Daahfurka lnooc cusub oo qaybinta Linux ah «Bottlerocket 1.3.0» kuwaas oo waxoogaa isbeddel iyo horumarin ah lagu sameeyey nidaamka ay ka mid yihiin Xaddidyada MCS ee lagu daray siyaasadda SELinux ayaa la muujiyey, iyo sidoo kale xalka dhowr dhibaatooyin siyaasadda SELinux, taageerada IPv6 ee kubelet iyo pluto iyo sidoo kale taageerada kabaha isku -dhafan ee x86_64.
Kuwa aan ka warqabin Dhalada dhalada, waa inaad ogaataa in tani ay tahay qaybinta Linux oo la soo saaray iyadoo ay ka qayb qaadanayaan Amazon si ay si habsami leh oo ammaan ah u maamulaan weelasha go'doonsan. Qaabkan cusub waxaa lagu gartaa inuu aad u weyn yahay nooca cusboonaysiinta xirmada, inkasta oo ay sidoo kale la timaaddo xoogaa isbeddello cusub ah.
Qaybinta Waxaa lagu gartaa bixinta hab nidaam aan la kala qaybin karin si otomaatig ah iyo atom ahaan loo cusbooneysiiyay oo ay kujirto kernel Linux iyo jawi nidaam ugu yar oo ay kujiraan kaliya qaybaha lagama maarmaanka u ah socodsiinta weelasha.
Ku saabsan Bottlerocket
Deegaanka wuxuu adeegsadaa maamulaha nidaamka systemd, maktabadda Glibc, Buildroot, bootloader GUUR, iskuxiraha shabakadda sharka leh, runtime weeld go'doominta weelka, madal Kubernetes, AWS-iam-authenticator, iyo wakiilka Amazon ECS.
Aaladaha orchestration -ka koonteenarrada waxaa lagu raraa weel maamul oo gooni ah oo karti u leh oo lagu maareeyo wakiilka AWS SSM iyo API. Sawirka salka waxaa ka maqan qolof talis, server SSH, iyo afaf la turjumay (Tusaale ahaan, bilaa Python ama Perl): Qalabka maamulka iyo aaladaha khaladka waxaa loo wareejiyaa weel adeeg oo gaar ah, kaas oo markii horeba naafo ah.
Farqiga u muhiimka ah marka loo eego qaybinta la midka ah sida Fedora CoreOS, CentOS / Red Hat Atomic Host waa diiradda koowaad ee bixinta amniga ugu badan macnaha guud ee adkaynta nidaamka ka dhanka ah khataraha iman kara, taas oo adkeyneysa in laga faa'iideysto nuglaanshaha qaybaha nidaamka hawlgalka iyo kordhinta go'doominta weelka.
Astaamaha ugu muhiimsan ee cusub ee Bottlerocket 1.3.0
Qaybtan cusub ee qaybinta, ayaa hagaaji nuglaanta ku jirta sanduuqa docker iyo weelka runtime-ka (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) oo la xidhiidha goobaha oggolaanshaha khaldan, oo u oggolaanaya isticmaalayaasha aan mudnaanta lahayn inay ka baxaan tusaha saldhigga oo ay maamulaan barnaamijyada dibadda.
Dhinaca isbeddellada la hirgeliyey waxaan ka heli karnaa taas Taageerada IPv6 ayaa lagu daray kubelet iyo plutoIntaa waxaa dheer, awoodda dib loogu bilaabi lahaa weelka ka dib markii la beddelay qaab-dhismeedkiisii ayaa la bixiyay, iyo taageerada xaaladaha Amazon EC2 M6i ayaa lagu daray eni-max-pods.
Sidoo kale istaag Xayiraadaha cusub ee MCS ee siyaasadda SELinux, iyo sidoo kale xalka dhowr dhibaatooyin siyaasadeed ee SELinux, marka lagu daro xaqiiqda ah in x86_64 madal, qaabka kabaha isku-dhafan ayaa la hirgaliyay (oo la jaanqaadaya EFI iyo BIOS) iyo aaladda Open-vm waxay ku darsataa taageerada aaladaha ku saleysan shaandhaynta Qalabka Cilium.
Dhinaca kale, la-jaanqaadka nooca aws-k8s-1.17 qaybinta ku saleysan Kubernetes 1.17 waa la tirtiray, taas ayaa ah sababta loogu taliyay in la isticmaalo kala-duwanaanshaha aws-k8s-1.21 oo la jaan qaada Kubernetes 1.21, marka lagu daro k8s kala duwanaansho iyadoo la adeegsanayo runtime cgroup.slice iyo system.slice settings.
Isbedelada kale ee ka dhex muuqda noocyadan cusub:
- Calanka gobolka ayaa lagu daray taliska aws-iam-authenticator
- Dib u bilow weelasha martida ee wax laga beddelay
- La cusbooneysiiyay weelka kontoroolka caadiga ah v0.5.2
- Eni-max-pods ayaa lagu cusboonaysiiyay noocyo tusaalayaal cusub ah
- Waxaa lagu daray miirayaasha aaladda cilium cusub si loo furo-vm-tools
- Ku dar / var / log / kdumpen logdog tarballs
- Cusboonaysii xirmooyinka dhinac saddexaad
- Qeexitaanka mawjada ayaa lagu daray hirgelinta qunyar socodka ah
- Waxaa lagu daray 'infrasys' si loogu abuuro TUF infra on AWS
- Diiwaangelinta guuritaankii hore
- Isbeddelka dukumiintiyada
Finalmente hadaad xiisaynayso inaad waxbadan ka ogaato, waad hubin kartaa faahfaahinta Xiriirka soo socda.