Bottlerocket 1.1.0에는 Kernel 5.10, SELinux, 향상된 기능 등이 함께 제공됩니다.

Darkcrizt

4 분

병 로켓

출시 Linux 배포의 새 버전 "Bottlerocket 1.1.0" 그것은 Amazon의 참여로 개발 격리 된 컨테이너를 효율적이고 안전하게 실행합니다.

배포 및 제어 구성 요소는 Rust 언어로 작성되었습니다. MIT 및 Apache 2.0 라이선스에 따라 배포됩니다. Amazon ECS 및 AWS EKS Kubernetes 클러스터에서 Bottlerocket 실행은 물론 다양한 컨테이너 오케스트레이션 및 런타임 도구를 활성화하는 사용자 지정 버전 관리 및 패치를 지원합니다.

분포 자동 및 원자 적으로 업데이트 된 분할 불가능한 시스템 이미지 제공 여기에는 Linux 커널과 컨테이너를 실행하는 데 필요한 구성 요소 만 포함 된 최소 시스템 환경이 포함됩니다.

환경 systemd 시스템 관리자, Glibc 라이브러리, Buildroot, GRUB 부트 로더 사용, containerd, Kubernetes 플랫폼 컨테이너, AWS-iam-authenticator 및 Amazon ECS 에이전트를위한 런타임입니다.

컨테이너 오케스트레이션 도구는 기본적으로 활성화되고 AWS SSM 에이전트 및 API를 통해 관리되는 별도의 관리 컨테이너로 제공됩니다.. 기본 이미지에는 명령 셸, SSH 서버 및 해석 언어가 없습니다. (예 : Python 또는 Perl 없음) : 관리자 도구 및 디버깅 도구는 기본적으로 비활성화되어있는 별도의 서비스 컨테이너로 이동됩니다.

유사한 분포와의 주요 차이점 Fedora CoreOS, CentOS / Red Hat Atomic Host 등 최대 보안을 제공하는 데 주된 초점 잠재적 인 위협에 대해 시스템을 강화하는 맥락에서 운영 체제 구성 요소의 취약성을 악용하기 어렵고 컨테이너 격리를 증가시킵니다. 컨테이너는 표준 Linux 커널 메커니즘 (cgroup, 네임 스페이스 및 seccomp)을 사용하여 생성됩니다.

루트 파티션은 읽기 전용으로 마운트됩니다. / etc 구성 파티션은 tmpfs에 마운트되고 재부팅 후 원래 상태로 복원됩니다. /etc/resolv.conf 및 /etc/containerd/config.toml과 같은 / etc 디렉토리의 파일을 직접 수정하여 설정을 영구적으로 저장하거나 API를 사용하거나 기능을 별도의 컨테이너로 이동하는 것은 지원되지 않습니다.

Bottlerocket 1.1.0의 새로운 주요 기능

이 새로운 버전의 배포판에서 Linux 커널 5.10에 포함되었습니다. 두 개의 n과 함께 새로운 변형에서 사용할 수 있도록aws-k8s-1.20 및 vmware-k8s-1.20 배포의 새 버전은 Kubernetes 1.20과 호환됩니다.

이러한 변형과 ​​aws-ecs-1의 업데이트 된 버전에서 "integrity"로 설정된 잠금 모드가 포함됩니다. 기본적으로 (사용자 공간에서 실행중인 커널을 변경하는 기능을 차단합니다). Kubernetes 8를 기반으로 aws-k1.15s-1.15에 대한 지원이 제거되었습니다.

또한, 이제 Amazon ECS에서 awsvpc 네트워크 모드 지원, 각 작업에 대해 독립적 인 내부 IP 주소 및 네트워크 인터페이스를 할당 할 수 있습니다.

다양한 Kubernetes 구성을 관리하기위한 구성 추가 AWS 외부에서 사용할 수 있도록 QPS, 그룹 제한 및 Kubernetes cloudProvider 설정을 포함한 TLS 부트 스트랩.

부트 컨테이너에서는 SELinux와 함께 제공됩니다. 사용자 데이터에 대한 액세스를 제한하고 신뢰할 수있는 주제에 대한 SELinux 정책 규칙에 대한 부서를 제한합니다.

새 버전에서 눈에 띄는 다른 변경 사항 :

  • 이제 Kubernetes cluster-dns-ip를 선택 사항으로 지정하여 AWS 외부에서의 사용을 지원할 수 있습니다.
  • 정상적인 CIS 스캔을 지원하기 위해 매개 변수가 변경되었습니다.
  • resize2fs 유틸리티가 추가되었습니다.
  • VMware 및 ARM KVM 게스트 용으로 생성 된 안정적인 컴퓨터 ID
  • aws-ecs-1의 미리보기 변형에 대해 "무결성"의 커널 잠금 모드를 활성화했습니다.
  • 기본 서비스 시작 시간 초과 재정의 제거
  • 부팅 컨테이너가 다시 시작되지 않도록 방지
  • 미디어가있는 경우에만 CD-ROM 마운트를위한 새로운 udev 규칙
  • AWS 리전 지원 ap-northeast-3 : 오사카
  •  표준 템플릿 변수로 컨테이너 URI 일시 중지
  • 사용 가능한 경우 클러스터에서 DNS IP를 가져 오는 기능

마지막으로,이 새로운 릴리스 버전에 대해 더 많이 알고 싶거나 배포판에 관심이있는 경우 다음 링크에서 세부 사항.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자: AB Internet Networks 2008 SL
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.