การเปิดตัว เวอร์ชันใหม่ของ Bottlerocket 1.2.0ซึ่งเป็นลินุกซ์ดิสทริบิวชั่นที่พัฒนาร่วมกับอเมซอนเพื่อรันคอนเทนเนอร์แบบแยกส่วนอย่างมีประสิทธิภาพและปลอดภัย เวอร์ชันใหม่นี้มีลักษณะเฉพาะมากกว่าuแพ็คเกจเวอร์ชันอัปเดต แม้ว่าจะมาพร้อมกับการเปลี่ยนแปลงใหม่บางอย่างด้วย
การกระจาย โดดเด่นด้วยการสร้างภาพระบบที่แบ่งแยกไม่ได้ อัปเดตอัตโนมัติและอะตอมที่มีเคอร์เนล Linux และสภาพแวดล้อมระบบขั้นต่ำที่รวมเฉพาะส่วนประกอบที่จำเป็นในการรันคอนเทนเนอร์
เกี่ยวกับ Bottlerocket
สภาพแวดล้อม ใช้ประโยชน์จากตัวจัดการระบบ systemd, ไลบรารี Glibc, Buildroot, bootloader ด้วง, ตัวกำหนดค่าเครือข่ายที่ชั่วร้าย รันไทม์ ตู้คอนเทนเนอร์ สำหรับการแยกคอนเทนเนอร์ แพลตฟอร์ม Kubernetes AWS-iam-authenticator และตัวแทน Amazon ECS
เครื่องมือจัดการคอนเทนเนอร์จัดส่งในคอนเทนเนอร์การจัดการแยกต่างหากที่เปิดใช้งานโดยค่าเริ่มต้นและจัดการผ่านตัวแทน AWS SSM และ API ภาพฐาน ไม่มีเชลล์คำสั่ง เซิร์ฟเวอร์ SSH และภาษาที่แปลแล้ว (ตัวอย่างเช่นไม่มี Python หรือ Perl) - เครื่องมือของผู้ดูแลระบบและเครื่องมือดีบักจะถูกย้ายไปยังที่เก็บบริการแยกต่างหากซึ่งจะถูกปิดใช้งานโดยค่าเริ่มต้น
ความแตกต่าง สำคัญ เกี่ยวกับการแจกแจงที่คล้ายคลึงกัน เช่น Fedora CoreOS, CentOS / Red Hat Atomic Host เป็นจุดเน้นหลักในการให้ความปลอดภัยสูงสุด ในบริบทของการเสริมความแข็งแกร่งให้กับระบบจากภัยคุกคามที่อาจเกิดขึ้น ซึ่งทำให้ยากต่อการใช้ประโยชน์จากช่องโหว่ในส่วนประกอบของระบบปฏิบัติการและเพิ่มการแยกคอนเทนเนอร์
คอนเทนเนอร์ถูกสร้างขึ้นโดยใช้กลไกเคอร์เนลมาตรฐานของ Linux: cgroups, เนมสเปซ และ seccomp สำหรับการแยกเพิ่มเติม การแจกจ่ายใช้ SELinux ในโหมด "แอปพลิเคชัน"
พาร์ทิชัน รูทถูกเมาท์แบบอ่านอย่างเดียว และพาร์ติชันการกำหนดค่า / etc ถูกติดตั้งบน tmpfs และกู้คืนเป็นสถานะดั้งเดิมหลังจากรีบูต. ไม่รองรับการแก้ไขไฟล์โดยตรงในไดเร็กทอรี / etc เช่น /etc/resolv.conf และ /etc/containerd/config.toml เพื่อบันทึกการตั้งค่าอย่างถาวร ใช้ API หรือย้ายฟังก์ชันการทำงานไปยังคอนเทนเนอร์แยกกัน สำหรับการตรวจสอบความถูกต้องเชิงเข้ารหัสของความสมบูรณ์ของส่วนรูท โมดูล dm-verity จะถูกใช้ และหากตรวจพบความพยายามที่จะแก้ไขข้อมูลที่ระดับอุปกรณ์บล็อก ระบบจะรีบูต
ส่วนประกอบของระบบส่วนใหญ่เขียนด้วยภาษารัสต์ซึ่งให้วิธีการทำงานอย่างปลอดภัยกับหน่วยความจำ ช่วยให้คุณหลีกเลี่ยงช่องโหว่ที่เกิดจากการเข้าถึงพื้นที่หน่วยความจำหลังจากที่ว่างแล้ว ยกเลิกการอ้างอิงตัวชี้ว่าง และเกินขีดจำกัดของบัฟเฟอร์
คุณสมบัติใหม่หลักของ Bottlerocket 1.2.0
ใน Bottlerocket เวอร์ชันใหม่ 1.2.0 มีการแนะนำการอัปเดตมากมาย ของแพ็คเกจที่มีการอัพเดทของ เวอร์ชันสนิมและการพึ่งพา, host-ctr, เวอร์ชันที่อัปเดตของคอนเทนเนอร์การจัดการเริ่มต้น และแพ็คเกจของบุคคลที่สามต่างๆ
ในส่วนของความแปลกใหม่นั้น โดดเด่นจาก Bottlerocket 1.2.0 นั่นเอง เพิ่มการรองรับมิเรอร์การลงทะเบียนอิมเมจคอนเทนเนอร์รวมไปถึงความสามารถในการใช้งาน ใบรับรองที่ลงนามเอง (CA) และพารามิเตอร์ที่สามารถกำหนดค่าชื่อโฮสต์ได้
นอกจากนี้ ยังมีการเพิ่มการตั้งค่า topologyManagerPolicy และ topologyManagerScope สำหรับ kubelet ตลอดจนรองรับการบีบอัดเคอร์เนลโดยใช้อัลกอริทึม zstd
ในทางกลับกัน ให้ความสามารถในการบูตระบบเข้าสู่เครื่องเสมือน VMware ในรูปแบบ OVA (Open Virtualization Format)
จากการเปลี่ยนแปลงอื่น ๆ ที่โดดเด่นกว่ารุ่นใหม่นี้:
- เวอร์ชันที่อัปเดตของการแจกจ่าย aws-k8s-1.21 พร้อมรองรับ Kubernetes 1.21
- ลบการสนับสนุนสำหรับ aws-k8s-1.16
- หลีกเลี่ยงการใช้สัญลักษณ์แทนเพื่อใช้ rp_filter กับอินเทอร์เฟซ
- การย้ายข้อมูลถูกย้ายจาก v1.1.5 เป็น v1.2.0
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม ของเวอร์ชันใหม่นี้ คุณสามารถตรวจสอบ รายละเอียดดังต่อไปนี้ ลิงค์. นอกจากนั้น คุณยังสามารถปรึกษาข้อมูลของคุณ การตั้งค่าและการจัดการที่นี่