L의 출시Linux 배포 «Bottlerocket 1.3.0»의 새 버전 시스템에 일부 변경 및 개선이 이루어진 경우 SELinux 정책에 MCS 추가 제한 사항 강조 표시, 몇 가지 SELinux 정책 문제에 대한 솔루션, kubelet 및 pluto의 IPv6 지원 및 x86_64에 대한 하이브리드 부팅도 지원합니다.
모르는 사람들을 위해 병으로, 격리된 컨테이너를 효율적이고 안전하게 실행하기 위해 Amazon이 참여하여 개발한 Linux 배포판임을 알아야 합니다. 이 새로운 버전의 특징은 패키지 업데이트 버전이지만 몇 가지 새로운 변경 사항도 제공됩니다.
분포 분할할 수 없는 시스템 이미지를 제공하는 것이 특징입니다. Linux 커널과 컨테이너를 실행하는 데 필요한 구성 요소만 포함하는 최소 시스템 환경을 포함하여 자동으로 원자적으로 업데이트됩니다.
병으로켓 정보
환경 systemd 시스템 관리자, glibc 라이브러리, Buildroot, 부트로더 애벌레, 사악한 네트워크 구성자, 런타임 컨테이너 컨테이너 격리를 위한 플랫폼 쿠 버네 티스, AWS-iam-authenticator 및 Amazon ECS 에이전트.
컨테이너 오케스트레이션 도구는 기본적으로 활성화되고 AWS SSM 에이전트 및 API를 통해 관리되는 별도의 관리 컨테이너에 제공됩니다. 기본 이미지 명령 셸, SSH 서버 및 해석된 언어가 없습니다. (예 : Python 또는 Perl 없음) : 관리자 도구 및 디버깅 도구는 기본적으로 비활성화되어있는 별도의 서비스 컨테이너로 이동됩니다.
차이점 clave 유사한 분포와 관련하여 Fedora CoreOS, CentOS / Red Hat Atomic Host 등 최대 보안을 제공하는 데 주된 초점 잠재적 위협에 대해 시스템을 강화하는 맥락에서 운영 체제 구성 요소의 취약점을 악용하기 어렵게 만들고 컨테이너 격리를 증가시킵니다.
Bottlerocket 1.3.0의 새로운 주요 기능
이 새 버전의 배포판에서는 도커 툴킷의 취약점 수정 및 잘못된 권한 설정과 관련된 런타임 컨테이너(CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103)로 인해 권한이 없는 사용자가 기본 디렉터리를 떠나 외부 프로그램을 실행할 수 있습니다.
구현된 변경 사항의 일부에서 다음을 찾을 수 있습니다. kubelet 및 pluto에 IPv6 지원이 추가되었습니다.또한 구성 변경 후 컨테이너를 다시 시작할 수 있는 기능이 제공되었으며 Amazon EC2 M6i 인스턴스에 대한 지원이 eni-max-pods에 추가되었습니다.
또한 눈에 띄는 SELinux 정책에 대한 MCS의 새로운 제한 사항, x86_64 플랫폼의 경우 하이브리드 부팅 모드(EFI 및 BIOS 호환성 포함)가 구현되고 Open-vm-tools에서 필터 기반 장치에 대한 지원을 추가한다는 사실 외에도 여러 SELinux 정책 문제의 솔루션입니다. 섬모 툴킷.
반면, Kubernetes 8 기반의 aws-k1.17s-1.17 배포판 버전과의 호환성이 없어졌기 때문에, Kubernetes 8 버전과 함께 aws-k1.21s-1.21 변종 사용을 권장합니다. cgroup runtime.slice 및 system.slice 설정을 사용하는 k8s 변형.
이 새 버전에서 눈에 띄는 다른 변경 사항 :
- aws-iam-authenticator 명령에 지역 표시기가 추가됨
- 수정된 호스트 컨테이너 다시 시작
- 기본 컨트롤 컨테이너를 v0.5.2로 업데이트했습니다.
- 새로운 인스턴스 유형으로 업데이트된 Eni-max-pods
- open-vm-tools에 새로운 섬모 장치 필터 추가
- Include / var / log / kdumpen logdog tarball
- 타사 패키지 업데이트
- 느린 구현을 위해 추가된 웨이브 정의
- AWS에서 TUF 인프라를 생성하기 위해 'infrasys' 추가
- 이전 마이그레이션 보관
- 문서 변경 사항
최종적으로 그것에 대해 더 많이 알고 싶다면, 당신은 세부 사항을 확인할 수 있습니다 다음 링크에서.