Het uitkomen van de nieuwe versie van de Linux-distributie "Bottlerocket 1.1.0" dat is ontwikkeld met medewerking van Amazon om geïsoleerde containers efficiënt en veilig te laten draaien.
De distributie- en besturingscomponenten zijn geschreven in de Rust-taal en worden gedistribueerd onder de MIT- en Apache 2.0-licenties. Het ondersteunt het uitvoeren van Bottlerocket op Amazon ECS- en AWS EKS Kubernetes-clusters, evenals aangepaste versiebeheer en patching die verschillende containerorkestratie en runtime-tools mogelijk maken.
De verdeling biedt een automatisch en atomair bijgewerkt ondeelbaar systeembeeld die de Linux-kernel en een minimale systeemomgeving omvat die alleen de componenten bevat die nodig zijn om containers uit te voeren.
De omgeving gebruikt systemd systeembeheerder, Glibc-bibliotheek, Buildroot, GRUB-bootloader, een runtime voor containerd, Kubernetes-platformcontainers, AWS-iam-authenticator en de Amazon ECS-agent.
Containerorkestratietools worden verzonden in een aparte beheercontainer die standaard is ingeschakeld en wordt beheerd via de AWS SSM Agent en API. De basisimage mist een opdrachtshell, SSH-server en geïnterpreteerde talen (Bijvoorbeeld zonder Python of Perl) - Beheerderstools en foutopsporingsprogramma's worden verplaatst naar een aparte servicecontainer, die standaard is uitgeschakeld.
Het belangrijkste verschil met vergelijkbare distributies zoals Fedora CoreOS, CentOS / Red Hat Atomic Host is de primaire focus op het bieden van maximale veiligheid in de context van het harden van het systeem tegen mogelijke bedreigingen, waardoor het moeilijk wordt om kwetsbaarheden in componenten van het besturingssysteem te misbruiken en de isolatie van containers toeneemt. Containers worden gemaakt met behulp van de standaard Linux-kernelmechanismen: cgroups, naamruimten en seccomp.
De rootpartitie is alleen-lezen aangekoppeld en de / etc-configuratiepartitie wordt gemount in tmpfs en na het opnieuw opstarten in de oorspronkelijke staat hersteld. Directe wijziging van bestanden in de / etc-directory, zoals /etc/resolv.conf en /etc/containerd/config.toml, om instellingen permanent op te slaan, de API te gebruiken of functionaliteit naar aparte containers te verplaatsen, wordt niet ondersteund.
Belangrijkste nieuwe kenmerken van Bottlerocket 1.1.0
In deze nieuwe versie van de distributie opgenomen in Linux-kernel 5.10 om het samen met de twee n in nieuwe varianten te kunnen gebruikenNieuwe versies van de distributies aws-k8s-1.20 en vmware-k8s-1.20 zijn compatibel met Kubernetes 1.20.
In deze varianten, evenals in de bijgewerkte versie van aws-ecs-1, er is een vergrendelingsmodus bij betrokken die is ingesteld op "integriteit" standaard (blokkeert de mogelijkheid om vanuit de gebruikersruimte wijzigingen aan te brengen in de actieve kernel). Ondersteuning verwijderd voor aws-k8s-1.15 op basis van Kubernetes 1.15.
Bovendien heeft Amazon ECS ondersteunt nu de awsvpc-netwerkmodus, waarmee u voor elke taak onafhankelijke interne IP-adressen en netwerkinterfaces kunt toewijzen.
Configuraties toegevoegd om verschillende Kubernetes-configuraties te beheren TLS-bootstrap, inclusief QPS, groepslimieten en Kubernetes cloudProvider-instellingen om gebruik buiten AWS mogelijk te maken.
In de opstartcontainer is het voorzien van SELinux om de toegang tot gebruikersdata te beperken, evenals een splitsing naar SELinux beleidsregels voor vertrouwde subjecten.
Van de andere wijzigingen die opvallen ten opzichte van de nieuwe versie:
- Kubernetes cluster-dns-ip kan nu optioneel worden gemaakt om gebruik buiten AWS te ondersteunen
- Parameters gewijzigd om een gezonde CIS-scan te ondersteunen
- Het hulpprogramma resize2fs is toegevoegd.
- Stabiel computer-ID gegenereerd voor VMware- en ARM KVM-gasten
- Ingeschakelde kernelvergrendelingsmodus van "integriteit" voor preview-variant van aws-ecs-1
- Verwijder de standaard overschrijving van de time-out voor het opstarten van de service
- Voorkom dat opstartcontainers opnieuw worden opgestart
- Nieuwe udev-regels voor het mounten van cd-rom alleen als er media aanwezig is
- Ondersteuning voor AWS-regio ap-noordoosten-3: Osaka
- Onderbreek de container-URI met standaardsjabloonvariabelen
- Mogelijkheid om DNS IP uit een cluster te halen, indien beschikbaar
Ten slotte, als u geïnteresseerd bent om meer te weten te komen over deze nieuw uitgebrachte versie of geïnteresseerd bent in de distributie, kunt u de details in de volgende link.