Lanseringen av den nya versionen av Bottlerocket 1.2.0, som är en Linux -distribution som är utvecklad med deltagande av Amazon för att köra isolerade behållare effektivt och säkert. Denna nya version kännetecknas av att den i större utsträckning är uEn uppdateringsversion av paket, även om det också kommer med några nya ändringar.
Fördelningen Den kännetecknas av att den ger en odelbar systembild uppdateras automatiskt och atomiskt som inkluderar Linux -kärnan och en minimal systemmiljö som endast innehåller de komponenter som är nödvändiga för att köra behållare.
Om Bottlerocket
Miljön använder systemhanteraren, Glibc -biblioteket, Buildroot, bootloader RÖJA, den onda nätverkskonfiguratorn, körtiden innehöll för behållarisolering, plattformen Kubernetes, AWS-iam-authenticator och Amazon ECS-agenten.
Behållarorkesteringsverktyg levereras i en separat hanteringsbehållare som är aktiverad som standard och hanteras via AWS SSM -agenten och API: et. Grundbilden saknar ett kommandoskal, SSH -server och tolkade språk (Till exempel utan Python eller Perl): Administratörsverktyg och felsökningsverktyg flyttas till en separat servicebehållare, som är inaktiverad som standard.
Skillnaden klöv sönder med avseende på liknande distributioner såsom Fedora CoreOS, CentOS / Red Hat Atomic Host är det primära fokuset på att ge maximal säkerhet i samband med att härda systemet mot potentiella hot, vilket gör det svårt att utnyttja sårbarheter i operativsystemets komponenter och ökar containerisolering.
Behållare skapas med standard Linux -kärnmekanismer: cgrupper, namnrymder och seccomp. För ytterligare isolering använder distributionen SELinux i "applikations" -läge.
Dela root är skrivskyddad och konfigurationspartitionen / etc monteras på tmpfs och återställs till sitt ursprungliga tillstånd efter omstart. Direkt modifiering av filer i /etc -katalogen, till exempel /etc/resolv.conf och /etc/containerd/config.toml, för att permanent spara inställningar, använda API eller flytta funktioner till separata behållare, stöds inte. För kryptografisk verifiering av rotavsnittets integritet används dm-verity-modulen och om ett försök att ändra data detekteras på blockenhetsnivå startas systemet om.
De flesta systemkomponenterna är skrivna på Rust-språket, som ger ett sätt att säkert arbeta med minne, så att du kan undvika sårbarheter som orsakas av åtkomst till ett minnesområde efter att det har frigjorts, dereferencing nullpekare och överskridande av buffertgränser.
De viktigaste nya funktionerna i Bottlerocket 1.2.0
I denna nya version av Bottlerocket 1.2.0 många uppdateringar har introducerats paket som uppdateringarna av Rostversioner och beroenden, host-ctr, den uppdaterade versionen av standardhanteringsbehållaren och olika paket från tredje part.
Från nyheterna sticker det ut från Bottlerocket 1.2.0 är det lagt till stöd för behållaravbildningsspeglar, liksom möjligheten att använda självsignerade certifikat (CA) och parametern för att kunna konfigurera värdnamnet.
TopologyManagerPolicy och topologyManagerScope -inställningarna för kubelet har också lagts till, liksom stöd för kärnkomprimering med zstd -algoritmen.
Å andra sidan gav möjligheten att starta systemet till virtuella maskiner VMware i formatet OVA (Open Virtualization Format).
Av de andra förändringarna som sticker ut från den här nya versionen:
- Uppdaterad version av aws-k8s-1.21-distributionen med stöd för Kubernetes 1.21.
- Borttaget stöd för aws-k8s-1.16.
- Användning av jokertecken för att applicera rp_filter på gränssnitt undviks
- Migreringar har flyttats från v1.1.5 till v1.2.0
Slutligen om du är intresserad av att veta mer om det i den här nya versionen kan du kontrollera detaljer i följande länk. Utöver det kan du också konsultera informationen för din installation och hantering här.