Lanseringen av len ny version av Linux -distributionen «Bottlerocket 1.3.0» där vissa ändringar och förbättringar har gjorts i systemet MCS -tillagda begränsningar för SELinux -policyn markeras, liksom lösningen på olika SELinux -policyproblem, IPv6 -stöd i kubelet och pluto och också stöd för hybridstart för x86_64.
För de som inte är medvetna om Flaskhylsa, du bör veta att detta är en Linux -distribution som är utvecklad med deltagande av Amazon för att köra isolerade behållare effektivt och säkert. Denna nya version kännetecknas av att den i större utsträckning är en paketuppdateringsversion, även om den också kommer med några nya ändringar.
Fördelningen Den kännetecknas av att den ger en odelbar systembild uppdateras automatiskt och atomiskt som inkluderar Linux -kärnan och en minimal systemmiljö som endast innehåller de komponenter som är nödvändiga för att köra behållare.
Om Bottlerocket
Miljön använder systemhanteraren, Glibc -biblioteket, Buildroot, bootloader RÖJA, den onda nätverkskonfiguratorn, körtiden innehöll för behållarisolering, plattformen Kubernetes, AWS-iam-authenticator och Amazon ECS-agenten.
Behållarorkesteringsverktyg levereras i en separat hanteringsbehållare som är aktiverad som standard och hanteras via AWS SSM -agenten och API: et. Grundbilden saknar ett kommandoskal, SSH -server och tolkade språk (Till exempel utan Python eller Perl): Administratörsverktyg och felsökningsverktyg flyttas till en separat servicebehållare, som är inaktiverad som standard.
Skillnaden klöv sönder med avseende på liknande distributioner såsom Fedora CoreOS, CentOS / Red Hat Atomic Host är det primära fokuset på att ge maximal säkerhet i samband med att härda systemet mot potentiella hot, vilket gör det svårt att utnyttja sårbarheter i operativsystemets komponenter och ökar containerisolering.
De viktigaste nya funktionerna i Bottlerocket 1.3.0
I denna nya version av distributionen, fixa för sårbarheter i dockningsverktygssatsen och körtidsbehållaren (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) relaterade till felaktiga behörighetsinställningar, så att icke-privilegierade användare kan lämna baskatalogen och köra externa program.
Från de ändringar som har genomförts kan vi hitta det IPv6 -stöd har lagts till i kubelet och plutoDessutom erbjöds möjligheten att starta om behållaren efter att ha ändrat dess konfiguration, och stöd för Amazon EC2 M6i-instanser tillkom till eni-max-pods.
Sticker ut också MCS nya begränsningar för SELinux -policy, samt lösningen på flera SELinux-policyproblem, förutom att för x86_64-plattformen är hybridstartläget implementerat (med EFI- och BIOS-kompatibilitet) och i Open-vm-verktyg lägger det till stöd för filterbaserade enheter i Cilium Toolkit.
Å andra sidan eliminerades kompatibiliteten med versionen av aws-k8s-1.17-distributionen baserad på Kubernetes 1.17, varför det rekommenderas att använda aws-k8s-1.21-varianten med kompatibilitet med Kubernetes 1.21, förutom k8s -varianter som använder inställningarna cgroup runtime.slice och system.slice.
Av de andra förändringarna som sticker ut i den här nya versionen:
- Regionindikator läggs till kommandot aws-iam-authenticator
- Starta om modifierade värdbehållare
- Uppdaterade standardkontrollbehållaren till v0.5.2
- Eni-max-pods uppdaterade med nya instanstyper
- Lade till nya cilium-enhetsfilter till open-vm-tools
- Inkludera / var / log / kdumpen logdog tarballs
- Uppdatera paket från tredje part
- Wave definition har lagts till för långsam implementering
- Lade till 'infrasys' för att skapa TUF -infra på AWS
- Arkivera gamla migrationer
- Dokumentation ändras
Slutligen om du är intresserad av att veta mer om detkan du kontrollera detaljerna I följande länk.