Išleidimas naują „Linux“ platinimo versiją „Bottlerocket 1.1.0“ kuris yra sukurta dalyvaujant „Amazon“ efektyviai ir saugiai paleisti izoliuotus konteinerius.
Paskirstymo ir valdymo komponentai parašyti „Rust“ kalba ir yra platinami pagal MIT ir Apache 2.0 licencijas. Jis palaiko „Bottlerocket“ paleidimą „Amazon ECS“ ir „AWS EKS Kubernetes“ grupėse, taip pat pasirinktinį versijų kūrimą ir pataisymą, leidžiantį skirtingus konteinerių orkestravimo ir vykdymo laiko įrankius.
Paskirstymas pateikia automatiškai ir atomu atnaujintą nedalomą sistemos vaizdą kuriame yra „Linux“ branduolys ir minimali sistemos aplinka, apimanti tik komponentus, reikalingus konteineriams paleisti.
Aplinka naudoja „systemd system manager“, „Glibc“ biblioteką, „Buildroot“, GRUB įkrovos programą, „containerd“, „Kubernetes“ platformos talpyklų, AWS-iam-autentifikavimo priemonės ir „Amazon ECS“ agento vykdymo laikas.
Sudėtinių rodinių tvarkymo įrankiai siunčiami į atskirą valdymo konteinerį, kuris įgalinamas pagal numatytuosius nustatymus ir valdomas per AWS SSM agentą ir API. Pagrindiniame paveikslėlyje trūksta komandų apvalkalo, SSH serverio ir interpretuotų kalbų (Pavyzdžiui, be „Python“ ar „Perl“) - administratoriaus įrankiai ir derinimo įrankiai perkeliami į atskirą paslaugų talpyklą, kuri pagal numatytuosius nustatymus yra išjungta.
Pagrindinis skirtumas nuo panašių paskirstymų pvz., „Fedora CoreOS“, „CentOS“ / „Red Hat Atomic Host“ yra pagrindinis dėmesys užtikrinant maksimalų saugumą grūdinant sistemą nuo galimų grėsmių, o tai apsunkina operacinės sistemos komponentų pažeidžiamumų išnaudojimą ir padidina konteinerių izoliaciją. Konteineriai kuriami naudojant standartinius „Linux“ branduolio mechanizmus: grupes, vardų sritis ir seccomp.
Šaknies skaidinys yra prijungtas tik skaityti ir / etc konfigūracijos skaidinys yra sumontuotas tmpfs ir atstatytas į pradinę būseną po perkrovimo. Tiesioginis failų, esančių kataloge / etc, pvz., /Etc/resolv.conf ir /etc/containerd/config.toml, modifikavimas, norint visam laikui išsaugoti nustatymus, naudoti API arba perkelti funkcijas į atskirus konteinerius, nepalaikomas.
Pagrindinės naujos „Bottlerocket 1.1.0“ funkcijos
Šioje naujoje platinimo versijoje įtrauktas į „Linux“ branduolį 5.10 kad būtų galima jį naudoti naujuose variantuose kartu su dviem nNaujos „aws-k8s-1.20“ ir „vmware-k8s-1.20“ paskirstymų versijos yra suderinamos su „Kubernetes 1.20“.
Šiuose variantuose, taip pat atnaujintoje „aws-ecs-1“ versijoje, dalyvauja užrakto režimas, kuris nustatytas į „vientisumą“ pagal numatytuosius nustatymus (blokuoja galimybę keisti veikiantį branduolį iš vartotojo vietos). Panaikinta parama „aws-k8s-1.15“, pagrįstai „Kubernetes 1.15“.
Be to, „Amazon ECS“ dabar palaiko „awsvpc“ tinklo režimą, kuris leidžia kiekvienai užduočiai priskirti nepriklausomus vidinius IP adresus ir tinklo sąsajas.
Pridėtos konfigūracijos, skirtos valdyti įvairias „Kubernetes“ konfigūracijas TLS įkrovos juosta, įskaitant QPS, grupės apribojimus ir „Kubernetes cloudProvider“ nustatymus, kad būtų galima naudoti už AWS ribų.
Įkrovos talpykloje jis pateikiamas su SELinux apriboti prieigą prie vartotojo duomenų, taip pat padalijimą į SELinux politikos taisykles, skirtas patikimiems subjektams.
Iš kitų pakeitimų, kurie išsiskiria iš naujos versijos:
- Dabar „Kubernetes cluster-dns-ip“ galima padaryti neprivalomu, kad būtų palaikomas naudojimas ne AWS
- Parametrai pakeisti siekiant palaikyti sveiką NVS nuskaitymą
- „Resize2fs“ įrankis buvo pridėtas.
- Stabilus mašinos ID sugeneruotas „VMware“ ir „ARM KVM“ svečiams
- Įgalintas branduolio užrakinimo „vientisumo“ režimas, skirtas „aws-ecs-1“ peržiūros variantui
- Pašalinti numatytąjį paslaugos paleidimo skirtojo laiko nepaisymą
- Neleiskite paleisti įkrovos konteinerių iš naujo
- Naujos „udev“ taisyklės, susijusios su kompaktinių diskų įrengimu tik tada, kai yra laikmenų
- AWS regionas palaiko ap-šiaurės rytus-3: Osaka
- Pristabdykite sudėtinio rodinio URI su standartiniais šablonų kintamaisiais
- Galimybė gauti DNS IP iš klasterio, kai įmanoma
Galiausiai, jei norite sužinoti daugiau apie šią naują versiją arba domitės platinimu, galite kreiptis į išsami informacija šioje nuorodoje.