Eliberarea noua versiune a distribuției Linux „Bottlerocket 1.1.0” care este dezvoltat cu participarea Amazon pentru a rula containere izolate eficient și sigur.
Componentele de distribuție și control sunt scrise în limbajul Rust și sunt distribuite sub licențele MIT și Apache 2.0. Acceptă rularea Bottlerocket pe clusterele Amazon ECS și AWS EKS Kubernetes, precum și versiuni și corecții personalizate care permit diferite instrumente de orchestrare a containerelor și de execuție.
Distributia oferă o imagine de sistem indivizibilă actualizată automat și atomic care include nucleul Linux și un mediu de sistem minim care include doar componentele necesare pentru a rula containere.
Mediul folosește managerul de sistem systemd, biblioteca Glibc, Buildroot, bootloader GRUB, un timp de rulare pentru containerd, containere platforma Kubernetes, AWS-iam-authenticator și agentul Amazon ECS.
Instrumentele de orchestrare a containerelor sunt livrate într-un container separat de gestionare care este activat în mod implicit și gestionat prin intermediul AWS SSM Agent și API. Imaginea de bază nu are un shell de comandă, server SSH și limbi interpretate (De exemplu, fără Python sau Perl) - Instrumentele de administrator și instrumentele de depanare sunt mutate într-un container de servicii separat, care este dezactivat în mod implicit.
Diferența cheie față de distribuții similare precum Fedora CoreOS, CentOS / Red Hat Atomic Host este accentul principal pe furnizarea de securitate maximă în contextul întăririi sistemului împotriva potențialelor amenințări, ceea ce face dificilă exploatarea vulnerabilităților componentelor sistemului de operare și crește izolarea containerelor. Containerele sunt create folosind mecanismele standard ale nucleului Linux: cgroups, namespaces și seccomp.
Partiția rădăcină este montată numai în citire iar partiția de configurare / etc este montată în tmpfs și restabilită la starea inițială după repornire. Modificarea directă a fișierelor din directorul / etc, cum ar fi /etc/resolv.conf și /etc/containerd/config.toml, pentru a salva definitiv setările, a utiliza API-ul sau pentru a muta funcționalitatea în containere separate, nu este acceptată.
Principalele caracteristici noi ale Bottlerocket 1.1.0
În această nouă versiune a distribuției a fost inclus în kernel-ul Linux 5.10 pentru a-l putea folosi în noi variante împreună cu cele două nNoile versiuni ale distribuțiilor aws-k8s-1.20 și vmware-k8s-1.20 sunt compatibile cu Kubernetes 1.20.
În aceste variante, precum și în versiunea actualizată a aws-ecs-1, este implicat un mod de blocare setat la „integritate” în mod implicit (blochează posibilitatea de a face modificări la nucleul care rulează din spațiul utilizatorului). A fost eliminat suportul pentru aws-k8s-1.15 bazat pe Kubernetes 1.15.
În plus, Amazon ECS acceptă acum modul de rețea awsvpc, care vă permite să atribuiți adrese IP interne independente și interfețe de rețea pentru fiecare sarcină.
S-au adăugat configurații pentru a gestiona diferite configurații Kubernetes Bootstrap TLS, inclusiv QPS, limite de grup și setările Kubernetes cloudProvider pentru a permite utilizarea în afara AWS.
În containerul de încărcare este furnizat cu SELinux pentru a restricționa accesul la datele utilizatorilor, precum și o divizare la regulile politicii SELinux pentru subiecții de încredere.
Dintre celelalte modificări care se deosebesc de noua versiune:
- Kubernetes cluster-dns-ip poate fi acum opțional pentru a suporta utilizarea în afara AWS
- Parametrii modificați pentru a sprijini o scanare CIS sănătoasă
- Utilitarul resize2fs a fost adăugat.
- ID de mașină stabil generat pentru oaspeții VMware și ARM KVM
- Activat modul de blocare a nucleului „integritate” pentru varianta de previzualizare a aws-ecs-1
- Eliminați suprascrierea de expirare implicită a pornirii serviciului
- Împiedicați repornirea containerelor de încărcare
- Noi reguli udev pentru montarea CD-ROM-ului numai atunci când este prezent media
- Suport pentru regiunea AWS ap-nord-est-3: Osaka
- Întrerupeți URI-ul containerului cu variabilele șablon standard
- Abilitatea de a obține IP-ul DNS din cluster atunci când este disponibil
În cele din urmă, dacă sunteți interesat să puteți afla mai multe despre această nouă versiune lansată sau sunteți interesat de distribuție, puteți consulta detalii în următorul link.