ボトルロケット1.7.0には、Nvidiaドライバーのアップデートとバグの修正が含まれています。

Darkcrizt

4分

ボトルロケット

最近 打ち上げが発表されました Linuxディストリビューションの新しいバージョンの 「ボトルロケット1.7.0」、Amazonの参加を得て開発され、分離されたコンテナを効率的かつ安全に実行します。

Bottlerocketを初めて使用する場合は、これがLinuxカーネルを含む自動的にアトミックに最新の分割できないシステムイメージと、コンテナーの実行に必要なコンポーネントのみを含む最小限のシステム環境を提供するディストリビューションであることを知っておく必要があります。

ボトルロケットについて

環境 systemdシステムマネージャー、Glibcライブラリを使用、Buildrootビルドツール、GRUBブートローダー、コンテナサンドボックスランタイム、Kubernetesコンテナオーケストレーションプラットフォーム、aws-iamオーセンティケーター、AmazonECSエージェント。

コンテナオーケストレーションツールは、デフォルトで有効になっており、AWSSSMエージェントとAPIを介して管理される別の管理コンテナで提供されます。 ベースイメージには、コマンドシェル、SSHサーバー、およびインタープリター言語(PythonやPerlなど)がありません。管理ツールとデバッグツールは、デフォルトで無効になっている別のサービスコンテナーに移動されます。

同様のディストリビューションとの主な違い Fedora CoreOS、CentOS / Red Hat AtomicHostなど 最大のセキュリティを提供することに主な焦点があります 起こりうる脅威に対するシステムの保護を強化するという状況では、オペレーティングシステムのコンポーネントの脆弱性の悪用を複雑にし、コンテナの分離を強化します。

コンテナは、通常のLinuxカーネルメカニズム(cgroups、namespaces、およびseccomp)を使用して作成されます。 さらに分離するために、ディストリビューションは「アプリケーション」モードでSELinuxを使用します。

ルートパーティションは読み取り専用でマウントされます / etc構成のパーティションはtmpfsにマウントされ、再起動後に元の状態に復元されます。 /etc/resolv.confや/etc/containerd/config.tomlなどの/etcディレクトリ内のファイルの直接変更はサポートされていません。 構成を永続的に保存するには、APIを使用するか、機能を別のコンテナーに移動する必要があります。

ルートパーティションの整合性を暗号で検証するために、dm-verityモジュールが使用され、ブロックデバイスレベルでデータを変更する試みが検出されると、システムが再起動されます。

ほとんどのシステムコンポーネントはRustで書かれています。 これは、メモリ領域が解放された後のアドレス指定、nullポインタの逆参照、およびバッファオーバーフローによって引き起こされる脆弱性を防ぐためのメモリセーフツールを提供します。

コンパイル時に、「– enable-default-pie」および「–enable-default-ssp」コンパイルモードがデフォルトで使用され、カナリアタグ置換による実行可能アドレス空間(PIE)のランダム化とスタックオーバーフロー保護が有効になります。

ボトルロケット1.7.0の新機能

提示されているディストリビューションのこの新しいバージョンでは、目立つ変更のXNUMXつは次のとおりです。 RPMパッケージをインストールすると、JSON形式でプログラムのリストを生成するために提供されます 利用可能なパッケージに関する情報を取得するには、それを/var/lib/bottlerocket/inventory/application.jsonファイルとしてホストコンテナーにマウントします。

また、Bottlerocket1.7.0には 「admin」および「control」コンテナの更新、およびGoとRustのパッケージバージョンと依存関係。

一方、ハイライト サードパーティプログラムを含むパッケージの更新バージョン、 また、kmod-5.10-nvidiaのtmpfilesd構成の問題を修正し、tuftoolの依存関係バージョンをインストールするとリンクされます。

最後に それについてもっと知りたい この配布については、ツールキットと配布制御コンポーネントがRustで記述されており、MITおよびApache2.0ライセンスの下で配布されていることを知っておく必要があります。

ボトルロケット Amazon ECS、VMware、およびAWSEKSKubernetesクラスターの実行をサポートします。 また、コンテナのさまざまなオーケストレーションとランタイムツールを有効にするカスタムビルドとエディションを作成します。

詳細を確認できます、 次のリンクで。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。