l'nin lansmanıLinux dağıtımının yeni versiyonu «Bottlerocket 1.3.0» sisteminde bazı değişiklik ve iyileştirmelerin yapıldığı SELinux ilkesine MCS tarafından eklenen kısıtlamalar vurgulandıSELinux politika sorunlarının yanı sıra kubelet ve pluto'da IPv6 desteği ve ayrıca x86_64 için hibrit önyükleme desteği.
Habersiz olanlar için şişe roketi, Bunun, yalıtılmış kapsayıcıları verimli ve güvenli bir şekilde çalıştırmak için Amazon'un katılımıyla geliştirilen bir Linux dağıtımı olduğunu bilmelisiniz. Bu yeni sürüm, büyük ölçüde bir paket güncelleme sürümü, ancak bazı yeni değişikliklerle birlikte geliyor.
Dağıtım bölünmez bir sistem görüntüsü sağlayarak karakterize edilir Linux çekirdeğini ve yalnızca kapsayıcıları çalıştırmak için gerekli bileşenleri içeren minimum sistem ortamını içeren otomatik ve atomik olarak güncellenir.
Şişe Roketi Hakkında
Çevre systemd sistem yöneticisini, Glibc kitaplığını, Buildroot'u kullanır, önyükleyici kurtçuk, kötü ağ yapılandırıcısı, çalışma zamanı Containerd konteyner izolasyonu için platform Kubernet'ler, AWS-iam-authenticator ve Amazon ECS aracısı.
Kapsayıcı düzenleme araçları, varsayılan olarak etkinleştirilen ve AWS SSM aracısı ve API'si aracılığıyla yönetilen ayrı bir yönetim kapsayıcısında gönderilir. temel görüntü komut kabuğu, SSH sunucusu ve yorumlanmış dillerden yoksundur (Örneğin, Python veya Perl olmadan) - Yönetici araçları ve hata ayıklama araçları, varsayılan olarak devre dışı bırakılan ayrı bir hizmet konteynerine taşınır.
Fark anahtar benzer dağılımlara göre Fedora CoreOS, CentOS / Red Hat Atomic Host gibi maksimum güvenlik sağlamaya odaklanan birincil odak noktasıdır sistemi olası tehditlere karşı sağlamlaştırma bağlamında, bu da işletim sistemi bileşenlerindeki güvenlik açıklarından yararlanmayı zorlaştırır ve kapsayıcı yalıtımını artırır.
Bottlerocket 1.3.0'ın başlıca yeni özellikleri
Dağıtımın bu yeni sürümünde, liman işçisi araç setindeki güvenlik açıkları için düzeltme ve çalışma zamanı kapsayıcısının (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) hatalı izin ayarlarıyla ilgili olması, ayrıcalığı olmayan kullanıcıların temel dizinden ayrılıp harici programları çalıştırmasına izin verir.
Uygulanan değişiklikler kısmında şunu görebiliriz: Kubelet ve pluto'ya IPv6 desteği eklendiAyrıca, yapılandırmasını değiştirdikten sonra kapsayıcıyı yeniden başlatma yeteneği sağlandı ve eni-max-pods'a Amazon EC2 M6i bulut sunucuları için destek eklendi.
Ayrıca öne çık MCS'nin SELinux politikası üzerindeki yeni kısıtlamaları, x86_64 platformu için hibrit önyükleme modunun uygulanmasına ek olarak (EFI ve BIOS uyumluluğu ile) ve Open-vm-tools'ta filtre tabanlı cihazlar için destek ekler. Cilium Araç Takımı.
Öte yandan, Kubernetes 8 tabanlı aws-k1.17s-1.17 dağıtımının sürümü ile uyumluluk ortadan kaldırılmıştır, bu nedenle Kubernetes 8 ile uyumlu aws-k1.21s-1.21 varyantının kullanılması önerilir. cgroup runtime.slice ve system.slice ayarlarını kullanan k8s varyantları.
Bu yeni sürümde öne çıkan diğer değişikliklerden:
- aws-iam-authenticator komutuna bölge bayrağı eklendi
- Değiştirilmiş ana bilgisayar kapsayıcılarını yeniden başlatın
- Varsayılan kontrol kapsayıcısını v0.5.2 olarak güncellendi
- Eni-max-pod'lar yeni örnek türleriyle güncellendi
- Open-vm-tools'a yeni siliyer cihaz filtreleri eklendi
- / var / log / kdumpen logdog tarball'larını dahil et
- Üçüncü taraf paketlerini güncelleyin
- Yavaş uygulama için dalga tanımı eklendi
- AWS'de TUF altyapısı oluşturmak için 'infrasys' eklendi
- Eski geçişleri arşivle
- Belge değişiklikleri
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsanayrıntıları kontrol edebilirsiniz Aşağıdaki bağlantıda.