Ang paglulunsad ng lisang bagong bersyon ng pamamahagi ng Linux «Bottlerocket 1.3.0» kung saan ang ilang mga pagbabago at pagpapabuti ay nagawa sa system kung saan Ang idinagdag na mga paghihigpit ng MCS sa patakaran ng SELinux ay naka-highlight, pati na rin ang solusyon sa maraming mga problema sa patakaran ng SELinux, suporta ng IPv6 sa kubelet at pluto at suporta din ng hybrid boot para sa x86_64.
Para sa mga hindi nakakaalam bottlerocket, dapat mong malaman na ito ay isang pamamahagi ng Linux na binuo sa paglahok ng Amazon upang mapatakbo ang mga nakahiwalay na lalagyan nang mahusay at ligtas. Ang bagong bersyon na ito ay nailalarawan sa pamamagitan ng pagiging sa isang mas malawak na lawak isang bersyon ng pag-update ng package, bagaman mayroon din itong ilang mga bagong pagbabago.
Pamimigay Ito ay nailalarawan sa pamamagitan ng pagbibigay ng isang hindi maibabahaging imahe ng system awtomatiko at atomiko na na-update na nagsasama ng Linux kernel at isang maliit na kapaligiran ng system na may kasamang mga sangkap lamang na kinakailangan upang magpatakbo ng mga lalagyan.
Tungkol sa Bottlerocket
Ang kapaligiran Ginagamit ang systemd system manager, ang Glibc library, Buildroot, bootloader grub, ang masamang configurator ng network, ang runtime naglalaman ng para sa paghihiwalay ng lalagyan, ang platform Kubernetes, Ang AWS-iam-authenticator, at ang ahente ng Amazon ECS.
Ang mga tool ng orkestra ng lalagyan ay naipadala sa isang hiwalay na lalagyan ng pamamahala na pinagana sa pamamagitan ng default at pinamamahalaan sa pamamagitan ng AWS SSM ahente at API. Ang batayang imahe walang isang command shell, SSH server, at mga naisalin na wika (Halimbawa, nang walang Python o Perl) - Ang mga tool ng Administrator at mga tool sa pag-debug ay inililipat sa isang hiwalay na lalagyan ng serbisyo, na hindi pinagana bilang default.
Ang pagkakaiba susi na may paggalang sa mga katulad na pamamahagi tulad ng Fedora CoreOS, CentOS / Red Hat Atomic Host ang pangunahing pokus sa pagbibigay ng maximum na seguridad sa konteksto ng pagpapatigas ng system laban sa mga potensyal na banta, na ginagawang mahirap na samantalahin ang mga kahinaan sa mga bahagi ng operating system at pinapataas ang paghihiwalay ng lalagyan.
Pangunahing mga bagong tampok ng Bottlerocket 1.3.0
Sa bagong bersyon ng pamamahagi, ang ayusin para sa mga kahinaan sa toolkit ng docker at ang lalagyan ng runtime (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) na nauugnay sa hindi wastong mga setting ng pahintulot, na pinapayagan ang mga hindi gumagamit na pribilehiyo na iwanan ang direktoryo ng base at magpatakbo ng mga panlabas na programa.
Sa bahagi ng mga pagbabagong ipinatupad maaari nating hanapin iyon Ang suporta ng IPv6 ay naidagdag sa kubelet at plutoBilang karagdagan, ang kakayahang i-restart ang lalagyan pagkatapos ng pagbabago ng pagsasaayos nito ay ibinigay, at ang suporta para sa mga kaso ng Amazon EC2 M6i ay naidagdag sa eni-max-pods.
Tumayo din ang bagong paghihigpit ng MCS sa patakaran ng SELinux, pati na rin ang solusyon ng maraming mga problema sa patakaran ng SELinux, bilang karagdagan sa para sa x86_64 platform, ipinatupad ang hybrid boot mode (kasama ang EFI at BIOS na pagiging tugma) at sa Open-vm-tool ay nagdaragdag ito ng suporta para sa mga aparato batay sa filter Sa Cilium Toolkit.
Sa kabilang banda, ang pagiging tugma sa bersyon ng pamamahagi ng aws-k8s-1.17 na batay sa Kubernetes 1.17 ay natanggal, kung kaya inirerekumenda na gamitin ang variant ng aws-k8s-1.21 na may pagiging tugma sa Kubernetes 1.21, bilang karagdagan sa mga variant ng k8s gamit ang cgroup runtime.slice at mga setting ng system.slice.
Sa iba pang mga pagbabago na tumatayo sa bagong bersyon na ito:
- Idinagdag ang watawat ng rehiyon sa utos ng aws-iam-authenticator
- I-restart ang mga binagong host ng container
- Nai-update ang default na lalagyan ng kontrol sa v0.5.2
- Nai-update ang mga Eni-max-pod na may mga bagong uri ng halimbawa
- Nagdagdag ng mga bagong filter ng aparato ng cilium sa mga open-vm-tool
- Isama / var / log / kdumpen logdog tarballs
- I-update ang mga package ng third-party
- Naidagdag ang kahulugan ng Wave para sa mabagal na pagpapatupad
- Nagdagdag ng 'infrasys' upang lumikha ng TUF infra sa AWS
- I-archive ang mga lumang paglipat
- Pagbabago ng dokumentasyon
Sa wakas kung interesado kang malaman ang tungkol dito, maaari mong suriin ang mga detalye Sa sumusunod na link.