Phiên bản mới của Bottlerocket 1.2.0, bản phân phối cho vùng chứa AWS, đã được phát hành

Sự ra mắt của phiên bản mới của Giá đỡ chai 1.2.0, là một bản phân phối Linux được phát triển với sự tham gia của Amazon để chạy các vùng chứa biệt lập một cách hiệu quả và an toàn. Phiên bản mới này có đặc điểm là ở mức độ lớn hơnMột phiên bản cập nhật của các gói, mặc dù nó cũng đi kèm với một số thay đổi mới.

Sự phân phối Nó được đặc trưng bởi việc cung cấp một hình ảnh hệ thống không thể phân chia được cập nhật tự động và nguyên tử bao gồm nhân Linux và một môi trường hệ thống tối thiểu chỉ bao gồm các thành phần cần thiết để chạy các vùng chứa.

Giới thiệu về Bottlerocket

Môi trường sử dụng trình quản lý hệ thống systemd, thư viện Glibc, Buildroot, bộ nạp khởi động GRUB, trình cấu hình mạng xấu xa, thời gian chạy containerd để cô lập vùng chứa, nền tảng Kubernetes, Trình xác thực AWS-iam và đại lý Amazon ECS.

Các công cụ điều phối vùng chứa được vận chuyển trong một vùng chứa quản lý riêng biệt được bật theo mặc định và được quản lý thông qua tác nhân AWS SSM và API. Hình ảnh cơ sở thiếu một trình bao lệnh, máy chủ SSH và các ngôn ngữ được thông dịch (Ví dụ: không có Python hoặc Perl) - Các công cụ quản trị viên và công cụ gỡ lỗi được chuyển đến một vùng chứa dịch vụ riêng biệt, bị tắt theo mặc định.

Sự khác biệt chìa khóa đối với các bản phân phối tương tự chẳng hạn như Fedora CoreOS, CentOS / Red Hat Atomic Host là trọng tâm chính để cung cấp bảo mật tối đa trong bối cảnh làm cứng hệ thống trước các mối đe dọa tiềm ẩn, điều này gây khó khăn cho việc khai thác các lỗ hổng trong các thành phần của hệ điều hành và tăng khả năng cô lập vùng chứa.

Các vùng chứa được tạo bằng cách sử dụng các cơ chế nhân Linux tiêu chuẩn: cgroups, namespace và seccomp. Để cách ly bổ sung, bản phân phối sử dụng SELinux ở chế độ "ứng dụng".

Vách ngăn root được gắn kết chỉ đọc và phân vùng cấu hình / etc được gắn trên tmpfs và được khôi phục về trạng thái ban đầu sau khi khởi động lại. Không hỗ trợ sửa đổi trực tiếp các tệp trong thư mục / etc, chẳng hạn như /etc/resolv.conf và /etc/containerd/config.toml, để lưu cài đặt, sử dụng API hoặc di chuyển chức năng sang các vùng chứa riêng biệt. Để xác minh mật mã về tính toàn vẹn của phần gốc, mô-đun dm-verity được sử dụng và nếu phát hiện thấy nỗ lực sửa đổi dữ liệu ở cấp thiết bị khối, hệ thống sẽ được khởi động lại.

Hầu hết các thành phần hệ thống được viết bằng ngôn ngữ Rust, cung cấp một phương tiện làm việc an toàn với bộ nhớ, cho phép bạn tránh các lỗ hổng do truy cập vùng bộ nhớ sau khi nó được giải phóng, bỏ tham chiếu đến con trỏ rỗng và vượt quá giới hạn bộ đệm.

Các tính năng mới chính của Bottlerocket 1.2.0

Trong phiên bản mới này của Bottlerocket 1.2.0 rất nhiều bản cập nhật đã được giới thiệu trong số các gói mà các bản cập nhật của Các phiên bản gỉ và phụ thuộc, host-ctr, phiên bản cập nhật của vùng chứa quản lý mặc định và các gói bên thứ ba khác nhau.

Về phần tính mới, nó nổi bật so với Bottlerocket 1.2.0 là hỗ trợ thêm cho gương đăng ký hình ảnh vùng chứa, cũng như khả năng sử dụng chứng chỉ tự ký (CA) và tham số để có thể cấu hình tên máy chủ.

Các cài đặt topologyManagerPolicy và topologyManagerScope cho kubelet cũng được thêm vào, cũng như hỗ trợ nén hạt nhân bằng cách sử dụng thuật toán zstd.

Mặt khác cung cấp khả năng khởi động hệ thống vào các máy ảo VMware ở định dạng OVA (Open Virtualization Format).

Những thay đổi khác nổi bật so với phiên bản mới này:

  • Phiên bản cập nhật của bản phân phối aws-k8s-1.21 có hỗ trợ Kubernetes 1.21.
  • Đã xóa hỗ trợ cho aws-k8s-1.16.
  • Tránh sử dụng các ký tự đại diện để áp dụng rp_filter cho các giao diện
  • Đã di chuyển từ v1.1.5 sang v1.2.0

Cuối cùng nếu bạn muốn biết thêm về nó của phiên bản mới này, bạn có thể kiểm tra chi tiết sau đây liên kết. Ngoài ra bạn cũng có thể tham khảo thông tin cho thiết lập và xử lý tại đây.


Nội dung bài viết tuân thủ các nguyên tắc của chúng tôi về đạo đức biên tập. Để báo lỗi, hãy nhấp vào đây.

Hãy là người đầu tiên nhận xét

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.