Запуск lновая версия дистрибутива Linux «Bottlerocket 1.3.0» в котором были внесены некоторые изменения и улучшения в систему, из которых Добавленные MCS ограничения к политике SELinux выделены, а также решение нескольких проблем политики SELinux, поддержка IPv6 в kubelet и pluto и также поддержка гибридной загрузки для x86_64.
Для тех, кто не знает BottleRocket, вы должны знать, что это дистрибутив Linux, разработанный при участии Amazon для эффективного и безопасного запуска изолированных контейнеров. Эта новая версия отличается тем, что в большей степени версия обновления пакета, хотя она также содержит некоторые новые изменения.
Распространение Характеризуется неделимым образом системы. автоматически и атомарно обновляется, включая ядро Linux и минимальную системную среду, которая включает только компоненты, необходимые для запуска контейнеров.
О Bottlerocket
Окружающая среда использует системный менеджер systemd, библиотеку Glibc, Buildroot, загрузчик ГРУБ, злой сетевой конфигуратор, среда выполнения контейнер для изоляции контейнера платформа Кубернетес, AWS-iam-Authenticator и агент Amazon ECS.
Инструменты оркестрации контейнеров поставляются в отдельном контейнере управления, который включен по умолчанию и управляется через агент и API AWS SSM. Базовое изображение отсутствует командная оболочка, SSH-сервер и интерпретируемые языки (Например, без Python или Perl) - инструменты администратора и инструменты отладки перемещены в отдельный контейнер службы, который по умолчанию отключен.
Различия ключ относительно аналогичных распределений такие как Fedora CoreOS, CentOS / Red Hat Atomic Host основное внимание уделяется обеспечению максимальной безопасности в контексте усиления защиты системы от потенциальных угроз, что затрудняет использование уязвимостей в компонентах операционной системы и увеличивает изоляцию контейнеров.
Основные новые функции Bottlerocket 1.3.0
В этой новой версии дистрибутива исправление уязвимостей в docker toolkit и контейнер времени выполнения (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103), связанный с неправильными настройками разрешений, что позволяет непривилегированным пользователям покидать базовый каталог и запускать внешние программы.
Что касается внесенных изменений, мы можем обнаружить, что В kubelet и pluto добавлена поддержка IPv6.Кроме того, была предоставлена возможность перезапуска контейнера после изменения его конфигурации, а в eni-max-pods добавлена поддержка инстансов Amazon EC2 M6i.
Также выделяются Новые ограничения MCS на политику SELinux, а также решение ряда проблем политики SELinux, помимо того, что для платформы x86_64 реализован гибридный режим загрузки (с EFI и совместимостью с BIOS), а в Open-vm-tools добавлена поддержка устройств на основе фильтров. Набор инструментов Cilium.
С другой стороны, была исключена совместимость с версией дистрибутива aws-k8s-1.17 на базе Kubernetes 1.17, поэтому рекомендуется использовать вариант aws-k8s-1.21 с совместимостью с Kubernetes 1.21, помимо Варианты k8s с использованием настроек cgroup runtime.slice и system.slice.
Из других изменений, которые выделяются в этой новой версии:
- Флаг региона добавлен в команду aws-iam-authentication
- Перезапустить измененные хост-контейнеры
- Контейнер управления по умолчанию обновлен до версии 0.5.2.
- Eni-max-pods обновлены новыми типами экземпляров
- Добавлены новые фильтры устройств ресничек в open-vm-tools
- Включите архивы / var / log / kdumpen logdog
- Обновите сторонние пакеты
- Добавлено определение волны для медленной реализации
- Добавлен infrasys для создания инфраструктуры TUF на AWS.
- Архивировать старые миграции
- Изменения в документации
В конце концов если вам интересно узнать об этом больше, вы можете проверить подробности По следующей ссылке.