В выпуск новой версии Bottlerocket 1.15.0, версию, в которой были реализованы различные изменения, улучшения и, прежде всего, обновления различных системных пакетов, а также тот факт, что, начиная с этой версии, поддержка безопасной загрузки теперь предлагается на платформах, использующих загрузку UEFI, в том числе другие вещи.
Для тех, кто не знает о Bottlerocket, следует знать, что это это дистрибутив, который предоставляет неделимый образ системы атомарно и автоматически обновляется и включает ядро Linux и минимальную системную среду, включающую только компоненты, необходимые для запуска контейнеров.
Окружающая среда использует системный менеджер systemd, библиотеку Glibc, инструмент сборки Buildroot, загрузчик GRUB, среда выполнения изолированного контейнера, платформа оркестрации контейнеров Kubernetes, аутентификатор aws-iam и агент Amazon ECS.
Ключевое отличие от аналогичных дистрибутивов такие как Fedora CoreOS, CentOS / Red Hat Atomic Host основное внимание уделяется обеспечению максимальной безопасности в контексте усиления защиты системы от возможных угроз, что усложняет эксплуатацию уязвимостей в компонентах операционной системы и повышает изоляцию контейнера.
Основные новые функции Bottlerocket 1.15.0
В представленной новой версии Bottlerocket 1.15.0 реализовано большое количество обновлений, из которых Ядро Linux, обновленное до версии 6.1, Systemd который был обновлен до версия 252, набор инструментов nvidia-container до 1.13.5, Containerd до версии 1.6.23, glibc до версии 2.38 и другие.
Что касается внутренних изменений, которые предлагает эта версия Bottlerocket 1.15.0, поддержка безопасной загрузки в платформы, использующие U-загрузкуEFI, systemd-networkd и systemd-resolved для хост-сетей и XFS как файловая система для локального хранилища для новых установок. Стоит отметить, что эти функции включены по умолчанию в новых установках и что существующие установки будут продолжать использовать старые ядра, небезопасные для хост-сетей, и EXT4 в качестве файловой системы для локального хранилища.
В дополнение к этому были предложены новые варианты распространения с поддержка Кубернетеса 1.28, которые используют UEFI Secure Boot, systemd-networkd и XFS, поддержка которых теперь устарела для версий, основанных на предыдущей версии Kubernetes 1.27.
Другие изменения, которые выделяются в этой новой версии, заключаются в том, что добавлена команда «apclient report» для создания отчета CIS (Центр интернет-безопасности), который оценивает безопасность конфигурации. Также включен агент для проверки соответствия системы требованиям CIS.
Из других изменений которые выделяются из этой новой версии:
- Параметр SeccompDefault был добавлен в варианты на основе Kubernetes 1.25 и новее.
- Добавлен aws-iam-authenticator в варианты k8s.
- Обновлено содержимое контейнеров контроля и администрирования.
- Настройки ограничения ресурсов были добавлены в конфигурацию по умолчанию для контейнеров OCI.
- Драйвер Intel VMD включен
- Новый вариант распространения «aws-ecs-2» предлагается для Amazon Elastic Container Service (Amazon ECS), который использует UEFI Secure Boot, systemd-networkd и XFS.
- Все дистрибутивы Amazon ECS теперь включают поддержку AppMesh.
- Варианты распространения «metal-*» (Bare Metal, для работы на обычном оборудовании) включают драйвер Intel VMD и добавляют пакеты linux-firmware и aws-iam-authenticator.
- Bottlerocket SDK v0.34.1 Обновить
- Twoliter используется для работы над сборками вне дерева. Большинство инструментов перешли на Twoliter
- Ограничьте только параллелизм при создании RPM
И последнее, но не менее важное: также упоминается, что функция применения патча для log4j (CVE-2021-44228) была удалена, при этом соответствующая конфигурация settings.oci-hooks.log4j-hotpatch-enabled по-прежнему доступна для обратной версии. совместимость. Однако это не имеет никакого эффекта, кроме вывода предупреждения об устаревании в системные журналы.
наконец, если вы интересно узнать о нем больше, вы можете проверить детали в по следующей ссылке.