釋放 Linux發行版的新版本 “壁虎1.1.0” 這是 由亞馬遜參與開發 高效,安全地運行隔離的容器。
分發和控制組件以Rust語言編寫 並根據MIT和Apache 2.0許可進行分發。 它支持在Amazon ECS和AWS EKS Kubernetes集群上運行Bottlerocket,以及支持啟用不同容器編排和運行時工具的自定義版本控制和修補。
分佈 提供自動和原子更新的不可分割的系統映像 其中包括Linux內核和最小的系統環境,其中僅包含運行容器所需的組件。
環境 使用systemd系統管理器,Glibc庫,Buildroot,GRUB引導程序,容器化的Kubernetes平台容器,AWS-iam-authenticator和Amazon ECS代理的運行時。
容器編排工具隨附在一個單獨的管理容器中,該容器默認情況下已啟用並通過AWS SSM代理和API進行管理。 基本映像缺少命令外殼,SSH服務器和解釋語言 (例如,沒有Python或Perl)-管理員工具和調試工具移至單獨的服務容器,默認情況下處於禁用狀態。
與類似發行版的主要區別 例如Fedora CoreOS,CentOS / Red Hat Atomic Host 主要致力於提供最大的安全性 在加強系統抵禦潛在威脅的背景下,這使得利用操作系統組件中的漏洞變得困難,並增加了容器隔離度。 容器是使用標準Linux內核機制創建的:cgroup,名稱空間和seccomp。
根分區已掛載為只讀 並且/ etc配置分區安裝在tmpfs中,並在重新引導後恢復到其原始狀態。 不支持直接修改/ etc目錄中的文件(例如/etc/resolv.conf和/etc/containerd/config.toml)以永久保存設置,使用API或將功能移動到單獨的容器中。
Bottlerocket 1.1.0的主要新功能
在這個新版本的發行版中 包含在Linux內核5.10中 為了能夠與兩個n一起在新的變體中使用新版本的aws-k8s-1.20和vmware-k8s-1.20發行版與Kubernetes 1.20兼容。
在這些變體以及aws-ecs-1的更新版本中, 涉及到設置為“完整性”的鎖定模式 默認情況下(阻止從用戶空間更改正在運行的內核的功能)。 刪除了對基於Kubernetes 8的aws-k1.15s-1.15的支持。
另外, Amazon ECS現在支持awsvpc網絡模式,您可以為每個任務分配獨立的內部IP地址和網絡接口。
添加了配置以管理各種Kubernetes配置 TLS引導程序,包括QPS,組限制和Kubernetes cloudProvider設置,以允許在AWS外部使用。
在啟動容器中,SELinux提供了該容器 限制對用戶數據的訪問,以及對受信任主題的SELinux策略規則的劃分。
從新版本中脫穎而出的其他變化包括:
- 現在可以將Kubernetes cluster-dns-ip設為可選,以支持在AWS外部使用
- 更改參數以支持正常的CIS掃描
- 添加了resize2fs實用程序。
- 為VMware和ARM KVM guest虛擬機生成的穩定機器ID
- 為aws-ecs-1的預覽版本啟用了“完整性”的內核鎖定模式
- 刪除默認服務啟動超時替代
- 防止啟動容器重新啟動
- 新的udev規則,僅在存在介質時才掛載CD-ROM
- AWS區域支持ap-northeast-3:大阪
- 使用標準模板變量暫停容器URI
- 可用時從群集獲取DNS IP的能力
最後,如果您有興趣了解有關此新發行版本的更多信息或對發行版感興趣,可以諮詢以下網站。 以下鏈接中提供了詳細信息。