Amazon xüsusi Linux paylamasının ilk əhəmiyyətli buraxılışı , təcrid olunmuş konteynerləri səmərəli və təhlükəsiz idarə etmək üçün nəzərdə tutulmuşdur. Dağıtım alətləri və idarəetmə komponentləri Rust və dilində yazılmışdır MIT və Apache 2.0 lisenziyaları altında. Layihə GitHub-da hazırlanır və icma üzvlərinin iştirakı üçün əlçatandır. Sistemin yerləşdirilməsi təsviri x86_64 və Aarch64 arxitekturaları üçün yaradılıb. ƏS Amazon ECS və AWS EKS Kubernetes klasterlərində işləmək üçün uyğunlaşdırılıb. konteynerlər üçün digər orkestrləşdirmə alətlərindən, nüvələrdən və işləmə müddətindən istifadə edə bilən öz montajlarınızı və nəşrlərinizi yaratmaq üçün alətlər.
Dağıtım Linux nüvəsini və minimal sistem mühitini, o cümlədən yalnız konteynerləri işə salmaq üçün lazım olan komponentləri təmin edir. Layihədə iştirak edən paketlər arasında sistem meneceri systemd, Glibc kitabxanası və montaj alətləri var
Buildroot, GRUB yükləyicisi, şəbəkə konfiquratoru , təcrid olunmuş konteynerlər üçün iş vaxtı , Kubernetes konteyner orkestr platforması, aws-iam-authenticator və Amazon ECS agenti.
Dağıtım atomik olaraq yenilənir və bölünməz sistem görüntüsü şəklində çatdırılır. Sistem üçün iki disk bölməsi ayrılıb, onlardan biri aktiv sistemi ehtiva edir və yeniləmə ikinciyə kopyalanır. Yeniləmə yerləşdirildikdən sonra ikinci bölmə aktivləşir və birincisində, növbəti yeniləmə gələnə qədər sistemin əvvəlki versiyası saxlanılır, problem yaranarsa geri qayıda bilərsiniz. Yeniləmələr administrator müdaxiləsi olmadan avtomatik quraşdırılır.
Fedora CoreOS, CentOS/Red Hat Atomic Host kimi oxşar paylamalardan əsas fərq, təminatda əsas diqqət mərkəzindədir. sistemin mümkün təhdidlərdən qorunmasının gücləndirilməsi, ƏS komponentlərində zəifliklərin istismarını çətinləşdirən və konteynerlərin izolyasiyasının artırılması kontekstində. Konteynerlər standart Linux nüvə mexanizmlərindən istifadə etməklə yaradılır - qruplar, ad boşluqları və seccomp. Əlavə izolyasiya üçün paylama "məcburi" rejimində SELinux-dan istifadə edir və modul kök bölmənin bütövlüyünün kriptoqrafik yoxlanılması üçün istifadə olunur. . Blok cihazı səviyyəsində məlumatların dəyişdirilməsi cəhdi aşkar edilərsə, sistem yenidən yüklənir.
Kök bölməsi yalnız oxumaq üçün quraşdırılır və /etc parametrləri bölməsi tmpfs-də quraşdırılır və yenidən başladıqdan sonra orijinal vəziyyətinə qaytarılır. /etc/resolv.conf və /etc/containerd/config.toml kimi /etc qovluğunda faylların birbaşa modifikasiyası dəstəklənmir - parametrləri daimi saxlamaq üçün API-dən istifadə etməli və ya funksionallığı ayrı konteynerlərə köçürməlisiniz.
Əksər sistem komponentləri pulsuz yaddaşa girişlər, boş göstəricilərə istinadlar və bufer aşması nəticəsində yaranan zəifliklərin qarşısını almaq üçün yaddaş üçün təhlükəsiz funksiyaları təmin edən Rust dilində yazılmışdır. Defolt olaraq qurarkən, icra edilə bilən faylların ünvan sahəsinin təsadüfiləşdirilməsini aktivləşdirmək üçün “--enable-default-pie” və “--enable-default-ssp” kompilyasiya rejimləri istifadə olunur () və kanareyka əvəzetmə yolu ilə yığının daşqından qorunması.
C/C++ dilində yazılmış paketlər üçün əlavə bayraqlar daxil edilir
"-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" və "-fstack-clash-protection".
Konteyner orkestrasiya alətləri ayrıca verilir , standart olaraq aktivləşdirilir və vasitəsilə idarə olunur və AWS SSM Agenti. Əsas təsvirdə əmr qabığı, SSH serveri və tərcümə edilmiş dillər yoxdur (məsələn, Python və ya Perl yoxdur) - inzibati alətlər və sazlama vasitələri burada yerləşir. , defolt olaraq qeyri-aktivdir.
Mənbə: opennet.ru