বোতলরোকেট 1.2 এর রিলিজ, বিচ্ছিন্ন পাত্রের উপর ভিত্তি করে একটি বিতরণ

লিনাক্স ডিস্ট্রিবিউশন Bottlerocket 1.2.0-এর রিলিজ পাওয়া যাচ্ছে, যা বিচ্ছিন্ন কন্টেইনারগুলির দক্ষ ও নিরাপদ লঞ্চের জন্য Amazon-এর অংশগ্রহণে তৈরি করা হয়েছে। বিতরণের সরঞ্জাম এবং নিয়ন্ত্রণ উপাদানগুলি মরিচায় লেখা এবং MIT এবং Apache 2.0 লাইসেন্সের অধীনে বিতরণ করা হয়েছে। এটি Amazon ECS, VMware এবং AWS EKS Kubernetes ক্লাস্টারে Bottlerocket চালানো সমর্থন করে, সেইসাথে কাস্টম বিল্ড এবং সংস্করণ তৈরি করে যা কনটেইনারগুলির জন্য বিভিন্ন অর্কেস্ট্রেশন এবং রানটাইম সরঞ্জাম ব্যবহারের অনুমতি দেয়।

ডিস্ট্রিবিউশনটি একটি পারমাণবিক এবং স্বয়ংক্রিয়ভাবে আপডেট হওয়া অবিভাজ্য সিস্টেম ইমেজ প্রদান করে যাতে লিনাক্স কার্নেল এবং একটি ন্যূনতম সিস্টেম এনভায়রনমেন্ট অন্তর্ভুক্ত থাকে, শুধুমাত্র কন্টেইনার চালানোর জন্য প্রয়োজনীয় উপাদানগুলি সহ। পরিবেশের মধ্যে সিস্টেমড সিস্টেম ম্যানেজার, Glibc লাইব্রেরি, Buildroot বিল্ড টুল, GRUB বুট লোডার, দুষ্ট নেটওয়ার্ক কনফিগারেটর, বিচ্ছিন্ন কন্টেইনারগুলির জন্য কন্টেইনার রানটাইম, কুবারনেটেস কন্টেইনার অর্কেস্ট্রেশন প্ল্যাটফর্ম, aws-iam-প্রমাণকারী এবং Amazon অন্তর্ভুক্ত রয়েছে। ইসিএস এজেন্ট।

কন্টেইনার অর্কেস্ট্রেশন সরঞ্জামগুলি একটি পৃথক ব্যবস্থাপনার কন্টেইনারে আসে যা ডিফল্টরূপে সক্ষম এবং API এবং AWS SSM এজেন্টের মাধ্যমে পরিচালিত হয়। বেস ইমেজে একটি কমান্ড শেল, এসএসএইচ সার্ভার এবং ব্যাখ্যা করা ভাষা নেই (উদাহরণস্বরূপ, পাইথন বা পার্ল নেই) - প্রশাসনিক সরঞ্জাম এবং ডিবাগিং সরঞ্জামগুলি একটি পৃথক পরিষেবা পাত্রে স্থাপন করা হয়, যা ডিফল্টরূপে অক্ষম থাকে।

Fedora CoreOS, CentOS/Red Hat Atomic Host-এর মতো অনুরূপ ডিস্ট্রিবিউশনগুলির মূল পার্থক্য হল সম্ভাব্য হুমকি থেকে সিস্টেম সুরক্ষা শক্তিশালী করার প্রেক্ষাপটে সর্বাধিক নিরাপত্তা প্রদানের প্রাথমিক ফোকাস, OS উপাদানগুলির দুর্বলতাগুলিকে কাজে লাগানো এবং কন্টেইনার বিচ্ছিন্নতা বৃদ্ধি করা আরও কঠিন করে তোলে। . কন্টেইনারগুলি স্ট্যান্ডার্ড লিনাক্স কার্নেল পদ্ধতি - cgroups, নামস্থান এবং seccomp ব্যবহার করে তৈরি করা হয়। অতিরিক্ত বিচ্ছিন্নতার জন্য, ডিস্ট্রিবিউশন "এনফোর্সিং" মোডে SELinux ব্যবহার করে।

রুট পার্টিশনটি শুধুমাত্র পঠনযোগ্য মাউন্ট করা হয় এবং /etc সেটিংস পার্টিশনটি tmpfs এ মাউন্ট করা হয় এবং পুনরায় আরম্ভ করার পরে তার আসল অবস্থায় পুনরুদ্ধার করা হয়। /etc ডিরেক্টরিতে ফাইলগুলির সরাসরি পরিবর্তন, যেমন /etc/resolv.conf এবং /etc/containerd/config.toml, সমর্থিত নয় - স্থায়ীভাবে সেটিংস সংরক্ষণ করতে, আপনাকে অবশ্যই API ব্যবহার করতে হবে বা পৃথক পাত্রে কার্যকারিতা স্থানান্তর করতে হবে। dm-verity মডিউলটি ক্রিপ্টোগ্রাফিকভাবে রুট পার্টিশনের অখণ্ডতা যাচাই করার জন্য ব্যবহার করা হয় এবং ব্লক ডিভাইস স্তরে ডেটা পরিবর্তন করার চেষ্টা শনাক্ত করা হলে, সিস্টেম রিবুট হয়।

বেশিরভাগ সিস্টেমের উপাদানগুলি রাস্টে লেখা হয়, যা মেমরি-নিরাপদ বৈশিষ্ট্যগুলি প্রদান করে যাতে ফ্রি-ফ্রি মেমরি অ্যাক্সেস, নাল পয়েন্টার ডিরেফারেন্স এবং বাফার ওভাররানের কারণে সৃষ্ট দুর্বলতাগুলি এড়ানো যায়। ডিফল্টরূপে তৈরি করার সময়, "-সক্ষম-ডিফল্ট-পাই" এবং "-সক্ষম-ডিফল্ট-এসএসপি" সংকলন মোডগুলি এক্সিকিউটেবল ফাইল অ্যাড্রেস স্পেস (পিআইই) এর র্যান্ডমাইজেশন সক্ষম করতে এবং ক্যানারি প্রতিস্থাপনের মাধ্যমে স্ট্যাক ওভারফ্লো থেকে সুরক্ষা করতে ব্যবহৃত হয়। C/C++ এ লেখা প্যাকেজের জন্য, "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" এবং "-fstack-clash" ফ্ল্যাগগুলি অতিরিক্ত। সক্রিয় - সুরক্ষা"।

নতুন রিলিজে:

• কন্টেইনার ইমেজ রেজিস্ট্রি মিরর জন্য সমর্থন যোগ করা হয়েছে.
• স্ব-স্বাক্ষরিত শংসাপত্র ব্যবহার করার ক্ষমতা যোগ করা হয়েছে।
• হোস্টনাম কনফিগার করার বিকল্প যোগ করা হয়েছে।
• প্রশাসনিক ধারকটির ডিফল্ট সংস্করণ আপডেট করা হয়েছে।
• কুবেলেটের জন্য টপোলজি ম্যানেজার পলিসি এবং টপোলজি ম্যানেজারস্কোপ সেটিংস যোগ করা হয়েছে।
• zstd অ্যালগরিদম ব্যবহার করে কার্নেল কম্প্রেশনের জন্য সমর্থন যোগ করা হয়েছে।
• OVA (ওপেন ভার্চুয়ালাইজেশন ফরম্যাট) বিন্যাসে VMware-এ ভার্চুয়াল মেশিন লোড করার ক্ষমতা প্রদান করা হয়েছে।
• বিতরণ সংস্করণ aws-k8s-1.21 আপডেট করা হয়েছে Kubernetes 1.21-এর সমর্থনে। aws-k8s-1.16-এর জন্য সমর্থন বন্ধ করা হয়েছে।
• মরিচা ভাষার জন্য আপডেট করা প্যাকেজ সংস্করণ এবং নির্ভরতা।

উত্স: opennet.ru