הגרסה החדשה של Bottlerocket 1.3.0 כבר שוחררה ואלו החדשות שלה

ההשקה של lגרסה חדשה של הפצת לינוקס «Bottlerocket 1.3.0» שבהם בוצעו כמה שינויים ושיפורים במערכת שלה מודגשות הוספות מגבלות MCS נוספות על מדיניות SELinux, כמו גם הפתרון למספר בעיות מדיניות SELinux, תמיכה ב- IPv6 ב- kubelet ו- pluto ו- גם תמיכה באתחול היברידי עבור x86_64.

למי שלא מודע לכך בקבוקי בקבוק, עליך לדעת כי מדובר בהפצת לינוקס שפותחה בהשתתפות אמזון להפעלת מכולות מבודדות ביעילות ובבטחה. גרסה חדשה זו מתאפיינת בהיותה במידה רבה יותר גרסת עדכון חבילה, למרות שהיא מגיעה גם עם כמה שינויים חדשים.

ההפצה הוא מאופיין במתן תמונת מערכת בלתי ניתנת לחלוקה מתעדכן אוטומטית ואטומית הכולל את ליבת לינוקס וסביבת מערכת מינימלית הכוללת רק את הרכיבים הדרושים להפעלת מכולות.

לגבי Bottlerocket

הסביבה עושה שימוש במנהל המערכת systemd, ספריית Glibc, Buildroot, מטעין אתחול לְחַטֵט, מבנה הרשת המרושע, זמן הריצה מכיל לבידוד מכולות, הפלטפורמה קוברנטס, AWS-iam-authenticator, וסוכן ECS של אמזון.

כלי תזמור המכולות נשלחים בכלי ניהול נפרד שמופעל כברירת מחדל ומנוהל באמצעות סוכן SSM ו- API של AWS. תמונת הבסיס חסר מעטפת פקודה, שרת SSH ושפות מפורשות (לדוגמא, ללא פייתון או פרל) - כלי מנהל וכלי ניפוי באגים מועברים למיכל שירות נפרד, אשר מושבת כברירת מחדל.

ההבדל הקלאווה ביחס להפצות דומות כגון Fedora CoreOS, CentOS / Red Hat Atomic Host הוא ההתמקדות העיקרית במתן אבטחה מרבית בהקשר של התקשות המערכת מפני איומים פוטנציאליים, מה שמקשה על ניצול נקודות תורפה ברכיבי מערכת ההפעלה ומגביר את בידוד המכולות.

התכונות החדשות העיקריות של Bottlerocket 1.3.0

בגרסה חדשה זו של ההפצה, ה- תיקון לפגיעויות בערכת הכלים של ה- docker ומיכל זמן הריצה (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) הקשור בהגדרות הרשאה שגויות, המאפשרות למשתמשים שאינם בעלי זכויות יוצאים לצאת מספריית הבסיס ולהריץ תוכניות חיצוניות.

מצד השינויים שיושמו אנו יכולים למצוא זאת תמיכה ב- IPv6 נוספה לקובלט ולפלוטובנוסף, ניתנה האפשרות להפעיל מחדש את המכולה לאחר שינוי התצורה שלו, ותמיכה במופעי Amazon EC2 M6i נוספה ל- eni-max-pods.

גם להתבלט את מגבלות MCS החדשות על מדיניות SELinux, כמו גם הפתרון של מספר בעיות מדיניות SELinux, בנוסף לעובדה כי עבור פלטפורמת x86_64, מצב האתחול ההיברידי מיושם (עם תאימות EFI ו- BIOS) וב- Open-vm-tools הוא מוסיף תמיכה במכשירים מבוססי פילטר ב- ערכת הכלים של Cilium.

מצד שני, התאימות עם גרסת ההפצה aws-k8s-1.17 המבוססת על Kubernetes 1.17 בוטלה, ולכן מומלץ להשתמש בגרסת aws-k8s-1.21 עם תאימות ל- Kubernetes 1.21, בנוסף ל- גרסאות k8s באמצעות ההגדרות cgroup runtime.slice והגדרות system.slice.

מבין שאר השינויים הבולטים בגרסה חדשה זו:

  • מחוון אזור נוסף לפקודה aws-iam-authenticator
  • הפעל מחדש את מכולות המארח שהשתנו
  • עדכן את מיכל הבקרה המוגדר כברירת מחדל ל- v0.5.2
  • Eni-max-pods מעודכן עם סוגי מופעים חדשים
  • נוספו מסנני מכשירי סיליום חדשים לכלי פתוח ב- vm
  • כלול / var / log / kdumpen logdog logdog
  • עדכן חבילות צד שלישי
  • נוספה הגדרת גל ליישום איטי
  • נוסף 'infrasys' ליצירת תשתית TUF ב- AWS
  • העבר לארכיון הגירות ישנות
  • שינויים בתיעוד

בסופו של דבר אם אתה מעוניין לדעת יותר על כך, אתה יכול לבדוק את הפרטים בקישור הבא.


היה הראשון להגיב

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.