Lansarea lui lo nouă versiune a distribuției Linux «Bottlerocket 1.3.0» în care s-au făcut unele modificări și îmbunătățiri ale sistemului Sunt evidențiate restricțiile adăugate de MCS la politica SELinux, precum și soluția la mai multe probleme de politică SELinux, suport IPv6 în kubelet și pluto și de asemenea, suport de boot hibrid pentru x86_64.
Pentru cei care nu știu rachetă, ar trebui să știți că aceasta este o distribuție Linux dezvoltată cu participarea Amazon pentru a rula containere izolate în mod eficient și sigur. Această nouă versiune se caracterizează prin faptul că este într-o măsură mai mare o versiune de actualizare a pachetului, deși vine și cu câteva modificări noi.
Distributia Se caracterizează prin furnizarea unei imagini de sistem indivizibile actualizat automat și atomic, care include nucleul Linux și un mediu de sistem minim care include doar componentele necesare pentru a rula containere.
Despre Bottlerocket
Mediul folosește managerul de sistem systemd, biblioteca Glibc, Buildroot, încărcător de încărcare grub, configuratorul de rețea rău, timpul de execuție containerd pentru izolarea containerelor, platforma Kubernetes, AWS-iam-authenticator și agentul Amazon ECS.
Instrumentele de orchestrare a containerelor sunt livrate într-un container de gestionare separat care este activat în mod implicit și gestionat prin intermediul agentului AWS SSM și API. Imaginea de bază nu are un shell de comandă, server SSH și limbi interpretate (De exemplu, fără Python sau Perl) - Instrumentele de administrator și instrumentele de depanare sunt mutate într-un container de servicii separat, care este dezactivat în mod implicit.
La diferență cheie în ceea ce privește distribuțiile similare precum Fedora CoreOS, CentOS / Red Hat Atomic Host este accentul principal pe furnizarea de securitate maximă în contextul întăririi sistemului împotriva potențialelor amenințări, ceea ce face dificilă exploatarea vulnerabilităților componentelor sistemului de operare și crește izolarea containerelor.
Principalele caracteristici noi ale Bottlerocket 1.3.0
În această nouă versiune a distribuției, remediați vulnerabilitățile din setul de instrumente docker și containerul de execuție (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) legate de setări incorecte de permisiune, permițând utilizatorilor neprivilegiați să părăsească directorul de bază și să ruleze programe externe.
Din partea schimbărilor care au fost implementate, putem constata acest lucru Suportul IPv6 a fost adăugat la kubelet și plutoÎn plus, a fost oferită capacitatea de a reporni containerul după modificarea configurației sale și a fost adăugat suport pentru instanțele Amazon EC2 M6i la eni-max-pods.
De asemenea, ieșiți în evidență noile restricții MCS privind politica SELinux, precum și soluția mai multor probleme de politică SELinux, în plus față de cea pentru platforma x86_64, este implementat modul de încărcare hibrid (cu compatibilitate EFI și BIOS) și în Open-vm-tools adaugă suport pentru dispozitive bazate pe filtrare În Cilium Set de instrumente.
Pe de altă parte, a fost eliminată compatibilitatea cu versiunea distribuției aws-k8s-1.17 bazată pe Kubernetes 1.17, motiv pentru care se recomandă utilizarea variantei aws-k8s-1.21 cu compatibilitate cu Kubernetes 1.21, pe lângă Variante k8s folosind setările cgroup runtime.slice și system.slice.
Dintre celelalte modificări care se remarcă în această nouă versiune:
- Steagul regiunii a fost adăugat la comanda aws-iam-authenticator
- Reporniți containerele gazdă modificate
- Actualizat containerul de control implicit la v0.5.2
- Eni-max-pods actualizate cu noi tipuri de instanțe
- S-au adăugat noi filtre de dispozitive cilium la open-vm-tools
- Includeți / var / log / kdumpen logdog tarballs
- Actualizați pachetele terță parte
- Definiție Wave adăugată pentru implementare lentă
- S-a adăugat „infrasys” pentru a crea infra TUF pe AWS
- Arhivează migrațiile vechi
- Modificări ale documentației
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta, puteți verifica detaliile În următorul link.