A liberazione di a distribuzione Linux Bottlerocket 1.2.0 hè dispunibule, sviluppata cù a participazione di Amazon per u lanciu efficiente è sicuru di cuntenituri isolati. L'arnesi di a distribuzione è i cumpunenti di cuntrollu sò scritti in Rust è distribuiti sottu licenze MIT è Apache 2.0. Supporta l'esecuzione di Bottlerocket in cluster Amazon ECS, VMware è AWS EKS Kubernetes, è ancu di creà custruzzioni è edizioni persunalizati chì permettenu l'usu di diverse strumenti di orchestrazione è runtime per i cuntenituri.
A distribuzione furnisce una maghjina di sistema indivisibule aghjurnata atomicamente è automaticamente chì include u kernel Linux è un ambiente minimu di u sistema, cumprese solu i cumpunenti necessarii per eseguisce cuntenituri. L'ambiente include u gestore di sistema systemd, a libreria Glibc, l'uttellu di creazione Buildroot, u caricatore d'avvio GRUB, u configuratore di rete malvagia, u runtime containerd per i containers isolati, a piattaforma di orchestrazione di container Kubernetes, l'aws-iam-authenticator è l'Amazon. Agente ECS.
I strumenti di orchestrazione di u containeru venenu in un containeru di gestione separatu chì hè attivatu per difettu è gestitu attraversu l'API è AWS SSM Agent. L'imaghjini di basa ùn mancanu una shell di cumanda, un servitore SSH è e lingue interpretate (per esempiu, senza Python o Perl) - l'arnesi amministrativi è i strumenti di debugging sò posti in un containeru di serviziu separatu, chì hè disattivatu per automaticamente.
A diffarenza chjave da distribuzioni simili cum'è Fedora CoreOS, CentOS / Red Hat Atomic Host hè u focus primariu nantu à furnisce a massima sicurezza in u cuntestu di rinfurzà a prutezzione di u sistema da pussibuli minacce, facendu più difficiuli di sfruttà e vulnerabilità in i cumpunenti di u sistema operativu è l'aumentu di l'isolamentu di u containeru. . I cuntenituri sò creati cù i meccanismi standard di u kernel Linux - cgroups, namespaces è seccomp. Per un isolamentu supplementu, a distribuzione usa SELinux in modu "furzendu".
A partizione di a radica hè muntata solu in lettura, è a partizione di paràmetri /etc hè muntata in tmpfs è restaurata à u so statu originale dopu un riavviu. A mudificazione diretta di i fugliali in u cartulare /etc, cum'è /etc/resolv.conf è /etc/containerd/config.toml, ùn hè micca supportatu - per salvà permanentemente i paràmetri, duvete aduprà l'API o move a funziunalità in cuntenituri separati. U modulu dm-verity hè utilizatu per verificà criptograficamente l'integrità di a partizione radicali, è se un tentativu di mudificà e dati à u livellu di u dispositivu di bloccu hè rilevatu, u sistema reboots.
A maiò parte di i cumpunenti di u sistema sò scritti in Rust, chì furnisce funzioni di salvezza di memoria per evità vulnerabilità causate da accessi di memoria dopu senza, dereferences di puntatore nulla, è overruns di buffer. Quandu si custruisce in modu predeterminatu, i modi di compilazione "-enable-default-pie" è "-enable-default-ssp" sò aduprati per attivà a randomizazione di u spaziu di l'indirizzu di u file eseguibile (PIE) è a prutezzione contra i sbocchi di stack through canary substitution. Per i pacchetti scritti in C/C++, i bandieri "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" è "-fstack-clash" sò in più. attivatu - prutezzione ".
In a nova versione:
- Aghjunghje supportu per i specchi di registru di l'imagine di u containeru.
- Aggiunta a capacità di utilizà certificati autofirmati.
- Opzione aghjunta per cunfigurà u nome d'ospite.
- A versione predeterminata di u containeru amministrativu hè stata aghjurnata.
- Aghjunghjite i paràmetri di topologyManagerPolicy è topologyManagerScope per kubelet.
- Aghjunghje supportu per a compressione di u kernel utilizendu l'algoritmu zstd.
- A capacità di carricà e macchine virtuali in VMware in u formatu OVA (Open Virtualization Format) hè furnita.
- A versione di distribuzione aws-k8s-1.21 hè stata aghjurnata cù supportu per Kubernetes 1.21. U supportu per aws-k8s-1.16 hè statu cessatu.
- Versioni di pacchetti aghjurnati è dipendenze per a lingua Rust.
Source: opennet.ru