Bottlerocket 1.7.0 arriba amb actualitzacions i solució a un error amb els controladors Nvidia

Butllerí

fa poc es va donar a conèixer el llançament de la nova versió de la distribució de Linux Bottlerocket 1.7.0, desenvolupada amb la participació d'Amazon, per executar contenidors aïllats de manera eficaç i segura.

Per als que desconeixen de Bottlerocket, han de saber que aquesta és una distribució que proporciona una imatge de sistema indivisible actualitzada, atòmica i automàticament que inclou el nucli de Linux i un entorn de sistema mínim que inclou només els components necessaris per executar contenidors.

sobre Bottlerocket

L'entorn utilitza l'administrador del sistema systemd, la biblioteca Glibc, l'eina de compilació Buildroot, el carregador d'arrencada GRUB, el temps d'execució del contenidor aïllat de contenidors, la plataforma d'orquestració de contenidors de Kubernetes, l'autenticador aws-iam i l'agent d'Amazon ECS.

Les eines d'orquestració de contenidors vénen en un contenidor independent que està habilitat per defecte i s'administra a través de l'API i l'agent d'AWS SSM. La imatge base no té un intèrpret d'ordres, un servidor SSH i llenguatges interpretats (per exemple, Python o Perl): les eines d'administració i depuració es mouen a un contenidor de serveis separat , que està deshabilitat per defecte.

La diferència clau amb distribucions similars com Fedora coreos, CentOS / Red Hat Atomic Host és l'enfocament principal a brindar la màxima seguretat en el context d'enfortir la protecció del sistema contra possibles amenaces, cosa que complica l'explotació de vulnerabilitats als components del sistema operatiu i augmenta l'aïllament del contenidor.

Els contenidors es creen utilitzant els mecanismes habituals del nucli de Linux: cgroups, espais de noms i seccomp. Per a un aïllament addicional, la distribució utilitza SELinux en mode d'aplicació.

La partició root es munta en mode de només lectura i la partició amb la configuració /etc es munta a tmpfs i es restaura al seu estat original després de reiniciar. No s'admet la modificació directa de fitxers al directori /etc, com ara /etc/resolv.conf i /etc/containerd/config.toml; per desar la configuració de forma permanent, heu d'usar l'API o moure la funcionalitat a contenidors separats.

Per a la verificació criptogràfica de la integritat de la partició arrel, es fa servir el mòdul dm-verity i, si es detecta un intent de modificar les dades a nivell del dispositiu de bloc, el sistema es reinicia.

La majoria dels components del sistema estan escrits a Rust, que proporciona eines segures per a la memòria per evitar vulnerabilitats causades per abordar una àrea de memòria després que s'hagi alliberat, desreferenciar punters nuls i desbordaments de memòria intermèdia.

En compilar, els modes de compilació «–enable-default-pie» i «–enable-default-ssp» es fan servir per defecte per habilitar l'aleatorització de l'espai d'adreces executable ( PIE ) i la protecció contra desbordaments de pila a través substitució d'etiquetes canary.

Què hi ha de nou a Bottlerocket 1.7.0?

En aquesta nova versió que es presenta de la distribució, un dels canvis que es destaca és que en instal·lar paquets RPM, es proporciona per generar una llista de programes en format JSON i muntar-la al contenidor del host com el fitxer /var/lib/bottlerocket/inventory/application.json per obtenir informació sobre els paquets disponibles.

També es destaca a Bottlerocket 1.7.0 la actualització dels contenidors «admin» i «control», així com també de les versions de paquets i dependències per a Go i Rust.

D'altra banda, es destaquen les versions actualitzades de paquets amb programes de tercers, a més que es van corregir els problemes de configuració de tmpfilesd per kmod-5.10-nvidia i que en instal·lar tuftool, les versions de dependència estan vinculades.

Finalment per als que estiguin interessats a poder conèixer més sobre això sobre aquesta distribució, han de saber que el kit d'eines i els components de control de la distribució estan escrits a Rust i es distribueixen sota les llicències MIT i Apache 2.0.

Butllerí admet l'execució de clústers d'Amazon ECS, VMware i AWS EKS Kubernetes, així com la creació de compilacions i edicions personalitzades que permeten diferents orquestracions i eines de temps dexecució per a contenidors.

Pots consultar els detalls, en el següent enllaç.


Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.