De lancering van leen nieuwe versie van de Linux-distributie «Bottlerocket 1.3.0» waarin enkele wijzigingen en verbeteringen zijn aangebracht aan het systeem waarvan: Door MCS toegevoegde beperkingen aan het SELinux-beleid zijn gemarkeerd, evenals de oplossing voor verschillende SELinux-beleidsproblemen, IPv6-ondersteuning in kubelet en pluto en ook hybride opstartondersteuning voor x86_64.
Voor degenen die het niet weten Bottlerocket, je moet weten dat dit een Linux-distributie is die is ontwikkeld met de medewerking van Amazon om geïsoleerde containers efficiënt en veilig uit te voeren. Deze nieuwe versie wordt gekenmerkt door in grotere mate een pakketupdateversie, hoewel deze ook met enkele nieuwe wijzigingen komt.
De verdeling Het wordt gekenmerkt door een ondeelbaar systeembeeld automatisch en atomair bijgewerkt met de Linux-kernel en een minimale systeemomgeving die alleen de componenten bevat die nodig zijn om containers uit te voeren.
Over Bottlerocket
De omgeving maakt gebruik van de systemd system manager, de Glibc bibliotheek, Buildroot, bootloader ETEN, de slechte netwerkconfigurator, de runtime bevat voor containerisolatie, het platform Kubernetes, AWS-iam-authenticator en de Amazon ECS-agent.
Hulpprogramma's voor het orkestreren van containers worden geleverd in een afzonderlijke beheercontainer die standaard is ingeschakeld en wordt beheerd via de AWS SSM-agent en API. De basisafbeelding mist een opdrachtshell, SSH-server en geïnterpreteerde talen (Bijvoorbeeld zonder Python of Perl) - Beheerderstools en foutopsporingsprogramma's worden verplaatst naar een aparte servicecontainer, die standaard is uitgeschakeld.
Het verschil kliefde met betrekking tot vergelijkbare distributies zoals Fedora CoreOS, CentOS / Red Hat Atomic Host is de primaire focus op het bieden van maximale veiligheid in de context van het versterken van het systeem tegen potentiële bedreigingen, wat het moeilijk maakt om kwetsbaarheden in componenten van het besturingssysteem te misbruiken en de isolatie van containers vergroot.
Belangrijkste nieuwe kenmerken van Bottlerocket 1.3.0
In deze nieuwe versie van de distributie, de fix voor kwetsbaarheden in docker-toolkit en de runtime-container (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) met betrekking tot onjuiste machtigingsinstellingen, waardoor niet-bevoegde gebruikers de basismap kunnen verlaten en externe programma's kunnen uitvoeren.
Aan de kant van de wijzigingen die zijn doorgevoerd, kunnen we vinden dat: IPv6-ondersteuning is toegevoegd aan kubelet en plutoBovendien werd de mogelijkheid geboden om de container opnieuw op te starten na het wijzigen van de configuratie en werd ondersteuning voor Amazon EC2 M6i-instanties toegevoegd aan eni-max-pods.
Val ook op de nieuwe MCS-beperkingen op het SELinux-beleid, evenals de oplossing van verschillende SELinux-beleidsproblemen, naast die voor het x86_64-platform, is de hybride opstartmodus geïmplementeerd (met EFI- en BIOS-compatibiliteit) en voegt het in Open-vm-tools ondersteuning toe voor op filter gebaseerde apparaten In de Cilium Gereedschapskist.
Aan de andere kant werd de compatibiliteit met de versie van de aws-k8s-1.17-distributie op basis van Kubernetes 1.17 geëlimineerd, daarom wordt aanbevolen om de aws-k8s-1.21-variant te gebruiken met compatibiliteit met Kubernetes 1.21, naast de k8s varianten met behulp van de cgroup runtime.slice en system.slice instellingen.
Van de andere veranderingen die opvallen in deze nieuwe versie:
- Regiovlag toegevoegd aan de opdracht aws-iam-authenticator
- Herstart gewijzigde hostcontainers
- De standaardcontrolecontainer bijgewerkt naar v0.5.2
- Eni-max-pods bijgewerkt met nieuwe instantietypen
- Nieuwe cilium-apparaatfilters toegevoegd aan open-vm-tools
- Inclusief / var / log / kdumpen logdog tarballs
- Pakketten van derden bijwerken
- Golfdefinitie toegevoegd voor langzame implementatie
- 'infrasys' toegevoegd om TUF-infra op AWS te maken
- Oude migraties archiveren
- Documentatie wijzigingen
Eindelijk als u er meer over wilt weten, kunt u de details bekijken In de volgende link.