Lanceringen af len ny version af Linux -distributionen «Bottlerocket 1.3.0» hvori der er foretaget nogle ændringer og forbedringer af systemet MCS -tilføjede begrænsninger til SELinux -politikken fremhæves, samt løsningen på flere SELinux -politiske problemer, IPv6 -understøttelse i kubelet og pluto og også hybrid boot -understøttelse til x86_64.
For dem der ikke er opmærksomme på Bottlerocket, du skal vide, at dette er en Linux -distribution, der er udviklet med deltagelse af Amazon for at køre isolerede containere effektivt og sikkert. Denne nye version er kendetegnet ved at være i større omfang en pakkeopdateringsversion, selvom den også kommer med nogle nye ændringer.
Fordelingen Det er kendetegnet ved at give et udeleligt systembillede automatisk og atomisk opdateret, der inkluderer Linux -kernen og et minimalt systemmiljø, der kun indeholder de komponenter, der er nødvendige for at køre containere.
Om Bottlerocket
Miljøet gør brug af systemd system manager, Glibc biblioteket, Buildroot, bootloader grub, den onde netværkskonfigurator, runtime indeholdt til containerisolering, platformen Kubernetes, AWS-iam-authenticator og Amazon ECS-agenten.
Containerorkestreringsværktøjer sendes i en separat administrationscontainer, der er aktiveret som standard og administreres via AWS SSM -agenten og API. Grundbilledet mangler en kommandoskal, SSH -server og fortolkede sprog (For eksempel uden Python eller Perl): Administratorværktøjer og fejlretningsværktøjer flyttes til en separat servicecontainer, som er deaktiveret som standard.
Forskellen Clave med hensyn til lignende distributioner såsom Fedora CoreOS, CentOS / Red Hat Atomic Host er det primære fokus på at give maksimal sikkerhed i forbindelse med at hærde systemet mod potentielle trusler, hvilket gør det svært at udnytte sårbarheder i operativsystemkomponenter og øger containerisolering.
Vigtigste nye funktioner i Bottlerocket 1.3.0
I denne nye version af distributionen, rettelse for sårbarheder i docker -værktøjskasse og runtime-containeren (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) relateret til forkerte tilladelsesindstillinger, der tillader uprivilegerede brugere at forlade basismappen og køre eksterne programmer.
Fra de ændringer, der er blevet gennemført, kan vi finde det IPv6 -understøttelse er blevet tilføjet til kubelet og plutoDerudover blev der givet mulighed for at genstarte containeren efter at have ændret konfigurationen, og understøttelse af Amazon EC2 M6i-instanser blev tilføjet til eni-max-pods.
Skil dig også ud MCS's nye begrænsninger for SELinux -politik, samt løsningen af flere SELinux-politikproblemer, udover det faktum, at for x86_64-platformen er hybridstarttilstand implementeret (med EFI- og BIOS-kompatibilitet) og i Open-vm-værktøjer tilføjer den understøttelse af filterbaserede enheder i Cilium Toolkit.
På den anden side blev kompatibiliteten med versionen af aws-k8s-1.17-distributionen baseret på Kubernetes 1.17 elimineret, hvorfor det anbefales at bruge aws-k8s-1.21-varianten med kompatibilitet med Kubernetes 1.21, ud over k8s -varianter, der bruger indstillingerne cgroup runtime.slice og system.slice.
Af de andre ændringer, der skiller sig ud i denne nye version:
- Regionflag tilføjet kommandoen aws-iam-authenticator
- Genstart modificerede værtscontainere
- Opdaterede standardkontrolbeholderen til v0.5.2
- Eni-max-pods opdateret med nye forekomsttyper
- Tilføjet nye cilium-enhedsfiltre til open-vm-tools
- Inkluder / var / log / kdumpen logdog tarballs
- Opdater tredjepartspakker
- Wave definition tilføjet for langsom implementering
- Tilføjet 'infrasys' for at oprette TUF infra på AWS
- Arkiver gamle migrationer
- Dokumentationsændringer
Endelig hvis du er interesseret i at vide mere om det, kan du kontrollere detaljerne I det følgende link.