A nova versão do Bottlerocket 1.3.0 já foi lançada e essas são as novidades

O lançamento de luma nova versão da distribuição Linux «Bottlerocket 1.3.0» em que algumas mudanças e melhorias foram feitas para o sistema do qual Restrições adicionadas de MCS à política SELinux são destacadas, bem como a solução para vários problemas de política SELinux, suporte IPv6 em kubelet e pluto e também suporte de inicialização híbrida para x86_64.

Para quem não sabe Foguete de garrafa, você deve saber que esta é uma distribuição Linux desenvolvida com a participação da Amazon para executar contêineres isolados com eficiência e segurança. Esta nova versão é caracterizada por ser em maior medida uma versão de atualização do pacote, embora também venha com algumas novas alterações.

A distribuição É caracterizado por fornecer uma imagem de sistema indivisível atualizado automática e atomicamente que inclui o kernel Linux e um ambiente de sistema mínimo que inclui apenas os componentes necessários para executar contêineres.

Sobre a Bottlerocket

O entorno faz uso do gerenciador de sistema systemd, a biblioteca Glibc, Buildroot, bootloader larva, o configurador de rede perverso, o tempo de execução contêiner para isolamento de contêiner, a plataforma Kubernetes, AWS-iam-authenticator e o agente Amazon ECS.

As ferramentas de orquestração de contêineres são enviadas em um contêiner de gerenciamento separado que é habilitado por padrão e gerenciado por meio do agente AWS SSM e API. A imagem de base falta um shell de comando, servidor SSH e linguagens interpretadas (Por exemplo, sem Python ou Perl): Ferramentas de administrador e ferramentas de depuração são movidas para um contêiner de serviço separado, que é desabilitado por padrão.

A diferença clave com respeito a distribuições semelhantes como Fedora CoreOS, CentOS / Red Hat Atomic Host é o foco principal em fornecer segurança máxima no contexto de proteção do sistema contra ameaças potenciais, o que torna difícil explorar vulnerabilidades nos componentes do sistema operacional e aumenta o isolamento do contêiner.

Principais novos recursos do Bottlerocket 1.3.0

Nesta nova versão da distribuição, o correção para vulnerabilidades no kit de ferramentas docker e o contêiner de tempo de execução (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) relacionado a configurações de permissão incorretas, permitindo que usuários não privilegiados deixem o diretório base e executem programas externos.

Por parte das mudanças que foram implementadas, podemos descobrir que Suporte IPv6 foi adicionado ao kubelet e plutoAlém disso, a capacidade de reiniciar o contêiner após alterar sua configuração foi fornecida e o suporte para instâncias do Amazon EC2 M6i foi adicionado ao eni-max-pods.

Também se destacam Novas restrições do MCS na política SELinux, bem como a solução de vários problemas de política SELinux, além do que para a plataforma x86_64, o modo de boot híbrido é implementado (com compatibilidade EFI e BIOS) e em Open-vm-tools adiciona suporte para dispositivos baseados em filtro no Cilium Kit de ferramentas.

Por outro lado, a compatibilidade com a versão da distribuição aws-k8s-1.17 baseada no Kubernetes 1.17 foi eliminada, por isso é recomendado o uso da variante aws-k8s-1.21 com compatibilidade com Kubernetes 1.21, além do variantes k8s usando as configurações cgroup runtime.slice e system.slice.

Das outras mudanças que se destacam nesta nova versão:

  • Indicador de região adicionado ao comando aws-iam-authenticator
  • Reinicie os contêineres de host modificados
  • Atualizado o contêiner de controle padrão para v0.5.2
  • Eni-max-pods atualizados com novos tipos de instância
  • Adicionados novos filtros de dispositivo cilium para open-vm-tools
  • Incluir arquivos tar / var / log / kdumpen logdog
  • Atualizar pacotes de terceiros
  • Definição de onda adicionada para implementação lenta
  • Adicionado 'infrasys' para criar infra TUF no AWS
  • Arquivar migrações antigas
  • Mudanças na documentação

Finalmente se você estiver interessado em saber mais sobre isso, você pode verificar os detalhes no link a seguir.


Seja o primeiro a comentar

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.