Käivitamine luus versioon Linuxi distributsioonist "Bottlerocket 1.3.0" mille süsteemis on tehtud mõningaid muudatusi ja täiustusi MCS lisatud piirangud SELinuxi poliitikale on esile tõstetud, samuti mitme SELinuxi poliitikaprobleemi lahendus, IPv6 tugi kubeletis ja pluto ja ka x86_64 hübriidkäivituse tugi.
Neile, kes seda ei tea Pudelikett, peaksite teadma, et see on Linuxi distributsioon, mis on välja töötatud Amazoni osalusel isoleeritud konteinerite tõhusaks ja ohutuks käitamiseks. Seda uut versiooni iseloomustab see, et see on suuremal määral paketi värskendusversioon, kuigi see sisaldab ka mõningaid uusi muudatusi.
Jaotus Seda iseloomustab jagamatu süsteemipildi pakkumine värskendatakse automaatselt ja aatomiliselt, mis sisaldab Linuxi tuuma ja minimaalset süsteemikeskkonda, mis sisaldab ainult konteinerite käitamiseks vajalikke komponente.
Bottlerocketist
Keskkond kasutab süsteemihaldurit, Glibci teeki, Buildroot, alglaadur muru, kurja võrgukonfiguraatori, käitusajaga konteiner konteineri isoleerimiseks platvorm Kubernetes, AWS-iam-autentija ja Amazon ECS-i agent.
Konteinerite korraldamise tööriistad tarnitakse eraldi halduskonteineris, mis on vaikimisi lubatud ja mida hallatakse AWS SSM agendi ja API kaudu. Aluspilt puudub käsukest, SSH -server ja tõlgitud keeled (näiteks ilma Pythoni või Perlita): administraatori tööriistad ja silumisvahendid teisaldatakse eraldi teenusekonteinerisse, mis on vaikimisi keelatud.
Erinevus võti sarnaste jaotuste osas nagu Fedora CoreOS, CentOS / Red Hat Atomic Host on esmatähtis maksimaalse turvalisuse pakkumisel süsteemi karmistamise kontekstis võimalike ohtude eest, mis raskendab operatsioonisüsteemi komponentide turvaaukude ärakasutamist ja suurendab konteinerite eraldatust.
Bottlerocket 1.3.0 peamised uued funktsioonid
Selle levitamise uues versioonis on parandage doki tööriistakomplekti haavatavused ja käitusaja konteiner (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103), mis on seotud valede loasätetega, võimaldades mitteprivilegeeritud kasutajatel baaskataloogist lahkuda ja väliseid programme käivitada.
Rakendatud muudatuste osas leiame selle Kubeletile ja plutole on lisatud IPv6 tugiLisaks pakuti konteineri taaskäivitamist pärast selle konfiguratsiooni muutmist ning eni-max-pods lisati Amazon EC2 M6i eksemplaride tugi.
Paista ka silma MCS -i uued piirangud SELinuxi poliitikale, Lisaks mitmete SELinuxi poliitikaprobleemide lahendamisele on lisaks x86_64 platvormile rakendatud hübriidlaadimisrežiim (EFI ja BIOS ühilduvusega) ning Open-vm-tools lisab see toe filtripõhistele seadmetele. Tööriistakomplekt.
Teisest küljest kõrvaldati ühilduvus levitamise versiooniga aws-k8s-1.17, mis põhineb Kubernetes 1.17-l, mistõttu on soovitatav lisaks versioonile Kubernetes 8 kasutada ka varianti aws-k1.21s-1.21. k8s variandid, kasutades sätteid cgroup runtime.slice ja system.slice.
Muudest muudatustest, mis selles uues versioonis silma paistavad:
- Piirkonna indikaator on lisatud käsule aws-iam-authenticator
- Taaskäivitage muudetud hostikonteinerid
- Värskendati vaikekontrollikonteiner versioonile v0.5.2
- Eni-max-podsid on värskendatud uute eksemplaritüüpidega
- Lisas avatud vm-tööriistadesse uued tsiliumi seadme filtrid
- Kaasa / var / log / kdumpen logdog tarballs
- Värskendage kolmanda osapoole pakette
- Laine määratlus lisatud aeglaseks rakendamiseks
- AWS -is TUF -infra loomiseks lisati „infrasys”
- Arhiivige vanad ränded
- Dokumentatsioon muutub
Lõpuks kui olete huvitatud sellest rohkem teada saama, saate üksikasju vaadata Järgmisel lingil.