Nisja e lnjë version i ri i shpërndarjes Linux "Bottlerocket 1.3.0" në të cilat janë bërë disa ndryshime dhe përmirësime në sistemin e të cilave MCS shtoi kufizimet në politikën SELinux, si dhe zgjidhja e disa problemeve të politikave SELinux, mbështetja e IPv6 në kubelet dhe pluton dhe gjithashtu mbështetje hibride boot për x86_64.
Për ata që nuk kanë dijeni Bottlerocket, duhet ta dini se kjo është një shpërndarje Linux që është zhvilluar me pjesëmarrjen e Amazon për të drejtuar kontejnerë të izoluar në mënyrë efikase dhe të sigurt. Ky version i ri karakterizohet nga të qenit në një masë më të madhe një version i azhurnimit të paketës, megjithëse vjen gjithashtu me disa ndryshime të reja.
Shpërndarja Karakterizohet nga sigurimi i një imazhi të pandarë të sistemit azhurnohet automatikisht dhe atomikisht që përfshin kernelin Linux dhe një mjedis minimal të sistemit që përfshin vetëm përbërësit e nevojshëm për të drejtuar kontejnerët.
Rreth Bottlerocket
Mjedisi përdor menaxhuesin e sistemit systemd, bibliotekën Glibc, Buildroot, bootloader grusht, konfiguruesi i lig i rrjetit, koha e ekzekutimit kontejner për izolimin e kontejnerëve, platforma Kubernetes, AWS-iam-authenticator, dhe agjenti Amazon ECS.
Mjetet e orkestrimit të kontejnerëve dërgohen në një enë të veçantë menaxhimi që është aktivizuar si parazgjedhje dhe menaxhohet përmes agjentit AWS SSM dhe API. Imazhi bazë i mungon një shell komande, server SSH dhe gjuhë të interpretuara (Për shembull, pa Python ose Perl) - Mjetet e administratorit dhe mjetet e korrigjimit të gabimeve zhvendosen në një enë të veçantë të shërbimit, e cila është çaktivizuar si parazgjedhje.
Ndryshimi kyç në lidhje me shpërndarjet e ngjashme siç janë Fedora CoreOS, CentOS / Red Hat Atomic Host është fokusi kryesor në ofrimin e sigurisë maksimale në kontekstin e forcimit të sistemit kundër kërcënimeve të mundshme, gjë që e bën të vështirë shfrytëzimin e dobësive në përbërësit e sistemit operativ dhe rrit izolimin e kontejnerëve.
Karakteristikat kryesore të reja të Shisheve 1.3.0
Në këtë version të ri të shpërndarjes, rregulloni dobësitë në kutinë e veglave docker dhe ena e ekzekutimit (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) lidhur me cilësimet e pasakta të lejeve, duke lejuar përdoruesit jo të privilegjuar të largohen nga drejtoria bazë dhe të ekzekutojnë programe të jashtme.
Nga ana e ndryshimeve që janë zbatuar ne mund ta gjejmë atë Mbështetja IPv6 u shtua në kubelet dhe plutonPër më tepër, u sigurua aftësia për të rinisur enën pas ndryshimit të konfigurimit të saj, dhe mbështetja për rastet Amazon EC2 M6i u shtua në eni-max-pods.
Gjithashtu bie në sy Kufizimet e reja të MCS në politikën SELinux, si dhe zgjidhjen e disa problemeve të politikave SELinux, përveç faktit se për platformën x86_64, modaliteti hibrid i nisjes zbatohet (me pajtueshmëri EFI dhe BIOS) dhe në mjetet Open-vm shton mbështetje për pajisjet e bazuara në filtër Pakoja e veglave Cilium.
Nga ana tjetër, pajtueshmëria me versionin e shpërndarjes aws-k8s-1.17 bazuar në Kubernetes 1.17 u eliminua, kjo është arsyeja pse rekomandohet të përdorni variantin aws-k8s-1.21 me pajtueshmëri me Kubernetes 1.21, përveç variantet k8s duke përdorur cilësimet e ekzekutimit të cgroup.slice dhe system.sice.
Nga ndryshimet e tjera që bien në sy në këtë version të ri:
- Treguesi i rajonit u shtua në komandën aws-iam-authenticator
- Rinisni kontejnerët e modifikuar të hostit
- Përditësoi enën e kontrollit të paracaktuar në v0.5.2
- Eni-max-pods përditësuar me lloje të reja shembujsh
- Shtohen filtra të rinj të pajisjes cilium në mjetet e hapura-vm
- Përfshi tarbars / var / log / kdumpen logdog
- Përditësoni paketat e palëve të treta
- Përkufizimi i valës u shtua për zbatim të ngadaltë
- Shtuar 'infrasys' për të krijuar infra TUF në AWS
- Arkivoni migrimet e vjetra
- Dokumentacioni ndryshon
Më në fund nëse jeni të interesuar të dini më shumë për të, ju mund të kontrolloni detajet Në lidhjen vijuese.