A nova versión de Bottlerocket 1.3.0 xa foi lanzada e estas son as súas novidades

O lanzamento de lunha nova versión da distribución de Linux «Bottlerocket 1.3.0» no que se fixeron algúns cambios e melloras no sistema do cal Destácanse as restricións engadidas por MCS á política SELinux, así como a solución a varios problemas de políticas SELinux, soporte IPv6 en kubelet e pluto e tamén soporte de arranque híbrido para x86_64.

Para os que descoñecen cohete de botella, debes saber que se trata dunha distribución Linux desenvolvida coa participación de Amazon para executar contedores illados de forma eficiente e segura. Esta nova versión caracterízase por ser en maior medida unha versión de actualización de paquetes, aínda que tamén inclúe algúns novos cambios.

A distribución Caracterízase por proporcionar unha imaxe do sistema indivisible actualizado de forma automática e atómica que inclúe o núcleo de Linux e un contorno de sistema mínimo que inclúe só os compoñentes necesarios para executar contedores.

Acerca de Bottlerocket

O ambiente fai uso do xestor de sistema systemd, a biblioteca Glibc, Buildroot, cargador de arranque GRUB, o mal configurador de rede, o tempo de execución contedor para o illamento de contedores, a plataforma Kubernetes, AWS-iam-authenticator e o axente Amazon ECS.

As ferramentas de orquestación de contedores envíanse nun contedor de xestión separado que está habilitado por defecto e xestionado a través do axente e API de AWS SSM. A imaxe base carece de shell de comandos, servidor SSH e linguaxes interpretadas (Por exemplo, sen Python nin Perl): as ferramentas de administrador e as ferramentas de depuración móvense a un contedor de servizos separado, que está desactivado por defecto.

A diferenza clave con respecto a distribucións similares como Fedora CoreOS, CentOS / Red Hat Atomic Host é o foco principal en proporcionar a máxima seguridade no contexto de endurecemento do sistema contra posibles ameazas, o que dificulta a explotación de vulnerabilidades nos compoñentes do sistema operativo e aumenta o illamento de contedores.

Principais novidades de Bottlerocket 1.3.0

Nesta nova versión da distribución, o corrección de vulnerabilidades no docker toolkit e o contedor de tempo de execución (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) relacionado coa configuración de permisos incorrecta, que permite aos usuarios non privilexiados saír do directorio base e executar programas externos.

Por parte dos cambios que se implementaron podemos atopalo Engadiuse soporte para IPv6 a kubelet e PlutónAdemais, proporcionouse a capacidade de reiniciar o contedor despois de cambiar a súa configuración e engadiuse soporte para instancias de Amazon EC2 M6i a eni-max-pods.

Destacar tamén As novas restricións de MCS á política SELinux, así como a solución de varios problemas de políticas SELinux, ademais de que para a plataforma x86_64, o modo de arranque híbrido está implementado (con compatibilidade EFI e BIOS) e en Open-vm-tools engade soporte para dispositivos baseados en filtros. o Cilium Toolkit.

Por outra banda, eliminouse a compatibilidade coa versión da distribución aws-k8s-1.17 baseada en Kubernetes 1.17, motivo polo que se recomenda empregar a variante aws-k8s-1.21 con compatibilidade con Kubernetes 1.21, ademais da Variantes de k8s usando a configuración cgroup runtime.slice e system.slice.

Dos outros cambios que destacan nesta nova versión:

  • Engadiuse un indicador de rexión ao comando aws-iam-authenticator
  • Reinicie os contedores host modificados
  • Actualizouse o contedor de control predeterminado á v0.5.2
  • Eni-max-pods actualizados con novos tipos de instancias
  • Engadíronse novos filtros de dispositivos cilium a open-vm-tools
  • Incluír / var / log / kdumpen logdog tarballs
  • Actualiza paquetes de terceiros
  • Engadiuse a definición Wave para unha implementación lenta
  • Engadiuse "infrasys" para crear infra TUF en AWS
  • Arquiva migracións antigas
  • Cambios de documentación

Finalmente se estás interesado en saber máis sobre el, podes consultar os detalles Na seguinte ligazón.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.