Il rilascio di la nuova versione della distribuzione Linux "Bottlerocket 1.1.0" che è sviluppato con la partecipazione di Amazon per eseguire contenitori isolati in modo efficiente e sicuro.
I componenti di distribuzione e controllo sono scritti nel linguaggio Rust e sono distribuiti con le licenze MIT e Apache 2.0. Supporta l'esecuzione di Bottlerocket su cluster Amazon ECS e AWS EKS Kubernetes, nonché il controllo delle versioni personalizzato e l'applicazione di patch che consentono diversi strumenti di runtime e orchestrazione dei container.
La distribuzione fornisce un'immagine di sistema indivisibile aggiornata automaticamente e atomicamente che include il kernel Linux e un ambiente di sistema minimo che include solo i componenti necessari per eseguire i contenitori.
L'ambiente utilizza il gestore di sistema systemd, la libreria Glibc, Buildroot, il bootloader GRUB, un runtime per containerd, contenitori della piattaforma Kubernetes, AWS-iam-authenticator e l'agente Amazon ECS.
Gli strumenti di orchestrazione dei container vengono forniti in un container di gestione separato abilitato per impostazione predefinita e gestito tramite l'agente e l'API di AWS SSM. L'immagine di base non dispone di una shell dei comandi, di un server SSH e di linguaggi interpretati (Ad esempio, senza Python o Perl) - Gli strumenti di amministrazione e di debug vengono spostati in un contenitore di servizi separato, che è disabilitato per impostazione predefinita.
La differenza fondamentale rispetto a distribuzioni simili come Fedora CoreOS, CentOS / Red Hat Atomic Host è l'obiettivo principale nel fornire la massima sicurezza nel contesto del rafforzamento del sistema contro potenziali minacce, che rende difficile sfruttare le vulnerabilità nei componenti del sistema operativo e aumenta l'isolamento dei container. I contenitori vengono creati utilizzando i meccanismi standard del kernel Linux: cgroups, namespaces e seccomp.
La partizione root è montata in sola lettura e la partizione / etc config viene montata in tmpfs e ripristinata al suo stato originale dopo il riavvio. La modifica diretta dei file nella directory / etc, come /etc/resolv.conf e /etc/containerd/config.toml, per salvare in modo permanente le impostazioni, utilizzare l'API o spostare la funzionalità in contenitori separati, non è supportata.
Principali novità di Bottlerocket 1.1.0
In questa nuova versione della distribuzione incluso nel kernel Linux 5.10 per poterlo utilizzare in nuove varianti insieme ai due nLe nuove versioni delle distribuzioni aws-k8s-1.20 e vmware-k8s-1.20 sono compatibili con Kubernetes 1.20.
In queste varianti, così come nella versione aggiornata di aws-ecs-1, è coinvolta una modalità di blocco impostata su "integrità" per impostazione predefinita (blocca la possibilità di apportare modifiche al kernel in esecuzione dallo spazio utente). Il supporto per aws-k8s-1.15 basato su Kubernetes 1.15 è stato rimosso.
Inoltre, Amazon ECS ora supporta la modalità di rete awsvpc, che consente di assegnare indirizzi IP interni indipendenti e interfacce di rete per ciascuna attività.
Aggiunte configurazioni per gestire varie configurazioni Kubernetes Bootstrap TLS, inclusi QPS, limiti di gruppo e impostazioni cloudProvider di Kubernetes per consentire l'utilizzo al di fuori di AWS.
Nel boot container è fornito con SELinux per limitare l'accesso ai dati degli utenti, nonché una divisione delle regole della politica di SELinux per soggetti fidati.
Tra le altre modifiche che si distinguono dalla nuova versione:
- Kubernetes cluster-dns-ip può ora essere reso opzionale per supportare l'utilizzo al di fuori di AWS
- Parametri modificati per supportare una scansione CIS sana
- È stata aggiunta l'utilità resize2fs.
- ID macchina stabile generato per guest VMware e ARM KVM
- Abilitata la modalità di blocco del kernel di "integrità" per la variante di anteprima di aws-ecs-1
- Rimuovere l'override del timeout di avvio del servizio predefinito
- Impedire il riavvio dei contenitori di avvio
- Nuove regole udev per il montaggio di CD-ROM solo quando è presente il supporto
- Supporto per regione AWS ap-nord-est-3: Osaka
- Metti in pausa l'URI del contenitore con le variabili del modello standard
- Possibilità di ottenere l'IP DNS dal cluster quando disponibile
Infine, se sei interessato a saperne di più su questa nuova versione rilasciata o sei interessato alla distribuzione, puoi consultare il dettagli nel seguente collegamento.