Lansiranje lnova verzija distribucije Linuxa «Bottlerocket 1.3.0» u kojem su napravljene neke izmjene i poboljšanja u sistemu MCS dodana ograničenja SELinux politici su istaknuta, kao i rješenje za nekoliko problema s politikama SELinux -a, podršku za IPv6 u kubeletu i pluto -u i takođe podrška za hibridno pokretanje za x86_64.
Za one koji nisu svjesni Flaša, trebali biste znati da je ovo Linux distribucija koja je razvijena uz učešće Amazona za efikasno i sigurno pokretanje izoliranih kontejnera. Ovu novu verziju karakterizira to što je u većoj mjeri ažuriranu verziju paketa, iako dolazi i s nekim novim promjenama.
Distribucija Karakteriše ga pružanje nedjeljive slike sistema automatski i atomski ažurirano koje uključuje jezgru Linuxa i minimalno sistemsko okruženje koje uključuje samo komponente potrebne za pokretanje spremnika.
O Bottlerocket -u
Okruženje koristi systemd system manager, biblioteku Glibc, Buildroot, bootloader jesti, opaki mrežni konfigurator, vrijeme izvođenja kontejner za izolaciju kontejnera, platformu Kubernetes, AWS-iam-autentifikator i Amazon ECS agent.
Alati za orkestraciju spremnika isporučuju se u zasebnom upravljačkom spremniku koji je omogućen prema zadanim postavkama i kojim se upravlja putem AWS SSM agenta i API -ja. Osnovna slika nedostaje komandna ljuska, SSH server i tumačeni jezici (Na primjer, bez Pythona ili Perla) - Administratorski alati i alati za otklanjanje grešaka premještaju se u zasebni spremnik usluge, koji je onemogućen prema zadanim postavkama.
Razlika ključ s obzirom na slične distribucije kao što su Fedora CoreOS, CentOS / Red Hat Atomic Host je primarni fokus na pružanju maksimalne sigurnosti u kontekstu učvršćivanja sistema od potencijalnih prijetnji, što otežava iskorištavanje ranjivosti u komponentama operativnog sistema i povećava izolaciju spremnika.
Glavne nove značajke Bottlerocket 1.3.0
U ovoj novoj verziji distribucije, popravka za ranjivosti u docker alatu i spremnik za vrijeme izvođenja (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) koji se odnosi na netočne postavke dozvola, dopuštajući neprivilegiranim korisnicima da napuste osnovni direktorij i pokrenu vanjske programe.
Na dijelu promjena koje su provedene možemo to otkriti IPv6 podrška je dodana u kubelet i plutoOsim toga, omogućena je mogućnost ponovnog pokretanja spremnika nakon promjene njegove konfiguracije, a podrška za instance Amazon EC2 M6i dodana je eni-max-pods-ovima.
Takođe se izdvojite nova MCS ograničenja SELinux politike, kao i rješenje nekoliko problema s politikama SELinux-a, osim toga za platformu x86_64, implementiran je hibridni način pokretanja (sa kompatibilnošću EFI-a i BIOS-a), a u Open-vm-alatima dodaje podršku za uređaje zasnovane na filterima u Ciliumu Toolkit.
S druge strane, uklonjena je kompatibilnost s verzijom distribucije aws-k8s-1.17 zasnovanom na Kubernetes 1.17, zbog čega se preporučuje upotreba varijante aws-k8s-1.21 sa kompatibilnošću s Kubernetes 1.21, pored k8s varijante pomoću postavki cgroup runtime.slice i system.slice.
Od ostalih promjena koje se ističu u ovoj novoj verziji:
- Regionalna zastava je dodana naredbi aws-iam-authentication
- Ponovo pokrenite izmijenjene spremnike hosta
- Ažuriran je zadani kontrolni spremnik na v0.5.2
- Eni-max-pods ažurirani su novim tipovima instanci
- Dodani su novi filteri cilium uređaja u open-vm-alate
- Uključi / var / log / kdumpen logdog tarballs
- Ažurirajte pakete trećih strana
- Dodana je definicija talasa radi spore implementacije
- Dodani 'infrasys' za stvaranje TUF infra na AWS -u
- Arhivirajte stare migracije
- Dokumentacija se menja
Konačno ako ste zainteresirani da saznate više o tome, možete provjeriti detalje Na sledećem linku.
Budite prvi koji komentarišete