的推出Linux 發行版的新版本“Bottlerocket 1.3.0” 其中對系統進行了一些更改和改進 強調 SELinux 政策中添加的 MCS 限制以及修復各種 SELinux 策略問題、kubelet 和 pluto 中的 IPv6 支持,以及 還支持 x86_64 的混合啟動。
對於那些不知道的人 瓶火箭, 要知道,這是一個由 Amazon 參與開發的 Linux 發行版,旨在高效、安全地運行隔離的容器。 這個新版本的特點是更加 軟件包更新版本,儘管它也帶來了一些新的更改。
分佈 它的特點是提供不可分割的系統映像 自動和原子更新,包括 Linux 內核和僅包含運行容器所需的組件的最小系統環境。
關於 Bottlerocket
環境 利用 systemd 系統管理器、Glibc 庫、Buildroot、 引導程序 格魯布, 邪惡的網絡配置器,運行時 裝箱的 對於容器隔離,平台 Kubernetes, AWS-iam-authenticator 和 Amazon ECS 代理。
容器編排工具在單獨的管理容器中提供,該容器默認啟用並通過 AWS SSM 代理和 API 進行管理。 基本圖像 缺少命令外殼、SSH 服務器和解釋性語言 (例如,沒有Python或Perl)-管理員工具和調試工具移至單獨的服務容器,默認情況下處於禁用狀態。
區別 譜號 關於類似分佈 例如Fedora CoreOS,CentOS / Red Hat Atomic Host 主要致力於提供最大的安全性 在加強系統抵禦潛在威脅的背景下,這使得難以利用操作系統組件中的漏洞並增加容器隔離。
Bottlerocket 1.3.0的主要新功能
這個新版本的發行版強調了 修復docker工具包中的漏洞 和運行時容器(CVE-2021-41089、CVE-2021-41091、CVE-2021-41092、CVE-2021-41103)與錯誤配置權限相關,允許非特權用戶離開基本目錄並運行外部程序。
對於已經實施的改變部分,我們可以發現: kubelet 和 pluto 添加了 IPv6 支持,以及提供在更改配置後重新啟動容器的能力,並向 eni-max-pods 添加對 Amazon EC2 M6i 實例的支持。
也脫穎而出 新的 MCS 對 SELinux 政策的限制, 以及修復各種 SELinux 策略問題,此外,針對 x86_64 平台,實現了混合啟動模式(支持 EFI 和 BIOS),並在 Open-vm-tools 中添加了對 Cilium 工具包中基於設備的過濾器的支持。
另一方面,消除了與基於 Kubernetes 8 的發行版 aws-k1.17s-1.17 的兼容性,除此之外,建議使用與 Kubernetes 8 兼容的變體 aws-k1.21s-1.21 k8s 變體使用cgroup runtime.slice 和system.slice 配置。
在此新版本中突出的其他更改包括:
- 向 aws-iam-authenticator 命令添加了區域指示器
- 重新啟動修改後的主機容器
- 將默認控制容器更新為 v0.5.2
- 使用新實例類型更新了 eni-max-pods
- 向 open-vm-tools 添加了新的 cilium 設備過濾器
- 包含 /var/log/kdumpen logdog tarball
- 更新第三方包
- 添加了波定義以降低實施速度
- 添加了“infrasys”以在 AWS 上創建 TUF 基礎設施
- 歸檔舊遷移
- 文檔變更
終於 如果您有興趣了解更多信息,您可以查看詳細信息 在下面的鏈接中。