Der Start von leine neue Version der Linux-Distribution «Bottlerocket 1.3.0» in denen einige Änderungen und Verbesserungen am System vorgenommen wurden, von denen MCS hinzugefügte Einschränkungen zur SELinux-Richtlinie sind hervorgehoben, sowie die Lösung verschiedener SELinux-Richtlinienprobleme, IPv6-Unterstützung in kubelet und pluto und auch Hybrid-Boot-Unterstützung für x86_64.
Für diejenigen, die es nicht wissen Flaschenrakete, Sie sollten wissen, dass dies eine Linux-Distribution ist, die unter Beteiligung von Amazon entwickelt wurde, um isolierte Container effizient und sicher auszuführen. Diese neue Version zeichnet sich dadurch aus, dass sie in größerem Umfang eine Paket-Update-Version, obwohl sie auch einige neue Änderungen enthält.
Der Vertrieb zeichnet sich durch ein unteilbares Systemabbild aus automatisch und atomar aktualisiert, die den Linux-Kernel und eine minimale Systemumgebung enthält, die nur die Komponenten enthält, die zum Ausführen von Containern erforderlich sind.
Über Bottlerocket
Die Umwelt verwendet den systemd-Systemmanager, die Glibc-Bibliothek, Buildroot, Bootloader RODEN, der Wicked Network Configurator, die Laufzeit Containerd zur Containerisolierung, die Plattform Kubernetes, AWS-iam-authenticator und der Amazon ECS-Agent.
Tools zur Container-Orchestrierung werden in einem separaten Verwaltungscontainer geliefert, der standardmäßig aktiviert ist und über den AWS SSM-Agent und die API verwaltet wird. Das Basisbild fehlt eine Befehlsshell, SSH-Server und interpretierte Sprachen (z. B. ohne Python oder Perl): Administrator- und Debugging-Tools werden in einen separaten Dienstcontainer verschoben, der standardmäßig deaktiviert ist.
Der Unterschied Notenschlüssel bezüglich ähnlicher Verteilungen wie Fedora CoreOS, CentOS / Red Hat Atomic Host ist das Hauptaugenmerk auf maximale Sicherheit im Zusammenhang mit der Absicherung des Systems gegen potenzielle Bedrohungen, was die Ausnutzung von Schwachstellen in Betriebssystemkomponenten erschwert und die Container-Isolation erhöht.
Hauptneufunktionen von Bottlerocket 1.3.0
In dieser neuen Version der Distribution ist die Behebung von Schwachstellen im Docker-Toolkit und der Laufzeitcontainer (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) im Zusammenhang mit falschen Berechtigungseinstellungen, die es nicht privilegierten Benutzern ermöglichen, das Basisverzeichnis zu verlassen und externe Programme auszuführen.
Auf Seiten der vorgenommenen Änderungen können wir feststellen, dass Kubelet und Pluto . wurden IPv6-Unterstützung hinzugefügtDarüber hinaus wurde die Möglichkeit bereitgestellt, den Container nach dem Ändern seiner Konfiguration neu zu starten, und die Unterstützung für Amazon EC2 M6i-Instances wurde eni-max-pods hinzugefügt.
Auch hervorstechen Die neuen Einschränkungen von MCS für die SELinux-Richtlinie, sowie die Lösung mehrerer SELinux-Richtlinienprobleme, zusätzlich zu der Tatsache, dass für die x86_64-Plattform der Hybrid-Boot-Modus implementiert ist (mit EFI- und BIOS-Kompatibilität) und in Open-vm-tools Unterstützung für filterbasierte Geräte hinzufügt In das Cilium-Toolkit.
Auf der anderen Seite wurde die Kompatibilität mit der auf Kubernetes 8 basierenden Version der aws-k1.17s-1.17-Distribution aufgehoben, weshalb empfohlen wird, zusätzlich zur k8s-Varianten mit den Einstellungen cgroup runtime.slice und system.slice.
Von den anderen Änderungen, die in dieser neuen Version auffallen:
- Regionsanzeige zum Befehl aws-iam-authenticator hinzugefügt
- Geänderte Hostcontainer neu starten
- Der Standard-Control-Container wurde auf v0.5.2 aktualisiert
- Eni-max-pods mit neuen Instanztypen aktualisiert
- Neue cilium-Gerätefilter zu open-vm-tools hinzugefügt
- Include / var / log / kdumpen logdog-Tarballs
- Pakete von Drittanbietern aktualisieren
- Wellendefinition für langsame Implementierung hinzugefügt
- 'infrasys' hinzugefügt, um TUF-Infra auf AWS zu erstellen
- Alte Migrationen archivieren
- Dokumentationsänderungen
Schließlich wenn Sie mehr darüber wissen möchtenkönnen Sie die Details überprüfen im folgenden Link.