বোতলরোকেট 1.1 এর রিলিজ, বিচ্ছিন্ন পাত্রের উপর ভিত্তি করে একটি বিতরণ

লিনাক্স ডিস্ট্রিবিউশন বটলরকেট 1.1.0 এর রিলিজ উপলব্ধ, বিচ্ছিন্ন কন্টেইনারগুলির দক্ষ এবং নিরাপদ লঞ্চের জন্য অ্যামাজনের অংশগ্রহণে তৈরি করা হয়েছে। বিতরণের সরঞ্জাম এবং নিয়ন্ত্রণ উপাদানগুলি মরিচায় লেখা এবং MIT এবং Apache 2.0 লাইসেন্সের অধীনে বিতরণ করা হয়েছে। এটি Amazon ECS এবং AWS EKS Kubernetes ক্লাস্টারে Bottlerocket চালানো সমর্থন করে, সেইসাথে কাস্টম বিল্ড এবং সংস্করণ তৈরি করে যা কনটেইনারগুলির জন্য বিভিন্ন অর্কেস্ট্রেশন এবং রানটাইম সরঞ্জাম ব্যবহারের অনুমতি দেয়।

ডিস্ট্রিবিউশনটি একটি পারমাণবিক এবং স্বয়ংক্রিয়ভাবে আপডেট হওয়া অবিভাজ্য সিস্টেম ইমেজ প্রদান করে যাতে লিনাক্স কার্নেল এবং একটি ন্যূনতম সিস্টেম এনভায়রনমেন্ট অন্তর্ভুক্ত থাকে, শুধুমাত্র কন্টেইনার চালানোর জন্য প্রয়োজনীয় উপাদানগুলি সহ। পরিবেশের মধ্যে সিস্টেমড সিস্টেম ম্যানেজার, Glibc লাইব্রেরি, Buildroot বিল্ড টুল, GRUB বুট লোডার, দুষ্ট নেটওয়ার্ক কনফিগারেটর, বিচ্ছিন্ন কন্টেইনারগুলির জন্য কন্টেইনার রানটাইম, কুবারনেটেস কন্টেইনার অর্কেস্ট্রেশন প্ল্যাটফর্ম, aws-iam-প্রমাণকারী এবং Amazon অন্তর্ভুক্ত রয়েছে। ইসিএস এজেন্ট।

কন্টেইনার অর্কেস্ট্রেশন সরঞ্জামগুলি একটি পৃথক ব্যবস্থাপনার কন্টেইনারে আসে যা ডিফল্টরূপে সক্ষম এবং API এবং AWS SSM এজেন্টের মাধ্যমে পরিচালিত হয়। বেস ইমেজে একটি কমান্ড শেল, এসএসএইচ সার্ভার এবং ব্যাখ্যা করা ভাষা নেই (উদাহরণস্বরূপ, পাইথন বা পার্ল নেই) - প্রশাসনিক সরঞ্জাম এবং ডিবাগিং সরঞ্জামগুলি একটি পৃথক পরিষেবা পাত্রে স্থাপন করা হয়, যা ডিফল্টরূপে অক্ষম থাকে।

Fedora CoreOS, CentOS/Red Hat Atomic Host-এর মতো অনুরূপ ডিস্ট্রিবিউশনগুলির মূল পার্থক্য হল সম্ভাব্য হুমকি থেকে সিস্টেম সুরক্ষা শক্তিশালী করার প্রেক্ষাপটে সর্বাধিক নিরাপত্তা প্রদানের প্রাথমিক ফোকাস, OS উপাদানগুলির দুর্বলতাগুলিকে কাজে লাগানো এবং কন্টেইনার বিচ্ছিন্নতা বৃদ্ধি করা আরও কঠিন করে তোলে। . কন্টেইনারগুলি স্ট্যান্ডার্ড লিনাক্স কার্নেল পদ্ধতি - cgroups, নামস্থান এবং seccomp ব্যবহার করে তৈরি করা হয়। অতিরিক্ত বিচ্ছিন্নতার জন্য, ডিস্ট্রিবিউশন "এনফোর্সিং" মোডে SELinux ব্যবহার করে।

রুট পার্টিশনটি শুধুমাত্র পঠনযোগ্য মাউন্ট করা হয় এবং /etc সেটিংস পার্টিশনটি tmpfs এ মাউন্ট করা হয় এবং পুনরায় আরম্ভ করার পরে তার আসল অবস্থায় পুনরুদ্ধার করা হয়। /etc ডিরেক্টরিতে ফাইলগুলির সরাসরি পরিবর্তন, যেমন /etc/resolv.conf এবং /etc/containerd/config.toml, সমর্থিত নয় - স্থায়ীভাবে সেটিংস সংরক্ষণ করতে, আপনাকে অবশ্যই API ব্যবহার করতে হবে বা পৃথক পাত্রে কার্যকারিতা স্থানান্তর করতে হবে। dm-verity মডিউলটি ক্রিপ্টোগ্রাফিকভাবে রুট পার্টিশনের অখণ্ডতা যাচাই করার জন্য ব্যবহার করা হয় এবং ব্লক ডিভাইস স্তরে ডেটা পরিবর্তন করার চেষ্টা শনাক্ত করা হলে, সিস্টেম রিবুট হয়।

বেশিরভাগ সিস্টেমের উপাদানগুলি রাস্টে লেখা হয়, যা মেমরি-নিরাপদ বৈশিষ্ট্যগুলি প্রদান করে যাতে ফ্রি-ফ্রি মেমরি অ্যাক্সেস, নাল পয়েন্টার ডিরেফারেন্স এবং বাফার ওভাররানের কারণে সৃষ্ট দুর্বলতাগুলি এড়ানো যায়। ডিফল্টরূপে তৈরি করার সময়, "-সক্ষম-ডিফল্ট-পাই" এবং "-সক্ষম-ডিফল্ট-এসএসপি" সংকলন মোডগুলি এক্সিকিউটেবল ফাইল অ্যাড্রেস স্পেস (পিআইই) এর র্যান্ডমাইজেশন সক্ষম করতে এবং ক্যানারি প্রতিস্থাপনের মাধ্যমে স্ট্যাক ওভারফ্লো থেকে সুরক্ষা করতে ব্যবহৃত হয়। C/C++ এ লেখা প্যাকেজের জন্য, "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" এবং "-fstack-clash" ফ্ল্যাগগুলি অতিরিক্ত। সক্রিয় - সুরক্ষা"।

নতুন রিলিজে:

• Kubernetes 8 এর সমর্থন সহ দুটি নতুন বিতরণ বিকল্প aws-k1.20s-8 এবং vmware-k1.20s-1.20 প্রস্তাব করা হয়েছে। এই রূপগুলি, সেইসাথে আপডেট হওয়া সংস্করণ aws-ecs-1, নতুন Linux কার্নেল 5.10 রিলিজ ব্যবহার করে। লকডাউন মোডটি ডিফল্টরূপে "অখণ্ডতা" এ সেট করা থাকে (ব্যবহারকারী স্থান থেকে চলমান কার্নেলে পরিবর্তন করার অনুমতি দেয় এমন ক্ষমতাগুলি ব্লক করা হয়েছে)। Kubernetes 8 এর উপর ভিত্তি করে aws-k1.15s-1.15 ভেরিয়েন্টের জন্য সমর্থন বন্ধ করা হয়েছে।
• Amazon ECS awsvpc নেটওয়ার্ক মোড সমর্থন করে, যা আপনাকে প্রতিটি কাজের জন্য আলাদা নেটওয়ার্ক ইন্টারফেস এবং অভ্যন্তরীণ IP ঠিকানা বরাদ্দ করতে দেয়।
• QPS, পুল সীমা এবং AWS ছাড়া অন্য ক্লাউড প্রদানকারীদের সাথে সংযোগ করার ক্ষমতা সহ বিভিন্ন Kubernetes পরামিতি নিয়ন্ত্রণ করতে সেটিংস যোগ করা হয়েছে।
• বুটস্ট্র্যাপ কন্টেইনার SELinux ব্যবহার করে ব্যবহারকারীর ডেটা অ্যাক্সেসের সীমাবদ্ধতা প্রদান করে।
• resize2fs ইউটিলিটি যোগ করা হয়েছে।

উত্স: opennet.ru