Bottlerocket 1.1.0 поставляется с ядром 5.10, SELinux, улучшениями и многим другим.

BottleRocket

Выпуск новая версия дистрибутива Linux "Бутылочная ракета 1.1.0" который разработан при участии Amazon для эффективного и безопасного запуска изолированных контейнеров.

Компоненты распределения и управления написаны на языке Rust. и распространяются по лицензиям MIT и Apache 2.0. Он поддерживает запуск Bottlerocket в кластерах Amazon ECS и AWS EKS Kubernetes, а также настраиваемое управление версиями и исправлениями, которые позволяют использовать различные инструменты оркестрации контейнеров и времени выполнения.

Распространение предоставляет автоматически и атомарно обновляемый неделимый образ системы который включает ядро ​​Linux и минимальную системную среду, включающую только компоненты, необходимые для запуска контейнеров.

Окружающая среда использует системный менеджер systemd, библиотеку Glibc, Buildroot, загрузчик GRUB, среда выполнения для containerd, контейнеров платформы Kubernetes, AWS-iam-Authenticator и агента Amazon ECS.

Инструменты оркестрации контейнеров поставляются в отдельном контейнере управления, который включен по умолчанию и управляется с помощью агента и API AWS SSM.. В базовом образе отсутствует командная оболочка, SSH-сервер и интерпретируемые языки. (Например, без Python или Perl) - инструменты администратора и инструменты отладки перемещены в отдельный контейнер службы, который по умолчанию отключен.

Ключевое отличие от аналогичных дистрибутивов такие как Fedora CoreOS, CentOS / Red Hat Atomic Host основное внимание уделяется обеспечению максимальной безопасности в контексте усиления защиты системы от потенциальных угроз, что затрудняет использование уязвимостей в компонентах операционной системы и увеличивает изоляцию контейнеров. Контейнеры создаются с использованием стандартных механизмов ядра Linux: cgroups, namespaces и seccomp.

Корневой раздел монтируется только для чтения а раздел конфигурации / etc монтируется в tmpfs и восстанавливается в исходное состояние после перезагрузки. Прямая модификация файлов в каталоге / etc, таких как /etc/resolv.conf и /etc/containerd/config.toml, для постоянного сохранения настроек, использования API или перемещения функций в отдельные контейнеры не поддерживается.

Основные новые функции Bottlerocket 1.1.0

В этой новой версии раздачи был включен в ядро ​​Linux 5.10 чтобы иметь возможность использовать его в новых вариантах вместе с двумяНовые версии дистрибутивов aws-k8s-1.20 и vmware-k8s-1.20 совместимы с Kubernetes 1.20.

В этих вариантах, а также в обновленной версии aws-ecs-1, задействован режим блокировки, который установлен на "целостность" по умолчанию (блокирует возможность вносить изменения в работающее ядро ​​из пользовательского пространства). Удалена поддержка aws-k8s-1.15 на основе Kubernetes 1.15.

Кроме того, Amazon ECS теперь поддерживает сетевой режим awsvpc, что позволяет назначать независимые внутренние IP-адреса и сетевые интерфейсы для каждой задачи.

Добавлены конфигурации для управления различными конфигурациями Kubernetes. Загрузочный протокол TLS, включая QPS, групповые ограничения и настройки Kubernetes cloudProvider, позволяющие использовать его вне AWS.

В загрузочном контейнере он поставляется с SELinux для ограничения доступа к пользовательским данным, а также разделения правил политики SELinux для доверенных субъектов.

Из других изменений, которые выделяются в новой версии:

  • Kubernetes cluster-dns-ip теперь можно сделать необязательным для поддержки использования вне AWS
  • Параметры изменены для поддержки работоспособного сканирования CIS
  • Добавлена ​​утилита resize2fs.
  • Стабильный идентификатор машины, созданный для гостевых систем VMware и ARM KVM
  • Включен режим блокировки ядра "целостности" для предварительного варианта aws-ecs-1.
  • Удалить переопределение тайм-аута запуска службы по умолчанию
  • Предотвратить перезапуск загрузочных контейнеров
  • Новые правила udev для монтирования CD-ROM только при наличии носителя
  • Поддержка региона AWS ap-northeast-3: Osaka
  •  Приостановить URI контейнера со стандартными переменными шаблона
  • Возможность получить IP-адрес DNS из кластера, когда он доступен

Наконец, если вы заинтересованы в возможности узнать больше об этой новой выпущенной версии или заинтересованы в дистрибутиве, вы можете проконсультироваться с подробности по следующей ссылке.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.