推出 l新版本的 Linux 发行版 «Bottlerocket 1.3.0» 其中对系统进行了一些更改和改进,其中 突出显示了 MCS 对 SELinux 策略添加的限制,以及几个 SELinux 策略问题的解决方案,kubelet 和 pluto 中的 IPv6 支持以及 还支持 x86_64 的混合启动。
对于那些不知道的人 Bottlerocket, 你应该知道这是一个在亚马逊的参与下开发的 Linux 发行版,用于高效安全地运行隔离容器。 这个新版本的特点是在更大程度上 一个包更新版本,虽然它也有一些新的变化。
分布 它的特点是提供不可分割的系统映像 自动和原子更新,其中包括 Linux 内核和仅包含运行容器所需的组件的最小系统环境。
关于 Bottlerocket
环境 利用 systemd 系统管理器、Glibc 库、Buildroot、 引导程序 格鲁布, 邪恶的网络配置器,运行时 装箱的 对于容器隔离,平台 Kubernetes, AWS-iam-authenticator 和 Amazon ECS 代理。
容器编排工具在单独的管理容器中提供,该容器默认启用并通过 AWS SSM 代理和 API 进行管理。 基本图像 缺少命令外壳、SSH 服务器和解释性语言 (例如,没有Python或Perl)-管理员工具和调试工具移至单独的服务容器,默认情况下处于禁用状态。
区别 谱号 关于类似分布 例如Fedora CoreOS,CentOS / Red Hat Atomic Host 主要致力于提供最大的安全性 在加强系统抵御潜在威胁的背景下,这使得难以利用操作系统组件中的漏洞并增加容器隔离。
Bottlerocket 1.3.0的主要新功能
在这个新版本的发行版中, 修复 docker 工具包中的漏洞 以及与错误权限设置相关的运行时容器(CVE-2021-41089、CVE-2021-41091、CVE-2021-41092、CVE-2021-41103),允许非特权用户离开基目录并运行外部程序。
在已实施的更改方面,我们可以发现 kubelet 和 pluto 中添加了 IPv6 支持此外,还提供了在更改其配置后重新启动容器的功能,并且在 eni-max-pods 中添加了对 Amazon EC2 M6i 实例的支持。
也脱颖而出 MCS 对 SELinux 政策的新限制, 以及几个 SELinux 策略问题的解决方案,除了针对 x86_64 平台的解决方案,还实现了混合启动模式(具有 EFI 和 BIOS 兼容性),并且在 Open-vm-tools 中它增加了对基于过滤器的设备的支持 Cilium工具包。
另一方面,消除了与基于 Kubernetes 8 的 aws-k1.17s-1.17 发行版版本的兼容性,这就是为什么建议使用与 Kubernetes 8 兼容的 aws-k1.21s-1.21 变体,除了使用 cgroup runtime.slice 和 system.slice 设置的 k8s 变体。
在此新版本中突出的其他更改包括:
- 添加到 aws-iam-authenticator 命令的区域标志
- 重新启动修改后的主机容器
- 将默认控件容器更新为 v0.5.2
- Eni-max-pods 更新了新的实例类型
- 向 open-vm-tools 添加了新的 cilium 设备过滤器
- 包含 /var/log/kdumpen logdog tarballs
- 更新第三方包
- 为缓慢实施添加了波定义
- 添加了“infrasys”以在 AWS 上创建 TUF 基础设施
- 存档旧迁移
- 文档更改
最后 如果您有兴趣了解更多信息,您可以查看详细信息 在下面的链接中。