Bottlerocket 1.15.0 уже выпущен и вот его новые возможности

BottleRocket

Bottlerocket — это бесплатная операционная система на базе Linux с открытым исходным кодом, предназначенная для размещения контейнеров.

В выпуск новой версии Bottlerocket 1.15.0, версию, в которой были реализованы различные изменения, улучшения и, прежде всего, обновления различных системных пакетов, а также тот факт, что, начиная с этой версии, поддержка безопасной загрузки теперь предлагается на платформах, использующих загрузку UEFI, в том числе другие вещи.

Для тех, кто не знает о Bottlerocket, следует знать, что это это дистрибутив, который предоставляет неделимый образ системы атомарно и автоматически обновляется и включает ядро ​​Linux и минимальную системную среду, включающую только компоненты, необходимые для запуска контейнеров.

Окружающая среда использует системный менеджер systemd, библиотеку Glibc, инструмент сборки Buildroot, загрузчик GRUB, среда выполнения изолированного контейнера, платформа оркестрации контейнеров Kubernetes, аутентификатор aws-iam и агент Amazon ECS.

Ключевое отличие от аналогичных дистрибутивов такие как Fedora CoreOS, CentOS / Red Hat Atomic Host основное внимание уделяется обеспечению максимальной безопасности в контексте усиления защиты системы от возможных угроз, что усложняет эксплуатацию уязвимостей в компонентах операционной системы и повышает изоляцию контейнера.

Основные новые функции Bottlerocket 1.15.0

В представленной новой версии Bottlerocket 1.15.0 реализовано большое количество обновлений, из которых Ядро Linux, обновленное до версии 6.1, Systemd который был обновлен до версия 252, набор инструментов nvidia-container до 1.13.5, Containerd до версии 1.6.23, glibc до версии 2.38 и другие.

Что касается внутренних изменений, которые предлагает эта версия Bottlerocket 1.15.0, поддержка безопасной загрузки в платформы, использующие U-загрузкуEFI, systemd-networkd и systemd-resolved для хост-сетей и XFS как файловая система для локального хранилища для новых установок. Стоит отметить, что эти функции включены по умолчанию в новых установках и что существующие установки будут продолжать использовать старые ядра, небезопасные для хост-сетей, и EXT4 в качестве файловой системы для локального хранилища.

В дополнение к этому были предложены новые варианты распространения с поддержка Кубернетеса 1.28, которые используют UEFI Secure Boot, systemd-networkd и XFS, поддержка которых теперь устарела для версий, основанных на предыдущей версии Kubernetes 1.27.

Другие изменения, которые выделяются в этой новой версии, заключаются в том, что добавлена ​​команда «apclient report» для создания отчета CIS (Центр интернет-безопасности), который оценивает безопасность конфигурации. Также включен агент для проверки соответствия системы требованиям CIS.

Из других изменений которые выделяются из этой новой версии:

  • Параметр SeccompDefault был добавлен в варианты на основе Kubernetes 1.25 и новее.
  • Добавлен aws-iam-authenticator в варианты k8s.
  • Обновлено содержимое контейнеров контроля и администрирования.
  • Настройки ограничения ресурсов были добавлены в конфигурацию по умолчанию для контейнеров OCI.
  • Драйвер Intel VMD включен
  • Новый вариант распространения «aws-ecs-2» предлагается для Amazon Elastic Container Service (Amazon ECS), который использует UEFI Secure Boot, systemd-networkd и XFS.
  • Все дистрибутивы Amazon ECS теперь включают поддержку AppMesh.
  • Варианты распространения «metal-*» (Bare Metal, для работы на обычном оборудовании) включают драйвер Intel VMD и добавляют пакеты linux-firmware и aws-iam-authenticator.
  • Bottlerocket SDK v0.34.1 Обновить
  • Twoliter используется для работы над сборками вне дерева. Большинство инструментов перешли на Twoliter
  • Ограничьте только параллелизм при создании RPM

И последнее, но не менее важное: также упоминается, что функция применения патча для log4j (CVE-2021-44228) была удалена, при этом соответствующая конфигурация settings.oci-hooks.log4j-hotpatch-enabled по-прежнему доступна для обратной версии. совместимость. Однако это не имеет никакого эффекта, кроме вывода предупреждения об устаревании в системные журналы.

наконец, если вы интересно узнать о нем больше, вы можете проверить детали в по следующей ссылке.


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.