Pelancaran lversi baru pengedaran Linux «Bottlerocket 1.3.0» di mana beberapa perubahan dan penambahbaikan telah dibuat pada sistem yang MCS menambahkan sekatan pada dasar SELinux yang diketengahkan, serta penyelesaian untuk beberapa masalah dasar SELinux, sokongan IPv6 di kubelet dan pluto dan juga sokongan but hibrid untuk x86_64.
Bagi mereka yang tidak tahu Botolokar, anda harus tahu bahawa ini adalah sebaran Linux yang dibangunkan dengan penyertaan Amazon untuk menjalankan bekas terpencil dengan cekap dan selamat. Versi baru ini dicirikan oleh tahap yang lebih besar versi kemas kini pakej, walaupun ia juga dilengkapi dengan beberapa perubahan baru.
Pembahagian dicirikan dengan memberikan imej sistem yang tidak dapat dipisahkan dikemas kini secara automatik dan atom yang merangkumi kernel Linux dan persekitaran sistem minimum yang merangkumi hanya komponen yang diperlukan untuk menjalankan kontena.
Mengenai Bottlerocket
Persekitaran memanfaatkan pengurus sistem systemd, perpustakaan Glibc, Buildroot, pemuat but grub, konfigurasi rangkaian yang jahat, masa runtime bekasd untuk pengasingan kontena, platform Kubernetes, Pengesah AWS-iam, dan ejen Amazon ECS.
Alat orkestrasi kontena dihantar dalam wadah pengurusan berasingan yang diaktifkan secara lalai dan diuruskan melalui ejen dan API AWS SSM. Imej asas kekurangan shell perintah, pelayan SSH, dan bahasa yang ditafsirkan (Contohnya, tanpa Python atau Perl) - Alat pentadbir dan alat debug dipindahkan ke wadah perkhidmatan yang berasingan, yang dilumpuhkan secara lalai.
Perbezaan kunci berkenaan dengan pembahagian yang serupa seperti Fedora CoreOS, CentOS / Red Hat Atomic Host adalah fokus utama untuk memberikan keselamatan maksimum dalam konteks pengerasan sistem daripada ancaman yang berpotensi, yang menjadikannya sukar untuk mengeksploitasi kelemahan dalam komponen sistem operasi dan meningkatkan pengasingan kontena.
Ciri baru utama Bottlerocket 1.3.0
Dalam versi edaran baru ini, perbaiki kerentanan dalam toolkit docker dan wadah runtime (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) yang berkaitan dengan tetapan kebenaran yang salah, yang membolehkan pengguna yang tidak berhak meninggalkan direktori asas dan menjalankan program luaran.
Di bahagian perubahan yang telah dilaksanakan, kita dapat menjumpainya Sokongan IPv6 telah ditambahkan ke kubelet dan plutoDi samping itu, kemampuan untuk memulakan semula wadah setelah mengubah konfigurasi disediakan, dan sokongan untuk contoh Amazon EC2 M6i telah ditambahkan ke eni-max-pod.
Juga menonjol Sekatan baru MCS terhadap dasar SELinux, serta penyelesaian beberapa masalah dasar SELinux, selain fakta bahawa untuk platform x86_64, mod boot hibrid dilaksanakan (dengan keserasian EFI dan BIOS) dan dalam alat Open-vm ia menambahkan sokongan untuk peranti berasaskan penapis Di Kit Alat Cilium.
Sebaliknya, keserasian dengan versi pengedaran aws-k8s-1.17 berdasarkan Kubernetes 1.17 telah dihapuskan, sebab itulah disarankan untuk menggunakan varian aws-k8s-1.21 dengan keserasian dengan Kubernetes 1.21, selain varian k8 menggunakan tetapan runtime.slice dan system.slice cgroup.
Perubahan lain yang menonjol dalam versi baru ini:
- Bendera wilayah ditambahkan pada perintah pengesah aws-iam
- Mulakan semula bekas host yang diubah suai
- Mengemas kini bekas kawalan lalai ke v0.5.2
- Eni-max-pod dikemas kini dengan jenis contoh baru
- Menambah penapis peranti cilium baru ke alat-vm terbuka
- Sertakan / var / log / kdumpen logdog tarball
- Kemas kini pakej pihak ketiga
- Definisi gelombang ditambahkan untuk pelaksanaan yang perlahan
- Menambah 'infrasys' untuk membuat infra TUF di AWS
- Arkibkan migrasi lama
- Dokumentasi berubah
Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh menyemak perinciannya Dalam pautan berikut.