Lansmanı yeni versiyonu Şişe roketi 1.2.0İzole konteynerlerin verimli ve güvenli bir şekilde çalıştırılması için Amazon'un katılımıyla geliştirilen bir Linux dağıtımıdır. Bu yeni versiyonun özelliği büyük ölçüde uBazı yeni değişikliklerle birlikte gelmesine rağmen bir paket güncelleme sürümü.
Dağıtım bölünmez bir sistem görüntüsü sağlayarak karakterize edilir Linux çekirdeğini ve yalnızca kapsayıcıları çalıştırmak için gerekli bileşenleri içeren minimum sistem ortamını içeren otomatik ve atomik olarak güncellenir.
Şişe Roketi Hakkında
Çevre systemd sistem yöneticisini, Glibc kitaplığını, Buildroot'u kullanır, önyükleyici kurtçuk, kötü ağ yapılandırıcısı, çalışma zamanı Containerd konteyner izolasyonu için platform Kubernet'ler, AWS-iam-authenticator ve Amazon ECS aracısı.
Kapsayıcı düzenleme araçları, varsayılan olarak etkinleştirilen ve AWS SSM aracısı ve API'si aracılığıyla yönetilen ayrı bir yönetim kapsayıcısında gönderilir. temel görüntü komut kabuğu, SSH sunucusu ve yorumlanmış dillerden yoksundur (Örneğin, Python veya Perl olmadan) - Yönetici araçları ve hata ayıklama araçları, varsayılan olarak devre dışı bırakılan ayrı bir hizmet konteynerine taşınır.
Fark anahtar benzer dağılımlara göre Fedora CoreOS, CentOS / Red Hat Atomic Host gibi maksimum güvenlik sağlamaya odaklanan birincil odak noktasıdır sistemi olası tehditlere karşı sağlamlaştırma bağlamında, bu da işletim sistemi bileşenlerindeki güvenlik açıklarından yararlanmayı zorlaştırır ve kapsayıcı yalıtımını artırır.
Kapsayıcılar standart Linux çekirdek mekanizmaları kullanılarak oluşturulur: gruplar, ad alanları ve seccomp. Ek izolasyon için dağıtım, "uygulama" modunda SELinux'u kullanır.
Bölüm root salt okunur olarak bağlandı ve yapılandırma bölümü /etc tmpfs'ye bağlanır ve yeniden başlatmanın ardından orijinal durumuna geri yüklenir. Yapılandırmayı kalıcı olarak kaydetmek, API'yi kullanmak veya işlevselliği ayrı kapsayıcılara taşımak için /etc/resolv.conf ve /etc/containerd/config.toml gibi /etc dizinindeki dosyaların doğrudan değiştirilmesi desteklenmez. Kök bölümünün bütünlüğünün kriptografik olarak doğrulanması için dm-verity modülü kullanılır ve blok cihaz düzeyinde veriyi değiştirmeye yönelik bir girişim tespit edilirse sistem yeniden başlatılır.
Sistem bileşenlerinin çoğu Rust dilinde yazılmıştırBellekle güvenli bir şekilde çalışmak için bir araç sağlayan, bir bellek alanına serbest bırakıldıktan sonra erişmenin, boş işaretçilerin referansının kaldırılmasının ve arabellek sınırlarının aşılmasının neden olduğu güvenlik açıklarından kaçınmanıza olanak tanır.
Bottlerocket 1.2.0'ın başlıca yeni özellikleri
Bottlerocket 1.2.0'ın bu yeni sürümünde çok sayıda güncelleme getirildi güncellemeleri olan paketlerin Rust sürümleri ve bağımlılıkları, ana bilgisayar-ctr, varsayılan yönetim kapsayıcısının güncellenmiş sürümü ve çeşitli üçüncü taraf paketleri.
Yeni özelliklerle ilgili olarak Bottlerocket 1.2.0'da öne çıkan şey şu: Konteyner görüntüsü kayıt defteri aynaları için destek eklendive aynı zamanda kullanma yeteneği kendinden imzalı sertifikalar (CA) ve ana bilgisayar adını yapılandırabilmek için parametre.
Ayrıca kubelet için topologyManagerPolicy ve topologyManagerScope yapılandırmalarının yanı sıra zstd algoritmasını kullanan çekirdek sıkıştırma desteği de eklendi.
Dahası sistemi sanal makinelere önyükleme yeteneği sağladı OVA formatında VMware (Açık Sanallaştırma Formatı).
Diğer değişikliklerden bu yeni sürümden öne çıkan:
- aws-k8s-1.21 dağıtımının Kubernetes 1.21 desteğiyle güncellenmiş sürümü.
- aws-k8s-1.16 desteği kaldırıldı.
- Arayüzlere rp_filter uygulamak için joker karakterler kullanmaktan kaçının
- Geçişler v1.1.5'ten v1.2.0'a taşındı
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsan bu yeni sürümün, kontrol edebilirsiniz aşağıdaki detaylar bağlantı. Ayrıca, bilgilerinize de başvurabilirsiniz. Yapılandırma ve yönetim burada.