Red Hatは4月28日(米国時間)、「Red Hat Enterprise Linux 8.2」の一般提供を開始した。ユーザエクスペリエンスの大幅な拡張やライフサイクルマネジメントの改善、cgroup v2によるコンテナ実行環境における隔離/ガバナンスの向上、開発ツールのサポート拡大など数多くのアップデートが実施されている。
- [rhelv6-list] Red Hat Enterprise Linux 8.2, Now Generally Available (GA)
- Red Hat Enterprise Linux 8.2で変わったことは? -Joe Brockmeier
Red Hatはここ数年、RHELのアップデートにおいてKubernetes/コンテナワークロードのセキュリティに注力した機能拡張を行ってきているが、RHEL 8.2ではその一環として新たに「Udica」というパッケージが含まれている。コンテナのプロセスがシステムリソースに対してコンプライアンスに反したアクセスを行わないようにするためのプログラムで、新規に作成するコンテナのデプロイをセキュアに実現するプロダクトとして注目されている。ライセンスはGPLv3で、FedoraのSELinuxエンジニアリングチームから誕生したプロジェトだ。
- Generate SELinux policies for containers with Udica -Lukas Vrabec
- udica | a tool for generating SELinux security profiles for containers -GitHub
UdicaはSELinuxのポリシー言語「CIL」のブロック継承機能(block inheritence)にもとづいて作成されたルールと、カスタムコンテナの仕様ファイル(JSON形式)を解析した結果から最適化されたルールを組み合わせ、カスタムコンテナのSELinuxポリシー(プロファイル)を容易に作成できる。対応するコンテナエンジンは
- CRI-O 1.4.10以上
- Docker 1.13以上
- Podman 1.4以上
となっている。
Udicaというプロジェクト名はスロバキア語で「釣り竿(フィシングロッド)」を表す単語に由来する。英語のことわざである「人に魚を与えれば1日養える。人に魚の釣り方を教えれば一生養える(Give a man a fish and you feed him for a day; teach a man to fish and you feed him for a lifetime.)」にちなみ、「釣り竿(Udica)があれば魚(コンテナポリシー)をいつでも自分で得られるようになる。地元の漁師(SELinuxエキスパート)に釣り方(作り方)を毎日尋ねるよりも簡単に」という意図が込められているという。
