ProHoster > Blog > balita sa internet > Pagpagawas sa Bottlerocket 1.1, usa ka pag-apod-apod base sa nahilit nga mga sudlanan

Pagpagawas sa Bottlerocket 1.1, usa ka pag-apod-apod base sa nahilit nga mga sudlanan

Anaa na ang pagpagawas LinuxAng Bottlerocket 1.1.0, usa ka distribusyon nga gihimo uban sa Amazon para sa episyente ug luwas nga paglansad sa mga isolated container. Ang mga tooling ug control component sa distribusyon gisulat sa Rust ug gilisensyahan ubos sa mga lisensya sa MIT ug Apache 2.0. Ang Bottlerocket nagdagan sa mga cluster sa Amazon ECS ug AWS EKS Kubernetes, ingon man nagsuporta sa mga custom build ug edisyon nga nagsuporta sa paggamit sa lain-laing mga container orchestration ug runtime tools.

Ang distribusyon naghatag ug atomically ug awtomatikong gi-update nga dili mabahin nga imahe sa sistema, lakip ang kernel. Linux ug usa ka minimal nga palibot sa sistema, lakip lamang ang mga sangkap nga gikinahanglan alang sa pagpadagan sa mga container. Kini nga palibot naglakip sa systemd system manager, ang Glibc library, ang Buildroot build toolchain, ang GRUB bootloader, ang wicked network configurator, ang containerd runtime para sa isolated containers, ang Kubernetes container orchestration platform, ang aws-iam-authenticator authenticator, ug ang Amazon ECS agent.

Ang mga himan sa orchestration sa container gihatud sa usa ka lahi nga management container, nga gi-enable pinaagi sa default ug gidumala pinaagi sa API ug AWS SSM Agent. Ang base image wala maglakip sa usa ka command shell. server Ang SSH ug mga interpreted languages ​​​​(pananglitan walay Python o Perl) - ang admin ug mga debugging tool nahimutang sa usa ka lahi nga service container, nga gi-disable pinaagi sa default.

Ang pangunang kalainan gikan sa susamang mga distribusyon sama sa Fedora CoreOS mao CentOSAng Red Hat Atomic Host panguna nga naka-focus sa paghatag og labing taas nga seguridad pinaagi sa pagpalambo sa proteksyon sa sistema batok sa mga potensyal nga hulga, pagpakomplikado sa pagpahimulos sa mga kahuyangan sa mga sangkap sa OS, ug pagdugang sa pagkahimulag sa mga container. Ang mga container gihimo gamit ang mga mekanismo sa lumad nga kernel. Linux — mga cgroup, mga namespace, ug seccomp. Alang sa dugang nga pag-inusara, ang distribusyon naggamit sa SELinux sa "pagpatuman" nga mode.

Ang root partition kay gi-mount read-only, ug ang /etc settings partition kay gi-mount sa tmpfs ug gibalik sa iyang orihinal nga kahimtang human sa restart. Ang direkta nga pagbag-o sa mga file sa /etc nga direktoryo, sama sa /etc/resolv.conf ug /etc/containerd/config.toml, dili suportado - aron permanente nga makatipig sa mga setting, kinahanglan nimo nga gamiton ang API o ibalhin ang gamit sa lain nga mga sudlanan. Ang dm-verity module gigamit sa cryptographicly pagmatuod sa integridad sa root partition, ug kon ang usa ka pagsulay sa pag-usab sa data sa block device nga lebel makita, ang sistema reboots.

Kadaghanan sa mga sangkap sa sistema gisulat sa Rust, nga naghatag mga bahin nga luwas sa panumduman aron malikayan ang mga kahuyangan nga gipahinabo sa pagkahuman sa wala’y bayad nga pag-access sa memorya, mga wala’y kapilian nga pointer, ug mga overrun sa buffer. Kung magtukod pinaagi sa default, ang mga mode sa compilation nga "-enable-default-pie" ug "-enable-default-ssp" gigamit aron mahimo ang randomization sa executable file address space (PIE) ug proteksyon batok sa mga stack overflows pinaagi sa canary substitution. Alang sa mga pakete nga gisulat sa C/C++, ang mga bandera nga “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” ug “-fstack-clash” dugang pa. gipalihok -proteksyon".

Sa bag-ong pagpagawas:

  • Duha ka bag-ong variant sa distribusyon, ang aws-k8s-1.20 ug vmware-k8s-1.20, ang gipagawas na, nga nagsuporta sa Kubernetes 1.20. Kini nga mga variant, ingon man ang gi-update nga variant sa aws-ecs-1, naggamit sa bag-ong kernel release. Linux 5.10. Ang default nga lockdown mode giusab ngadto sa "integrity" (pagbabag sa mga pagbag-o sa user-space sa nagdagan nga kernel). Ang suporta alang sa aws-k8s-1.15 nga variant nga gibase sa Kubernetes 1.15 gihunong na.
  • Gisuportahan na karon sa Amazon ECS ang awsvpc networking mode, nga nagtugot kanimo sa pag-provision sa indibidwal nga mga network interface ug internal Mga IP address alang sa matag buluhaton.
  • Gidugang nga mga setting aron makontrol ang lainlaing mga parameter sa Kubernetes, lakip ang QPS, mga limitasyon sa pool, ug ang abilidad sa pagkonektar sa mga cloud provider gawas sa AWS.
  • Ang bootstrap container naghatag og restriksyon sa pag-access sa datos sa tiggamit gamit ang SELinux.
  • Gidugang ang resize2fs utility.

Source: opennet.ru

Pagpalit kasaligan nga pag-host alang sa mga site nga adunay proteksyon sa DDoS, mga server sa VPS VDS 🔥 Pagpalit og kasaligang website hosting nga adunay proteksyon sa DDoS, VPS VDS servers | ProHoster