Uwolnienie nowa wersja dystrybucji Linuksa „Bottlerocket 1.1.0” który jest opracowany przy udziale firmy Amazon wydajne i bezpieczne prowadzenie izolowanych kontenerów.
Komponenty dystrybucji i kontroli są napisane w języku Rust i są rozpowszechniane na licencji MIT i Apache 2.0. Obsługuje uruchamianie Bottlerocket w klastrach Amazon ECS i AWS EKS Kubernetes, a także niestandardowe wersjonowanie i łatanie, które umożliwia różne orkiestracje kontenerów i narzędzia wykonawcze.
Dystrybucja zapewnia automatycznie i atomowo aktualizowany niepodzielny obraz systemu który obejmuje jądro Linuksa i minimalne środowisko systemowe, które zawiera tylko komponenty niezbędne do uruchamiania kontenerów.
Środowisko używa menedżera systemu systemd, biblioteki Glibc, Buildroot, bootloadera GRUB, środowisko wykonawcze dla containerd, kontenerów platformy Kubernetes, AWS-iam-Authenticator oraz agenta Amazon ECS.
Narzędzia do orkiestracji kontenerów są dostarczane w osobnym kontenerze zarządzania, który jest domyślnie włączony i zarządzany za pośrednictwem agenta AWS SSM i interfejsu API. W obrazie podstawowym brakuje powłoki poleceń, serwera SSH i języków interpretowanych (na przykład bez języka Python lub Perl): narzędzia administratora i narzędzia do debugowania są przenoszone do oddzielnego kontenera usług, który jest domyślnie wyłączony.
Kluczowa różnica w porównaniu z podobnymi dystrybucjami takie jak Fedora CoreOS, CentOS / Red Hat Atomic Host jest głównym celem zapewnienia maksymalnego bezpieczeństwa w kontekście zabezpieczenia systemu przed potencjalnymi zagrożeniami, co utrudnia wykorzystanie luk w komponentach systemu operacyjnego i zwiększa izolację kontenerów. Kontenery są tworzone przy użyciu standardowych mechanizmów jądra Linuksa: cgroups, namespaces i seccomp.
Partycja główna jest zamontowana tylko do odczytu a partycja konfiguracyjna / etc jest montowana w tmpfs i przywracana do pierwotnego stanu po ponownym uruchomieniu. Bezpośrednia modyfikacja plików w katalogu / etc, takich jak /etc/resolv.conf i /etc/containerd/config.toml, w celu trwałego zapisania ustawień, korzystania z API lub przenoszenia funkcji do oddzielnych kontenerów, nie jest obsługiwana.
Główne nowe funkcje Bottlerocket 1.1.0
W tej nowej wersji dystrybucji zawarte w jądrze Linux 5.10 aby móc go używać w nowych wariantach razem z dwoma nNowe wersje dystrybucji aws-k8s-1.20 i vmware-k8s-1.20 są kompatybilne z Kubernetes 1.20.
W tych wariantach, a także w zaktualizowanej wersji aws-ecs-1, używany jest tryb blokady ustawiony na „integralność” domyślnie (blokuje możliwość dokonywania zmian w działającym jądrze z przestrzeni użytkownika). Usunięto obsługę aws-k8s-1.15 opartą na Kubernetes 1.15.
Ponadto, Amazon ECS obsługuje teraz tryb sieciowy awsvpc, co pozwala na przypisanie niezależnych wewnętrznych adresów IP i interfejsów sieciowych do każdego zadania.
Dodano konfiguracje do zarządzania różnymi konfiguracjami Kubernetes Bootstrap TLS, w tym QPS, limity grup i ustawienia Kubernetes CloudProvider, aby umożliwić użycie poza AWS.
W kontenerze rozruchowym jest dostarczany z SELinux w celu ograniczenia dostępu do danych użytkownika, a także podziału na zasady polityki SELinux dla zaufanych podmiotów.
Spośród innych zmian, które wyróżniają się na tle nowej wersji:
- Kubernetes cluster-dns-ip może być teraz opcjonalne, aby obsługiwać użycie poza AWS
- Parametry zmieniono w celu obsługi prawidłowego skanowania CIS
- Dodano narzędzie resize2fs.
- Stabilny identyfikator maszyny wygenerowany dla gości VMware i ARM KVM
- Włączono tryb blokowania jądra „integralności” dla wersji zapoznawczej aws-ecs-1
- Usuń zastąpienie domyślnego limitu czasu uruchamiania usługi
- Zapobiegaj ponownemu uruchamianiu kontenerów rozruchowych
- Nowe reguły udev dotyczące montowania CD-ROM-u tylko wtedy, gdy obecny jest nośnik
- Obsługa regionu AWS ap-północny wschód-3: Osaka
- Wstrzymaj identyfikator URI kontenera ze standardowymi zmiennymi szablonu
- Możliwość uzyskania adresu IP DNS z klastra, gdy jest dostępny
Wreszcie, jeśli chcesz dowiedzieć się więcej o nowej wydanej wersji lub jesteś zainteresowany dystrybucją, możesz zapoznać się z szczegóły w poniższym linku.