Bottlerocket je besplatni operativni sistem otvorenog koda baziran na Linuxu namijenjen za hostovanje kontejnera.
The izdanje nove verzije Bottlerocket 1.15.0, verzija u kojoj su implementirane razne promjene, poboljšanja i, prije svega, ažuriranja različitih sistemskih paketa, pored toga što je od ove verzije pa nadalje, podrška za sigurno pokretanje sada ponuđena na platformama koje koriste UEFI boot, među druge stvari.
Za one koji ne znaju za Bottlerocket, trebali biste znati da je ovo je distribucija koja daje nedjeljivu sliku sistema atomski i automatski ažurirano koje uključuje Linux kernel i minimalno sistemsko okruženje koje uključuje samo komponente potrebne za pokretanje kontejnera.
Okruženje koristi systemd sistem menadžer, Glibc biblioteku, Buildroot alat za pravljenje, GRUB pokretač pokretanja, runtime izolovanog kontejnera, platformu za orkestraciju Kubernetes kontejnera, aws-iam autentifikator i Amazon ECS agent.
Ključna razlika od sličnih distribucija kao što su Fedora CoreOS, CentOS / Red Hat Atomic Host je glavni fokus na pružanju maksimalne sigurnosti u kontekstu jačanja zaštite sistema od mogućih prijetnji, što komplikuje eksploataciju ranjivosti u komponentama operativnog sistema i povećava izolaciju kontejnera.
Glavne nove značajke Bottlerocket 1.15.0
U ovoj novoj verziji Bottlerocket 1.15.0 koja je predstavljena implementiran je veliki broj ažuriranja, od kojih su ona Linux kernel, koji je ažuriran na verziju 6.1, systemd koji je ažuriran na verzija 252, nvidia-container-toolkit do 1.13.5, containerd do verzije 1.6.23, glibc do verzije 2.38, između ostalog.
Što se tiče internih promjena koje nudi ova verzija Bottlerocket 1.15.0, podrška za sigurno pokretanje platforme koje koriste U bootEFI, systemd-networkd i systemd-resolved za host mreže i XFS kao sistem datoteka za lokalnu pohranu za nove instalacije. Vrijedi spomenuti da su ove funkcije omogućene po defaultu na novim instalacijama i da će postojeće instalacije nastaviti koristiti starije kernele, opake za umrežavanje domaćina, i EXT4 kao sistem datoteka za lokalnu pohranu.
Pored toga, predložene su nove opcije distribucije podrška za Kubernetes 1.28, koji koriste UEFI Secure Boot, systemd-networkd i XFS, što je sada zastarjela podrška za verzije zasnovane na prethodnom Kubernetes 1.27.
Ostale promjene koje se ističu u ovoj novoj verziji su to dodana naredba “apclient report” za generiranje CIS izvještaja (Internet Security Center) koji procjenjuje sigurnost konfiguracije. Uključen je i agent koji će provjeriti usklađenost sistema sa zahtjevima CIS-a.
Od ostalih promjena koji se ističu iz ove nove verzije:
- Postavka SeccompDefault je dodata varijantama zasnovanim na Kubernetesu 1.25 i novijim.
- Dodan aws-iam-authenticator u k8s varijante
- Sadržaj kontrolnih i administrativnih kontejnera je ažuriran.
- Postavke ograničenja resursa dodane su u zadanu konfiguraciju za OCI kontejnere.
- Intel VMD drajver je omogućen
- Nova varijanta distribucije "aws-ecs-2" je predložena za Amazon Elastic Container Service (Amazon ECS), koji koristi UEFI Secure Boot, systemd-networkd i XFS.
- Sve Amazon ECS distribucije sada uključuju podršku za AppMesh.
- Varijante distribucije “metal-*” (Bare Metal, za rad na konvencionalnom hardveru) uključuju Intel VMD drajver i dodaju pakete linux-firmware i aws-iam-authenticator.
- Bottlerocket SDK v0.34.1 Ažuriranje
- Dva litra se koristi za rad na građevinama izvan stabla. Većina alata je prešla na Twoliter
- Ograničite samo istovremenost prilikom kreiranja RPM-a
Na kraju, ali ne i najmanje važno, također se spominje da je uklonjena funkcionalnost primjene zakrpe za log4j (CVE-2021-44228) u kojoj je odgovarajuća konfiguracija settings.oci-hooks.log4j-hotpatch-enabled još uvijek dostupna za unatrag kompatibilnost. Međutim, nema efekta osim ispisa upozorenja o zastarjelosti u sistemskim dnevnikima.
konačno ako jesi zainteresovani da saznaju više o tome, detalje možete provjeriti u sljedeći link.