Paleidimas lnauja „Linux“ platinimo versija „Bottlerocket 1.3.0“ kurių sistemoje buvo atlikti kai kurie pakeitimai ir patobulinimai Pažymėti MCS papildomi SELinux politikos apribojimai, taip pat kelių SELinux politikos problemų sprendimas, IPv6 palaikymas kubelet ir pluto ir taip pat hibridinio įkrovos palaikymas x86_64.
Tiems, kurie nežino Buteliukas, Turėtumėte žinoti, kad tai yra „Linux“ platinimas, sukurtas dalyvaujant „Amazon“, kad būtų galima efektyviai ir saugiai paleisti izoliuotus konteinerius. Ši nauja versija pasižymi tuo, kad ji yra didesnė paketo atnaujinimo versija, nors ji taip pat turi keletą naujų pakeitimų.
Paskirstymas pasižymi nedalomu sistemos įvaizdžiu automatiškai ir atomiškai atnaujinamas, apimantis „Linux“ branduolį ir minimalią sistemos aplinką, apimančią tik komponentus, būtinus konteineriams paleisti.
Apie „Bottlerocket“
Aplinka naudojasi sistemos sistemos tvarkykle, „Glibc“ biblioteka, „Buildroot“, įkrovos įkroviklis grub, piktadarys tinklo konfigūratorius, vykdymo laikas konteinerių konteinerių izoliacijai - platforma Kubernetas, AWS-iam-autentifikatorius ir „Amazon ECS“ agentas.
Konteinerių tvarkymo įrankiai siunčiami į atskirą valdymo konteinerį, kuris įjungtas pagal numatytuosius nustatymus ir valdomas naudojant AWS SSM agentą ir API. Bazinis vaizdas trūksta komandų apvalkalo, SSH serverio ir aiškinamų kalbų (Pavyzdžiui, be „Python“ ar „Perl“) - administratoriaus įrankiai ir derinimo įrankiai perkeliami į atskirą paslaugų talpyklą, kuri pagal numatytuosius nustatymus yra išjungta.
Skirtumas raktas panašių paskirstymų atžvilgiu pvz., „Fedora CoreOS“, „CentOS“ / „Red Hat Atomic Host“ yra pagrindinis dėmesys užtikrinant maksimalų saugumą sistemai grūdinant nuo galimų grėsmių, o tai apsunkina operacinės sistemos komponentų pažeidžiamumo išnaudojimą ir padidina konteinerių izoliaciją.
Pagrindinės naujos „Bottlerocket 1.3.0“ funkcijos
Šioje naujoje platinimo versijoje „Docker“ įrankių rinkinio pažeidžiamumų taisymas ir vykdymo laiko sudėtinį rodinį (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103), susijusį su netinkamais leidimų nustatymais, leidžiantiems privilegijuotiems vartotojams palikti bazinį katalogą ir paleisti išorines programas.
Iš įgyvendintų pakeitimų galime tai pastebėti Prie „kubelet“ ir „pluto“ buvo pridėtas IPv6 palaikymasBe to, buvo suteikta galimybė iš naujo paleisti konteinerį pakeitus jo konfigūraciją, o prie „eni-max-pods“ pridėtas „Amazon EC2 M6i“ egzempliorių palaikymas.
Taip pat išsiskirti MCS nauji SELinux politikos apribojimai, taip pat kelių „SELinux“ politikos problemų sprendimas, be to, kad „x86_64“ platformai yra įdiegtas hibridinis įkrovos režimas (suderinamas su EFI ir BIOS), o „Open-vm-tools“ prideda palaikymą filtrais pagrįstiems įrenginiams. „Cilium Toolkit“.
Kita vertus, buvo pašalintas suderinamumas su „aws-k8s-1.17“ paskirstymo versija, pagrįsta „Kubernetes 1.17“, todėl rekomenduojama kartu su „Kubernetes 8“ naudoti „aws-k1.21s-1.21“ variantą. k8s variantai, naudojant „cgroup runtime.slice“ ir „system.slice“ nustatymus.
Iš kitų šioje naujoje versijoje išsiskiriančių pakeitimų:
- Regiono indikatorius pridėtas prie komandos aws-iam-authenticator
- Iš naujo paleiskite pakeistus pagrindinio kompiuterio konteinerius
- Atnaujintas numatytasis valdymo konteineris į v0.5.2
- „Eni-max-pods“ atnaujinti naujais egzempliorių tipais
- Prie „open-vm-tools“ pridėti nauji cilium įrenginių filtrai
- Įtraukti / var / log / kdumpen logdog tarballs
- Atnaujinkite trečiųjų šalių paketus
- Pridedamas bangos apibrėžimas, skirtas lėtai įgyvendinti
- Pridėjo „infrasys“, kad sukurtų TUF infra AWS
- Archyvuoti senas migracijas
- Dokumentacijos pakeitimai
Pagaliau jei norite sužinoti daugiau apie tai, galite patikrinti išsamią informaciją Šioje nuorodoje.