Việc phát hành phiên bản mới của bản phân phối Linux "Giá đỡ 1.1.0" đó là được phát triển với sự tham gia của Amazon để chạy các thùng chứa bị cô lập một cách hiệu quả và an toàn.
Các thành phần phân phối và điều khiển được viết bằng ngôn ngữ Rust và được phân phối theo giấy phép MIT và Apache 2.0. Nó hỗ trợ chạy Bottlerocket trên các cụm Amazon ECS và AWS EKS Kubernetes, cũng như lập phiên bản tùy chỉnh và bản vá cho phép các công cụ điều phối vùng chứa và thời gian chạy khác nhau.
Sự phân phối cung cấp hình ảnh hệ thống không thể phân chia được cập nhật tự động và nguyên tử bao gồm nhân Linux và một môi trường hệ thống tối thiểu chỉ bao gồm các thành phần cần thiết để chạy các vùng chứa.
Môi trường sử dụng trình quản lý hệ thống systemd, thư viện Glibc, Buildroot, bộ nạp khởi động GRUB, thời gian chạy cho containerd, vùng chứa nền tảng Kubernetes, trình xác thực AWS-iam và đại lý Amazon ECS.
Các công cụ điều phối vùng chứa được vận chuyển trong một vùng chứa quản lý riêng biệt được bật theo mặc định và được quản lý thông qua AWS SSM Agent và API. Hình ảnh cơ sở thiếu một trình bao lệnh, máy chủ SSH và các ngôn ngữ được thông dịch (Ví dụ: không có Python hoặc Perl) - Các công cụ quản trị viên và công cụ gỡ lỗi được chuyển đến một vùng chứa dịch vụ riêng biệt, bị tắt theo mặc định.
Sự khác biệt chính so với các bản phân phối tương tự chẳng hạn như Fedora CoreOS, CentOS / Red Hat Atomic Host là trọng tâm chính để cung cấp bảo mật tối đa trong bối cảnh làm cứng hệ thống chống lại các mối đe dọa tiềm ẩn, điều này gây khó khăn cho việc khai thác các lỗ hổng trong các thành phần của hệ điều hành và tăng khả năng cô lập vùng chứa. Các vùng chứa được tạo bằng cách sử dụng các cơ chế hạt nhân Linux tiêu chuẩn: cgroups, namespace và seccomp.
Phân vùng gốc được gắn kết chỉ đọc và phân vùng cấu hình / etc được gắn trong tmpfs và được khôi phục về trạng thái ban đầu sau khi khởi động lại. Không hỗ trợ sửa đổi trực tiếp các tệp trong thư mục / etc, chẳng hạn như /etc/resolv.conf và /etc/containerd/config.toml, để lưu cài đặt, sử dụng API hoặc di chuyển chức năng sang các vùng chứa riêng biệt.
Các tính năng mới chính của Bottlerocket 1.1.0
Trong phiên bản phân phối mới này đã được đưa vào nhân Linux 5.10 để có thể sử dụng nó trong các biến thể mới cùng với hai nCác phiên bản mới của bản phân phối aws-k8s-1.20 và vmware-k8s-1.20 tương thích với Kubernetes 1.20.
Trong các biến thể này, cũng như trong phiên bản cập nhật của aws-ecs-1, có liên quan đến chế độ khóa được đặt thành "toàn vẹn" theo mặc định (chặn khả năng thực hiện thay đổi đối với hạt nhân đang chạy từ không gian người dùng). Đã xóa hỗ trợ cho aws-k8s-1.15 dựa trên Kubernetes 1.15.
Bên cạnh đó, Amazon ECS hiện hỗ trợ chế độ mạng awsvpc, cho phép bạn gán địa chỉ IP nội bộ độc lập và giao diện mạng cho từng tác vụ.
Đã thêm cấu hình để quản lý các cấu hình Kubernetes khác nhau TLS bootstrap, bao gồm QPS, giới hạn nhóm và cài đặt Kubernetes cloudProvider để cho phép sử dụng bên ngoài AWS.
Trong vùng chứa khởi động, nó được cung cấp với SELinux để hạn chế quyền truy cập vào dữ liệu người dùng, cũng như sự phân chia đối với các quy tắc chính sách SELinux cho các đối tượng đáng tin cậy.
Trong số những thay đổi khác nổi bật so với phiên bản mới:
- Kubernetes cluster-dns-ip hiện có thể được làm tùy chọn để hỗ trợ việc sử dụng bên ngoài AWS
- Các thông số đã thay đổi để hỗ trợ quét CIS lành mạnh
- Tiện ích resize2fs đã được thêm vào.
- ID máy ổn định được tạo cho khách VMware và ARM KVM
- Đã bật chế độ khóa hạt nhân "tính toàn vẹn" cho biến thể xem trước của aws-ecs-1
- Xóa ghi đè thời gian chờ khởi động dịch vụ mặc định
- Ngăn các thùng chứa khởi động khởi động lại
- Các quy tắc udev mới để chỉ gắn CD-ROM khi có phương tiện
- Hỗ trợ khu vực AWS ap-đông bắc-3: Osaka
- Tạm dừng URI vùng chứa với các biến mẫu chuẩn
- Khả năng lấy IP DNS từ cụm khi có sẵn
Cuối cùng, nếu bạn quan tâm đến việc có thể tìm hiểu thêm về phiên bản mới phát hành này hoặc quan tâm đến việc phân phối, bạn có thể tham khảo chi tiết trong liên kết sau.