የሊኑክስ ማከፋፈያ Bottlerocket 1.1.0 በአማዞን ተሳትፎ የተገነባው ገለልተኛ መያዣዎችን በብቃት እና ደህንነቱ በተጠበቀ ሁኔታ ለማስጀመር ይገኛል። የስርጭቱ መሳሪያዎች እና የቁጥጥር አካላት በሩስት የተፃፉ እና በ MIT እና Apache 2.0 ፍቃዶች ስር ተሰራጭተዋል። Bottlerocketን በአማዞን ECS እና AWS EKS Kubernetes ክላስተር ውስጥ ማስኬድ ይደግፋል፣ እንዲሁም የተለያዩ የኦርኬስትራ እና የሩጫ ጊዜ መሳሪያዎችን ለማጠራቀሚያዎች መጠቀም የሚያስችል ብጁ ግንባታዎችን እና እትሞችን መፍጠርን ይደግፋል።
ማከፋፈያው በአቶሚክ እና በራስ ሰር የዘመነ የማይከፋፈል የስርዓት ምስል ያቀርባል ይህም የሊኑክስ ከርነል እና አነስተኛ የስርዓት አካባቢን ያካትታል፣ ይህም መያዣዎችን ለማስኬድ አስፈላጊ የሆኑትን ክፍሎች ብቻ ይጨምራል። አካባቢው የስርዓት አስተዳዳሪውን፣ የጊቢክ ቤተ መፃህፍትን፣ የBuildroot ግንባታ መሳሪያን፣ የ GRUB ማስነሻ ጫኝን፣ ክፉውን የአውታረ መረብ ውቅረትን፣ ለገለልተኛ ኮንቴይነሮች በኮንቴይነር የተያዘው ጊዜን፣ የኩበርኔትስ ኮንቴይነር ኦርኬስትራ መድረክን፣ አውስ-ኢም-አረጋጋጭን እና አማዞንን ያጠቃልላል። የ ECS ወኪል
የኮንቴይነር ኦርኬስትራ መሳሪያዎች በነባሪ የነቃ እና በኤፒአይ እና በAWS SSM ወኪል በኩል የሚተዳደር በተለየ የአስተዳደር መያዣ ውስጥ ይመጣሉ። የመሠረት ምስሉ የትእዛዝ ሼል ፣ ኤስኤስኤች አገልጋይ እና የተተረጎሙ ቋንቋዎች የለውም (ለምሳሌ ፣ ፓይዘን ወይም ፐርል የለም) - የአስተዳደር መሳሪያዎች እና ማረም መሳሪያዎች በተለየ የአገልግሎት መያዣ ውስጥ ይቀመጣሉ ፣ እሱም በነባሪነት ተሰናክሏል።
እንደ Fedora CoreOS፣ CentOS/Red Hat Atomic አስተናጋጅ ካሉ ተመሳሳይ ስርጭቶች ያለው ቁልፍ ልዩነት የስርዓት ጥበቃን ሊፈጠሩ ከሚችሉ ስጋቶች በማጠናከር፣ በስርዓተ ክወናው አካላት ውስጥ ያሉ ተጋላጭነቶችን ለመጠቀም እና የእቃ መያዢያ መገለልን ለመጨመር ከፍተኛ ደህንነትን በመስጠት ላይ ዋነኛው ትኩረት ነው። . ኮንቴይነሮች የተፈጠሩት መደበኛ የሊኑክስ ከርነል ስልቶችን በመጠቀም ነው - ቡድኖች ፣ የስም ቦታዎች እና ሰከንድ። ለተጨማሪ ማግለል ስርጭቱ SELinux በ "አስፈፃሚ" ሁነታ ይጠቀማል.
የስር ክፋይ ተነባቢ-ብቻ ተጭኗል፣ እና የ/etc settings partition በ tmpfs ውስጥ ተጭኖ እንደገና ከተጀመረ በኋላ ወደ መጀመሪያው ሁኔታው ይመለሳል። እንደ /etc/resolv.conf እና /etc/containerd/config.toml ያሉ በ /etc directory ውስጥ ያሉ ፋይሎችን በቀጥታ ማሻሻያ አይደገፍም - መቼቶችን በቋሚነት ለማስቀመጥ ኤፒአይን መጠቀም ወይም ተግባራቱን ወደ ተለያዩ ኮንቴይነሮች መውሰድ አለቦት። የዲኤም-ቬሪቲ ሞጁል የስር ክፋይን ትክክለኛነት ለማረጋገጥ በምስጢራዊ ሁኔታ ጥቅም ላይ ይውላል እና በብሎክ መሣሪያ ደረጃ ላይ መረጃን ለመቀየር የተደረገ ሙከራ ከተገኘ ስርዓቱ እንደገና ይነሳል።
አብዛኛዎቹ የስርዓት ክፍሎች የተፃፉት በሩስት ውስጥ ነው፣ ይህም ከነጻ የማህደረ ትውስታ መዳረሻዎች፣ ባዶ ጠቋሚዎች እና ቋት ከመጠን በላይ መጨናነቅን ለማስወገድ የማስታወስ-አስተማማኝ ባህሪያትን ይሰጣል። በነባሪነት በሚገነቡበት ጊዜ የማጠናቀር ሁነታዎች "-enable-default-pie" እና "-enable-default-ssp" የሚፈፀመውን የፋይል አድራሻ ቦታ (PIE) በዘፈቀደ ለማድረግ እና በካናሪ ምትክ ከሚፈጠረው መደራረብ ለመከላከል ጥቅም ላይ ይውላሉ። በC/C++ ለተፃፉ ጥቅሎች፣ “-Wall”፣ “-Werror=format-security”፣ “-Wp፣-D_FORTIFY_SOURCE=2”፣ “-Wp፣-D_GLIBCXX_ASSERTIONS” እና “-fstack-clash” ባንዲራዎች በተጨማሪ ናቸው። የነቃ - ጥበቃ".
በአዲሱ እትም፡-
- ሁለት አዳዲስ የማከፋፈያ አማራጮች aws-k8s-1.20 እና vmware-k8s-1.20 ከ Kubernetes 1.20 ድጋፍ ጋር ቀርበዋል። እነዚህ ተለዋጮች፣ እንዲሁም የተሻሻለው aws-ecs-1፣ አዲሱን የሊኑክስ ከርነል 5.10 ልቀት ይጠቀማሉ። የመቆለፊያ ሁነታ በነባሪነት ወደ "ኢንቴግሪቲ" ተቀናብሯል (ከተጠቃሚው ቦታ በሩጫ ከርነል ላይ ለውጦች እንዲደረጉ የሚፈቅዱ ችሎታዎች ታግደዋል). በኩበርኔትስ 8 ላይ የተመሰረተ የ aws-k1.15s-1.15 ተለዋጭ ድጋፍ ተቋርጧል።
- Amazon ECS ለእያንዳንዱ ተግባር የተለየ የአውታረ መረብ በይነገጾች እና የውስጥ አይፒ አድራሻዎችን ለመመደብ የሚያስችል የawsvpc አውታረ መረብ ሁነታን ይደግፋል።
- QPS፣ የመዋኛ ገንዳ ገደቦች እና ከAWS ሌላ ከደመና አቅራቢዎች ጋር የመገናኘት ችሎታን ጨምሮ የተለያዩ Kubernetes መለኪያዎችን ለመቆጣጠር የታከሉ ቅንብሮች።
- የቡትስትራፕ መያዣው SELinuxን በመጠቀም የተጠቃሚ ውሂብን የመድረስ ገደብ ይሰጣል።
- የተጨማሪ መጠን 2fs መገልገያ።
ምንጭ: opennet.ru