Bottlerocket нь чингэлэг байршуулах зориулалттай үнэгүй, нээлттэй эхийн Линукс дээр суурилсан үйлдлийн систем юм.
Энэ тухай зарласан Bottlerocket 1.15.0-ийн шинэ хувилбар гарсан, төрөл бүрийн өөрчлөлт, сайжруулалт, юуны түрүүнд системийн өөр өөр багцуудад шинэчлэлтүүдийг хэрэгжүүлсэн хувилбар бөгөөд энэ хувилбараас эхлэн UEFI ачааллыг ашигладаг платформ дээр аюулгүй ачаалах дэмжлэгийг санал болгож байна. бусад зүйлс.
Bottlerocket-ийн талаар мэдэхгүй хүмүүсийн хувьд та үүнийг мэдэж байх ёстой нь хуваагдашгүй системийн дүр төрхийг өгдөг түгээлт юм Линукс цөмийг агуулсан атомын болон автоматаар шинэчлэгдсэн бөгөөд зөвхөн контейнер ажиллуулахад шаардлагатай бүрэлдэхүүн хэсгүүдийг агуулсан хамгийн бага системийн орчин.
Байгаль орчин systemd системийн менежер, Glibc номын санг ашигладаг, Buildroot бүтээх хэрэгсэл, GRUB ачаалагч, чингэлэгээр тусгаарлагдсан контейнер ажиллах хугацаа, Kubernetes контейнер зохион байгуулах платформ, aws-iam authenticator, Amazon ECS агент.
Ижил төрлийн хуваарилалтаас гол ялгаа нь Fedora CoreOS, CentOS / Red Hat Atomic Host гэх мэт аюулгүй байдлыг дээд зэргээр хангахад гол анхаарлаа хандуулдаг үйлдлийн системийн бүрэлдэхүүн хэсгүүдийн эмзэг байдлыг ашиглахад хүндрэл учруулж, савны тусгаарлалтыг нэмэгдүүлж болзошгүй аюулаас хамгаалах системийг бэхжүүлэх хүрээнд.
Bottlerocket 1.15.0-ийн үндсэн шинэ боломжууд
Танилцуулж буй Bottlerocket 1.15.0-ийн шинэ хувилбарт олон тооны шинэчлэлтүүд хийгдсэн бөгөөд эдгээрээс 6.1 хувилбар руу шинэчлэгдсэн Linux цөм, системд гэж шинэчлэгдсэн хувилбар 252, nvidia-container-toolkit 1.13.5, контейнерээс 1.6.23 хувилбар, glibc 2.38 хувилбар болон бусад.
Bottlerocket 1.15.0-ийн энэ хувилбарын санал болгож буй дотоод өөрчлөлтүүдийн тухайд аюулгүй ачаалах дэмжлэг U boot ашиглан платформуудEFI, systemd-networkd болон systemd-шийдвэрлэсэн хост сүлжээ болон XFS нь дотоод санах ойд зориулагдсан файлын систем юм шинэ суурилуулалтын хувьд. Эдгээр функцууд нь шинэ суулгацуудад анхдагчаар идэвхждэг бөгөөд одоо байгаа суулгацууд нь хуучин цөмүүдийг хост сүлжээнд ашиглах, EXT4-ийг дотоод санах ойд файлын систем болгон ашиглах болно гэдгийг дурдах нь зүйтэй.
Үүнээс гадна түгээлтийн шинэ хувилбаруудыг санал болгов Kubernetes 1.28-ийн дэмжлэг, UEFI Secure Boot, systemd-networkd болон XFS ашигладаг бөгөөд энэ нь өмнөх Kubernetes 1.27 дээр суурилсан хувилбаруудын хувьд хуучирсан дэмжлэг юм.
Энэхүү шинэ хувилбарт онцлох бусад өөрчлөлтүүд нь энэ юм CIS тайланг үүсгэхийн тулд "apclient report" командыг нэмсэн (Интернет аюулгүй байдлын төв) нь тохиргооны аюулгүй байдлыг үнэлдэг. Систем нь ТУХН-ийн шаардлагад нийцэж байгаа эсэхийг шалгах агентыг мөн оруулсан болно.
Бусад өөрчлөлтүүдээс Энэ шинэ хувилбараас ялгарах онцлог нь:
- SeccompDefault тохиргоог Kubernetes 1.25 ба түүнээс дээш хувилбарт суурилсан хувилбаруудад нэмсэн.
- k8s хувилбаруудад aws-iam-authenticator нэмсэн
- Хяналтын болон удирдлагын савны агуулгыг шинэчилсэн.
- OCI контейнерийн өгөгдмөл тохиргоонд нөөцийн хязгаарлалтын тохиргоог нэмсэн.
- Intel VMD драйверийг идэвхжүүлсэн
- UEFI Secure Boot, systemd-networkd болон XFS ашигладаг Amazon Elastic Container Service (Amazon ECS)-д "aws-ecs-2" түгээлтийн шинэ хувилбарыг санал болгож байна.
- Бүх Amazon ECS түгээлтүүд одоо AppMesh-ийн дэмжлэгийг агуулдаг.
- "метал-*" түгээлтийн хувилбарууд (ердийн техник хангамж дээр ажиллах нүцгэн металл) нь Intel VMD драйверийг багтаасан бөгөөд linux-firmware болон aws-iam-authenticator багцуудыг нэмнэ.
- Bottlerocket SDK v0.34.1 шинэчлэлт
- Хоёр литрийг модны гаднах барилга дээр ажиллахад ашигладаг. Ихэнх хэрэгслүүд Twoliter руу шилжсэн
- RPM үүсгэх үед зөвхөн зэрэгцээ байдлыг хязгаарла
Хамгийн сүүлд гэхдээ хамгийн багаар бодоход log4j (CVE-2021-44228)-д нөхөөс хийх функцийг устгасан бөгөөд тохиргооны тохиргоонууд болох settings.oci-hooks.log4j-hotpatch-enabled нь буцаан ашиглах боломжтой хэвээр байна. нийцтэй байдал. Гэсэн хэдий ч энэ нь системийн бүртгэлд хуучирсан тухай анхааруулгыг хэвлэхээс өөр нөлөө үзүүлэхгүй.
эцэст нь хэрэв та байгаа бол Энэ талаар илүү ихийг мэдэх сонирхолтой, дэлгэрэнгүйг шалгах боломжтой дараах холбоос.