Lanseringen av len ny versjon av Linux -distribusjonen «Bottlerocket 1.3.0» der det er gjort noen endringer og forbedringer i systemet MCS lagt til begrensninger i SELinux -retningslinjene er uthevet, samt løsningen på flere SELinux -policyproblemer, IPv6 -støtte i kubelet og pluto og også støtte for hybrid boot for x86_64.
For de som ikke er klar over Bottlerocket, du bør vite at dette er en Linux -distribusjon som er utviklet med deltagelse av Amazon for å kjøre isolerte beholdere effektivt og trygt. Denne nye versjonen er preget av å være i større grad en pakkeoppdateringsversjon, selv om den også kommer med noen nye endringer.
Fordelingen Det kjennetegnes ved å gi et udelelig systembilde automatisk og atomisk oppdatert som inkluderer Linux -kjernen og et minimalt systemmiljø som bare inneholder komponentene som er nødvendige for å kjøre containere.
Om Bottlerocket
Miljøet bruker systemd system manager, Glibc bibliotek, Buildroot, bootloader grub, den onde nettverkskonfiguratoren, kjøretiden inneholdt for containerisolering, plattformen Kubernetes, AWS-iam-authenticator, og Amazon ECS-agenten.
Beholderorkestreringsverktøy sendes i en egen administrasjonsbeholder som er aktivert som standard og administreres gjennom AWS SSM -agenten og API. Basisbildet mangler et kommandoskall, SSH -server og tolket språk (for eksempel uten Python eller Perl): Administratorverktøy og feilsøkingsverktøy flyttes til en egen servicebeholder, som er deaktivert som standard.
Forskjellen Clave med hensyn til lignende distribusjoner som Fedora CoreOS, CentOS / Red Hat Atomic Host er det primære fokuset på å gi maksimal sikkerhet i sammenheng med å herde systemet mot potensielle trusler, noe som gjør det vanskelig å utnytte sårbarheter i operativsystemkomponenter og øker containerisolasjonen.
Viktigste nye funksjoner i Bottlerocket 1.3.0
I denne nye versjonen av distribusjonen, fikse for sårbarheter i dockerverktøysettet og kjøretidsbeholderen (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) knyttet til feil tillatelsesinnstillinger, slik at ikke-privilegerte brukere kan forlate basiskatalogen og kjøre eksterne programmer.
Fra endringene som er implementert kan vi finne det IPv6 -støtte er lagt til kubelet og plutoI tillegg ble muligheten til å starte beholderen på nytt etter endring av konfigurasjonen gitt, og støtte for Amazon EC2 M6i-forekomster ble lagt til eni-max-pods.
Skiller seg også ut MCS nye restriksjoner på SELinux -retningslinjer, så vel som løsningen på flere SELinux-policyproblemer, i tillegg til at for x86_64-plattformen er hybrid oppstartsmodus implementert (med EFI og BIOS-kompatibilitet) og i Open-vm-verktøy legger den til støtte for filterbaserte enheter I Cilium Toolkit.
På den annen side ble kompatibiliteten med versjonen av aws-k8s-1.17-distribusjonen basert på Kubernetes 1.17 eliminert, og derfor anbefales det å bruke aws-k8s-1.21-varianten med kompatibilitet med Kubernetes 1.21, i tillegg til k8s -varianter som bruker innstillingene cgroup runtime.slice og system.slice.
Av de andre endringene som skiller seg ut i denne nye versjonen:
- Regionflagg lagt til kommandoen aws-iam-authenticator
- Start modifiserte vertscontainere på nytt
- Oppdaterte standardkontrollbeholderen til v0.5.2
- Eni-max-pods oppdatert med nye forekomsttyper
- Lagt til nye cilium-enhetsfiltre i open-vm-tools
- Inkluder / var / log / kdumpen logdog tarballs
- Oppdater pakker fra tredjeparter
- Wave -definisjon lagt til for treg implementering
- Lagt til 'infrasys' for å lage TUF infra på AWS
- Arkiver gamle migrasjoner
- Dokumentasjon endres
Endelig hvis du er interessert i å vite mer om det, kan du sjekke detaljene I den følgende lenken.