Uvolnění nová verze distribuce Linuxu „Bottlerocket 1.1.0“ který je vyvinutý za účasti Amazonu efektivně a bezpečně provozovat izolované kontejnery.
Distribuční a ovládací komponenty jsou psány v jazyce Rust a jsou distribuovány pod licencemi MIT a Apache 2.0. Podporuje běh Bottlerocket na klastrech Amazon ECS a AWS EKS Kubernetes, stejně jako vlastní verze a opravy, které umožňují různé nástroje pro orchestraci kontejnerů a běhové nástroje.
Distribuce poskytuje automaticky a atomicky aktualizovaný nedělitelný obraz systému který zahrnuje jádro Linuxu a minimální systémové prostředí, které zahrnuje pouze komponenty nezbytné ke spuštění kontejnerů.
Prostředí používá systémového správce systému, knihovnu Glibc, Buildroot, zavaděč GRUB, modul runtime pro containerd, kontejnery platformy Kubernetes, AWS-iam-authenticator a agent Amazon ECS.
Nástroje pro orchestraci kontejnerů jsou dodávány v samostatném kontejneru pro správu, který je ve výchozím nastavení povolen a spravován prostřednictvím agenta AWS SSM a API.. Základnímu obrazu chybí příkazový shell, server SSH a interpretované jazyky (Například bez Pythonu nebo Perlu) - Nástroje pro správu a ladicí nástroje jsou přesunuty do samostatného servisního kontejneru, který je ve výchozím nastavení zakázán.
Klíčový rozdíl od podobných distribucí jako je Fedora CoreOS, CentOS / Red Hat Atomic Host je primárním zaměřením na zajištění maximální bezpečnosti v kontextu posílení systému proti potenciálním hrozbám, což ztěžuje zneužití slabých míst v komponentách operačního systému a zvyšuje izolaci kontejnerů. Kontejnery se vytvářejí pomocí standardních mechanismů jádra Linuxu: cgroups, namespaces a seccomp.
Kořenový oddíl je připojen pouze ke čtení a konfigurační oddíl / etc je připojen k tmpfs a po restartu je obnoven do původního stavu. Přímá úprava souborů v adresáři / etc, například /etc/resolv.conf a /etc/containerd/config.toml, aby se nastavení trvale uložilo, použilo rozhraní API nebo přesunula funkce do samostatných kontejnerů, není podporována.
Hlavní nové funkce Bottlerocket 1.1.0
V této nové verzi distribuce byl zahrnut do linuxového jádra 5.10 aby bylo možné jej použít v nových variantách společně s dvěma nNové verze distribucí aws-k8s-1.20 a vmware-k8s-1.20 jsou kompatibilní s Kubernetes 1.20.
V těchto variantách, stejně jako v aktualizované verzi aws-ecs-1, je zahrnut režim uzamčení, který je nastaven na „integritu“ ve výchozím nastavení (blokuje možnost provádět změny spuštěného jádra z uživatelského prostoru). Odstraněna podpora pro aws-k8s-1.15 na základě Kubernetes 1.15.
Navíc, Amazon ECS nyní podporuje síťový režim awsvpc, což vám umožňuje přiřadit nezávislé interní adresy IP a síťová rozhraní pro každou úlohu.
Přidané konfigurace pro správu různých konfigurací Kubernetes TLS bootstrap, včetně QPS, skupinových limitů a nastavení Kubernetes cloudProvider umožňující použití mimo AWS.
V zaváděcím kontejneru je dodáván se SELinuxem omezit přístup k uživatelským datům a také rozdělení na pravidla zásad SELinux pro důvěryhodné subjekty.
Z dalších změn, které vyčnívají z nové verze:
- Kubernetes cluster-dns-ip lze nyní učinit volitelným pro podporu použití mimo AWS
- Parametry se změnily, aby podporovaly zdravé skenování CIS
- Byl přidán obslužný program resize2fs.
- Stabilní ID stroje generované pro hosty VMware a ARM KVM
- Povolený režim uzamčení jádra „integrity“ pro variantu náhledu aws-ecs-1
- Odeberte výchozí přepsání časového limitu spuštění služby
- Zabraňte restartování spouštěcích kontejnerů
- Nová pravidla udev pro připojení CD-ROM pouze v případě, že je k dispozici médium
- Podpora regionu AWS ap-severovýchod-3: Osaka
- Pozastavte URI kontejneru se standardními proměnnými šablony
- Možnost získat DNS IP z klastru, pokud je k dispozici
Nakonec, pokud máte zájem o získání více informací o této nově vydané verzi nebo máte zájem o distribuci, můžete se obrátit na podrobnosti v následujícím odkazu.