Запуск нова версія Пляшка 1.2.0, що є дистрибутивом Linux, розробленим за участю Amazon для ефективного та безпечного запуску ізольованих контейнерів. Ця нова версія характеризується тим, що вона більшою мірою є uОновлена версія пакетів, хоча вона також містить деякі нові зміни.
Розподіл Він характеризується наданням неподільного образу системи автоматично та атомно оновлене, що включає ядро Linux та мінімальне системне середовище, що включає лише компоненти, необхідні для запуску контейнерів.
Про пляшку
Середовище використовує системний менеджер systemd, бібліотеку Glibc, Buildroot, завантажувач личинка, злий конфігуратор мережі, час виконання контейнер для ізоляції контейнерів - платформа Кубернете, AWS-iam-автентифікатор та агент ECS Amazon.
Інструменти оркестрування контейнерів поставляються в окремому контейнері для керування, який увімкнено за умовчанням і управляється за допомогою агента та API AWS SSM. Базове зображення не має командної оболонки, SSH -сервера та інтерпретованих мов (Наприклад, без Python або Perl) - інструменти адміністратора та засоби налагодження переміщуються в окремий контейнер служб, який за замовчуванням вимкнено.
La diferencia клава щодо подібних розподілів такі як Fedora CoreOS, CentOS / Red Hat Atomic Host є основним акцентом на забезпеченні максимального захисту в контексті посилення системи проти потенційних загроз, що ускладнює використання вразливостей у компонентах операційної системи та збільшує ізоляцію контейнерів.
Контейнери створюються за допомогою стандартних механізмів ядра Linux: cgroups, просторів імен та seccomp. Для додаткової ізоляції дистрибутив використовує SELinux у режимі "програми".
Розділ root встановлено лише для читання та розділ конфігурації / etc встановлюється на tmpfs і відновлюється до початкового стану після перезавантаження. Пряма зміна файлів у каталозі /etc, таких як /etc/resolv.conf та /etc/containerd/config.toml, для постійного збереження налаштувань, використання API або переміщення функцій до окремих контейнерів, не підтримується. Для криптографічної перевірки цілісності кореневого розділу використовується модуль dm-verity, і якщо спроба змінити дані виявлена на рівні блочного пристрою, система перезавантажується.
Більшість системних компонентів написані мовою Rust, що забезпечує засіб безпечної роботи з пам’яттю, дозволяючи уникнути вразливостей, викликаних доступом до області пам’яті після її звільнення, розмежуванням нульових покажчиків та перевищенням меж буфера.
Основні нові можливості Bottlerocket 1.2.0
У цій новій версії Bottlerocket 1.2.0 було внесено багато оновлень пакетів, оновлення яких Версії та залежності Rust, host-ctr, оновлена версія контейнера управління за замовчуванням та різні сторонні пакети.
Що стосується новинок, то він виділяється з Bottlerocket 1.2.0 додана підтримка дзеркал реєстрації зображень контейнера, а також можливість використання самопідписані сертифікати (CA) та параметр, щоб мати можливість налаштувати ім’я хоста.
Також були додані параметри topologyManagerPolicy та topologyManagerScope для kubelet, а також підтримка стиснення ядра за допомогою алгоритму zstd.
З іншого боку передбачена можливість завантаження системи на віртуальні машини VMware у форматі OVA (Open Virtualization Format).
З інших змін що виділяються з цієї нової версії:
- Оновлена версія дистрибутива aws-k8s-1.21 з підтримкою Kubernetes 1.21.
- Вилучена підтримка aws-k8s-1.16.
- Уникається використання символів підстановки для застосування rp_filter до інтерфейсів
- Перенесення переміщено з v1.1.5 на v1.2.0
В кінці кінців якщо вам цікаво дізнатись більше про це цієї нової версії, ви можете перевірити подробиці нижче посилання. Крім того, ви також можете ознайомитися з інформацією для себе налаштування та обробка тут.