A a Linux disztribúció új verziója "Bottlerocket 1.1.0" ami az Amazon részvételével fejlesztették ki az elszigetelt konténerek hatékony és biztonságos üzemeltetése.
Az elosztó és vezérlő komponenseket Rust nyelven írják és terjesztése MIT és Apache 2.0 licenc alatt történik. Támogatja a Bottlerocket futtatását az Amazon ECS és az AWS EKS Kubernetes fürtökön, valamint az egyedi verziószámokat és javításokat, amelyek lehetővé teszik a különböző konténeres hangszerelés és futásidejű eszközök használatát.
Az elosztás automatikusan és atomilag frissített oszthatatlan rendszerképet biztosít amely tartalmazza a Linux kernelt és egy minimális rendszerkörnyezetet, amely csak a konténerek futtatásához szükséges összetevőket tartalmazza.
A környezet a systemd rendszergazdát, a Glibc könyvtárat, a Buildroot-ot, a GRUB bootloadert használja, a containerd, a Kubernetes platformtárolók, az AWS-iam-hitelesítő és az Amazon ECS ügynök futási ideje.
A tárolói hangszerelési eszközöket külön felügyeleti tárolóba szállítják, amely alapértelmezés szerint engedélyezve van és az AWS SSM ügynökön és az API-n keresztül felügyelhető.. Az alapképből hiányzik a parancssor, az SSH-kiszolgáló és az értelmezett nyelvek (Például Python vagy Perl nélkül): A rendszergazdai eszközök és a hibakeresési eszközök egy külön szerviztárolóba kerülnek, amely alapértelmezés szerint le van tiltva.
A legfontosabb különbség a hasonló eloszlásoktól mint például a Fedora CoreOS, a CentOS / Red Hat Atomic Host az elsődleges hangsúly a maximális biztonság biztosításában a rendszer esetleges fenyegetésekkel szembeni edzésének összefüggésében, ami megnehezíti az operációs rendszer összetevőiben rejlő sebezhetőségek kiaknázását és növeli a konténerek elszigeteltségét. A konténerek a szokásos Linux kernelmechanizmusok segítségével jönnek létre: c-csoportok, névterek és seccomp.
A gyökérpartíció csak olvasható és az / etc config partíciót a tmpfs-be csatolják, és újraindítás után visszaállítják eredeti állapotába. Az / etc könyvtárban lévő fájlok - például az /etc/resolv.conf és /etc/containerd/config.toml - közvetlen módosítása a beállítások végleges mentése, az API használata vagy a funkcionalitás tárolók elkülönítésére történő áthelyezése nem támogatott.
A Bottlerocket 1.1.0 főbb jellemzői
A disztribúció ezen új verziójában bekerült a Linux kernel 5.10-be annak érdekében, hogy a két n-vel együtt új variánsokban is használható legyenAz aws-k8s-1.20 és a vmware-k8s-1.20 terjesztések új verziói kompatibilisek a Kubernetes 1.20-mal.
Ezekben a változatokban, valamint az aws-ecs-1 frissített verziójában zárolási mód van "integritásra" állítva alapértelmezés szerint (blokkolja a futó kernel módosítását a felhasználói térből). A Kubernetes 8 alapján eltávolították az aws-k1.15s-1.15 támogatását.
Ezen túlmenően, Az Amazon ECS most támogatja az awsvpc hálózati módot, amely lehetővé teszi független belső IP-címek és hálózati interfészek hozzárendelését az egyes feladatokhoz.
Hozzáadott konfigurációk a különféle Kubernetes-konfigurációk kezeléséhez A TLS bootstrap, beleértve a QPS-t, a csoportkorlátokat és a Kubernetes cloudProvider-beállításokat az AWS-en kívüli használat engedélyezéséhez.
A rendszerindító konténerben SELinux-tal van ellátva a felhasználói adatokhoz való hozzáférés korlátozása, valamint a megbízható alanyokra vonatkozó SELinux házirend-szabályok felosztása.
Az új verzióból kiemelkedő többi változás közül:
- A Kubernetes cluster-dns-ip mostantól opcionálisá tehető az AWS-en kívüli használat támogatásához
- A paraméterek megváltoztak, hogy támogassák az egészséges CIS-vizsgálatot
- A resize2fs segédprogram hozzá lett adva.
- Stabil gépazonosító generálva a VMware és az ARM KVM vendégekhez
- Engedélyezte az "integritás" kernelzárási módját az aws-ecs-1 előnézeti változatához
- Távolítsa el az alapértelmezett szolgáltatásindítási időkorlát felülírását
- Akadályozza meg a rendszerindító tárolók újraindítását
- Új udev szabályok a CD-ROM csatlakoztatására csak akkor, ha adathordozó van jelen
- Az AWS régió támogatja az északkelet-3: Oszakát
- Szüneteltesse a tároló URI-t standard sablonváltozókkal
- Képes megszerezni a DNS IP-t a fürtből, ha elérhető
Végül, ha érdekel, hogy többet tudjon meg erről az új kiadott verzióról, vagy érdekli a terjesztés, akkor keresse fel a részletek a következő linken.