Sự ra mắt của lphiên bản mới của bản phân phối Linux «Bottlerocket 1.3.0» trong đó một số thay đổi và cải tiến đã được thực hiện đối với hệ thống MCS đã thêm các hạn chế vào chính sách SELinux được đánh dấu, cũng như giải pháp cho các vấn đề khác nhau về chính sách SELinux, hỗ trợ IPv6 trong kubelet và pluto và cũng hỗ trợ khởi động lai cho x86_64.
Dành cho những ai chưa biết Chai tên lửa, bạn nên biết rằng đây là bản phân phối Linux được phát triển với sự tham gia của Amazon để chạy các vùng chứa biệt lập một cách hiệu quả và an toàn. Phiên bản mới này có đặc điểm là ở mức độ lớn hơn một phiên bản cập nhật gói, mặc dù nó cũng đi kèm với một số thay đổi mới.
Sự phân phối Nó được đặc trưng bởi việc cung cấp một hình ảnh hệ thống không thể phân chia được cập nhật tự động và nguyên tử bao gồm nhân Linux và một môi trường hệ thống tối thiểu chỉ bao gồm các thành phần cần thiết để chạy các vùng chứa.
Giới thiệu về Bottlerocket
Môi trường sử dụng trình quản lý hệ thống systemd, thư viện Glibc, Buildroot, bộ nạp khởi động grub, trình cấu hình mạng xấu xa, thời gian chạy chứa đựng để cô lập vùng chứa, nền tảng Kubernetes, Trình xác thực AWS-iam và đại lý Amazon ECS.
Các công cụ điều phối vùng chứa được vận chuyển trong một vùng chứa quản lý riêng biệt được bật theo mặc định và được quản lý thông qua tác nhân AWS SSM và API. Hình ảnh cơ sở thiếu một trình bao lệnh, máy chủ SSH và các ngôn ngữ được thông dịch (Ví dụ: không có Python hoặc Perl) - Các công cụ quản trị viên và công cụ gỡ lỗi được chuyển đến một vùng chứa dịch vụ riêng biệt, bị tắt theo mặc định.
Sự khác biệt chìa khóa đối với các bản phân phối tương tự chẳng hạn như Fedora CoreOS, CentOS / Red Hat Atomic Host là trọng tâm chính để cung cấp bảo mật tối đa trong bối cảnh làm cứng hệ thống trước các mối đe dọa tiềm ẩn, điều này gây khó khăn cho việc khai thác các lỗ hổng trong các thành phần của hệ điều hành và tăng khả năng cô lập vùng chứa.
Các tính năng mới chính của Bottlerocket 1.3.0
Trong phiên bản phân phối mới này, sửa chữa các lỗ hổng trong bộ công cụ docker và vùng chứa thời gian chạy (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) liên quan đến cài đặt quyền không chính xác, cho phép người dùng không có đặc quyền rời khỏi thư mục cơ sở và chạy các chương trình bên ngoài.
Về phần những thay đổi đã được triển khai, chúng tôi có thể thấy rằng Hỗ trợ IPv6 đã được thêm vào kubelet và plutoNgoài ra, khả năng khởi động lại vùng chứa sau khi thay đổi cấu hình đã được cung cấp và hỗ trợ cho các phiên bản Amazon EC2 M6i đã được thêm vào eni-max-pods.
Cũng nổi bật Các hạn chế mới của MCS đối với chính sách SELinux, cũng như giải pháp của một số vấn đề về chính sách SELinux, ngoài thực tế là đối với nền tảng x86_64, chế độ khởi động kết hợp được triển khai (với khả năng tương thích với EFI và BIOS) và trong Open-vm-tools, nó bổ sung hỗ trợ cho các thiết bị dựa trên bộ lọc. Bộ công cụ Cilium.
Mặt khác, khả năng tương thích với phiên bản phân phối aws-k8s-1.17 dựa trên Kubernetes 1.17 đã bị loại bỏ, đó là lý do tại sao bạn nên sử dụng biến thể aws-k8s-1.21 với khả năng tương thích với Kubernetes 1.21, ngoài ra các biến thể k8s sử dụng cài đặt cgroup runtime.slice và system.slice.
Các thay đổi khác nổi bật trong phiên bản mới này:
- Đã thêm chỉ báo khu vực vào lệnh aws-iam-authenticator
- Khởi động lại các vùng chứa máy chủ đã sửa đổi
- Đã cập nhật vùng chứa điều khiển mặc định thành v0.5.2
- Eni-max-pods được cập nhật với các loại phiên bản mới
- Đã thêm bộ lọc thiết bị cilium mới vào open-vm-tools
- Bao gồm / var / log / kdumpen logdog tarballs
- Cập nhật các gói của bên thứ ba
- Đã thêm định nghĩa sóng để triển khai chậm
- Đã thêm 'cơ sở hạ tầng' để tạo cơ sở hạ tầng TUF trên AWS
- Lưu trữ các di chuyển cũ
- Tài liệu thay đổi
Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết Trong liên kết sau đây.