Käynnistys luusi versio Linux -jakelusta «Bottlerocket 1.3.0» jonka järjestelmään on tehty joitakin muutoksia ja parannuksia MCS: n lisärajoitukset SELinux -käytäntöön korostetaan, sekä ratkaisu useisiin SELinux -käytäntöongelmiin, IPv6 -tuki kubelet- ja pluto- ja myös hybridikäynnistystuki x86_64: lle.
Niille, jotka eivät tiedä Pullonratas, sinun pitäisi tietää, että tämä on Linux -jakelu, joka on kehitetty Amazonin kanssa erillisten säiliöiden tehokkaaseen ja turvalliseen ajamiseen. Tälle uudelle versiolle on ominaista, että se on enemmän paketin päivitysversio, vaikka se sisältää myös joitain uusia muutoksia.
Jakelu Sille on ominaista jakamaton järjestelmäkuva päivitetään automaattisesti ja atomisesti, joka sisältää Linux -ytimen ja minimaalisen järjestelmäympäristön, joka sisältää vain säilöjen suorittamiseen tarvittavat komponentit.
Tietoja Bottlerocketista
Ympäristö käyttää systemd -järjestelmänhallintaa, Glibc -kirjastoa, Buildrootia, käynnistyslatain grubi, pahan verkon kokoonpanon, ajon kontti kontin eristämiseksi lava Kubernetes, AWS-iam-autentikoija ja Amazon ECS -agentti.
Säilönhallintatyökalut toimitetaan erillisessä hallintasäiliössä, joka on oletusarvoisesti käytössä ja jota hallitaan AWS SSM -agentin ja sovellusliittymän kautta. Peruskuva puuttuu komentokuori, SSH -palvelin ja tulkitut kielet (Esimerkiksi ilman Pythonia tai Perliä): Järjestelmänvalvojan työkalut ja virheenkorjaustyökalut siirretään erilliseen palvelusäiliöön, joka on oletusarvoisesti poissa käytöstä.
Ero Clave vastaavien jakelujen osalta kuten Fedora CoreOS, CentOS / Red Hat Atomic Host on ensisijainen painopiste maksimaalisen turvallisuuden tarjoamisessa järjestelmän kovettamisen yhteydessä mahdollisia uhkia vastaan, mikä vaikeuttaa käyttöjärjestelmän osien haavoittuvuuksien hyödyntämistä ja lisää säiliöiden eristystä.
Bottlerocket 1.3.0: n tärkeimmät uudet ominaisuudet
Tässä jakelun uudessa versiossa korjaa telakointityökalun haavoittuvuudet ja ajonaikainen säilö (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103), jotka liittyvät virheellisiin käyttöoikeusasetuksiin, jolloin ei-oikeutetut käyttäjät voivat poistua perushakemistosta ja suorittaa ulkoisia ohjelmia.
Toteutetuista muutoksista voimme löytää sen IPv6 -tuki on lisätty kubelet- ja pluto -laitteisiinLisäksi tarjottiin mahdollisuus käynnistää säiliö uudelleen sen kokoonpanon muuttamisen jälkeen, ja Amazon EC2 M6i -instanssien tuki lisättiin eni-max-podseihin.
Myös erottua MCS: n uudet SELinux -käytäntöä koskevat rajoitukset, sekä ratkaisun useisiin SELinux-käytäntöongelmiin sen lisäksi, että x86_64-alustalle hybridikäynnistystila on toteutettu (EFI- ja BIOS-yhteensopivuus) ja Open-vm-työkaluissa se tukee suodatinpohjaisia laitteita Cilium -työkalupakki.
Toisaalta yhteensopivuus aws-k8s-1.17-jakeluversion kanssa, joka perustuu Kubernetes 1.17: een, poistettiin, minkä vuoksi on suositeltavaa käyttää versiota aws-k8s-1.21, joka on yhteensopiva Kubernetes 1.21: n kanssa. k8s -variantit käyttämällä cgroup runtime.slice- ja system.slice -asetuksia.
Muista muutoksista, jotka erottuvat tässä uudessa versiossa:
- Alueilmaisin lisätty aws-iam-authenticator -komentoon
- Käynnistä muokatut isäntäsäilöt uudelleen
- Oletusohjaussäiliö päivitettiin versioon 0.5.2
- Eni-max-podit päivitetty uusilla ilmentymätyypeillä
- Lisätty uusia cilium-laitteen suodattimia open-vm-toolsiin
- Sisällytä / var / log / kdumpen logdog tarballs
- Päivitä kolmannen osapuolen paketit
- Aallon määritelmä lisätty hitaaseen käyttöönottoon
- Lisätty "infrasys" TUF -infran luomiseksi AWS: ään
- Arkistoi vanhat siirrot
- Dokumentaatio muuttuu
Vihdoin jos olet kiinnostunut tietämään siitä lisää, voit tarkistaa yksityiskohdat Seuraavassa linkissä.