Lirimin e versioni i ri i shpërndarjes Linux "Blloku shishesh 1.1.0" e cila është zhvilluar me pjesmarrjen e Amazon për të drejtuar kontejnerë të izoluar në mënyrë efikase dhe të sigurt.
Shpërndarja dhe përbërësit e kontrollit janë të shkruara në gjuhën Rust dhe shpërndahen nën licencat MIT dhe Apache 2.0. Ai mbështet drejtimin e Bottlerocket në grupet Amazon ECS dhe AWS EKS Kubernetes, si dhe versionim dhe rregullim të personalizuar që mundëson orkestrim dhe vegla të ndryshme të kontejnerëve.
Shpërndarja siguron një imazh të sistemit të pandashëm të azhurnuar automatikisht dhe atomik i cili përfshin kernelin Linux dhe një mjedis minimal të sistemit që përfshin vetëm përbërësit e nevojshëm për të ekzekutuar kontejnerët.
Mjedisi përdor menaxher të sistemit systemd, bibliotekë Glibc, Buildroot, bootloader GRUB, një kohë e duhur për kontejnerët, kontejnerët e platformës Kubernetes, vërtetuesi AWS-iam dhe agjenti Amazon ECS.
Mjetet e orkestrimit të kontejnerëve transportohen në një kontejner të veçantë menaxhimi që aktivizohet në mënyrë të paracaktuar dhe menaxhohet përmes AWS SSM Agent dhe API. Imazhit bazë i mungon një guaskë komande, serveri SSH dhe gjuhët e interpretuara (Për shembull, pa Python ose Perl) - Mjetet e administratorit dhe mjetet e korrigjimit të gabimeve zhvendosen në një enë të veçantë të shërbimit, e cila është çaktivizuar si parazgjedhje.
Dallimi kryesor nga shpërndarjet e ngjashme siç janë Fedora CoreOS, CentOS / Red Hat Atomic Host është fokusi kryesor në ofrimin e sigurisë maksimale në kontekstin e forcimit të sistemit ndaj kërcënimeve të mundshme, gjë që e bën të vështirë shfrytëzimin e dobësive në përbërësit e sistemit operativ dhe rrit izolimin e kontejnerëve. Kontejnerët krijohen duke përdorur mekanizmat standardë të kernelit Linux: cgroups, namespace-et dhe seccomp.
Ndarja rrënjë është montuar vetëm për lexim dhe ndarja e konfigurimit / etj është montuar në tmpfs dhe rikthehet në gjendjen e saj origjinale pas reboot. Modifikimi i drejtpërdrejtë i skedarëve në direktorinë / etj, të tilla si /etc/resolv.conf dhe /etc/containerd/config.toml, për të ruajtur përgjithmonë cilësimet, për të përdorur API ose për të lëvizur funksionalitetin për të ndarë kontejnerët, nuk mbështetet.
Karakteristikat kryesore të reja të Shisheve 1.1.0
Në këtë version të ri të shpërndarjes të përfshira në kernelin Linux 5.10 në mënyrë që të jetë në gjendje të përdorin atë në variante të reja së bashku me dy nVersione të reja të shpërndarjeve aws-k8s-1.20 dhe vmware-k8s-1.20 janë në përputhje me Kubernetes 1.20.
Në këto variante, si dhe në versionin e azhurnuar të aws-ecs-1, përfshihet një mënyrë bllokimi që është vendosur në "integritet" në mënyrë të paracaktuar (bllokon aftësinë për të bërë ndryshime në kernelin drejtues nga hapësira e përdoruesit). Mbështetja për aws-k8s-1.15 bazuar në Kubernetes 1.15 është hequr.
Përveç kësaj, Amazon ECS tani mbështet mënyrën e rrjetit awsvpc, e cila ju lejon të caktoni adresa të brendshme të pavarura IP dhe ndërfaqe rrjeti për secilën detyrë.
Konfigurime të shtuara për të menaxhuar konfigurime të ndryshme Kubernetes Bootstrap TLS, përfshirë QPS, kufijtë e grupeve dhe cilësimet e Kubernetes cloudProvider për të lejuar përdorimin jashtë AWS.
Në kontejnerin e boot-it sigurohet me SELinux për të kufizuar hyrjen në të dhënat e përdoruesit, si dhe një ndarje në rregullat e politikës SELinux për subjektet e besuara.
Nga ndryshimet e tjera që dallojnë nga versioni i ri:
- Kubernetes cluster-dns-ip tani mund të bëhen opsionale për të mbështetur përdorimin jashtë AWS
- Parametrat ndryshuan për të mbështetur një skanim të shëndetshëm të CIS
- Ushqimi resize2fs u shtua.
- ID e qëndrueshme e makinës e krijuar për të ftuarit e VMware dhe ARM KVM
- Modaliteti i aktivizimit të bllokimit të kernelit të "integritetit" për variantin e parashikimit të aws-ecs-1
- Hiq anulimin e parazgjedhur të fillimit të shërbimit
- Parandalon rindezjen e kontejnerëve të boot
- Rregulla të reja udev për montimin e CD-ROM vetëm kur media është e pranishme
- Mbështetja e rajonit AWS ap-verilindje-3: Osaka
- Ndalo URI-në e kontejnerit me ndryshoret standarde të shabllonit
- Aftësia për të marrë DNS IP nga grumbulli kur është i disponueshëm
Së fundmi, nëse jeni të interesuar të jeni në gjendje të mësoni më shumë rreth këtij versioni të ri të lëshuar ose jeni të interesuar për shpërndarjen, mund të konsultoheni me detajet në lidhjen vijuese.