Lansiranje lnova verzija distribucije Linuxa «Bottlerocket 1.3.0» u kojem su napravljene neke promjene i poboljšanja u sustavu kojih Istaknuta su dodatna ograničenja MCS -a politici SELinux, kao i rješenje raznih problema politike SELinux, podrška za IPv6 u kubeletu i plutonu i također podrška za hibridno pokretanje za x86_64.
Za one koji ne znaju Flaša, trebali biste znati da je ovo Linux distribucija koja je razvijena uz sudjelovanje Amazona za učinkovito i sigurno pokretanje izoliranih spremnika. Ovu novu verziju karakterizira to što je u većoj mjeri ažuriranu verziju paketa, iako dolazi i s nekim novim promjenama.
Raspodjela Karakterizira ga pružanje nedjeljive slike sustava automatski i atomski ažuriran koji uključuje jezgru Linuxa i minimalno sistemsko okruženje koje uključuje samo komponente potrebne za pokretanje spremnika.
O Bottlerocket -u
Okoliš koristi upravitelja sustava systemd, biblioteku Glibc, Buildroot, bootloader griz, opaki konfigurator mreže, vrijeme izvođenja kontejnerd za izolaciju kontejnera, platformu Kubernetes, AWS-iam-autentifikator i Amazon ECS agent.
Alati za orkestriranje spremnika isporučuju se u zasebnom spremniku za upravljanje koji je omogućen prema zadanim postavkama i kojim se upravlja putem AWS SSM agenta i API -ja. Osnovna slika nedostaje naredbena ljuska, SSH poslužitelj i tumačeni jezici (Na primjer, bez Pythona ili Perla) - Alati administratora i alati za uklanjanje pogrešaka premještaju se u zasebni spremnik usluge, koji je prema zadanim postavkama onemogućen.
Razlika ključ s obzirom na slične distribucije kao što su Fedora CoreOS, CentOS / Red Hat Atomic Host je primarni fokus na pružanju maksimalne sigurnosti u kontekstu učvršćivanja sustava od potencijalnih prijetnji, što otežava iskorištavanje ranjivosti u komponentama operacijskog sustava i povećava izolaciju spremnika.
Glavne nove značajke Bottlerocket 1.3.0
U ovoj novoj verziji distribucije, ispravak ranjivosti u docker alatu i spremnik za vrijeme izvođenja (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) koji se odnosi na netočne postavke dopuštenja, dopuštajući neprivilegiranim korisnicima da napuste osnovni direktorij i pokrenu vanjske programe.
Na dijelu promjena koje su provedene možemo to pronaći Podrška za IPv6 dodana je kubeletu i plutonuOsim toga, omogućena je mogućnost ponovnog pokretanja spremnika nakon promjene njegove konfiguracije, a podrška za instance Amazon EC2 M6i dodana je eni-max-pods-ovima.
Također se istaknite Nova ograničenja MCS -a za SELinux pravila, kao i rješenje nekoliko problema s politikama SELinux-a, uz činjenicu da je za platformu x86_64 implementiran hibridni način pokretanja (s kompatibilnošću s EFI-om i BIOS-om), a u Open-vm-alatima dodaje podršku za uređaje temeljene na filterima Cilium Toolkit.
S druge strane, uklonjena je kompatibilnost s verzijom distribucije aws-k8s-1.17 koja se temelji na Kubernetes 1.17, zbog čega se preporučuje upotreba varijante aws-k8s-1.21 s kompatibilnošću s Kubernetes 1.21, osim k8s varijante pomoću postavki cgroup runtime.slice i system.slice.
Od ostalih promjena koje se ističu u ovoj novoj verziji:
- Indikator regije dodan je naredbi aws-iam-authentication
- Ponovno pokrenite izmijenjene spremnike domaćina
- Ažuriran je zadani kontrolni spremnik na v0.5.2
- Eni-max-pods ažurirani su novim vrstama instanci
- Dodani su novi filtri uređaja cilium u open-vm-alate
- Uključi / var / log / kdumpen logdog tarballs
- Ažurirajte pakete trećih strana
- Dodana je valna definicija radi spore implementacije
- Dodani 'infrasys' za stvaranje TUF infra na AWS -u
- Arhivirajte stare migracije
- Dokumentacija se mijenja
Konačno ako vas zanima više o tome, možete provjeriti detalje U sljedećem linku.