Uruchomienie lnowa wersja dystrybucji Linuksa «Bottlerocket 1.3.0» w którym dokonano pewnych zmian i ulepszeń w systemie których Wyróżniono dodane przez MCS ograniczenia w polityce SELinux, a także rozwiązanie różnych problemów polityki SELinux, obsługa IPv6 w kubelet i pluto oraz również wsparcie dla rozruchu hybrydowego dla x86_64.
Dla nieświadomych Rozlewacz, powinieneś wiedzieć, że jest to dystrybucja Linuksa, która jest rozwijana przy udziale Amazona, aby sprawnie i bezpiecznie uruchamiać izolowane kontenery. Ta nowa wersja charakteryzuje się tym, że jest w większym stopniu wersja aktualizacji pakietu, chociaż zawiera również kilka nowych zmian.
Dystrybucja Charakteryzuje się niepodzielnym obrazem systemu automatycznie i atomowo aktualizowane, które obejmuje jądro Linuksa i minimalne środowisko systemowe, które zawiera tylko komponenty potrzebne do uruchamiania kontenerów.
O Bottlerocket
Środowisko korzysta z menedżera systemu systemd, biblioteki Glibc, Buildroot, program rozruchowy ŻARCIE, zły konfigurator sieci, środowisko uruchomieniowe pojemnikd do izolacji kontenerów platforma Kubernetes, AWS-iam-authenticator oraz agent Amazon ECS.
Narzędzia do aranżacji kontenerów są dostarczane w oddzielnym kontenerze zarządzania, który jest domyślnie włączony i zarządzany za pośrednictwem agenta i interfejsu API AWS SSM. Obraz podstawowy brakuje powłoki poleceń, serwera SSH i języków interpretowanych (na przykład bez języka Python lub Perl): narzędzia administratora i narzędzia do debugowania są przenoszone do oddzielnego kontenera usług, który jest domyślnie wyłączony.
Różnica Clave w odniesieniu do podobnych dystrybucji takie jak Fedora CoreOS, CentOS / Red Hat Atomic Host jest głównym celem zapewnienia maksymalnego bezpieczeństwa w kontekście zabezpieczenia systemu przed potencjalnymi zagrożeniami, co utrudnia wykorzystanie luk w komponentach systemu operacyjnego oraz zwiększa izolację kontenerów.
Główne nowe funkcje Bottlerocket 1.3.0
W tej nowej wersji dystrybucji naprawiono luki w docker toolkit oraz kontener środowiska uruchomieniowego (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) związany z nieprawidłowymi ustawieniami uprawnień, umożliwiający nieuprzywilejowanym użytkownikom opuszczenie katalogu podstawowego i uruchamianie programów zewnętrznych.
Po części wprowadzonych zmian możemy stwierdzić, że Dodano obsługę IPv6 do kubelet i plutoDodatkowo zapewniono możliwość restartu kontenera po zmianie jego konfiguracji oraz dodano obsługę instancji Amazon EC2 M6i do eni-max-pods.
Wyróżnij się również nowe ograniczenia MCS dotyczące polityki SELinux, jak również rozwiązanie kilku problemów polityki SELinux, oprócz faktu, że dla platformy x86_64 zaimplementowany jest tryb rozruchu hybrydowego (z kompatybilnością z EFI i BIOS), a w Open-vm-tools dodano obsługę urządzeń opartych na filtrach. Cilium Toolkit.
Z drugiej strony, została wyeliminowana kompatybilność z wersją dystrybucji aws-k8s-1.17 opartą na Kubernetes 1.17, dlatego zaleca się stosowanie wariantu aws-k8s-1.21 z kompatybilnością z Kubernetes 1.21, oprócz Warianty k8s korzystające z ustawień cgroup runtime.slice i system.slice.
Spośród innych zmian, które wyróżniają się w nowej wersji:
- Dodano wskaźnik regionu do polecenia aws-iam-authenticator
- Uruchom ponownie zmodyfikowane kontenery hosta
- Zaktualizowano domyślny kontener kontrolny do wersji 0.5.2
- Eni-max-pods zaktualizowane o nowe typy instancji
- Dodano nowe filtry urządzeń rzęsek do open-vm-tools
- Dołącz pliki tar / var / log / kdumpen logdog
- Zaktualizuj pakiety innych firm
- Dodano definicję fali dla powolnej implementacji
- Dodano „infrasys”, aby utworzyć infra TUF na AWS
- Archiwizuj stare migracje
- Zmiany w dokumentacji
W końcu jeśli chcesz dowiedzieć się więcej na ten tematmożesz sprawdzić szczegóły W poniższym linku.