Η νέα έκδοση του Bottlerocket 1.3.0 έχει ήδη κυκλοφορήσει και αυτά είναι τα νέα της

Η εκτόξευση τουμια νέα έκδοση της διανομής Linux "Bottlerocket 1.3.0" στο οποίο έχουν γίνει κάποιες αλλαγές και βελτιώσεις στο σύστημα του οποίου επισημαίνει τους πρόσθετους περιορισμούς MCS στην πολιτική SELinux, καθώς και επίλυση διαφόρων ζητημάτων πολιτικής SELinux, υποστήριξη IPv6 σε kubelet και pluto, και επίσης υβριδική υποστήριξη εκκίνησης για x86_64.

Για όσους δεν το γνωρίζουν μπουκαλιάρι, Θα πρέπει να γνωρίζετε ότι πρόκειται για μια διανομή Linux που έχει αναπτυχθεί με τη συμμετοχή της Amazon για να τρέχει απομονωμένα κοντέινερ αποτελεσματικά και με ασφάλεια. Αυτή η νέα έκδοση χαρακτηρίζεται από το ότι είναι περισσότερο μια έκδοση ενημέρωσης πακέτου, αν και συνοδεύεται επίσης με ορισμένες νέες αλλαγές.

Η διανομή χαρακτηρίζεται από την παροχή μιας αδιαίρετης εικόνας συστήματος ενημερώνεται αυτόματα και ατομικά που περιλαμβάνει τον πυρήνα του Linux και ένα ελάχιστο περιβάλλον συστήματος που περιλαμβάνει μόνο τα στοιχεία που απαιτούνται για την εκτέλεση κοντέινερ.

Σχετικά με το Bottlerocket

Το περιβάλλον κάνει χρήση του systemd system manager, της βιβλιοθήκης Glibc, του Buildroot, bootloader ΚΑΜΠΙΑ, ο κακός διαμορφωτής δικτύου, ο χρόνος εκτέλεσης κοντέινερ για την απομόνωση κοντέινερ, η πλατφόρμα Kubernetes, AWS-iam-authenticator και Amazon ECS broker.

Τα εργαλεία ενορχήστρωσης κοντέινερ αποστέλλονται σε ξεχωριστό κοντέινερ διαχείρισης που είναι ενεργοποιημένο από προεπιλογή και διαχειρίζεται μέσω του πράκτορα AWS SSM και του API. την εικόνα βάσης στερείται κελύφους εντολών, διακομιστή SSH και ερμηνευμένες γλώσσες (για παράδειγμα, χωρίς Python ή Perl): Τα εργαλεία διαχειριστή και τα εργαλεία εντοπισμού σφαλμάτων μετακινούνται σε ξεχωριστό κοντέινερ υπηρεσίας, το οποίο είναι απενεργοποιημένο από προεπιλογή.

Η διαφορά κλειδί σε σχέση με παρόμοιες κατανομές όπως το Fedora CoreOS, το CentOS / Red Hat Atomic Host είναι η κύρια εστίαση στην παροχή μέγιστης ασφάλειας στο πλαίσιο της σκλήρυνσης του συστήματος έναντι πιθανών απειλών, καθιστώντας πιο δύσκολη την εκμετάλλευση των τρωτών σημείων στα στοιχεία του λειτουργικού συστήματος και αυξάνοντας την απομόνωση κοντέινερ.

Κύρια νέα χαρακτηριστικά του Bottlerocket 1.3.0

Αυτή η νέα έκδοση της διανομής τονίζει το επιδιορθώστε τα τρωτά σημεία στο docker toolkit και το κοντέινερ χρόνου εκτέλεσης (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) σχετικά με δικαιώματα εσφαλμένης διαμόρφωσης, τα οποία επέτρεπαν σε μη προνομιούχους χρήστες να εγκαταλείψουν τον βασικό κατάλογο και να εκτελούν εξωτερικά προγράμματα.

Για το μέρος των αλλαγών που έχουν εφαρμοστεί μπορούμε να το βρούμε Η υποστήριξη IPv6 έχει προστεθεί στα kubelet και pluto, καθώς και την παροχή της δυνατότητας επανεκκίνησης του κοντέινερ μετά την αλλαγή της διαμόρφωσής του και την προσθήκη υποστήριξης για παρουσίες Amazon EC2 M6i στα eni-max-pods.

ξεχωρίζουν επίσης οι νέοι περιορισμοί MCS στην πολιτική SELinux, Εκτός από τη διόρθωση διαφόρων ζητημάτων πολιτικής του SELinux, καθώς και για την πλατφόρμα x86_64, υλοποιεί την υβριδική λειτουργία εκκίνησης (με υποστήριξη EFI και BIOS) και στα εργαλεία Open-vm προσθέτει υποστήριξη για φίλτρα συσκευών με βάση το κιτ εργαλείων Cilium.

Από την άλλη πλευρά, καταργήθηκε η συμβατότητα με την έκδοση της διανομής aws-k8s-1.17 που βασίζεται στο Kubernetes 1.17, με την οποία συνιστάται η χρήση της παραλλαγής aws-k8s-1.21 με συμβατότητα με Kubernetes 1.21, επιπλέον των παραλλαγών k8s που χρησιμοποιούν τις διαμορφώσεις cgroup και runtime.

Από τις άλλες αλλαγές που ξεχωρίζουν σε αυτήν τη νέα έκδοση:

  • Προστέθηκε ένδειξη περιοχής στην εντολή aws-iam-authenticator
  • Επανεκκινήστε τα τροποποιημένα κοντέινερ κεντρικού υπολογιστή
  • Ενημερώθηκε το προεπιλεγμένο κοντέινερ ελέγχου σε έκδοση 0.5.2
  • Ενημερωμένα eni-max-pods με νέους τύπους παρουσιών
  • Προστέθηκαν νέα φίλτρα συσκευών cilium στα open-vm-tools
  • Συμπεριλάβετε /var/log/kdumpen tarballs logdog
  • Ενημερώστε τα πακέτα τρίτων
  • Προστέθηκε ορισμός κυμάτων για αργή υλοποίηση
  • Προστέθηκε το 'infrasys' για τη δημιουργία TUF infra στο AWS
  • Αρχειοθετήστε παλιές μεταναστεύσεις
  • Αλλαγές τεκμηρίωσης

Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.


Γίνε ο πρώτος που θα σχολιάσει

Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.