluar në mënyrë efikase dhe të sigurt. Ky version i ri karakterizohet nga të qenit në një masë më të madhe uNjë version i azhurnuar i paketave, megjithëse vjen gjithashtu me disa ndryshime të reja.
Shpërndarja Karakterizohet nga sigurimi i një imazhi të pandarë të sistemit azhurnohet automatikisht dhe atomikisht që përfshin kernelin Linux dhe një mjedis minimal të sistemit që përfshin vetëm përbërësit e nevojshëm për të drejtuar kontejnerët.
Rreth Bottlerocket
Mjedisi përdor menaxhuesin e sistemit systemd, bibliotekën Glibc, Buildroot, bootloader grusht, konfiguruesi i lig i rrjetit, koha e ekzekutimit kontejner për izolimin e kontejnerëve, platforma Kubernetes, AWS-iam-authenticator, dhe agjenti Amazon ECS.
Mjetet e orkestrimit të kontejnerëve dërgohen në një enë të veçantë menaxhimi që është aktivizuar si parazgjedhje dhe menaxhohet përmes agjentit AWS SSM dhe API. Imazhi bazë i mungon një shell komande, server SSH dhe gjuhë të interpretuara (Për shembull, pa Python ose Perl) - Mjetet e administratorit dhe mjetet e korrigjimit të gabimeve zhvendosen në një enë të veçantë të shërbimit, e cila është çaktivizuar si parazgjedhje.
Ndryshimi kyç në lidhje me shpërndarjet e ngjashme siç janë Fedora CoreOS, CentOS / Red Hat Atomic Host është fokusi kryesor në ofrimin e sigurisë maksimale në kontekstin e forcimit të sistemit kundër kërcënimeve të mundshme, gjë që e bën të vështirë shfrytëzimin e dobësive në përbërësit e sistemit operativ dhe rrit izolimin e kontejnerëve.
Kontejnerët janë krijuar duke përdorur mekanizmat standardë të kernel Linux: cgroups, namespaces, dhe seccomp. Për izolim shtesë, shpërndarja përdor SELinux në modalitetin "aplikim".
Ndarja rrënja është montuar vetëm për lexim dhe ndarjen e konfigurimit / etc është montuar në tmpfs dhe rivendoset në gjendjen e tij origjinale pas rindezjes. Modifikimi i drejtpërdrejtë i skedarëve në drejtorinë /etc, të tilla si /etc/resolv.conf dhe /etc/containerd/config.toml, për të ruajtur përgjithmonë konfigurimin, përdorimin e API ose lëvizjen e funksioneve në kontejnerë të veçantë nuk mbështetet. Për verifikimin kriptografik të integritetit të seksionit rrënjësor, përdoret moduli i vërtetësisë dm dhe nëse zbulohet një përpjekje për të modifikuar të dhënat në nivelin e pajisjes bllok, sistemi rindizet.
Shumica e përbërësve të sistemit janë të shkruara në gjuhën Rust, e cila siguron një mjet për të punuar në mënyrë të sigurt me kujtesën, duke ju lejuar të shmangni dobësitë e shkaktuara nga qasja në një zonë të kujtesës pasi të jetë liruar, heqja dorë nga treguesit null dhe tejkalimi i kufijve tampon.
Karakteristikat kryesore të reja të Shisheve 1.2.0
Në këtë version të ri të Bottlerocket 1.2.0 janë futur shumë përditësime e paketave nga të cilat përditësimet e Versionet dhe varësitë e ndryshkut, host-ctr, versioni i përditësuar i kontejnerit të paracaktuar të menaxhimit dhe paketa të ndryshme të palëve të treta.
Nga ana e risive, dallohet nga Bottlerocket 1.2.0 është se mbështetje e shtuar për pasqyrat e regjistrimit të imazhit të kontejnerit, si dhe aftësinë për t'u përdorur certifikata të vetë-nënshkruara (CA) dhe parametrin për të qenë në gjendje të konfiguroni emrin e hostit.
U shtuan gjithashtu cilësimet e topologyManagerPolicy dhe topologyManagerScope për kubelet, si dhe mbështetje për kompresimin e kernelit duke përdorur algoritmin zstd.
Nga ana tjetër siguroi aftësinë për të nisur sistemin në makina virtuale VMware në formatin OVA (Open Virtualization Format).
Nga ndryshimet e tjera që dallohen nga ky version i ri:
- Versioni i azhurnuar i shpërndarjes aws-k8s-1.21 me mbështetje për Kubernetes 1.21.
- U hoq mbështetja për aws-k8s-1.16.
- Përdorimi i kartave të egra për të aplikuar rp_filter në ndërfaqet shmanget
- Migrimet janë zhvendosur nga v1.1.5 në v1.2.0
Më në fund nëse jeni të interesuar të dini më shumë për të të këtij versioni të ri, mund ta kontrolloni detajet në vijim lidhje. Përveç kësaj, ju gjithashtu mund të konsultoheni me informacionin tuajin konfigurimi dhe trajtimi këtu.