שחרורו של הגרסה החדשה של הפצת לינוקס "בקבוק 1.1.0" שהוא פותחה בהשתתפות אמזון להפעיל מכולות מבודדות ביעילות ובבטיחות.
רכיבי ההפצה והבקרה כתובים בשפת החלודה ומופצים תחת רישיונות MIT ו- Apache 2.0. הוא תומך בהפעלת Bottlerocket על אמזון ECS ו- AWS EKS Kubernetes, כמו גם גרסאות ותיקונים מותאמים אישית המאפשרים כלי תזמור מיכלים שונים וזמן ריצה.
ההפצה מספק תמונת מערכת שאינה ניתנת לחלוקה מעודכנת אוטומטית ואטומית הכולל את ליבת לינוקס וסביבת מערכת מינימלית הכוללת רק את הרכיבים הדרושים להפעלת מכולות.
הסביבה משתמש במנהל מערכת מערכתית, ספריית Glibc, Buildroot, GRUBloader, זמן ריצה עבור containerd, מכולות פלטפורמה של Kubernetes, AWS-iam-authenticator וסוכן ECS של אמזון.
כלי תזמון מכולות נשלחים במיכל ניהול נפרד שמופעל כברירת מחדל ומנוהל באמצעות סוכן ה- AWS SSM ו- API. בתמונת הבסיס אין מעטפת פקודה, שרת SSH ושפות פרשניות (לדוגמא, ללא פייתון או פרל) - כלי מנהל וכלי ניפוי באגים מועברים למיכל שירות נפרד, אשר מושבת כברירת מחדל.
ההבדל העיקרי מהפצות דומות כגון Fedora CoreOS, CentOS / Red Hat Atomic Host הוא ההתמקדות העיקרית במתן אבטחה מרבית בהקשר של הקשחת המערכת מפני איומים פוטנציאליים, מה שמקשה על ניצול נקודות התורפה ברכיבי מערכת ההפעלה ומגביר את בידוד המכולות. מיכלים נוצרים באמצעות מנגנוני הליבה הסטנדרטיים של לינוקס: קבוצות קבוצות, מרחבי שמות ו- seccomp.
מחיצת השורש מותקנת לקריאה בלבד ומחיצת התצורה / etc מותקנת ב- tmpfs ומשוחזרת למצבה המקורי לאחר אתחול מחדש. לא ניתן לתמוך בשינוי ישיר של קבצים בספריה / etc, כגון /etc/resolv.conf ו /etc/containerd/config.toml, כדי לשמור קבוע את ההגדרות, להשתמש ב- API או להעביר פונקציונליות למכולות נפרדות.
התכונות החדשות העיקריות של Bottlerocket 1.1.0
בגרסה החדשה הזו של ההפצה כלול בליבת הלינוקס 5.10 על מנת להיות מסוגלים להשתמש בו בגרסאות חדשות יחד עם שני nגרסאות חדשות להפצות aws-k8s-1.20 ו- vmware-k8s-1.20 תואמות ל- Kubernetes 1.20.
בגרסאות אלה, כמו גם בגרסה המעודכנת של aws-ecs-1, מעורב מצב נעילה שמוגדר כ"שלמות " כברירת מחדל (חוסם את האפשרות לבצע שינויים בגרעין הפועל ממרחב המשתמש). התמיכה ב- aws-k8s-1.15 על בסיס Kubernetes 1.15 הוסרה.
בנוסף, אמזון ECS תומכת כעת במצב רשת awsvpc, המאפשר לך להקצות כתובות IP פנימיות עצמאיות וממשקי רשת לכל משימה.
נוספו תצורות לניהול תצורות שונות של Kubernetes TLS bootstrap, כולל QPS, מגבלות קבוצתיות והגדרות CloudProvider של Kubernetes כדי לאפשר שימוש מחוץ ל- AWS.
במיכל האתחול הוא מסופק עם SELinux להגבלת הגישה לנתוני משתמשים, כמו גם חלוקה לכללי המדיניות של SELinux לנושאים מהימנים.
מבין שאר השינויים הבולטים מהגרסה החדשה:
- כעת ניתן להפוך את Kubernetes cluster-dns-ip לאופציונלי לתמיכה בשימוש מחוץ ל- AWS
- פרמטרים שונו כדי לתמוך בסריקת חבר העמים הבריאה
- כלי השירות resize2fs נוסף.
- מזהה מכונה יציב שנוצר עבור אורחי VMware ו- ARM KVM
- מצב נעילת הליבה מופעל של "שלמות" עבור גרסת תצוגה מקדימה של aws-ecs-1
- הסר את עקיפת פסק הזמן הקצוב לתפוגה של שירות
- מנע מהפעלה מחדש של מכלי האתחול
- כללי udev חדשים להתקנת תקליטור רק כאשר קיימים מדיה
- אזור AWS תומך ap-צפון מזרח -3: אוסקה
- השהה URI של מיכל עם משתני תבנית סטנדרטיים
- יכולת להשיג DNS IP מאשכול כאשר הוא זמין
לבסוף, אם אתה מעוניין להיות מסוגל ללמוד עוד על גרסה חדשה שפורסמה זו או מעוניין בהפצה, תוכל להתייעץ עם פרטים בקישור הבא.