S'acaba de donar a conèixer l'alliberament de la nova versió de la distribució de Linux Bottlerocket 1.1.0 la qual és desenvolupada amb la participació d'Amazon per executar contenidors aïllats de manera eficient i segura.
La distribució i els components de control estan escrits en el llenguatge Rust i es distribueixen sota les llicències MIT i Apache 2.0. Admet l'execució de Bottlerocket en els clústers d'Amazon ECS i AWS EKS Kubernetes, així com la creació de versions i revisions personalitzades que permeten diferents eines de temps d'execució i orquestració de contenidors.
la distribució proporciona una imatge de sistema indivisible actualitzada de manera automàtica i atòmica que inclou el nucli de Linux i un entorn de sistema mínim que inclou només els components necessaris per executar contenidors.
L'entorn utilitza el gestor de sistema systemd, biblioteca Glibc, buildroot, gestor d'arrencada GRUB, Un runtime per containerd, contenidors de la plataforma Kubernetes, AWS-iam-autenticador i l'agent d'Amazon ECS.
Les eines d'orquestració de contenidors s'envien en un contenidor d'administració separat que està habilitat per defecte i administrat a través de l'API i l'agent de AWS SSM. La imatge base manca d'un shell de comandaments, servidor SSH i idiomes interpretats (Per exemple, sense Python o Perl): les eines per a l'administrador i les eines de depuració es mouen a un contenidor de serveis separat, que està deshabilitat per omissió.
La diferència clau pel que fa a distribucions similars com Fedora coreos, CentOS / Red Hat Atomic Host és l'enfocament principal a proporcionar la màxima seguretat en el context d'enfortir el sistema contra possibles amenaces, el que dificulta l'explotació de vulnerabilitats en els components de sistema operatiu i augmenta l'aïllament de contenidors. Els contenidors es creen utilitzant els mecanismes estàndard de el nucli de Linux: cgroups, namespaces i seccomp.
La partició root es munta com de sol lectura i la partició de configuració / etc es munta en tmpfs i es restaura al seu estat original després de reiniciar. No s'admet la modificació directa d'arxius en el directori / etc, com /etc/resolv.conf i /etc/containerd/config.toml, per guardar permanentment la configuració, utilitzar l'API o moure la funcionalitat a contenidors separats.
Principals novetats de Bottlerocket 1.1.0
En aquesta nova versió de la distribució s'ha inclòs a el nucli de Linux 5.10 amb la finalitat de poder usar-lo en noves variants juntament amb les dues noves versions de les distribucions AWS-k8s-1.20 i vmware-k8s-1.20 compatibles amb Kubernetes 1.20.
En aquestes variants, així com en la versió actualitzada de AWS-ecs-1, està involucrat una manera de bloqueig que està configurat en «integritat» per defecte (bloqueja la capacitat de realitzar canvis en el nucli en execució des de l'espai de l'usuari). Es va eliminar el suport per AWS-k8s-1.15 basat en Kubernetes 1.15.
A més, Amazon ECS ara admet el mode de xarxa awsvpc, Que li permet assignar interfícies de xarxa i adreces IP internes independents per a cada tasca.
Es van agregar configuracions per administrar diverses configuracions de Kubernetes TLS bootstrap, inclosos QPS, límits de grup i la configuració de Kubernetes cloudProvider per permetre l'ús fora de AWS.
Al contenidor d'arrencada es proporciona amb SELinux per restringir l'accés a les dades de l'usuari, així com una divisió a les regles de política de SELinux per a subjectes de confiança.
Dels altres canvis que es destaquen de la nova versió:
- Ara es pot fer que Kubernetes clúster-dns-ip sigui opcional per admetre l'ús fora de AWS
- Es van canviar els paràmetres per recolzar un escaneig CIS saludable
- Es va afegir la utilitat resize2fs.
- Es va generar un ID de màquina estable a visitant de VMware i ARM KVM
- Es va habilitar la manera de bloqueig de l'nucli de «integritat» per a la variant de vista prèvia de AWS-ecs-1
- Eliminar l'anul·lació de el temps d'espera d'inici de l'servei predeterminat
- Evitar que els contenidors d'arrencada es reinicien
- Noves regles d'udev per muntar CD-ROM només quan hi ha mitjans presents
- Suport per a la regió de AWS ap-nord-est-3: Osaka
- URI de contenidor de pausa amb variables de plantilla estàndard
- Capacitat poder obtenir IP de DNS de l'clúster quan estigui disponible
Finalment si estàs interessat en poder conèixer més a l'respecte sobre aquesta nova versió alliberada o estàs interessat en la distribució, pots consultar els detalls en el següent enllaç.