lの発売Linuxディストリビューションの新しいバージョン«Bottlerocket1.3.0» そのシステムにいくつかの変更と改善が加えられました SELinuxポリシーにMCSが追加した制限が強調表示されます、およびいくつかのSELinuxポリシーの問題の解決策、kubeletおよびplutoでのIPv6サポートおよび x86_64のハイブリッドブートサポートもあります。
知らない人のために ボトルロケット、 これは、分離されたコンテナを効率的かつ安全に実行するためにAmazonの参加を得て開発されたLinuxディストリビューションであることを知っておく必要があります。 この新しいバージョンは、より大きな範囲であることが特徴です パッケージアップデートバージョンですが、いくつかの新しい変更も含まれています。
配布 分割不可能なシステムイメージを提供することが特徴です Linux カーネルと、コンテナーの実行に必要なコンポーネントのみを含む最小限のシステム環境を含む、自動的かつアトミックに更新されます。
ボトルロケットについて
環境 systemd システム マネージャー、Glibc ライブラリ、Buildroot を利用します。 ブートローダー GRUB、 邪悪なネットワークコンフィギュレーター、ランタイム コンテナ コンテナ、プラットフォームの分離用 Kubernetes、 AWS-iam-authenticator、および Amazon ECS ブローカー。
コンテナ オーケストレーション ツールは、デフォルトで有効になり、AWS SSM エージェントと API を通じて管理される別の管理コンテナに同梱されています。 ベースイメージ コマンド シェル、SSH サーバー、およびインタープリタ言語がありません (たとえば、PythonまたはPerlなし):管理者ツールとデバッグツールは別のサービスコンテナーに移動され、デフォルトでは無効になっています。
違い クラベス 同様の分布に関して Fedora CoreOS、CentOS / Red Hat AtomicHostなど 最大のセキュリティを提供することに主な焦点があります 潜在的な脅威に対してシステムを強化し、オペレーティング システム コンポーネントの脆弱性を悪用することをより困難にし、コンテナの分離を強化するというコンテキストで。
ボトルロケット1.3.0の主な新機能
この新しいバージョンのディストリビューションでは、 Dockerツールキットの脆弱性を修正 不正な権限設定に関連するランタイムコンテナ(CVE-2021-41089、CVE-2021-41091、CVE-2021-41092、CVE-2021-41103)により、非特権ユーザーがベースディレクトリを離れて外部プログラムを実行できるようになりました。
実装された変更の一部で、私たちはそれを見つけることができます kubeletとplutoにIPv6サポートが追加されましたさらに、設定を変更した後にコンテナを再起動する機能が提供され、Amazon EC2M6iインスタンスのサポートがeni-max-podsに追加されました。
また目立つ SELinuxポリシーに対する新しいMCS制限、 x86_64プラットフォームの問題に加えて、いくつかのSELinuxポリシーの問題の解決策と同様に、ハイブリッドブートモードが実装され(EFIとBIOSの互換性あり)、Open-vm-toolsでフィルターベースのデバイスのサポートがCiliumに追加されますツールキット。
一方、Kubernetes 8に基づくバージョンのaws-k1.17s-1.17ディストリビューションとの互換性が排除されたため、Kubernetes 8と互換性のあるaws-k1.21s-1.21バリアントを使用することをお勧めします。 cgroupruntime.sliceおよびsystem.slice設定を使用するk8sバリアント。
この新しいバージョンで際立っている他の変更の中で:
- aws-iam-authenticatorコマンドにリージョンフラグが追加されました
- 変更されたホストコンテナを再起動します
- デフォルトのコントロールコンテナをv0.5.2に更新しました
- Eni-max-podsが新しいインスタンスタイプで更新されました
- open-vm-toolsに新しい繊毛デバイスフィルターを追加しました
- インクルード/ var / log / kdumpen logdog tarballs
- サードパーティのパッケージを更新する
- 実装が遅いためにWave定義が追加されました
- AWSでTUFインフラを作成するために「infrasys」を追加しました
- 古い移行をアーカイブする
- ドキュメントの変更
最後に あなたがそれについてもっと知りたいのなら、詳細を確認できます 次のリンクで。