প্রোহোস্টার > Блог > ইন্টারনেট খবর > Bottlerocket 1.8 উপলব্ধ, বিচ্ছিন্ন পাত্রের উপর ভিত্তি করে একটি বিতরণ

Bottlerocket 1.8 উপলব্ধ, বিচ্ছিন্ন পাত্রের উপর ভিত্তি করে একটি বিতরণ

লিনাক্স ডিস্ট্রিবিউশন Bottlerocket 1.8.0 প্রকাশ করা হয়েছে, যা বিচ্ছিন্ন কন্টেইনারগুলির দক্ষ এবং নিরাপদ লঞ্চের জন্য Amazon-এর অংশগ্রহণে তৈরি করা হয়েছে। ডিস্ট্রিবিউশনের টুলস এবং কন্ট্রোল কম্পোনেন্টগুলি রাস্টে লেখা এবং MIT এবং Apache 2.0 লাইসেন্সের অধীনে বিতরণ করা হয়েছে। এটি Amazon ECS, VMware এবং AWS EKS Kubernetes ক্লাস্টারে Bottlerocket চালানো সমর্থন করে, সেইসাথে কাস্টম বিল্ড এবং সংস্করণ তৈরি করে যা কনটেইনারগুলির জন্য বিভিন্ন অর্কেস্ট্রেশন এবং রানটাইম সরঞ্জাম ব্যবহারের অনুমতি দেয়।

ডিস্ট্রিবিউশনটি একটি পারমাণবিক এবং স্বয়ংক্রিয়ভাবে আপডেট হওয়া অবিভাজ্য সিস্টেম ইমেজ প্রদান করে যাতে লিনাক্স কার্নেল এবং একটি ন্যূনতম সিস্টেম এনভায়রনমেন্ট অন্তর্ভুক্ত থাকে, শুধুমাত্র কন্টেইনার চালানোর জন্য প্রয়োজনীয় উপাদানগুলি সহ। পরিবেশের মধ্যে সিস্টেমড সিস্টেম ম্যানেজার, Glibc লাইব্রেরি, Buildroot বিল্ড টুল, GRUB বুট লোডার, দুষ্ট নেটওয়ার্ক কনফিগারেটর, বিচ্ছিন্ন কন্টেইনারগুলির জন্য কন্টেইনার রানটাইম, কুবারনেটেস কন্টেইনার অর্কেস্ট্রেশন প্ল্যাটফর্ম, aws-iam-প্রমাণকারী এবং Amazon অন্তর্ভুক্ত রয়েছে। ইসিএস এজেন্ট।

কন্টেইনার অর্কেস্ট্রেশন সরঞ্জামগুলি একটি পৃথক ব্যবস্থাপনার কন্টেইনারে আসে যা ডিফল্টরূপে সক্ষম এবং API এবং AWS SSM এজেন্টের মাধ্যমে পরিচালিত হয়। বেস ইমেজে একটি কমান্ড শেল, এসএসএইচ সার্ভার এবং ব্যাখ্যা করা ভাষা নেই (উদাহরণস্বরূপ, পাইথন বা পার্ল নেই) - প্রশাসনিক সরঞ্জাম এবং ডিবাগিং সরঞ্জামগুলি একটি পৃথক পরিষেবা পাত্রে স্থাপন করা হয়, যা ডিফল্টরূপে অক্ষম থাকে।

Fedora CoreOS, CentOS/Red Hat Atomic Host-এর মতো অনুরূপ ডিস্ট্রিবিউশনগুলির মূল পার্থক্য হল সম্ভাব্য হুমকি থেকে সিস্টেম সুরক্ষা শক্তিশালী করার প্রেক্ষাপটে সর্বাধিক নিরাপত্তা প্রদানের প্রাথমিক ফোকাস, OS উপাদানগুলির দুর্বলতাগুলিকে কাজে লাগানো এবং কন্টেইনার বিচ্ছিন্নতা বৃদ্ধি করা আরও কঠিন করে তোলে। . কন্টেইনারগুলি স্ট্যান্ডার্ড লিনাক্স কার্নেল পদ্ধতি - cgroups, নামস্থান এবং seccomp ব্যবহার করে তৈরি করা হয়। অতিরিক্ত বিচ্ছিন্নতার জন্য, ডিস্ট্রিবিউশন "এনফোর্সিং" মোডে SELinux ব্যবহার করে।

রুট পার্টিশনটি শুধুমাত্র পঠনযোগ্য মাউন্ট করা হয় এবং /etc সেটিংস পার্টিশনটি tmpfs এ মাউন্ট করা হয় এবং পুনরায় আরম্ভ করার পরে তার আসল অবস্থায় পুনরুদ্ধার করা হয়। /etc ডিরেক্টরিতে ফাইলগুলির সরাসরি পরিবর্তন, যেমন /etc/resolv.conf এবং /etc/containerd/config.toml, সমর্থিত নয় - স্থায়ীভাবে সেটিংস সংরক্ষণ করতে, আপনাকে অবশ্যই API ব্যবহার করতে হবে বা পৃথক পাত্রে কার্যকারিতা স্থানান্তর করতে হবে। dm-verity মডিউলটি ক্রিপ্টোগ্রাফিকভাবে রুট পার্টিশনের অখণ্ডতা যাচাই করার জন্য ব্যবহার করা হয় এবং ব্লক ডিভাইস স্তরে ডেটা পরিবর্তন করার চেষ্টা শনাক্ত করা হলে, সিস্টেম রিবুট হয়।

বেশিরভাগ সিস্টেমের উপাদানগুলি রাস্টে লেখা হয়, যা মেমরি-নিরাপদ বৈশিষ্ট্যগুলি প্রদান করে যাতে ফ্রি-ফ্রি মেমরি অ্যাক্সেস, নাল পয়েন্টার ডিরেফারেন্স এবং বাফার ওভাররানের কারণে সৃষ্ট দুর্বলতাগুলি এড়ানো যায়। ডিফল্টরূপে তৈরি করার সময়, "-সক্ষম-ডিফল্ট-পাই" এবং "-সক্ষম-ডিফল্ট-এসএসপি" সংকলন মোডগুলি এক্সিকিউটেবল ফাইল অ্যাড্রেস স্পেস (পিআইই) এর র্যান্ডমাইজেশন সক্ষম করতে এবং ক্যানারি প্রতিস্থাপনের মাধ্যমে স্ট্যাক ওভারফ্লো থেকে সুরক্ষা করতে ব্যবহৃত হয়। C/C++ এ লেখা প্যাকেজের জন্য, "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" এবং "-fstack-clash" ফ্ল্যাগগুলি অতিরিক্ত। সক্রিয় - সুরক্ষা"।

নতুন রিলিজে:

  • Обновлено содержимое административного и управляющего контейнеров.
  • Runtime для изолированных контейнеров обновлён до ветки containerd 1.6.x.
  • Обеспечен перезапуск фоновых процессов, координирующих работу контейнеров, после изменений в хранилище сертификатов.
  • Предоставлена возможность выставления загрузочных параметров ядра через секцию Boot Configuration.
  • Включено игнорирование пустых блоков при контроле целостности корневого раздела при помощи dm-verity.
  • Предоставлена возможность статической привязки имён хостов в /etc/hosts.
  • Предоставлена возможность генерации сетевой конфигурации при помощи утилиты netdog (добавлена команда generate-net-config).
  • Предложены новые варианты дистрибутива c поддержкой Kubernetes 1.23. Сокращено время запуска pod-ов в Kubernetes за счёт отключения режима configMapAndSecretChangeDetectionStrategy. Добавлены новые настройки kubelet-ов: provider-id и podPidsLimit.
  • Предложен новый вариант дистрибутива «aws-ecs-1-nvidia» для Amazon Elastic Container Service (Amazon ECS), поставляемый с драйверами NVIDIA.
  • Добавлена поддержка устройств хранения Microchip Smart Storage и MegaRAID SAS. Расширена поддержка Ethernet-карт на чипах Broadcom.
  • Обновлены версии пакетов и зависимости для языков Go и Rust, а также версии пакетов со сторонними программами. Bottlerocket SDK обновлён до версии 0.26.0.

উত্স: opennet.ru

একটি মন্তব্য জুড়ুন