የሊኑክስ ማከፋፈያ Bottlerocket 1.2.0 መለቀቅ አለ፣ በአማዞን ተሳትፎ የተዘጋጀው ገለልተኛ መያዣዎችን በብቃት እና ደህንነቱ በተጠበቀ ሁኔታ ለማስጀመር። የስርጭቱ መሳሪያዎች እና የቁጥጥር አካላት በሩስት የተፃፉ እና በ MIT እና Apache 2.0 ፍቃዶች ስር ተሰራጭተዋል። Bottlerocketን በአማዞን ECS፣ VMware እና AWS EKS Kubernetes ክላስተር ላይ ማስኬድ ይደግፋል፣ እንዲሁም የተለያዩ የኦርኬስትራ እና የሩጫ ጊዜ መሳሪያዎችን ለማጠራቀሚያዎች መጠቀም የሚያስችል ብጁ ግንባታዎችን እና እትሞችን መፍጠርን ይደግፋል።
ማከፋፈያው በአቶሚክ እና በራስ ሰር የዘመነ የማይከፋፈል የስርዓት ምስል ያቀርባል ይህም የሊኑክስ ከርነል እና አነስተኛ የስርዓት አካባቢን ያካትታል፣ ይህም መያዣዎችን ለማስኬድ አስፈላጊ የሆኑትን ክፍሎች ብቻ ይጨምራል። አካባቢው የስርዓት አስተዳዳሪውን፣ የጊቢክ ቤተ መፃህፍትን፣ የBuildroot ግንባታ መሳሪያን፣ የ GRUB ማስነሻ ጫኝን፣ ክፉውን የአውታረ መረብ ውቅረትን፣ ለገለልተኛ ኮንቴይነሮች በኮንቴይነር የተያዘው ጊዜን፣ የኩበርኔትስ ኮንቴይነር ኦርኬስትራ መድረክን፣ አውስ-ኢም-አረጋጋጭን እና አማዞንን ያጠቃልላል። የ ECS ወኪል
የኮንቴይነር ኦርኬስትራ መሳሪያዎች በነባሪ የነቃ እና በኤፒአይ እና በAWS SSM ወኪል በኩል የሚተዳደር በተለየ የአስተዳደር መያዣ ውስጥ ይመጣሉ። የመሠረት ምስሉ የትእዛዝ ሼል ፣ ኤስኤስኤች አገልጋይ እና የተተረጎሙ ቋንቋዎች የለውም (ለምሳሌ ፣ ፓይዘን ወይም ፐርል የለም) - የአስተዳደር መሳሪያዎች እና ማረም መሳሪያዎች በተለየ የአገልግሎት መያዣ ውስጥ ይቀመጣሉ ፣ እሱም በነባሪነት ተሰናክሏል።
እንደ Fedora CoreOS፣ CentOS/Red Hat Atomic አስተናጋጅ ካሉ ተመሳሳይ ስርጭቶች ያለው ቁልፍ ልዩነት የስርዓት ጥበቃን ሊፈጠሩ ከሚችሉ ስጋቶች በማጠናከር፣ በስርዓተ ክወናው አካላት ውስጥ ያሉ ተጋላጭነቶችን ለመጠቀም እና የእቃ መያዢያ መገለልን ለመጨመር ከፍተኛ ደህንነትን በመስጠት ላይ ዋነኛው ትኩረት ነው። . ኮንቴይነሮች የተፈጠሩት መደበኛ የሊኑክስ ከርነል ስልቶችን በመጠቀም ነው - ቡድኖች ፣ የስም ቦታዎች እና ሰከንድ። ለተጨማሪ ማግለል ስርጭቱ SELinux በ "አስፈፃሚ" ሁነታ ይጠቀማል.
የስር ክፋይ ተነባቢ-ብቻ ተጭኗል፣ እና የ/etc settings partition በ tmpfs ውስጥ ተጭኖ እንደገና ከተጀመረ በኋላ ወደ መጀመሪያው ሁኔታው ይመለሳል። እንደ /etc/resolv.conf እና /etc/containerd/config.toml ያሉ በ /etc directory ውስጥ ያሉ ፋይሎችን በቀጥታ ማሻሻያ አይደገፍም - መቼቶችን በቋሚነት ለማስቀመጥ ኤፒአይን መጠቀም ወይም ተግባራቱን ወደ ተለያዩ ኮንቴይነሮች መውሰድ አለቦት። የዲኤም-ቬሪቲ ሞጁል የስር ክፋይን ትክክለኛነት ለማረጋገጥ በምስጢራዊ ሁኔታ ጥቅም ላይ ይውላል እና በብሎክ መሣሪያ ደረጃ ላይ መረጃን ለመቀየር የተደረገ ሙከራ ከተገኘ ስርዓቱ እንደገና ይነሳል።
አብዛኛዎቹ የስርዓት ክፍሎች የተፃፉት በሩስት ውስጥ ነው፣ ይህም ከነጻ የማህደረ ትውስታ መዳረሻዎች፣ ባዶ ጠቋሚዎች እና ቋት ከመጠን በላይ መጨናነቅን ለማስወገድ የማስታወስ-አስተማማኝ ባህሪያትን ይሰጣል። በነባሪነት በሚገነቡበት ጊዜ የማጠናቀር ሁነታዎች "-enable-default-pie" እና "-enable-default-ssp" የሚፈፀመውን የፋይል አድራሻ ቦታ (PIE) በዘፈቀደ ለማድረግ እና በካናሪ ምትክ ከሚፈጠረው መደራረብ ለመከላከል ጥቅም ላይ ይውላሉ። በC/C++ ለተፃፉ ጥቅሎች፣ “-Wall”፣ “-Werror=format-security”፣ “-Wp፣-D_FORTIFY_SOURCE=2”፣ “-Wp፣-D_GLIBCXX_ASSERTIONS” እና “-fstack-clash” ባንዲራዎች በተጨማሪ ናቸው። የነቃ - ጥበቃ".
በአዲሱ እትም፡-
- ለመያዣ ምስል የመመዝገቢያ መስተዋቶች ድጋፍ ታክሏል።
- በራስ የተፈረሙ የምስክር ወረቀቶችን የመጠቀም ችሎታ ታክሏል።
- የአስተናጋጅ ስም ለማዋቀር አማራጭ ታክሏል።
- የአስተዳደር መያዣው ነባሪ ስሪት ተዘምኗል።
- ታክሏል topologyManagerPolicy እና topologyManagerScope ቅንብሮች ለ kubelet.
- የzstd አልጎሪዝምን በመጠቀም ለከርነል መጭመቂያ ድጋፍ ታክሏል።
- በኦቫ (Open Virtualization Format) ቅርጸት ቨርቹዋል ማሽኖችን ወደ VMware የመጫን ችሎታ ቀርቧል።
- የስርጭት ሥሪት aws-k8s-1.21 ከ Kubernetes 1.21 ድጋፍ ጋር ተዘምኗል። የ aws-k8s-1.16 ድጋፍ ተቋርጧል።
- የዘመነ የጥቅል ስሪቶች እና የዝገት ቋንቋ ጥገኞች።
ምንጭ: opennet.ru