O lançamento de luma nova versão da distribuição Linux «Bottlerocket 1.3.0» em que algumas mudanças e melhorias foram feitas para o sistema do qual Restrições adicionadas de MCS à política SELinux são destacadas, bem como a solução para vários problemas de política SELinux, suporte IPv6 em kubelet e pluto e também suporte de inicialização híbrida para x86_64.
Para quem não sabe Foguete de garrafa, você deve saber que esta é uma distribuição Linux desenvolvida com a participação da Amazon para executar contêineres isolados com eficiência e segurança. Esta nova versão é caracterizada por ser em maior medida uma versão de atualização do pacote, embora também venha com algumas novas alterações.
A distribuição É caracterizado por fornecer uma imagem de sistema indivisível atualizado automática e atomicamente que inclui o kernel Linux e um ambiente de sistema mínimo que inclui apenas os componentes necessários para executar contêineres.
Sobre a Bottlerocket
O entorno faz uso do gerenciador de sistema systemd, a biblioteca Glibc, Buildroot, bootloader larva, o configurador de rede perverso, o tempo de execução contêiner para isolamento de contêiner, a plataforma Kubernetes, AWS-iam-authenticator e o agente Amazon ECS.
As ferramentas de orquestração de contêineres são enviadas em um contêiner de gerenciamento separado que é habilitado por padrão e gerenciado por meio do agente AWS SSM e API. A imagem de base falta um shell de comando, servidor SSH e linguagens interpretadas (Por exemplo, sem Python ou Perl): Ferramentas de administrador e ferramentas de depuração são movidas para um contêiner de serviço separado, que é desabilitado por padrão.
A diferença clave com respeito a distribuições semelhantes como Fedora CoreOS, CentOS / Red Hat Atomic Host é o foco principal em fornecer segurança máxima no contexto de proteção do sistema contra ameaças potenciais, o que torna difícil explorar vulnerabilidades nos componentes do sistema operacional e aumenta o isolamento do contêiner.
Principais novos recursos do Bottlerocket 1.3.0
Nesta nova versão da distribuição, o correção para vulnerabilidades no kit de ferramentas docker e o contêiner de tempo de execução (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) relacionado a configurações de permissão incorretas, permitindo que usuários não privilegiados deixem o diretório base e executem programas externos.
Por parte das mudanças que foram implementadas, podemos descobrir que Suporte IPv6 foi adicionado ao kubelet e plutoAlém disso, a capacidade de reiniciar o contêiner após alterar sua configuração foi fornecida e o suporte para instâncias do Amazon EC2 M6i foi adicionado ao eni-max-pods.
Também se destacam Novas restrições do MCS na política SELinux, bem como a solução de vários problemas de política SELinux, além do que para a plataforma x86_64, o modo de boot híbrido é implementado (com compatibilidade EFI e BIOS) e em Open-vm-tools adiciona suporte para dispositivos baseados em filtro no Cilium Kit de ferramentas.
Por outro lado, a compatibilidade com a versão da distribuição aws-k8s-1.17 baseada no Kubernetes 1.17 foi eliminada, por isso é recomendado o uso da variante aws-k8s-1.21 com compatibilidade com Kubernetes 1.21, além do variantes k8s usando as configurações cgroup runtime.slice e system.slice.
Das outras mudanças que se destacam nesta nova versão:
- Indicador de região adicionado ao comando aws-iam-authenticator
- Reinicie os contêineres de host modificados
- Atualizado o contêiner de controle padrão para v0.5.2
- Eni-max-pods atualizados com novos tipos de instância
- Adicionados novos filtros de dispositivo cilium para open-vm-tools
- Incluir arquivos tar / var / log / kdumpen logdog
- Atualizar pacotes de terceiros
- Definição de onda adicionada para implementação lenta
- Adicionado 'infrasys' para criar infra TUF no AWS
- Arquivar migrações antigas
- Mudanças na documentação
Finalmente se você estiver interessado em saber mais sobre isso, você pode verificar os detalhes no link a seguir.