Mae rhyddhau Bottlerocket 1.8.0 dosbarthiad Linux wedi'i gyhoeddi, a ddatblygwyd gyda chyfranogiad Amazon ar gyfer lansiad effeithlon a diogel o gynwysyddion ynysig. Mae offer a chydrannau rheoli'r dosbarthiad yn cael eu hysgrifennu yn Rust a'u dosbarthu o dan drwyddedau MIT ac Apache 2.0. Mae'n cefnogi rhedeg Bottlerocket ar glystyrau Amazon ECS, VMware ac AWS EKS Kubernetes, yn ogystal â chreu adeiladau a rhifynnau arfer sy'n caniatáu defnyddio offer cerddorfaol ac amser rhedeg amrywiol ar gyfer cynwysyddion.
Mae'r dosbarthiad yn darparu delwedd system anwahanadwy wedi'i diweddaru'n atomig ac yn awtomatig sy'n cynnwys y cnewyllyn Linux ac amgylchedd system leiaf, gan gynnwys dim ond y cydrannau sy'n angenrheidiol i redeg cynwysyddion. Mae'r amgylchedd yn cynnwys y rheolwr system systemd, llyfrgell Glibc, yr offeryn adeiladu Buildroot, y cychwynnydd GRUB, y cyflunydd rhwydwaith drygionus, yr amser rhedeg amwys ar gyfer cynwysyddion ynysig, platfform cerddorfa cynhwysydd Kubernetes, yr aws-iam-authenticator, a'r Amazon ECS asiant.
Daw offer cerddorfaol cynhwysydd mewn cynhwysydd rheoli ar wahân sy'n cael ei alluogi yn ddiofyn a'i reoli trwy'r Asiant SSM API ac AWS. Nid oes gan y ddelwedd sylfaen gragen gorchymyn, gweinydd SSH ac ieithoedd dehongli (er enghraifft, dim Python neu Perl) - mae offer gweinyddol ac offer dadfygio yn cael eu gosod mewn cynhwysydd gwasanaeth ar wahân, sy'n anabl yn ddiofyn.
Y gwahaniaeth allweddol o ddosbarthiadau tebyg fel Fedora CoreOS, CentOS / Red Hat Atomic Host yw'r prif ffocws ar ddarparu'r diogelwch mwyaf posibl yng nghyd-destun gwella amddiffyniad system rhag bygythiadau posibl, gan ei gwneud hi'n anoddach manteisio ar wendidau mewn cydrannau OS a chynyddu ynysu cynhwysydd. . Crëir cynwysyddion gan ddefnyddio mecanweithiau cnewyllyn Linux safonol - cgroups, namespaces a seccomp. Ar gyfer ynysu ychwanegol, mae'r dosbarthiad yn defnyddio SELinux yn y modd “gorfodi”.
Mae'r rhaniad gwraidd wedi'i osod yn ddarllen-yn-unig, ac mae'r rhaniad gosodiadau /etc yn cael ei osod mewn tmpfs a'i adfer i'w gyflwr gwreiddiol ar ôl ailgychwyn. Ni chefnogir addasu ffeiliau yn uniongyrchol yn y cyfeiriadur /etc, fel /etc/resolv.conf a /etc/containerd/config.toml - i arbed gosodiadau yn barhaol, rhaid i chi ddefnyddio'r API neu symud y swyddogaeth i gynwysyddion ar wahân. Defnyddir y modiwl dm-verity i wirio cywirdeb y rhaniad gwraidd yn cryptograffig, ac os canfyddir ymgais i addasu data ar lefel dyfais bloc, mae'r system yn ailgychwyn.
Mae'r rhan fwyaf o gydrannau'r system wedi'u hysgrifennu yn Rust, sy'n darparu nodweddion cof-ddiogel i osgoi gwendidau a achosir gan gyrchoedd cof ôl-rydd, dadgyfeiriadau pwyntydd null, a gor-redeg byffer. Wrth adeiladu yn ddiofyn, defnyddir y moddau crynhoi "-enable-default-pie" a "-enable-default-ssp" i alluogi gofod cyfeiriad ffeil gweithredadwy (PIE) ar hap ac amddiffyn rhag gorlifoedd stac trwy amnewid caneri. Ar gyfer pecynnau a ysgrifennwyd yn C/C ++, mae'r baneri “-Wall”, “-Werror=format-security”, “-Wp, -D_FORTIFY_SOURCE=2”, “-Wp, -D_GLIBCXX_ASSERTIONS” a “-fstack-clash” hefyd wedi'i alluogi -protection".
Yn y datganiad newydd:
- Mae cynnwys y cynwysyddion gweinyddol a rheoli wedi'u diweddaru.
- Mae amser rhedeg ar gyfer cynwysyddion ynysig wedi'i ddiweddaru i'r gangen 1.6.x mewn cynhwysydd.
- Yn sicrhau bod prosesau cefndir sy'n cydlynu gweithrediad cynwysyddion yn cael eu hailddechrau ar ôl newidiadau i'r storfa dystysgrif.
- Mae'n bosibl gosod paramedrau cychwyn cnewyllyn trwy'r adran Ffurfweddu Boot.
- Wedi galluogi anwybyddu blociau gwag wrth fonitro cywirdeb y rhaniad gwraidd gan ddefnyddio dm-verity.
- Mae'r gallu i rwymo enwau gwesteiwr yn statig yn /etc/hosts wedi'i ddarparu.
- Mae'r gallu i gynhyrchu cyfluniad rhwydwaith gan ddefnyddio'r cyfleustodau netdog wedi'i ddarparu (mae'r gorchymyn Generation-net-config wedi'i ychwanegu).
- Mae opsiynau dosbarthu newydd gyda chefnogaeth i Kubernetes 1.23 wedi'u cynnig. Mae'r amser cychwyn ar gyfer codennau yn Kubernetes wedi'i leihau trwy analluogi'r modd configMapAndSecretChangeDetectionStrategy. Ychwanegwyd gosodiadau kubelet newydd: darparwr-id a podPidsLimit.
- Mae fersiwn newydd o'r pecyn dosbarthu "aws-ecs-1-nvidia" ar gyfer Gwasanaeth Cynhwysydd Elastig Amazon (Amazon ECS), a gyflenwir â gyrwyr NVIDIA, wedi'i gynnig.
- Cefnogaeth ychwanegol ar gyfer dyfeisiau storio Microsglodyn Smart Storage a MegaRAID SAS. Mae cefnogaeth i gardiau Ethernet ar sglodion Broadcom wedi'i ehangu.
- Fersiynau pecyn wedi'u diweddaru a dibyniaethau ar gyfer yr ieithoedd Go a Rust, yn ogystal â fersiynau o becynnau gyda rhaglenni trydydd parti. Mae Bottlerocket SDK wedi'i ddiweddaru i fersiwn 0.26.0.
Ffynhonnell: opennet.ru