የሊኑክስ ማከፋፈያ ቦትልሮኬት 1.3.0 ታትሟል፣ በአማዞን ተሳትፎ የተዘጋጀው ገለልተኛ መያዣዎችን በብቃት እና ደህንነቱ በተጠበቀ ሁኔታ ለማስጀመር ነው። የስርጭቱ መሳሪያዎች እና የቁጥጥር አካላት በሩስት የተፃፉ እና በ MIT እና Apache 2.0 ፍቃዶች ስር ተሰራጭተዋል። Bottlerocketን በአማዞን ECS፣ VMware እና AWS EKS Kubernetes ክላስተር ላይ ማስኬድ ይደግፋል፣ እንዲሁም የተለያዩ የኦርኬስትራ እና የሩጫ ጊዜ መሳሪያዎችን ለማጠራቀሚያዎች መጠቀም የሚያስችል ብጁ ግንባታዎችን እና እትሞችን መፍጠርን ይደግፋል።
ማከፋፈያው በአቶሚክ እና በራስ ሰር የዘመነ የማይከፋፈል የስርዓት ምስል ያቀርባል ይህም የሊኑክስ ከርነል እና አነስተኛ የስርዓት አካባቢን ያካትታል፣ ይህም መያዣዎችን ለማስኬድ አስፈላጊ የሆኑትን ክፍሎች ብቻ ይጨምራል። አካባቢው የስርዓት አስተዳዳሪውን፣ የጊቢክ ቤተ መፃህፍትን፣ የBuildroot ግንባታ መሳሪያን፣ የ GRUB ማስነሻ ጫኝን፣ ክፉውን የአውታረ መረብ ውቅረትን፣ ለገለልተኛ ኮንቴይነሮች በኮንቴይነር የተያዘው ጊዜን፣ የኩበርኔትስ ኮንቴይነር ኦርኬስትራ መድረክን፣ አውስ-ኢም-አረጋጋጭን እና አማዞንን ያጠቃልላል። የ ECS ወኪል
የኮንቴይነር ኦርኬስትራ መሳሪያዎች በነባሪ የነቃ እና በኤፒአይ እና በAWS SSM ወኪል በኩል የሚተዳደር በተለየ የአስተዳደር መያዣ ውስጥ ይመጣሉ። የመሠረት ምስሉ የትእዛዝ ሼል ፣ ኤስኤስኤች አገልጋይ እና የተተረጎሙ ቋንቋዎች የለውም (ለምሳሌ ፣ ፓይዘን ወይም ፐርል የለም) - የአስተዳደር መሳሪያዎች እና ማረም መሳሪያዎች በተለየ የአገልግሎት መያዣ ውስጥ ይቀመጣሉ ፣ እሱም በነባሪነት ተሰናክሏል።
እንደ Fedora CoreOS፣ CentOS/Red Hat Atomic አስተናጋጅ ካሉ ተመሳሳይ ስርጭቶች ያለው ቁልፍ ልዩነት የስርዓት ጥበቃን ሊፈጠሩ ከሚችሉ ስጋቶች በማጠናከር፣ በስርዓተ ክወናው አካላት ውስጥ ያሉ ተጋላጭነቶችን ለመጠቀም እና የእቃ መያዢያ መገለልን ለመጨመር ከፍተኛ ደህንነትን በመስጠት ላይ ዋነኛው ትኩረት ነው። . ኮንቴይነሮች የተፈጠሩት መደበኛ የሊኑክስ ከርነል ስልቶችን በመጠቀም ነው - ቡድኖች ፣ የስም ቦታዎች እና ሰከንድ። ለተጨማሪ ማግለል ስርጭቱ SELinux በ "አስፈፃሚ" ሁነታ ይጠቀማል.
የስር ክፋይ ተነባቢ-ብቻ ተጭኗል፣ እና የ/etc settings partition በ tmpfs ውስጥ ተጭኖ እንደገና ከተጀመረ በኋላ ወደ መጀመሪያው ሁኔታው ይመለሳል። እንደ /etc/resolv.conf እና /etc/containerd/config.toml ያሉ በ /etc directory ውስጥ ያሉ ፋይሎችን በቀጥታ ማሻሻያ አይደገፍም - መቼቶችን በቋሚነት ለማስቀመጥ ኤፒአይን መጠቀም ወይም ተግባራቱን ወደ ተለያዩ ኮንቴይነሮች መውሰድ አለቦት። የዲኤም-ቬሪቲ ሞጁል የስር ክፋይን ትክክለኛነት ለማረጋገጥ በምስጢራዊ ሁኔታ ጥቅም ላይ ይውላል እና በብሎክ መሣሪያ ደረጃ ላይ መረጃን ለመቀየር የተደረገ ሙከራ ከተገኘ ስርዓቱ እንደገና ይነሳል።
አብዛኛዎቹ የስርዓት ክፍሎች የተፃፉት በሩስት ውስጥ ነው፣ ይህም ከነጻ የማህደረ ትውስታ መዳረሻዎች፣ ባዶ ጠቋሚዎች እና ቋት ከመጠን በላይ መጨናነቅን ለማስወገድ የማስታወስ-አስተማማኝ ባህሪያትን ይሰጣል። በነባሪነት በሚገነቡበት ጊዜ የማጠናቀር ሁነታዎች "-enable-default-pie" እና "-enable-default-ssp" የሚፈፀመውን የፋይል አድራሻ ቦታ (PIE) በዘፈቀደ ለማድረግ እና በካናሪ ምትክ ከሚፈጠረው መደራረብ ለመከላከል ጥቅም ላይ ይውላሉ። በC/C++ ለተፃፉ ጥቅሎች፣ “-Wall”፣ “-Werror=format-security”፣ “-Wp፣-D_FORTIFY_SOURCE=2”፣ “-Wp፣-D_GLIBCXX_ASSERTIONS” እና “-fstack-clash” ባንዲራዎች በተጨማሪ ናቸው። የነቃ - ጥበቃ".
በአዲሱ እትም፡-
- በዶክተር እና በሂደት በተያዙ መሳሪያዎች (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) ውስጥ ያሉ የተስተካከሉ ድክመቶች የመዳረሻ መብቶችን ከተሳሳተ ቅንብር ጋር የተያያዙ፣ ይህም ያልተፈቀደላቸው ተጠቃሚዎች ከመሠረታዊ መብቶች አልፈው እንዲሄዱ አስችሏቸዋል። ማውጫ እና የውጭ ፕሮግራሞችን ያስፈጽሙ.
- የIPv6 ድጋፍ ወደ kubelet እና pluto ታክሏል።
- ቅንብሮቹን ከቀየሩ በኋላ መያዣውን እንደገና ማስጀመር ይቻላል.
- ለአማዞን EC2 M6i ምሳሌዎች ድጋፍ ወደ eni-max-pods ጥቅል ተጨምሯል።
- Open-vm-tools በሲሊየም መሣሪያ ስብስብ ላይ በመመስረት ለመሣሪያ ማጣሪያዎች ድጋፍ አድርጓል።
- ለ x86_64 የመሳሪያ ስርዓት, ድብልቅ የማስነሻ ሁነታ (ከ EFI እና BIOS ድጋፍ ጋር) ተተግብሯል.
- የዘመነ የጥቅል ስሪቶች እና የዝገት ቋንቋ ጥገኞች።
- በ Kubernetes 8 ላይ የተመሠረተ የስርጭት ስሪት aws-k1.17s-1.17 ድጋፍ ተቋርጧል። ለ Kubernetes 8 ድጋፍ ያለው የ aws-k1.21s-1.21 ስሪት ለመጠቀም ይመከራል። የk8s ልዩነቶች cgroup runtime.slice እና system.slice ቅንጅቶችን ይጠቀማሉ።
ምንጭ: opennet.ru