Ang paglabas ng ang bagong bersyon ng pamamahagi ng Linux "Bottlerocket 1.1.0" alin ang binuo sa paglahok ng Amazon upang mapatakbo ang mga nakahiwalay na lalagyan nang mahusay at ligtas.
Ang mga bahagi ng pamamahagi at pagkontrol ay nakasulat sa wikang Rust at ipinamamahagi sa ilalim ng mga lisensya ng MIT at Apache 2.0. Sinusuportahan nito ang pagpapatakbo ng Bottlerocket sa Amazon ECS at AWS EKS Kubernetes clusters, pati na rin ang pasadyang pag-bersyon at pag-patch na nagbibigay-daan sa iba't ibang mga tool sa orkestra ng container at runtime.
Pamimigay nagbibigay ng isang awtomatikong at na-update na atomik na imahe ng system na hindi maibabahagi na kasama ang Linux kernel at isang minimal na kapaligiran ng system na nagsasama lamang ng mga sangkap na kinakailangan upang magpatakbo ng mga lalagyan.
Ang kapaligiran gumagamit ng systemd system manager, Glibc library, Buildroot, GRUB bootloader, isang runtime para sa container, Kubernetes platform container, AWS-iam-authenticator, at ahente ng Amazon ECS.
Ang mga tool ng orkestra ng lalagyan ay naipadala sa isang hiwalay na lalagyan ng pamamahala na pinagana sa pamamagitan ng default at pinamamahalaan sa pamamagitan ng AWS SSM Agent at API. Ang batayang imahe ay walang isang command shell, SSH server, at mga naisalin na wika (Halimbawa, nang walang Python o Perl) - Ang mga tool ng Administrator at mga tool sa pag-debug ay inililipat sa isang hiwalay na lalagyan ng serbisyo, na hindi pinagana bilang default.
Ang pangunahing pagkakaiba mula sa mga katulad na pamamahagi tulad ng Fedora CoreOS, CentOS / Red Hat Atomic Host ang pangunahing pokus sa pagbibigay ng maximum na seguridad sa konteksto ng pagpapatigas ng system laban sa mga potensyal na banta, na ginagawang mahirap na samantalahin ang mga kahinaan sa mga bahagi ng operating system at pinapataas ang paghihiwalay ng lalagyan. Ang mga lalagyan ay nilikha gamit ang karaniwang mga mekanismo ng kernel ng Linux: mga cgroup, namespace, at seccomp.
Ang pagkahati ng ugat ay naka-mount na read-only at ang partition ng / etc config ay naka-mount sa mga tmpf at naibalik sa orihinal nitong estado pagkatapos ng pag-reboot. Ang direktang pagbabago ng mga file sa direktoryo ng / etc, tulad ng /etc/resolv.conf at /etc/containerd/config.toml, upang permanenteng i-save ang mga setting, gamitin ang API, o ilipat ang pag-andar sa magkakahiwalay na mga lalagyan, ay hindi suportado.
Pangunahing mga bagong tampok ng Bottlerocket 1.1.0
Sa bagong bersyon ng pamamahagi ay kasama sa Linux kernel 5.10 upang magamit ito sa mga bagong variant kasama ang dalawa nAng mga bagong bersyon ng pamamahagi ng aws-k8s-1.20 at vmware-k8s-1.20 ay katugma sa Kubernetes 1.20.
Sa mga variant na ito, pati na rin sa na-update na bersyon ng aws-ecs-1, ang isang lock mode ay kasangkot na nakatakda sa "integridad" bilang default (hinaharangan ang kakayahang gumawa ng mga pagbabago sa tumatakbo na kernel mula sa puwang ng gumagamit). Inalis ang suporta para sa aws-k8s-1.15 batay sa Kubernetes 1.15.
Bukod dito, Sinusuportahan na ngayon ng Amazon ECS ang mode ng awsvpc network, na nagbibigay-daan sa iyo upang magtalaga ng malayang panloob na mga IP address at mga interface ng network para sa bawat gawain.
Nagdagdag ng mga pagsasaayos upang pamahalaan ang iba't ibang mga pagsasaayos ng Kubernetes Ang TLS bootstrap, kabilang ang QPS, mga limitasyon sa pangkat, at mga setting ng cloudProvider ng Kubernetes upang payagan ang paggamit sa labas ng AWS.
Sa boot container ay ibinigay ito ng SELinux upang paghigpitan ang pag-access sa data ng gumagamit, pati na rin isang paghahati sa mga patakaran sa patakaran ng SELinux para sa mga pinagkakatiwalaang paksa.
Sa iba pang mga pagbabago na naiiba mula sa bagong bersyon:
- Ang Kubernetes cluster-dns-ip ay maaari na ngayong gawing opsyonal upang suportahan ang paggamit sa labas ng AWS
- Binago ang mga parameter upang suportahan ang isang malusog na pag-scan ng CIS
- Ang utility na baguhin ang laki2fs ay naidagdag.
- Nabuo ang matatag na machine ID para sa mga panauhin ng VMware at ARM KVM
- Pinagana ang kernel lockdown mode ng "integridad" para sa variant ng preview ng aws-ecs-1
- Alisin ang default na pag-override ng timeout ng pagsisimula ng serbisyo
- Pigilan ang mga container ng boot mula sa pag-restart
- Ang mga bagong panuntunan sa udev para sa pag-mount ng CD-ROM lamang kapag ang media ay naroroon
- Suporta ng rehiyon ng AWS ap-hilagang-silangan-3: Osaka
- I-pause ang container URI na may karaniwang mga variable ng template
- Kakayahang makakuha ng DNS IP mula sa kumpol kapag magagamit
Panghuli, kung interesado kang matuto nang higit pa tungkol sa bagong inilabas na bersyon o interesado sa pamamahagi, maaari kang kumunsulta sa mga detalye sa sumusunod na link.