การเปิดตัวของ lเวอร์ชันใหม่ของการกระจาย Linux « Bottlerocket 1.3.0 » ที่มีการเปลี่ยนแปลงและปรับปรุงระบบซึ่ง MCS เพิ่มข้อจำกัดให้กับนโยบาย SELinux จะถูกเน้นเช่นเดียวกับการแก้ปัญหานโยบาย SELinux หลายประการ การรองรับ IPv6 ใน kubelet และ pluto และ ยังรองรับการบูตแบบไฮบริดสำหรับ x86_64
สำหรับคนที่ไม่รู้จัก จรวดขวด คุณควรรู้ว่านี่คือการแจกจ่าย Linux ที่พัฒนาโดยการมีส่วนร่วมของ Amazon เพื่อเรียกใช้คอนเทนเนอร์แบบแยกอย่างมีประสิทธิภาพและปลอดภัย เวอร์ชันใหม่นี้มีลักษณะเฉพาะในระดับที่มากขึ้น เวอร์ชันอัปเดตแพ็คเกจแม้ว่าจะมาพร้อมกับการเปลี่ยนแปลงใหม่บางอย่าง
การกระจาย โดดเด่นด้วยการสร้างภาพระบบที่แบ่งแยกไม่ได้ อัปเดตอัตโนมัติและอะตอมที่มีเคอร์เนล Linux และสภาพแวดล้อมระบบขั้นต่ำที่รวมเฉพาะส่วนประกอบที่จำเป็นในการรันคอนเทนเนอร์
เกี่ยวกับ Bottlerocket
สภาพแวดล้อม ใช้ประโยชน์จากตัวจัดการระบบ systemd, ไลบรารี Glibc, Buildroot, bootloader ด้วง, ตัวกำหนดค่าเครือข่ายที่ชั่วร้าย รันไทม์ ตู้คอนเทนเนอร์ สำหรับการแยกคอนเทนเนอร์ แพลตฟอร์ม Kubernetes AWS-iam-authenticator และตัวแทน Amazon ECS
เครื่องมือจัดการคอนเทนเนอร์จัดส่งในคอนเทนเนอร์การจัดการแยกต่างหากที่เปิดใช้งานโดยค่าเริ่มต้นและจัดการผ่านตัวแทน AWS SSM และ API ภาพฐาน ไม่มีเชลล์คำสั่ง เซิร์ฟเวอร์ SSH และภาษาที่แปลแล้ว (ตัวอย่างเช่นไม่มี Python หรือ Perl) - เครื่องมือของผู้ดูแลระบบและเครื่องมือดีบักจะถูกย้ายไปยังที่เก็บบริการแยกต่างหากซึ่งจะถูกปิดใช้งานโดยค่าเริ่มต้น
ความแตกต่าง สำคัญ เกี่ยวกับการแจกแจงที่คล้ายคลึงกัน เช่น Fedora CoreOS, CentOS / Red Hat Atomic Host เป็นจุดเน้นหลักในการให้ความปลอดภัยสูงสุด ในบริบทของการเสริมความแข็งแกร่งให้กับระบบจากภัยคุกคามที่อาจเกิดขึ้น ซึ่งทำให้ยากต่อการใช้ประโยชน์จากช่องโหว่ในส่วนประกอบของระบบปฏิบัติการและเพิ่มการแยกคอนเทนเนอร์
คุณสมบัติใหม่หลักของ Bottlerocket 1.3.0
ในการแจกจ่ายเวอร์ชันใหม่นี้ the แก้ไขช่องโหว่ในชุดเครื่องมือนักเทียบท่า และคอนเทนเนอร์รันไทม์ (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) ที่เกี่ยวข้องกับการตั้งค่าการอนุญาตที่ไม่ถูกต้อง อนุญาตให้ผู้ใช้ที่ไม่มีสิทธิ์ออกจากไดเรกทอรีฐานและเรียกใช้โปรแกรมภายนอก
ในส่วนของการเปลี่ยนแปลงที่ได้ดำเนินการ เราจะพบว่า เพิ่มการรองรับ IPv6 ใน kubelet และ plutoนอกจากนี้ยังมีให้ความสามารถในการรีสตาร์ทคอนเทนเนอร์หลังจากเปลี่ยนการกำหนดค่า และเพิ่มการรองรับอินสแตนซ์ Amazon EC2 M6i ลงใน eni-max-pods
ยังโดดเด่น ข้อจำกัดใหม่ของ MCS เกี่ยวกับนโยบาย SELinux เช่นเดียวกับการแก้ปัญหานโยบาย SELinux หลายประการ นอกเหนือจากข้อเท็จจริงที่ว่าสำหรับแพลตฟอร์ม x86_64 โหมดไฮบริดบูตถูกใช้งาน (พร้อมความเข้ากันได้ของ EFI และ BIOS) และในเครื่องมือ Open-vm จะเพิ่มการรองรับอุปกรณ์ที่ใช้ตัวกรองใน ชุดเครื่องมือซีเลียม
ในทางกลับกัน ความเข้ากันได้กับเวอร์ชันของการแจกจ่าย aws-k8s-1.17 ที่ใช้ Kubernetes 1.17 ถูกขจัดออกไป ซึ่งเป็นเหตุผลที่แนะนำให้ใช้ตัวแปร aws-k8s-1.21 ที่เข้ากันได้กับ Kubernetes 1.21 นอกเหนือจาก ตัวแปร k8s โดยใช้การตั้งค่า cgroup runtime.slice และ system.slice
การเปลี่ยนแปลงอื่น ๆ ที่โดดเด่นในเวอร์ชันใหม่นี้:
- เพิ่มแฟล็กภูมิภาคในคำสั่ง aws-iam-authenticator
- รีสตาร์ทคอนเทนเนอร์โฮสต์ที่แก้ไขแล้ว
- อัปเดตคอนเทนเนอร์ควบคุมเริ่มต้นเป็น v0.5.2
- Eni-max-pods อัปเดตด้วยประเภทอินสแตนซ์ใหม่
- เพิ่มตัวกรองอุปกรณ์ cilium ใหม่ให้กับ open-vm-tools
- รวม / var / log / kdumpen logdog tarballs
- อัพเดทแพ็คเกจบุคคลที่สาม
- เพิ่มคำจำกัดความของ Wave เพื่อการใช้งานที่ช้า
- เพิ่ม 'infrasys' เพื่อสร้าง TUF infra บน AWS
- เก็บถาวรการโยกย้ายเก่า
- การเปลี่ยนแปลงเอกสาร
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมคุณสามารถตรวจสอบรายละเอียด ในลิงค์ต่อไปนี้.