Le lancement de lune nouvelle version de la distribution Linux «Bottlerocket 1.3.0» dans lequel certaines modifications et améliorations ont été apportées au système dont Les restrictions ajoutées par MCS à la politique SELinux sont mises en évidence, ainsi que la solution à plusieurs problèmes de politique SELinux, la prise en charge d'IPv6 dans kubelet et pluto et également la prise en charge du démarrage hybride pour x86_64.
Pour ceux qui ignorent Fusée en bouteille, vous devez savoir qu'il s'agit d'une distribution Linux qui est développée avec la participation d'Amazon pour exécuter des conteneurs isolés de manière efficace et sûre. Cette nouvelle version se caractérise par une plus grande une version de mise à jour du package, bien qu'elle soit également accompagnée de nouveaux changements.
La distribution se caractérise par la fourniture d'une image système indivisible automatiquement et atomiquement mis à jour qui inclut le noyau Linux et un environnement système minimal qui inclut uniquement les composants nécessaires pour exécuter les conteneurs.
À propos de Bottlerocket
L'environnement utilise le gestionnaire de système systemd, la bibliothèque Glibc, Buildroot, chargeur de démarrage VER, le configurateur de réseau méchant, le runtime conteneur pour l'isolement des conteneurs, la plate-forme Kubernetes, AWS-iam-authenticator et l'agent Amazon ECS.
Les outils d'orchestration de conteneur sont livrés dans un conteneur de gestion distinct qui est activé par défaut et géré via l'agent et l'API AWS SSM. L'image de base manque d'un shell de commande, d'un serveur SSH et de langages interprétés (Par exemple, sans Python ou Perl) - Les outils d'administration et les outils de débogage sont déplacés vers un conteneur de services distinct, qui est désactivé par défaut.
La différence fendit par rapport à des distributions similaires tels que Fedora CoreOS, CentOS / Red Hat Atomic Host est l'objectif principal de fournir une sécurité maximale dans le contexte du renforcement du système contre les menaces potentielles, ce qui rend difficile l'exploitation des vulnérabilités des composants du système d'exploitation et augmente l'isolement des conteneurs.
Principales nouveautés de Bottlerocket 1.3.0
Dans cette nouvelle version de la distribution, le correction des vulnérabilités dans la boîte à outils docker et le conteneur d'exécution (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) lié à des paramètres d'autorisation incorrects, permettant aux utilisateurs non privilégiés de quitter le répertoire de base et d'exécuter des programmes externes.
En ce qui concerne les changements qui ont été mis en œuvre, nous pouvons constater que Le support IPv6 a été ajouté à kubelet et plutoDe plus, la possibilité de redémarrer le conteneur après avoir modifié sa configuration a été fournie et la prise en charge des instances Amazon EC2 M6i a été ajoutée à eni-max-pods.
Démarquez-vous aussi Les nouvelles restrictions de MCS sur la politique SELinux, ainsi que la solution de plusieurs problèmes de politique SELinux, en plus du fait que pour la plate-forme x86_64, le mode de démarrage hybride est implémenté (avec compatibilité EFI et BIOS) et dans Open-vm-tools, il ajoute la prise en charge des périphériques basés sur des filtres. la boîte à outils Cilium.
En revanche, la compatibilité avec la version de la distribution aws-k8s-1.17 basée sur Kubernetes 1.17 a été supprimée, c'est pourquoi il est recommandé d'utiliser la variante aws-k8s-1.21 compatible avec Kubernetes 1.21, en plus de la k8s en utilisant les paramètres cgroup runtime.slice et system.slice.
Parmi les autres changements qui ressortent de cette nouvelle version:
- Indicateur de région ajouté à la commande aws-iam-authenticator
- Redémarrer les conteneurs hôtes modifiés
- Mise à jour du conteneur de contrôle par défaut vers la v0.5.2
- Eni-max-pods mis à jour avec de nouveaux types d'instances
- Ajout de nouveaux filtres de périphériques cilium à open-vm-tools
- Inclure / var / log / kdumpen logdog tarballs
- Mettre à jour les packages tiers
- Définition de vague ajoutée pour une mise en œuvre lente
- Ajout de 'infrasys' pour créer TUF infra sur AWS
- Archiver les anciennes migrations
- Modifications de la documentation
Enfin si vous souhaitez en savoir plus, vous pouvez vérifier les détails dans le lien suivant.