のリリース Linuxディストリビューションの新しいバージョン 「ボトルロケット1.1.0」 これは アマゾンの参加を得て開発 隔離されたコンテナを効率的かつ安全に実行します。
配布および制御コンポーネントはRust言語で書かれています MITおよびApache2.0ライセンスの下で配布されます。 AmazonECSおよびAWSEKS KubernetesクラスターでのBottlerocketの実行、およびさまざまなコンテナーオーケストレーションとランタイムツールを有効にするカスタムバージョン管理とパッチ適用をサポートします。
配布 自動的かつ原子的に更新された分割不可能なシステムイメージを提供します これには、Linuxカーネルと、コンテナーの実行に必要なコンポーネントのみを含む最小限のシステム環境が含まれます。
環境 systemdシステムマネージャー、Glibcライブラリ、Buildroot、GRUBブートローダーを使用します、containerd、Kubernetesプラットフォームコンテナ、AWS-iam-authenticator、およびAmazonECSエージェントのランタイム。
コンテナオーケストレーションツールは、デフォルトで有効になっており、AWSSSMエージェントとAPIを介して管理される別の管理コンテナで出荷されます。。 ベースイメージには、コマンドシェル、SSHサーバー、およびインタープリター言語がありません。 (たとえば、PythonまたはPerlなし):管理者ツールとデバッグツールは別のサービスコンテナーに移動され、デフォルトでは無効になっています。
同様のディストリビューションとの主な違い Fedora CoreOS、CentOS / Red Hat AtomicHostなど 最大のセキュリティを提供することに主な焦点があります 潜在的な脅威に対してシステムを強化するという状況では、オペレーティングシステムコンポーネントの脆弱性を悪用することが困難になり、コンテナの分離が強化されます。 コンテナは、標準のLinuxカーネルメカニズム(cgroups、namespaces、およびseccomp)を使用して作成されます。
ルートパーティションは読み取り専用でマウントされます / etc構成パーティションはtmpfsにマウントされ、再起動後に元の状態に復元されます。 /etc/resolv.confや/etc/containerd/config.tomlなどの/ etcディレクトリ内のファイルを直接変更して、設定を永続的に保存したり、APIを使用したり、機能を別のコンテナに移動したりすることはサポートされていません。
ボトルロケット1.1.0の主な新機能
この新しいバージョンのディストリビューションでは Linuxカーネル5.10に含まれています XNUMXつのnと一緒に新しいバリアントでそれを使用できるようにするために新しいバージョンのaws-k8s-1.20およびvmware-k8s-1.20ディストリビューションは、Kubernetes1.20と互換性があります。
これらのバリアント、およびaws-ecs-1の更新バージョンでは 「整合性」に設定されたロックモードが含まれます デフォルトでは(ユーザースペースから実行中のカーネルに変更を加える機能をブロックします)。 Kubernetes8に基づくaws-k1.15s-1.15のサポートを削除しました。
さらに、 AmazonECSがawsvpcネットワークモードをサポートするようになりました、これにより、タスクごとに独立した内部IPアドレスとネットワークインターフェイスを割り当てることができます。
さまざまなKubernetes構成を管理するための構成を追加しました AWSの外部での使用を許可するためのQPS、グループ制限、KubernetescloudProvider設定を含むTLSブートストラップ。
ブートコンテナでは、SELinuxで提供されます ユーザーデータへのアクセスを制限し、信頼できるサブジェクトのSELinuxポリシールールに分割します。
新しいバージョンから際立っている他の変更の中で:
- Kubernetes cluster-dns-ipをオプションにして、AWS外での使用をサポートできるようになりました
- 正常なCISスキャンをサポートするために変更されたパラメーター
- resize2fsユーティリティが追加されました。
- VMwareおよびARMKVMゲスト用に生成された安定したマシンID
- aws-ecs-1のプレビューバリアントの「整合性」のカーネルロックダウンモードを有効にしました
- デフォルトのサービス起動タイムアウトオーバーライドを削除します
- ブートコンテナが再起動しないようにする
- メディアが存在する場合にのみCD-ROMをマウントするための新しいudevルール
- AWSリージョンサポートap-northeast-3:大阪
- 標準のテンプレート変数を使用してコンテナURIを一時停止します
- 利用可能な場合、クラスターからDNSIPを取得する機能
最後に、この新しいリリースバージョンについて詳しく知りたい場合、または配布に興味がある場合は、 詳細は次のリンクをご覧ください。