Доступен выпуск Linux-дистрибутива Bottlerocket 1.2.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS, VMware и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров.
Дистрибутив предоставляет атомарно и автоматически обновляемый неделимый системный образ, включающий ядро Linux и минимальное системное окружение, включающие только компоненты, необходимые для запуска контейнеров. В окружении задействованы системный менеджер systemd, библиотека Glibc, сборочный инструментарий Buildroot, загрузчик GRUB, конфигуратор сети wicked, runtime для изолированных контейнеров containerd, платформа оркестровки контейнеров Kubernetes, аутентификатор aws-iam-authenticator и агент Amazon ECS.
የኮንቴይነር ኦርኬስትራ መሳሪያዎች በነባሪ የነቃ እና በኤፒአይ እና በAWS SSM ወኪል በኩል የሚተዳደር በተለየ የአስተዳደር መያዣ ውስጥ ይመጣሉ። የመሠረት ምስሉ የትእዛዝ ሼል ፣ ኤስኤስኤች አገልጋይ እና የተተረጎሙ ቋንቋዎች የለውም (ለምሳሌ ፣ ፓይዘን ወይም ፐርል የለም) - የአስተዳደር መሳሪያዎች እና ማረም መሳሪያዎች በተለየ የአገልግሎት መያዣ ውስጥ ይቀመጣሉ ፣ እሱም በነባሪነት ተሰናክሏል።
Ключевым отличием от похожих дистрибутивов, таких как Fedora CoreOS, CentOS/Red Hat Atomic Host является первичная ориентация на предоставление максимальной безопасности в контексте усиления защиты системы от возможных угроз, усложнения эксплуатации уязвимостей в компонентах ОС и повышения изоляции контейнеров. Контейнеры создаются при помощи штатных механизмов ядра Linux — cgroups, пространств имён и seccomp. Для дополнительной изоляции в дистрибутиве применяется SELinux в режиме «enforcing».
የስር ክፋይ ተነባቢ-ብቻ ተጭኗል፣ እና የ/etc settings partition በ tmpfs ውስጥ ተጭኖ እንደገና ከተጀመረ በኋላ ወደ መጀመሪያው ሁኔታው ይመለሳል። እንደ /etc/resolv.conf እና /etc/containerd/config.toml ያሉ በ /etc directory ውስጥ ያሉ ፋይሎችን በቀጥታ ማሻሻያ አይደገፍም - መቼቶችን በቋሚነት ለማስቀመጥ ኤፒአይን መጠቀም ወይም ተግባራቱን ወደ ተለያዩ ኮንቴይነሮች መውሰድ አለቦት። የዲኤም-ቬሪቲ ሞጁል የስር ክፋይን ትክክለኛነት ለማረጋገጥ በምስጢራዊ ሁኔታ ጥቅም ላይ ይውላል እና በብሎክ መሣሪያ ደረጃ ላይ መረጃን ለመቀየር የተደረገ ሙከራ ከተገኘ ስርዓቱ እንደገና ይነሳል።
አብዛኛዎቹ የስርዓት ክፍሎች የተፃፉት በሩስት ውስጥ ነው፣ ይህም ከነጻ የማህደረ ትውስታ መዳረሻዎች፣ ባዶ ጠቋሚዎች እና ቋት ከመጠን በላይ መጨናነቅን ለማስወገድ የማስታወስ-አስተማማኝ ባህሪያትን ይሰጣል። በነባሪነት በሚገነቡበት ጊዜ የማጠናቀር ሁነታዎች "-enable-default-pie" እና "-enable-default-ssp" የሚፈፀመውን የፋይል አድራሻ ቦታ (PIE) በዘፈቀደ ለማድረግ እና በካናሪ ምትክ ከሚፈጠረው መደራረብ ለመከላከል ጥቅም ላይ ይውላሉ። በC/C++ ለተፃፉ ጥቅሎች፣ “-Wall”፣ “-Werror=format-security”፣ “-Wp፣-D_FORTIFY_SOURCE=2”፣ “-Wp፣-D_GLIBCXX_ASSERTIONS” እና “-fstack-clash” ባንዲራዎች በተጨማሪ ናቸው። የነቃ - ጥበቃ".
በአዲሱ እትም፡-
- ለመያዣ ምስል የመመዝገቢያ መስተዋቶች ድጋፍ ታክሏል።
- በራስ የተፈረሙ የምስክር ወረቀቶችን የመጠቀም ችሎታ ታክሏል።
- የአስተናጋጅ ስም ለማዋቀር አማራጭ ታክሏል።
- የአስተዳደር መያዣው ነባሪ ስሪት ተዘምኗል።
- ታክሏል topologyManagerPolicy እና topologyManagerScope ቅንብሮች ለ kubelet.
- የzstd አልጎሪዝምን በመጠቀም ለከርነል መጭመቂያ ድጋፍ ታክሏል።
- የVMware ማስነሻ አቅም አሁን ይገኛል። ምናባዊ ማሽኖች በኦቫ (ክፍት ምናባዊ ቅርጸት) ቅርጸት።
- የስርጭት ሥሪት aws-k8s-1.21 ከ Kubernetes 1.21 ድጋፍ ጋር ተዘምኗል። የ aws-k8s-1.16 ድጋፍ ተቋርጧል።
- የዘመነ የጥቅል ስሪቶች እና የዝገት ቋንቋ ጥገኞች።
ምንጭ: opennet.ru
