Frigivelsen af den nye version af Linux-distributionen "Bottlerocket 1.1.0" som er udviklet med deltagelse af Amazon at køre isolerede containere effektivt og sikkert.
Distributions- og kontrolkomponenterne er skrevet på Rust-sproget og distribueres under MIT- og Apache 2.0-licenserne. Det understøtter kørsel af Bottlerocket på Amazon ECS- og AWS EKS Kubernetes-klynger samt brugerdefineret versionering og patch, der muliggør forskellige containerorkestrering og runtime-værktøjer.
Fordelingen giver et automatisk og atomisk opdateret udeleligt systembillede som inkluderer Linux-kernen og et minimalt systemmiljø, der kun indeholder de komponenter, der er nødvendige for at køre containere.
Miljøet bruger systemd system manager, Glibc bibliotek, Buildroot, GRUB bootloader, en runtime for containerd, Kubernetes platformcontainere, AWS-iam-authenticator og Amazon ECS-agenten.
Containerorkestrationsværktøjer sendes i en separat administrationscontainer, der er aktiveret som standard og administreres via AWS SSM Agent og API.. Basisbilledet mangler en kommandoskal, SSH-server og fortolkede sprog (For eksempel uden Python eller Perl): Administratorværktøjer og fejlretningsværktøjer flyttes til en separat servicecontainer, som er deaktiveret som standard.
Hovedforskellen fra lignende distributioner såsom Fedora CoreOS, CentOS / Red Hat Atomic Host er det primære fokus på at give maksimal sikkerhed i forbindelse med hærdning af systemet mod potentielle trusler, hvilket gør det vanskeligt at udnytte sårbarheder i operativsystemkomponenter og øger containerisolering. Containere oprettes ved hjælp af standard Linux-kernemekanismerne: cgroups, namespaces og seccomp.
Rodpartitionen er monteret skrivebeskyttet og / etc konfigurationspartitionen er monteret i tmpfs og gendannes til sin oprindelige tilstand efter genstart. Direkte ændring af filer i / etc-biblioteket, såsom /etc/resolv.conf og /etc/containerd/config.toml, for permanent at gemme indstillinger, bruge API eller flytte funktionalitet til separate containere understøttes ikke.
Vigtigste nye funktioner i Bottlerocket 1.1.0
I denne nye version af distributionen er inkluderet i Linux-kerne 5.10 for at kunne bruge det i nye varianter sammen med de to nNye versioner af distributionerne aws-k8s-1.20 og vmware-k8s-1.20 er kompatible med Kubernetes 1.20.
I disse varianter såvel som i den opdaterede version af aws-ecs-1, en låsemodus er involveret, der er indstillet til "integritet" som standard (blokerer muligheden for at foretage ændringer i den kørende kerne fra brugerrummet). Fjernet understøttelse af aws-k8s-1.15 baseret på Kubernetes 1.15.
Derudover Amazon ECS understøtter nu awsvpc-netværkstilstand, som giver dig mulighed for at tildele uafhængige interne IP-adresser og netværksgrænseflader til hver opgave.
Tilføjede konfigurationer til at styre forskellige Kubernetes-konfigurationer TLS bootstrap, inklusive QPS, gruppegrænser og Kubernetes cloudProvider-indstillinger for at tillade brug uden for AWS.
I bootcontainer leveres den med SELinux for at begrænse adgangen til brugerdata samt en opdeling til SELinux-politikregler for pålidelige emner.
Af de andre ændringer, der skiller sig ud fra den nye version:
- Kubernetes cluster-dns-ip kan nu gøres valgfri til understøttelse af brug uden for AWS
- Parametre ændret for at understøtte en sund CIS-scanning
- Resize2fs-værktøjet blev tilføjet.
- Stabilt maskine-ID genereret til VMware- og ARM KVM-gæster
- Aktiveret kernelåsningstilstand for "integritet" til forhåndsvisning af variant af aws-ecs-1
- Fjern tilsidesættelse af standardtidsstart-timeout
- Forhindre bootcontainere i at genstarte
- Nye udev-regler til montering af CD-ROM kun, når der er medier til stede
- AWS-region understøtter ap-nordøst-3: Osaka
- Sæt container-URI på pause med standardskabelonvariabler
- Evne til at få DNS IP fra klynge, når den er tilgængelig
Endelig, hvis du er interesseret i at være i stand til at vide mere om denne nye udgivne version eller er interesseret i distributionen, kan du konsultere detaljer i følgende link.