Bottlerocket 1.2.0 เวอร์ชันใหม่ ซึ่งเป็น distro สำหรับคอนเทนเนอร์ AWS เปิดตัวแล้ว

การเปิดตัว เวอร์ชันใหม่ของ Bottlerocket 1.2.0ซึ่งเป็นลินุกซ์ดิสทริบิวชั่นที่พัฒนาร่วมกับอเมซอนเพื่อรันคอนเทนเนอร์แบบแยกส่วนอย่างมีประสิทธิภาพและปลอดภัย เวอร์ชันใหม่นี้มีลักษณะเฉพาะมากกว่าuแพ็คเกจเวอร์ชันอัปเดต แม้ว่าจะมาพร้อมกับการเปลี่ยนแปลงใหม่บางอย่างด้วย

การกระจาย โดดเด่นด้วยการสร้างภาพระบบที่แบ่งแยกไม่ได้ อัปเดตอัตโนมัติและอะตอมที่มีเคอร์เนล Linux และสภาพแวดล้อมระบบขั้นต่ำที่รวมเฉพาะส่วนประกอบที่จำเป็นในการรันคอนเทนเนอร์

เกี่ยวกับ Bottlerocket

สภาพแวดล้อม ใช้ประโยชน์จากตัวจัดการระบบ systemd, ไลบรารี Glibc, Buildroot, bootloader ด้วง, ตัวกำหนดค่าเครือข่ายที่ชั่วร้าย รันไทม์ ตู้คอนเทนเนอร์ สำหรับการแยกคอนเทนเนอร์ แพลตฟอร์ม Kubernetes AWS-iam-authenticator และตัวแทน Amazon ECS

เครื่องมือจัดการคอนเทนเนอร์จัดส่งในคอนเทนเนอร์การจัดการแยกต่างหากที่เปิดใช้งานโดยค่าเริ่มต้นและจัดการผ่านตัวแทน AWS SSM และ API ภาพฐาน ไม่มีเชลล์คำสั่ง เซิร์ฟเวอร์ SSH และภาษาที่แปลแล้ว (ตัวอย่างเช่นไม่มี Python หรือ Perl) - เครื่องมือของผู้ดูแลระบบและเครื่องมือดีบักจะถูกย้ายไปยังที่เก็บบริการแยกต่างหากซึ่งจะถูกปิดใช้งานโดยค่าเริ่มต้น

ความแตกต่าง สำคัญ เกี่ยวกับการแจกแจงที่คล้ายคลึงกัน เช่น Fedora CoreOS, CentOS / Red Hat Atomic Host เป็นจุดเน้นหลักในการให้ความปลอดภัยสูงสุด ในบริบทของการเสริมความแข็งแกร่งให้กับระบบจากภัยคุกคามที่อาจเกิดขึ้น ซึ่งทำให้ยากต่อการใช้ประโยชน์จากช่องโหว่ในส่วนประกอบของระบบปฏิบัติการและเพิ่มการแยกคอนเทนเนอร์

คอนเทนเนอร์ถูกสร้างขึ้นโดยใช้กลไกเคอร์เนลมาตรฐานของ Linux: cgroups, เนมสเปซ และ seccomp สำหรับการแยกเพิ่มเติม การแจกจ่ายใช้ SELinux ในโหมด "แอปพลิเคชัน"

พาร์ทิชัน รูทถูกเมาท์แบบอ่านอย่างเดียว และพาร์ติชันการกำหนดค่า / etc ถูกติดตั้งบน tmpfs และกู้คืนเป็นสถานะดั้งเดิมหลังจากรีบูต. ไม่รองรับการแก้ไขไฟล์โดยตรงในไดเร็กทอรี / etc เช่น /etc/resolv.conf และ /etc/containerd/config.toml เพื่อบันทึกการตั้งค่าอย่างถาวร ใช้ API หรือย้ายฟังก์ชันการทำงานไปยังคอนเทนเนอร์แยกกัน สำหรับการตรวจสอบความถูกต้องเชิงเข้ารหัสของความสมบูรณ์ของส่วนรูท โมดูล dm-verity จะถูกใช้ และหากตรวจพบความพยายามที่จะแก้ไขข้อมูลที่ระดับอุปกรณ์บล็อก ระบบจะรีบูต

ส่วนประกอบของระบบส่วนใหญ่เขียนด้วยภาษารัสต์ซึ่งให้วิธีการทำงานอย่างปลอดภัยกับหน่วยความจำ ช่วยให้คุณหลีกเลี่ยงช่องโหว่ที่เกิดจากการเข้าถึงพื้นที่หน่วยความจำหลังจากที่ว่างแล้ว ยกเลิกการอ้างอิงตัวชี้ว่าง และเกินขีดจำกัดของบัฟเฟอร์

คุณสมบัติใหม่หลักของ Bottlerocket 1.2.0

ใน Bottlerocket เวอร์ชันใหม่ 1.2.0 มีการแนะนำการอัปเดตมากมาย ของแพ็คเกจที่มีการอัพเดทของ เวอร์ชันสนิมและการพึ่งพา, host-ctr, เวอร์ชันที่อัปเดตของคอนเทนเนอร์การจัดการเริ่มต้น และแพ็คเกจของบุคคลที่สามต่างๆ

ในส่วนของความแปลกใหม่นั้น โดดเด่นจาก Bottlerocket 1.2.0 นั่นเอง เพิ่มการรองรับมิเรอร์การลงทะเบียนอิมเมจคอนเทนเนอร์รวมไปถึงความสามารถในการใช้งาน ใบรับรองที่ลงนามเอง (CA) และพารามิเตอร์ที่สามารถกำหนดค่าชื่อโฮสต์ได้

นอกจากนี้ ยังมีการเพิ่มการตั้งค่า topologyManagerPolicy และ topologyManagerScope สำหรับ kubelet ตลอดจนรองรับการบีบอัดเคอร์เนลโดยใช้อัลกอริทึม zstd

ในทางกลับกัน ให้ความสามารถในการบูตระบบเข้าสู่เครื่องเสมือน VMware ในรูปแบบ OVA (Open Virtualization Format)

จากการเปลี่ยนแปลงอื่น ๆ ที่โดดเด่นกว่ารุ่นใหม่นี้:

  • เวอร์ชันที่อัปเดตของการแจกจ่าย aws-k8s-1.21 พร้อมรองรับ Kubernetes 1.21
  • ลบการสนับสนุนสำหรับ aws-k8s-1.16
  • หลีกเลี่ยงการใช้สัญลักษณ์แทนเพื่อใช้ rp_filter กับอินเทอร์เฟซ
  • การย้ายข้อมูลถูกย้ายจาก v1.1.5 เป็น v1.2.0

ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม ของเวอร์ชันใหม่นี้ คุณสามารถตรวจสอบ รายละเอียดดังต่อไปนี้ ลิงค์. นอกจากนั้น คุณยังสามารถปรึกษาข้อมูลของคุณ การตั้งค่าและการจัดการที่นี่


เนื้อหาของบทความเป็นไปตามหลักการของเรา จรรยาบรรณของบรรณาธิการ. หากต้องการรายงานข้อผิดพลาดให้คลิก ที่นี่.

เป็นคนแรกที่จะแสดงความคิดเห็น

แสดงความคิดเห็นของคุณ

อีเมล์ของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมายด้วย *

*

*

  1. ผู้รับผิดชอบข้อมูล: Miguel ÁngelGatón
  2. วัตถุประสงค์ของข้อมูล: ควบคุมสแปมการจัดการความคิดเห็น
  3. ถูกต้องตามกฎหมาย: ความยินยอมของคุณ
  4. การสื่อสารข้อมูล: ข้อมูลจะไม่ถูกสื่อสารไปยังบุคคลที่สามยกเว้นตามข้อผูกพันทางกฎหมาย
  5. การจัดเก็บข้อมูล: ฐานข้อมูลที่โฮสต์โดย Occentus Networks (EU)
  6. สิทธิ์: คุณสามารถ จำกัด กู้คืนและลบข้อมูลของคุณได้ตลอดเวลา