Släppet av den nya versionen av Linux-distributionen "Bottlerocket 1.1.0" vilket är utvecklat med deltagande av Amazon att köra isolerade containrar effektivt och säkert.
Layout- och kontrollkomponenterna är skrivna på språket Rust. och distribueras under MIT- och Apache 2.0-licenserna. Det stöder körning av Bottlerocket på Amazon ECS och AWS EKS Kubernetes-kluster, samt att skapa anpassade versioner och patchar som möjliggör olika containerorkestrering och körtidsverktyg.
Fördelningen ger en automatiskt och atomärt uppdaterad odelbar systembild som inkluderar Linux-kärnan och en minimal systemmiljö som bara innehåller de komponenter som är nödvändiga för att köra behållare.
Miljön använder systemd systemhanterare, Glibc-bibliotek, Buildroot, GRUB bootloader, en körtid för containerd, Kubernetes-plattformsbehållare, AWS-iam-autenticator och Amazon ECS-mäklare.
Behållarorkestreringsverktyg levereras i en separat hanteringsbehållare som är aktiverad som standard och hanteras via AWS SSM Agent och API. Basbilden saknar ett kommandoskal, SSH-server och tolkade språk (Till exempel utan Python eller Perl): Administratörsverktyg och felsökningsverktyg flyttas till en separat servicebehållare, som är inaktiverad som standard.
Den viktigaste skillnaden från liknande distributioner såsom Fedora CoreOS, CentOS / Red Hat Atomic Host är det primära fokuset på att ge maximal säkerhet i samband med att härda systemet mot potentiella hot, vilket gör det svårare att utnyttja sårbarheter i operativsystemkomponenter och ökar containerisoleringen. Behållare skapas med de vanliga Linux-kärnmekanismerna: cgroups, namespaces och seccomp.
Rotpartitionen är skrivskyddad monterad. och /etc-konfigurationspartitionen är monterad på tmpfs och återställs till sitt ursprungliga tillstånd efter en omstart. Direkt modifiering av filer i /etc-katalogen, såsom /etc/resolv.conf och /etc/containerd/config.toml, för att permanent spara inställningar, använda API:t eller flytta funktionalitet till separata behållare stöds inte.
De viktigaste nya funktionerna i Bottlerocket 1.1.0
I den här nya versionen av distributionen Linux 5.10 kärna har inkluderats för att kunna använda den i nya varianter tillsammans med de två nNya versioner av distributionerna aws-k8s-1.20 och vmware-k8s-1.20 stöder Kubernetes 1.20.
I dessa varianter, såväl som i den uppdaterade versionen av aws-ecs-1, ett blockeringsläge är inställt på "integritet" som standard (blockerar möjligheten att göra ändringar i den körande kärnan från användarutrymmet). Tog bort stöd för aws-k8s-1.15 baserat på Kubernetes 1.15.
Dessutom, Amazon ECS stöder nu awsvpc nätverksläge, som låter dig tilldela separata nätverksgränssnitt och interna IP-adresser för varje uppgift.
Lade till inställningar för att hantera olika Kubernetes-konfigurationer TLS bootstrap, inklusive QPS, gruppgränser och konfigurering av Kubernetes cloudProvider för att tillåta användning utanför AWS.
I stövelbehållaren är försedd med SELinux för att begränsa åtkomst till användardata, samt en uppdelning till SELinux policyregler för betrodda ämnen.
Av de andra ändringarna som sticker ut från den nya versionen:
- Kubernetes cluster-dns-ip kan nu göras valfritt för att stödja användning utanför AWS
- Parametrar har ändrats för att stödja hälsosam CIS-skanning
- Lade till resize2fs-verktyget.
- Genererat stabilt maskin-ID för VMware- och ARM KVM-gäster
- Aktiverat "integrity" kärnlåsningsläge för aws-ecs-1 förhandsgranskningsvariant
- Ta bort åsidosättandet av standardtidsgräns för tjänststart
- Förhindra att startbehållare startar om
- Nya udev-regler för att montera CD-ROM endast när media finns
- Stöd för AWS Region ap-northeast-3: Osaka
- pausa container-URI med standardmallvariabler
- Möjlighet att få kluster DNS IP när det är tillgängligt
Slutligen, om du är intresserad av att kunna lära dig mer om denna nya släppta version eller om du är intresserad av distributionen, kan du konsultera detaljer i följande länk.