Bottlerocket 1.15.0 ja va ser alliberat i aquestes són les seves novetats

Darkcrizt

4 minuts

Butllerí

Bottlerocket és un sistema operatiu gratuït i de codi obert basat en Linux destinat a allotjar contenidors.

Es va donar a conèixer el llançament de la nova versió de Bottlerocket 1.15.0, versió en la qual s'han implementat diversos canvis, millores i sobretot actualitzacions dels diferents paquets del sistema, a més que a partir d'aquesta versió ja s'ofereix suport per a arrencada segura en plataformes que utilitzen arrencada UEFI, entre altres coses més.

Per als que desconeixen de Bottlerocket, han de saber que aquesta és una distribució que proporciona una imatge de sistema indivisible actualitzada, atòmica i automàticament que inclou el nucli de Linux i un entorn de sistema mínim que inclou només els components necessaris per executar contenidors.

L'entorn utilitza l'administrador del sistema systemd, la biblioteca Glibc, l'eina de compilació Buildroot, el carregador d'arrencada GRUB, el temps d'execució del contenidor aïllat de contenidors, la plataforma d'orquestració de contenidors de Kubernetes, l'autenticador aws-iam i l'agent d'Amazon ECS.

La diferència clau amb distribucions similars com Fedora coreos, CentOS / Red Hat Atomic Host és l'enfocament principal a brindar la màxima seguretat en el context d'enfortir la protecció del sistema contra possibles amenaces, cosa que complica l'explotació de vulnerabilitats als components del sistema operatiu i augmenta l'aïllament del contenidor.

Principals novetats de Bottlerocket 1.15.0

En aquesta nova versió que es presenta de Bottlerocket 1.15.0, s'han implementat una gran quantitat d'actualitzacions de les quals es destaquen les del nucli de Linux, que s'ha actualitzat a la versió 6.1, systemd que s'ha actualitzat a la versió 252, nvidia-container-toolkit a 1.13.5, containerd a la versió 1.6.23, glibc a la versió 2.38, entre d'altres.

Per la part dels canvis interns que aquesta versió de Bottlerocket 1.15.0 ofereix, es destaca el suport per a arrencada segura plataformes que utilitzen arrencada UEFI, systemd-networkd i systemd-resolved per a xarxes de host i XFS com a sistema de fitxers per a emmagatzematge local per a noves instal·lacions. Cal esmentar que aquestes funcions estan habilitades per defecte a les noves instal·lacions i que les instal·lacions existents seguiran utilitzant kernels anteriors, wicked per a xarxes de host, i EXT4 com a sistema de fitxers per a emmagatzematge local.

A més, s'han proposat noves opcions de distribució amb suport per a Kubernetes 1.28, que utilitzen UEFI Secure Boot, systemd-networkd i XFS, de manera que ara passa a ser suport obsolet per a versions basades en Kubernetes 1.27 anteriors.

Altres dels canvis que es destaquen en aquesta nova versió, és que es va afegir la comanda «apclient report» per generar un informe CIS (Centre de Seguretat d'Internet) que avalua la seguretat de la configuració. També s'hi inclou un agent per verificar el compliment del sistema amb els requisits CIS.

Dels altres canvis que es destaquen d'aquesta nova versió:

  • La configuració SeccompDefault es va afegir a les variants basades en Kubernetes 1.25 i versions més recents.
  • S'afegeix aws-iam-authenticator a les variants de k8s
  • S'han actualitzat els continguts dels contenidors de control i d'administració.
  • S'han afegit configuracions de límit de recursos a la configuració predeterminada per a contenidors OCI.
  • S'ha habilitat el controlador Intel VMD
  • Es proposa una nova variant de distribució aws-ecs-2 per a Amazon Elastic Container Service (Amazon ECS), que utilitza UEFI Secure Boot, systemd-networkd i XFS.
  • Totes les distribucions dAmazon ECS ara inclouen compatibilitat amb AppMesh.
  • Les variants de distribució metall-* (Bare Metall, per executar-se sobre maquinari convencional) inclouen el controlador Intel VMD i afegeixen els paquets linux-firmware i aws-iam-authenticator.
  • Actualització de Bottlerocket SDK v0.34.1
  • S'utilitza Twoliter per permetre la feina en compilacions fora de l'arbre. La majoria toolsse ha mudat a Twoliter
  • Limiteu només la simultaneïtat en crear RPM

Finalment i no menys important, també s'esmenta que es va eliminar la funcionalitat per aplicar un pegat per log4j (CVE-2021-44228) en el qual la configuració corresponent, settings.oci-hooks.log4j-hotpatch-enabled encara està disponible per compatibilitat amb versions anteriors. No obstant això, no té cap efecte més enllà d'imprimir una advertència d'obsolescència als registres del sistema.

Finalment si estàs interessat a poder conèixer més sobre això, pots consultar els detalls al següent enllaç.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.