Pelepasan versi baru distribusi Linux "Bottlerocket 1.1.0" yang mana dikembangkan dengan partisipasi Amazon untuk menjalankan kontainer yang terisolasi secara efisien dan aman.
Komponen distribusi dan kontrol ditulis dalam bahasa Rust dan didistribusikan di bawah lisensi MIT dan Apache 2.0. Ini mendukung pengoperasian Bottlerocket di klaster Amazon ECS dan AWS EKS Kubernetes, serta pembuatan versi dan patch kustom yang memungkinkan orkestrasi container dan alat runtime yang berbeda.
Distribusi menyediakan citra sistem tak terpisahkan yang diperbarui secara otomatis dan atomik yang menyertakan kernel Linux dan lingkungan sistem minimal yang hanya menyertakan komponen yang diperlukan untuk menjalankan container.
Lingkungan menggunakan manajer sistem systemd, pustaka Glibc, Buildroot, GRUB bootloader, waktu proses untuk penampung, wadah platform Kubernetes, pengautentikasi AWS-iam, dan agen Amazon ECS.
Alat orkestrasi kontainer dikirimkan dalam kontainer manajemen terpisah yang diaktifkan secara default dan dikelola melalui AWS SSM Agent and API. Gambar dasar tidak memiliki shell perintah, server SSH, dan bahasa yang ditafsirkan (misalnya, tanpa Python atau Perl): Alat administrator dan alat debugging dipindahkan ke wadah layanan terpisah, yang dinonaktifkan secara default.
Perbedaan utama dari distribusi serupa seperti Fedora CoreOS, CentOS / Red Hat Atomic Host adalah fokus utama dalam memberikan keamanan maksimum dalam konteks memperkuat sistem terhadap potensi ancaman, yang membuatnya sulit untuk mengeksploitasi kerentanan dalam komponen sistem operasi dan meningkatkan isolasi kontainer. Penampung dibuat menggunakan mekanisme kernel Linux standar: cgroups, namespaces, dan seccomp.
Partisi root dipasang hanya untuk dibaca dan partisi konfigurasi / etc dipasang di tmpfs dan dikembalikan ke keadaan semula setelah reboot. Modifikasi langsung file di direktori / etc, seperti /etc/resolv.conf dan /etc/containerd/config.toml, untuk menyimpan konfigurasi secara permanen, menggunakan API, atau memindahkan fungsionalitas ke container terpisah tidak didukung.
Fitur baru utama Bottlerocket 1.1.0
Dalam versi distribusi baru ini termasuk dalam kernel Linux 5.10 untuk dapat menggunakannya dalam varian baru bersama dengan dua nVersi baru dari distribusi aws-k8s-1.20 dan vmware-k8s-1.20 kompatibel dengan Kubernetes 1.20.
Dalam varian ini, serta dalam versi aws-ecs-1 yang diperbarui, mode kunci terlibat yang disetel ke "integritas" secara default (memblokir kemampuan untuk membuat perubahan pada kernel yang sedang berjalan dari ruang pengguna). Dukungan untuk aws-k8s-1.15 berdasarkan Kubernetes 1.15 telah dihapus.
Selain itu, Amazon ECS sekarang mendukung mode jaringan awsvpc, yang memungkinkan Anda menetapkan alamat IP internal independen dan antarmuka jaringan untuk setiap tugas.
Menambahkan konfigurasi untuk mengelola berbagai konfigurasi Kubernetes Bootstrap TLS, termasuk QPS, batas grup, dan pengaturan Penyedia cloud Kubernetes untuk memungkinkan penggunaan di luar AWS.
Dalam wadah boot, ini disediakan dengan SELinux untuk membatasi akses ke data pengguna, serta pembagian aturan kebijakan SELinux untuk subjek tepercaya.
Dari perubahan lain yang menonjol dari versi baru:
- Kubernetes cluster-dns-ip sekarang dapat dijadikan opsional untuk mendukung penggunaan di luar AWS
- Parameter diubah untuk mendukung pemindaian CIS yang sehat
- Utilitas resize2fs telah ditambahkan.
- ID mesin stabil dibuat untuk tamu VMware dan ARM KVM
- Mengaktifkan mode penguncian kernel "integritas" untuk varian pratinjau aws-ecs-1
- Hapus timpaan batas waktu mulai layanan default
- Cegah kontainer booting ulang
- Aturan udev baru untuk memasang CD-ROM hanya jika ada media
- Dukungan wilayah AWS ap-timur laut-3: Osaka
- Jeda URI penampung dengan variabel kerangka standar
- Kemampuan untuk mendapatkan IP DNS dari cluster jika tersedia
Terakhir, jika Anda tertarik untuk mengetahui lebih banyak tentang versi rilis baru ini atau tertarik dengan distribusinya, Anda dapat berkonsultasi dengan detailnya di tautan berikut.