Η απελευθέρωση του τη νέα έκδοση της διανομής Linux "Bottlerocket 1.1.0" το οποίο είναι αναπτύχθηκε με τη συμμετοχή της Amazon να λειτουργεί μεμονωμένα δοχεία αποτελεσματικά και με ασφάλεια.
Τα στοιχεία διάταξης και ελέγχου είναι γραμμένα στη γλώσσα Rust. και διανέμονται υπό τις άδειες MIT και Apache 2.0. Υποστηρίζει την εκτέλεση του Bottlerocket σε συμπλέγματα Amazon ECS και AWS EKS Kubernetes, καθώς και τη δημιουργία προσαρμοσμένων εκδόσεων και ενημερώσεων κώδικα που επιτρέπουν διαφορετικά εργαλεία ενορχήστρωσης κοντέινερ και χρόνου εκτέλεσης.
Η διανομή παρέχει μια αυτόματα και ατομικά ενημερωμένη αδιαίρετη εικόνα συστήματος που περιλαμβάνει τον πυρήνα Linux και ένα ελάχιστο περιβάλλον συστήματος που περιλαμβάνει μόνο τα απαραίτητα στοιχεία για την εκτέλεση κοντέινερ.
Το περιβάλλον χρησιμοποιεί systemd system manager, βιβλιοθήκη Glibc, Buildroot, bootloader GRUB, ένα χρόνο εκτέλεσης για κοντέινερ, κοντέινερ πλατφόρμας Kubernetes, AWS-iam-authenticator και τον μεσίτη Amazon ECS.
Τα εργαλεία ενορχήστρωσης κοντέινερ αποστέλλονται σε ξεχωριστό κοντέινερ διαχείρισης που είναι ενεργοποιημένο από προεπιλογή και διαχειρίζεται μέσω του AWS SSM Agent και του API. Η βασική εικόνα δεν διαθέτει κέλυφος εντολών, διακομιστή SSH και γλώσσες ερμηνείας (για παράδειγμα, χωρίς Python ή Perl): Τα εργαλεία διαχειριστή και τα εργαλεία εντοπισμού σφαλμάτων μετακινούνται σε ξεχωριστό κοντέινερ υπηρεσίας, το οποίο είναι απενεργοποιημένο από προεπιλογή.
Η βασική διαφορά από παρόμοιες διανομές όπως το Fedora CoreOS, το CentOS / Red Hat Atomic Host είναι η κύρια εστίαση στην παροχή μέγιστης ασφάλειας στο πλαίσιο της σκλήρυνσης του συστήματος έναντι πιθανών απειλών, καθιστώντας πιο δύσκολη την εκμετάλλευση των τρωτών σημείων στα στοιχεία του λειτουργικού συστήματος και αυξάνοντας την απομόνωση κοντέινερ. Τα κοντέινερ δημιουργούνται χρησιμοποιώντας τους τυπικούς μηχανισμούς πυρήνα Linux: cgroups, namespaces και seccomp.
Το ριζικό διαμέρισμα είναι τοποθετημένο μόνο για ανάγνωση και το διαμέρισμα διαμόρφωσης /etc προσαρτάται σε tmpfs και αποκαθίσταται στην αρχική του κατάσταση μετά από επανεκκίνηση. Η απευθείας τροποποίηση αρχείων στον κατάλογο /etc, όπως τα /etc/resolv.conf και /etc/containerd/config.toml, για μόνιμη αποθήκευση ρυθμίσεων, χρήση του API ή μετακίνηση λειτουργιών σε ξεχωριστά κοντέινερ δεν υποστηρίζεται.
Κύρια νέα χαρακτηριστικά του Bottlerocket 1.1.0
Σε αυτή τη νέα έκδοση της διανομής Έχει συμπεριληφθεί ο πυρήνας Linux 5.10 για να μπορέσουμε να το χρησιμοποιήσουμε σε νέες παραλλαγές μαζί με τα δύο νΟι νέες εκδόσεις των διανομών aws-k8s-1.20 και vmware-k8s-1.20 υποστηρίζουν το Kubernetes 1.20.
Σε αυτές τις παραλλαγές, καθώς και στην ενημερωμένη έκδοση του aws-ecs-1, εμπλέκεται μια λειτουργία αποκλεισμού που έχει οριστεί σε "integrity" από προεπιλογή (αποκλείει τη δυνατότητα πραγματοποίησης αλλαγών στον τρέχοντα πυρήνα από το χώρο χρήστη). Καταργήθηκε η υποστήριξη για aws-k8s-1.15 με βάση το Kubernetes 1.15.
Επιπλέον, Το Amazon ECS υποστηρίζει πλέον τη λειτουργία δικτύου awsvpc, το οποίο σας επιτρέπει να εκχωρήσετε ξεχωριστές διεπαφές δικτύου και εσωτερικές διευθύνσεις IP για κάθε εργασία.
Προστέθηκαν ρυθμίσεις για τη διαχείριση διαφόρων διαμορφώσεων Kubernetes TLS bootstrap, συμπεριλαμβανομένου του QPS, ορίων ομάδας και διαμόρφωσης του Kubernetes cloudProvider ώστε να επιτρέπεται η χρήση εκτός του AWS.
Στο δοχείο εκκίνησης παρέχεται SELinux για περιορισμό της πρόσβασης σε δεδομένα χρήστη, καθώς και διάσπαση των κανόνων πολιτικής του SELinux για αξιόπιστα θέματα.
Από τις άλλες αλλαγές που ξεχωρίζουν από τη νέα έκδοση:
- Το Kubernetes cluster-dns-ip μπορεί τώρα να γίνει προαιρετικό για υποστήριξη χρήσης εκτός του AWS
- Οι παράμετροι άλλαξαν για να υποστηρίξουν την υγιή σάρωση CIS
- Προστέθηκε το βοηθητικό πρόγραμμα resize2fs.
- Δημιουργήθηκε σταθερό αναγνωριστικό μηχανής για επισκέπτες VMware και ARM KVM
- Ενεργοποιήθηκε η λειτουργία κλειδώματος πυρήνα "integrity" για παραλλαγή προεπισκόπησης aws-ecs-1
- Καταργήστε την παράκαμψη χρονικού ορίου εκκίνησης της προεπιλεγμένης υπηρεσίας
- Αποτρέψτε την επανεκκίνηση των δοχείων εκκίνησης
- Νέοι κανόνες udev για προσάρτηση CD-ROM μόνο όταν υπάρχουν μέσα
- Υποστήριξη για το AWS Region ap-northeast-3: Osaka
- παύση URI κοντέινερ με τυπικές μεταβλητές προτύπου
- Δυνατότητα λήψης IP DNS συμπλέγματος όταν είναι διαθέσιμη
Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα για αυτήν τη νέα έκδοση που κυκλοφόρησε ή σας ενδιαφέρει η διανομή, μπορείτε να συμβουλευτείτε το λεπτομέρειες στον παρακάτω σύνδεσμο.