推出 新版本 瓶装火箭1.2.0,这是一个在亚马逊的参与下开发的 Linux 发行版,用于高效、安全地运行隔离容器。 这个新版本的特点是在更大程度上你软件包的更新版本,尽管它也有一些新的变化。
分布 它的特点是提供不可分割的系统映像 自动和原子更新,其中包括 Linux 内核和仅包含运行容器所需的组件的最小系统环境。
关于 Bottlerocket
环境 利用 systemd 系统管理器、Glibc 库、Buildroot、 引导程序 格鲁布, 邪恶的网络配置器,运行时 装箱的 对于容器隔离,平台 Kubernetes, AWS-iam-authenticator 和 Amazon ECS 代理。
容器编排工具在单独的管理容器中提供,该容器默认启用并通过 AWS SSM 代理和 API 进行管理。 基本图像 缺少命令外壳、SSH 服务器和解释性语言 (例如,没有Python或Perl)-管理员工具和调试工具移至单独的服务容器,默认情况下处于禁用状态。
区别 谱号 关于类似分布 例如Fedora CoreOS,CentOS / Red Hat Atomic Host 主要致力于提供最大的安全性 在加强系统抵御潜在威胁的背景下,这使得难以利用操作系统组件中的漏洞并增加容器隔离。
容器是使用标准 Linux 内核机制创建的:cgroups、命名空间和 seccomp。 为了进一步隔离,该发行版在“应用程序”模式下使用 SELinux。
划分 root 以只读方式挂载 和配置分区 /etc挂载在tmpfs上,重启后恢复原状. 不支持直接修改 /etc 目录中的文件,例如 /etc/resolv.conf 和 /etc/containerd/config.toml,以永久保存设置、使用 API 或将功能移动到单独的容器。 对于根部分完整性的加密验证,使用 dm-verity 模块,如果在块设备级别检测到修改数据的尝试,系统将重新启动。
大多数系统组件都是用Rust语言编写的,它提供了一种安全使用内存的方法,使您可以避免由于在释放内存区域后访问内存区域、取消引用空指针和超出缓冲区限制而导致的漏洞。
Bottlerocket 1.2.0的主要新功能
在这个新版本的 Bottlerocket 1.2.0 引入了很多更新 包的更新 Rust 版本和依赖项,host-ctr, 默认管理容器的更新版本 以及各种第三方软件包。
在新颖性方面,Bottlerocket 1.2.0 的突出之处在于 添加了对容器镜像日志镜像的支持,以及使用的能力 自签名证书 (CA) 和参数可以配置主机名。
还添加了 kubelet 的 topologyManagerPolicy 和 topologyManagerScope 设置,以及对使用 zstd 算法的内核压缩的支持。
而且 提供了将系统引导到虚拟机的能力 OVA(开放虚拟化格式)格式的 VMware。
其他变化 从这个新版本中脱颖而出:
- aws-k8s-1.21 发行版的更新版本,支持 Kubernetes 1.21。
- 删除了对 aws-k8s-1.16 的支持。
- 避免使用通配符将 rp_filter 应用于接口
- 迁移已从 v1.1.5 移至 v1.2.0
最后 如果您有兴趣了解更多有关它的信息 这个新版本,你可以检查 详细内容如下 关联。 除此之外,您还可以查阅有关您的信息 在这里设置和处理。