Bottlerocket 1.1.0 est livré avec Kernel 5.10, SELinux, des améliorations et plus

Darkcrizt

Minutes 4

Fusée en bouteille

La libération de la nouvelle version de la distribution Linux "Bottlerocket 1.1.0" c'est laquelle développé avec la participation d'Amazon pour faire fonctionner des conteneurs isolés efficacement et en toute sécurité.

Les composants de distribution et de contrôle sont écrits dans le langage Rust et sont distribués sous les licences MIT et Apache 2.0. Il prend en charge l'exécution de Bottlerocket sur les clusters Amazon ECS et AWS EKS Kubernetes, ainsi que la gestion des versions et les correctifs personnalisés qui permettent différents outils d'orchestration de conteneurs et d'exécution.

La distribution fournit une image système indivisible mise à jour automatiquement et atomiquement qui inclut le noyau Linux et un environnement système minimal qui inclut uniquement les composants nécessaires pour exécuter les conteneurs.

L'environnement utilise le gestionnaire système systemd, la bibliothèque Glibc, Buildroot, le chargeur de démarrage GRUB, un environnement d'exécution pour containerd, les conteneurs de la plate-forme Kubernetes, AWS-iam-Authenticator et l'agent Amazon ECS.

Les outils d'orchestration de conteneurs sont fournis dans un conteneur de gestion distinct qui est activé par défaut et géré via l'API et l'agent AWS SSM. L'image de base ne dispose pas d'un shell de commande, d'un serveur SSH et de langages interprétés (Par exemple, sans Python ou Perl) - Les outils d'administration et les outils de débogage sont déplacés vers un conteneur de services distinct, qui est désactivé par défaut.

La principale différence avec des distributions similaires tels que Fedora CoreOS, CentOS / Red Hat Atomic Host est l'objectif principal de fournir une sécurité maximale dans le contexte du renforcement du système contre les menaces potentielles, ce qui rend difficile l'exploitation des vulnérabilités des composants du système d'exploitation et augmente l'isolation des conteneurs. Les conteneurs sont créés à l'aide des mécanismes standard du noyau Linux: groupes de contrôle, espaces de noms et seccomp.

La partition racine est montée en lecture seule et la partition de configuration / etc est montée dans tmpfs et restaurée à son état d'origine après le redémarrage. La modification directe des fichiers dans le répertoire / etc, tels que /etc/resolv.conf et /etc/containerd/config.toml, pour enregistrer de manière permanente les paramètres, utiliser l'API ou déplacer la fonctionnalité vers des conteneurs séparés, n'est pas prise en charge.

Principales nouveautés de Bottlerocket 1.1.0

Dans cette nouvelle version de la distribution inclus dans le noyau Linux 5.10 afin de pouvoir l'utiliser dans de nouvelles variantes avec les deux nLes nouvelles versions des distributions aws-k8s-1.20 et vmware-k8s-1.20 sont compatibles avec Kubernetes 1.20.

Dans ces variantes, ainsi que dans la version mise à jour de aws-ecs-1, un mode de verrouillage est impliqué qui est réglé sur "intégrité" par défaut (bloque la possibilité d'apporter des modifications au noyau en cours d'exécution à partir de l'espace utilisateur). La prise en charge de aws-k8s-1.15 basé sur Kubernetes 1.15 a été supprimée.

En outre, Amazon ECS prend désormais en charge le mode réseau awsvpc, qui vous permet d'attribuer des adresses IP internes et des interfaces réseau indépendantes pour chaque tâche.

Ajout de configurations pour gérer diverses configurations Kubernetes Bootstrap TLS, y compris QPS, les limites de groupe et les paramètres cloudProvider de Kubernetes pour permettre une utilisation en dehors d'AWS.

Dans le conteneur de démarrage, il est fourni avec SELinux pour restreindre l'accès aux données des utilisateurs, ainsi qu'une division aux règles de politique SELinux pour les sujets de confiance.

Parmi les autres changements qui ressortent de la nouvelle version:

  • Kubernetes cluster-dns-ip peut désormais être rendu facultatif pour prendre en charge une utilisation en dehors d'AWS
  • Paramètres modifiés pour prendre en charge une analyse CIS saine
  • L'utilitaire resize2fs a été ajouté.
  • ID de machine stable généré pour les invités VMware et ARM KVM
  • Activation du mode de verrouillage du noyau «d'intégrité» pour la variante de prévisualisation de aws-ecs-1
  • Supprimer le dépassement du délai de démarrage du service par défaut
  • Empêcher les conteneurs de démarrage de redémarrer
  • Nouvelles règles udev pour monter le CD-ROM uniquement lorsque le support est présent
  • Prise en charge de la région AWS ap-Nord-Est-3: Osaka
  •  Suspendre l'URI du conteneur avec des variables de modèle standard
  • Possibilité d'obtenir une adresse IP DNS à partir du cluster lorsqu'elle est disponible

Enfin, si vous souhaitez en savoir plus sur cette nouvelle version publiée ou si vous êtes intéressé par la distribution, vous pouvez consulter le détails dans le lien suivant.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.