Bottlerocket, konteynerleri barındırmaya yönelik, ücretsiz ve açık kaynaklı, Linux tabanlı bir işletim sistemidir.
bu Bottlerocket 1.15.0'ın yeni sürümünün piyasaya sürülmesi, farklı sistem paketlerinde çeşitli değişikliklerin, iyileştirmelerin ve her şeyden önce güncellemelerin uygulandığı bir sürüm, ayrıca bu sürümden itibaren UEFI önyüklemesini kullanan platformlarda güvenli önyükleme desteği de sunuluyor. diğer şeyler.
Bottlerocket'i bilmeyenler için şunu bilmelisiniz: bölünmez bir sistem görüntüsü sağlayan bir dağıtımdır Linux çekirdeğini ve yalnızca konteynerleri çalıştırmak için gerekli bileşenleri içeren minimum sistem ortamını içeren, atomik ve otomatik olarak güncellenen.
Çevre systemd sistem yöneticisini, Glibc kitaplığını kullanır, Buildroot derleme aracı, GRUB önyükleme yükleyicisi, konteynerle yalıtılmış konteyner çalışma zamanı, Kubernetes konteyner düzenleme platformu, aws-iam kimlik doğrulayıcısı ve Amazon ECS aracısı.
Benzer dağıtımlardan temel fark Fedora CoreOS, CentOS / Red Hat Atomic Host gibi maksimum güvenlik sağlamaya odaklanan ana odak noktasıdır İşletim sisteminin bileşenlerindeki güvenlik açıklarından yararlanılmasını zorlaştıran ve kapsayıcının izolasyonunu artıran olası tehditlere karşı sistemin korunmasının güçlendirilmesi bağlamında.
Bottlerocket 1.15.0'ın başlıca yeni özellikleri
Bottlerocket 1.15.0'ın sunulan bu yeni sürümünde çok sayıda güncelleme uygulanmıştır. Sürüm 6.1'e güncellenen Linux çekirdeği, systemd güncellendi sürüm 252, nvidia-container-toolkit'ten 1.13.5'e, Containerd'den 1.6.23 sürümüne, glibc'den 2.38 sürümüne kadar.
Bottlerocket 1.15.0'ın bu sürümünün sunduğu dahili değişikliklerle ilgili olarak, güvenli önyükleme desteği U önyüklemesini kullanan platformlarEFI, systemd-networkd ve systemd-çözümlenmiş ana bilgisayar ağları için ve Yerel depolama için dosya sistemi olarak XFS yeni kurulumlar için. Bu özelliklerin yeni kurulumlarda varsayılan olarak etkinleştirildiğini ve mevcut kurulumların ana bilgisayar ağları için kötü olan eski çekirdekleri ve yerel depolama için dosya sistemi olarak EXT4'ü kullanmaya devam edeceğini belirtmekte fayda var.
Buna ek olarak yeni dağıtım seçenekleri de önerilmiştir. Kubernetes 1.28 desteği, UEFI Güvenli Önyükleme, systemd-networkd ve XFS'yi kullanan, önceki Kubernetes 1.27'yi temel alan sürümler için artık geçerliliğini yitirmiş bir destek.
Bu yeni sürümde öne çıkan diğer değişiklikler ise şunlardır: CIS raporu oluşturmak için "apclient report" komutu eklendi (İnternet Güvenlik Merkezi) yapılandırmanın güvenliğini değerlendiriyor. Sistemin CIS gerekliliklerine uygunluğunu doğrulamak için bir aracı da dahil edilmiştir.
Diğer değişikliklerden bu yeni sürümden öne çıkan:
- SeccompDefault ayarı, Kubernetes 1.25 ve daha yenisini temel alan varyantlara eklendi.
- K8s çeşitlerine aws-iam-authenticator eklendi
- Kontrol ve yönetim kapsayıcılarının içerikleri güncellendi.
- OCI kapsayıcıları için varsayılan yapılandırmaya kaynak sınırı ayarları eklendi.
- Intel VMD sürücüsü etkin
- UEFI Secure Boot, systemd-networkd ve XFS'yi kullanan Amazon Elastic Container Service (Amazon ECS) için yeni bir dağıtım çeşidi olan "aws-ecs-2" önerilmektedir.
- Artık tüm Amazon ECS dağıtımları AppMesh desteğini içeriyor.
- "Metal-*" dağıtım çeşitleri (Bare Metal, geleneksel donanım üzerinde çalışacak şekilde) Intel VMD sürücüsünü içerir ve linux-firmware ile aws-iam-authenticator paketlerini ekler.
- Bottlerocket SDK v0.34.1 Güncelleme
- Ağacın dışındaki yapılarda çalışmaya izin vermek için iki litre kullanılır. Çoğu araç Twoliter'e taşındı
- RPM oluştururken yalnızca eşzamanlılığı sınırlayın
Son fakat bir o kadar da önemlisi, log4j (CVE-2021-44228) için bir düzeltme eki uygulama işlevselliğinin kaldırıldığı ve ilgili yapılandırma olan settings.oci-hooks.log4j-hotpatch-enabled'ın geriye doğru hala mevcut olduğu da belirtiliyor. uyumluluk. Ancak sistem günlüklerinde kullanımdan kaldırma uyarısı yazdırmanın ötesinde bir etkisi yoktur.
sonunda sen varsan hakkında daha fazla bilgi edinmekle ilgilenen, ayrıntıları kontrol edebilirsiniz aşağıdaki bağlantı.