Выпуск новая версия дистрибутива Linux "Бутылочная ракета 1.1.0" который разработан при участии Amazon для эффективного и безопасного запуска изолированных контейнеров.
Компоненты распределения и управления написаны на языке Rust. и распространяются по лицензиям MIT и Apache 2.0. Он поддерживает запуск Bottlerocket в кластерах Amazon ECS и AWS EKS Kubernetes, а также настраиваемое управление версиями и исправлениями, которые позволяют использовать различные инструменты оркестрации контейнеров и времени выполнения.
Распространение предоставляет автоматически и атомарно обновляемый неделимый образ системы который включает ядро Linux и минимальную системную среду, включающую только компоненты, необходимые для запуска контейнеров.
Окружающая среда использует системный менеджер systemd, библиотеку Glibc, Buildroot, загрузчик GRUB, среда выполнения для containerd, контейнеров платформы Kubernetes, AWS-iam-Authenticator и агента Amazon ECS.
Инструменты оркестрации контейнеров поставляются в отдельном контейнере управления, который включен по умолчанию и управляется с помощью агента и API AWS SSM.. В базовом образе отсутствует командная оболочка, SSH-сервер и интерпретируемые языки. (Например, без Python или Perl) - инструменты администратора и инструменты отладки перемещены в отдельный контейнер службы, который по умолчанию отключен.
Ключевое отличие от аналогичных дистрибутивов такие как Fedora CoreOS, CentOS / Red Hat Atomic Host основное внимание уделяется обеспечению максимальной безопасности в контексте усиления защиты системы от потенциальных угроз, что затрудняет использование уязвимостей в компонентах операционной системы и увеличивает изоляцию контейнеров. Контейнеры создаются с использованием стандартных механизмов ядра Linux: cgroups, namespaces и seccomp.
Корневой раздел монтируется только для чтения а раздел конфигурации / etc монтируется в tmpfs и восстанавливается в исходное состояние после перезагрузки. Прямая модификация файлов в каталоге / etc, таких как /etc/resolv.conf и /etc/containerd/config.toml, для постоянного сохранения настроек, использования API или перемещения функций в отдельные контейнеры не поддерживается.
Основные новые функции Bottlerocket 1.1.0
В этой новой версии раздачи был включен в ядро Linux 5.10 чтобы иметь возможность использовать его в новых вариантах вместе с двумяНовые версии дистрибутивов aws-k8s-1.20 и vmware-k8s-1.20 совместимы с Kubernetes 1.20.
В этих вариантах, а также в обновленной версии aws-ecs-1, задействован режим блокировки, который установлен на "целостность" по умолчанию (блокирует возможность вносить изменения в работающее ядро из пользовательского пространства). Удалена поддержка aws-k8s-1.15 на основе Kubernetes 1.15.
Кроме того, Amazon ECS теперь поддерживает сетевой режим awsvpc, что позволяет назначать независимые внутренние IP-адреса и сетевые интерфейсы для каждой задачи.
Добавлены конфигурации для управления различными конфигурациями Kubernetes. Загрузочный протокол TLS, включая QPS, групповые ограничения и настройки Kubernetes cloudProvider, позволяющие использовать его вне AWS.
В загрузочном контейнере он поставляется с SELinux для ограничения доступа к пользовательским данным, а также разделения правил политики SELinux для доверенных субъектов.
Из других изменений, которые выделяются в новой версии:
- Kubernetes cluster-dns-ip теперь можно сделать необязательным для поддержки использования вне AWS
- Параметры изменены для поддержки работоспособного сканирования CIS
- Добавлена утилита resize2fs.
- Стабильный идентификатор машины, созданный для гостевых систем VMware и ARM KVM
- Включен режим блокировки ядра "целостности" для предварительного варианта aws-ecs-1.
- Удалить переопределение тайм-аута запуска службы по умолчанию
- Предотвратить перезапуск загрузочных контейнеров
- Новые правила udev для монтирования CD-ROM только при наличии носителя
- Поддержка региона AWS ap-northeast-3: Osaka
- Приостановить URI контейнера со стандартными переменными шаблона
- Возможность получить IP-адрес DNS из кластера, когда он доступен
Наконец, если вы заинтересованы в возможности узнать больше об этой новой выпущенной версии или заинтересованы в дистрибутиве, вы можете проконсультироваться с подробности по следующей ссылке.