Peluncuran lversi baru dari distribusi Linux «Bottlerocket 1.3.0» di mana beberapa perubahan dan perbaikan telah dilakukan pada sistem yang: Batasan tambahan MCS pada kebijakan SELinux disorot, serta solusi untuk beberapa masalah kebijakan SELinux, dukungan IPv6 di kubelet dan pluto dan juga dukungan boot hybrid untuk x86_64.
Bagi mereka yang tidak menyadarinya roket botol, Anda harus tahu bahwa ini adalah distribusi Linux yang dikembangkan dengan partisipasi Amazon untuk menjalankan wadah terisolasi secara efisien dan aman. Versi baru ini ditandai dengan menjadi lebih luas versi pembaruan paket, meskipun juga dilengkapi dengan beberapa perubahan baru.
Distribusi Hal ini ditandai dengan memberikan citra sistem yang tak terpisahkan diperbarui secara otomatis dan atomik yang mencakup kernel Linux dan lingkungan sistem minimal yang hanya mencakup komponen yang diperlukan untuk menjalankan container.
Tentang Bottlerocket
Lingkungan memanfaatkan manajer sistem systemd, perpustakaan Glibc, Buildroot, bootloader grub, konfigurator jaringan yang jahat, runtime wadahd untuk isolasi kontainer, platform Kubernet, AWS-iam-authenticator, dan agen Amazon ECS.
Alat orkestrasi container dikirimkan dalam container manajemen terpisah yang diaktifkan secara default dan dikelola melalui agen dan API AWS SSM. gambar dasar tidak memiliki shell perintah, server SSH, dan bahasa yang ditafsirkan (misalnya, tanpa Python atau Perl): Alat administrator dan alat debugging dipindahkan ke wadah layanan terpisah, yang dinonaktifkan secara default.
Perbedaan kunci sehubungan dengan distribusi serupa seperti Fedora CoreOS, CentOS / Red Hat Atomic Host adalah fokus utama dalam memberikan keamanan maksimum dalam konteks memperkuat sistem terhadap potensi ancaman, yang mempersulit untuk mengeksploitasi kerentanan dalam komponen sistem operasi dan meningkatkan isolasi kontainer.
Fitur baru utama Bottlerocket 1.3.0
Dalam distribusi versi baru ini, perbaiki kerentanan di docker toolkit dan wadah runtime (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) terkait dengan pengaturan izin yang salah, memungkinkan pengguna yang tidak memiliki hak untuk meninggalkan direktori dasar dan menjalankan program eksternal.
Pada bagian dari perubahan yang telah diterapkan, kita dapat menemukan bahwa Dukungan IPv6 telah ditambahkan ke kubelet dan plutoSelain itu, kemampuan untuk memulai ulang container setelah mengubah konfigurasinya disediakan, dan dukungan untuk instans Amazon EC2 M6i ditambahkan ke eni-max-pods.
Juga menonjol Pembatasan baru MCS pada kebijakan SELinux, serta solusi dari beberapa masalah kebijakan SELinux, selain fakta bahwa untuk platform x86_64, mode boot hybrid diimplementasikan (dengan kompatibilitas EFI dan BIOS) dan di Open-vm-tools menambahkan dukungan untuk perangkat berbasis filter. Toolkit Cilium.
Di sisi lain, kompatibilitas dengan versi distribusi aws-k8s-1.17 berdasarkan Kubernetes 1.17 dihilangkan, oleh karena itu disarankan untuk menggunakan varian aws-k8s-1.21 dengan kompatibilitas dengan Kubernetes 1.21, selain versi k8s varian menggunakan cgroup runtime.slice dan pengaturan system.slice.
Dari perubahan lain yang menonjol di versi baru ini:
- Indikator wilayah ditambahkan ke perintah aws-iam-authenticator
- Mulai ulang penampung host yang dimodifikasi
- Memperbarui wadah kontrol default ke v0.5.2
- Eni-max-pod diperbarui dengan tipe instans baru
- Menambahkan filter perangkat silia baru ke open-vm-tools
- Sertakan / var / log / kdumpen logdog tarball
- Perbarui paket pihak ketiga
- Definisi gelombang ditambahkan untuk implementasi yang lambat
- Menambahkan 'infrasys' untuk membuat infra TUF di AWS
- Arsipkan migrasi lama
- Perubahan dokumentasi
Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentang itu, Anda dapat memeriksa detailnya Di tautan berikut.