Začetek lnova različica distribucije Linuxa «Bottlerocket 1.3.0» v katerem so bile narejene nekatere spremembe in izboljšave v sistemu Poudarjene so dodatne omejitve pravilnika SELinux za MCS, pa tudi rešitev več težav s politiko SELinux, podpora IPv6 v kubeletu in pluto ter tudi hibridna zagonska podpora za x86_64.
Za tiste, ki ne vedo Steklenička, vedeti morate, da je to distribucija Linuxa, ki je bila razvita s sodelovanjem Amazona za učinkovito in varno izvajanje izoliranih vsebnikov. Za to novo različico je značilno, da je v večji meri posodobljeno različico paketa, čeprav vsebuje tudi nekaj novih sprememb.
Porazdelitev Zanj je značilna nedeljiva podoba sistema samodejno in atomsko posodobljeno, ki vključuje jedro Linuxa in minimalno sistemsko okolje, ki vključuje samo komponente, potrebne za zagon vsebnikov.
O Bottlerocket
Okolje uporablja upravitelja sistema systemd, knjižnico Glibc, Buildroot, zagonski nalagalnik žrtev, zlobni konfigurator omrežja, čas izvajanja zabojnikd za izolacijo zabojnikov, ploščad Kubernetes, AWS-iam-authentication in Amazon ECS agent.
Orodja za orkestracijo vsebnikov so dobavljena v ločenem vsebniku za upravljanje, ki je privzeto omogočen in upravljan prek posrednika in API -ja AWS SSM. Osnovna slika nima ukazne lupine, strežnika SSH in tolmačenih jezikov (na primer brez Pythona ali Perla): skrbniška orodja in orodja za odpravljanje napak se premaknejo v ločen vsebnik storitve, ki je privzeto onemogočen.
Razlika clave glede podobnih distribucij kot so Fedora CoreOS, CentOS / Red Hat Atomic Host je glavni poudarek na zagotavljanju največje varnosti v okviru utrjevanja sistema pred potencialnimi grožnjami, kar otežuje izkoriščanje ranljivosti v komponentah operacijskega sistema in povečuje izolacijo vsebnikov.
Glavne novosti aplikacije Bottlerocket 1.3.0
V tej novi različici distribucije je odpravite ranljivosti v zbirki orodij Docker in vsebnik izvajalnega okolja (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103), povezan z nepravilnimi nastavitvami dovoljenj, ki omogočajo privilegiranim uporabnikom, da zapustijo osnovni imenik in izvajajo zunanje programe.
Na strani izvedenih sprememb lahko to ugotovimo Podpora IPv6 je bila dodana kubeletu in plutonuPoleg tega je bila omogočena možnost ponovnega zagona vsebnika po spremembi njegove konfiguracije, v eni-max-pods pa je bila dodana podpora za primerke Amazon EC2 M6i.
Izstopajte tudi Nove omejitve MCS glede politike SELinux, kot tudi rešitev več težav s politiko SELinux, poleg tega, da je za platformo x86_64 implementiran hibridni zagonski način (z združljivostjo EFI in BIOS) in v orodjih Open-vm dodaja podporo za naprave, ki temeljijo na filtrih komplet orodij Cilium.
Po drugi strani pa je bila odpravljena združljivost z različico distribucije aws-k8s-1.17, ki temelji na Kubernetes 1.17, zato je priporočljivo poleg različice Kubernetes 8 uporabiti še različico aws-k1.21s-1.21 različice k8s z nastavitvami cgroup runtime.slice in system.slice.
Od ostalih sprememb, ki izstopajo v tej novi različici:
- Regijska zastava je dodana ukazu aws-iam-authentication
- Znova zaženite spremenjene vsebnike gostitelja
- Privzeti nadzorni vsebnik je posodobljen na v0.5.2
- Eni-max-pods so posodobljeni z novimi vrstami primerkov
- Orodjem open-vm so bili dodani novi filtri naprav cilium
- Vključi / var / log / kdumpen logdog tarballs
- Posodobite pakete tretjih oseb
- Dodana je definicija valov za počasno izvajanje
- Dodani "infrasys" za ustvarjanje TUF infra na AWS
- Arhivirajte stare migracije
- Spremembe dokumentacije
Končno če vas zanima več o tem, lahko preverite podrobnosti V naslednji povezavi.