释放 Linux发行版的新版本 “壁虎1.1.0” 这是 由亚马逊参与开发 高效,安全地运行隔离的容器。
分发和控制组件以Rust语言编写 并根据MIT和Apache 2.0许可进行分发。 它支持在Amazon ECS和AWS EKS Kubernetes集群上运行Bottlerocket,以及支持启用不同容器编排和运行时工具的自定义版本控制和修补。
分布 提供自动和原子更新的不可分割的系统映像 其中包括Linux内核和最小的系统环境,其中仅包含运行容器所需的组件。
环境 使用systemd系统管理器,Glibc库,Buildroot,GRUB引导程序,用于容器化的Kubernetes平台容器,AWS-iam-authenticator和Amazon ECS代理的运行时。
容器编排工具随附在一个单独的管理容器中,该容器默认情况下已启用并通过AWS SSM代理和API进行管理。 基本映像缺少命令外壳,SSH服务器和解释语言 (例如,没有Python或Perl)-管理员工具和调试工具移至单独的服务容器,默认情况下处于禁用状态。
与类似发行版的主要区别 例如Fedora CoreOS,CentOS / Red Hat Atomic Host 主要致力于提供最大的安全性 在加强系统抵御潜在威胁的背景下,这使得利用操作系统组件中的漏洞变得困难,并增加了容器隔离度。 容器是使用标准Linux内核机制创建的:cgroup,名称空间和seccomp。
根分区已挂载为只读 并且/ etc config分区安装在tmpfs中,并在重新启动后恢复到其原始状态。 不支持直接修改/ etc目录中的文件(例如/etc/resolv.conf和/etc/containerd/config.toml)以永久保存设置,使用API或将功能移动到单独的容器中。
Bottlerocket 1.1.0的主要新功能
在这个新版本的发行版中 包含在Linux内核5.10中 为了能够与两个n一起在新的变体中使用新版本的aws-k8s-1.20和vmware-k8s-1.20发行版与Kubernetes 1.20兼容。
在这些变体以及aws-ecs-1的更新版本中, 涉及到设置为“完整性”的锁定模式 默认情况下(阻止从用户空间更改正在运行的内核的功能)。 删除了基于Kubernetes 8对aws-k1.15s-1.15的支持。
另外, Amazon ECS现在支持awsvpc网络模式,您可以为每个任务分配独立的内部IP地址和网络接口。
添加了配置以管理各种Kubernetes配置 TLS引导程序,包括QPS,组限制和Kubernetes cloudProvider设置,以允许在AWS外部使用。
在启动容器中,SELinux提供了该容器 限制对用户数据的访问,以及对受信任主题的SELinux策略规则的拆分。
从新版本中脱颖而出的其他变化包括:
- 现在可以将Kubernetes cluster-dns-ip设为可选,以支持在AWS外部使用
- 更改参数以支持正常的CIS扫描
- 添加了resize2fs实用程序。
- 为VMware和ARM KVM guest虚拟机生成的稳定机器ID
- 为aws-ecs-1的预览版本启用了“完整性”的内核锁定模式
- 删除默认服务启动超时替代
- 防止启动容器重新启动
- 新的udev规则,仅在存在介质时才挂载CD-ROM
- AWS区域支持ap-northeast-3:大阪
- 使用标准模板变量暂停容器URI
- 可用时从群集获取DNS IP的能力
最后,如果您有兴趣了解更多有关此新发行版本的信息或对发行版感兴趣,可以咨询 以下链接中提供了详细信息。