Mae rhyddhau Bottlerocket 1.1.0 dosbarthiad Linux ar gael, a ddatblygwyd gyda chyfranogiad Amazon ar gyfer lansiad effeithlon a diogel o gynwysyddion ynysig. Mae offer a chydrannau rheoli'r dosbarthiad yn cael eu hysgrifennu yn Rust a'u dosbarthu o dan drwyddedau MIT ac Apache 2.0. Mae'n cefnogi rhedeg Bottlerocket mewn clystyrau Amazon ECS ac AWS EKS Kubernetes, yn ogystal â chreu adeiladau a rhifynnau wedi'u teilwra sy'n caniatáu defnyddio amrywiol offer cerddorfaol ac amser rhedeg ar gyfer cynwysyddion.
Mae'r dosbarthiad yn darparu delwedd system anwahanadwy wedi'i diweddaru'n atomig ac yn awtomatig sy'n cynnwys y cnewyllyn Linux ac amgylchedd system leiaf, gan gynnwys dim ond y cydrannau sy'n angenrheidiol i redeg cynwysyddion. Mae'r amgylchedd yn cynnwys y rheolwr system systemd, llyfrgell Glibc, yr offeryn adeiladu Buildroot, y cychwynnydd GRUB, y cyflunydd rhwydwaith drygionus, yr amser rhedeg amwys ar gyfer cynwysyddion ynysig, platfform cerddorfa cynhwysydd Kubernetes, yr aws-iam-authenticator, a'r Amazon ECS asiant.
Daw offer cerddorfaol cynhwysydd mewn cynhwysydd rheoli ar wahân sy'n cael ei alluogi yn ddiofyn a'i reoli trwy'r Asiant SSM API ac AWS. Nid oes gan y ddelwedd sylfaen gragen gorchymyn, gweinydd SSH ac ieithoedd dehongli (er enghraifft, dim Python neu Perl) - mae offer gweinyddol ac offer dadfygio yn cael eu gosod mewn cynhwysydd gwasanaeth ar wahân, sy'n anabl yn ddiofyn.
Y gwahaniaeth allweddol o ddosbarthiadau tebyg fel Fedora CoreOS, CentOS / Red Hat Atomic Host yw'r prif ffocws ar ddarparu'r diogelwch mwyaf posibl yng nghyd-destun gwella amddiffyniad system rhag bygythiadau posibl, gan ei gwneud hi'n anoddach manteisio ar wendidau mewn cydrannau OS a chynyddu ynysu cynhwysydd. . Crëir cynwysyddion gan ddefnyddio mecanweithiau cnewyllyn Linux safonol - cgroups, namespaces a seccomp. Ar gyfer ynysu ychwanegol, mae'r dosbarthiad yn defnyddio SELinux yn y modd “gorfodi”.
Mae'r rhaniad gwraidd wedi'i osod yn ddarllen-yn-unig, ac mae'r rhaniad gosodiadau /etc yn cael ei osod mewn tmpfs a'i adfer i'w gyflwr gwreiddiol ar ôl ailgychwyn. Ni chefnogir addasu ffeiliau yn uniongyrchol yn y cyfeiriadur /etc, fel /etc/resolv.conf a /etc/containerd/config.toml - i arbed gosodiadau yn barhaol, rhaid i chi ddefnyddio'r API neu symud y swyddogaeth i gynwysyddion ar wahân. Defnyddir y modiwl dm-verity i wirio cywirdeb y rhaniad gwraidd yn cryptograffig, ac os canfyddir ymgais i addasu data ar lefel dyfais bloc, mae'r system yn ailgychwyn.
Mae'r rhan fwyaf o gydrannau'r system wedi'u hysgrifennu yn Rust, sy'n darparu nodweddion cof-ddiogel i osgoi gwendidau a achosir gan gyrchoedd cof ôl-rydd, dadgyfeiriadau pwyntydd null, a gor-redeg byffer. Wrth adeiladu yn ddiofyn, defnyddir y moddau crynhoi "-enable-default-pie" a "-enable-default-ssp" i alluogi gofod cyfeiriad ffeil gweithredadwy (PIE) ar hap ac amddiffyn rhag gorlifoedd stac trwy amnewid caneri. Ar gyfer pecynnau a ysgrifennwyd yn C/C ++, mae'r baneri “-Wall”, “-Werror=format-security”, “-Wp, -D_FORTIFY_SOURCE=2”, “-Wp, -D_GLIBCXX_ASSERTIONS” a “-fstack-clash” hefyd wedi'i alluogi -protection".
Yn y datganiad newydd:
- Mae dau opsiwn dosbarthu newydd aws-k8s-1.20 a vmware-k8s-1.20 gyda chefnogaeth i Kubernetes 1.20 wedi'u cynnig. Mae'r amrywiadau hyn, yn ogystal â'r fersiwn wedi'i diweddaru aws-ecs-1, yn defnyddio'r datganiad cnewyllyn Linux 5.10 newydd. Mae'r modd cloi wedi'i osod i “uniondeb” yn ddiofyn (mae galluoedd sy'n caniatáu i newidiadau gael eu gwneud i'r cnewyllyn rhedeg o ofod defnyddwyr wedi'u rhwystro). Mae cefnogaeth i'r amrywiad aws-k8s-1.15 yn seiliedig ar Kubernetes 1.15 wedi'i dirwyn i ben.
- Mae Amazon ECS yn cefnogi modd rhwydwaith awsvpc, sy'n eich galluogi i ddyrannu rhyngwynebau rhwydwaith ar wahân a chyfeiriadau IP mewnol ar gyfer pob tasg.
- Ychwanegwyd gosodiadau i reoli amrywiol baramedrau Kubernetes, gan gynnwys QPS, terfynau pwll, a'r gallu i gysylltu â darparwyr cwmwl heblaw AWS.
- Mae'r cynhwysydd bootstrap yn darparu cyfyngiad mynediad at ddata defnyddwyr gan ddefnyddio SELinux.
- Ychwanegwyd cyfleustodau resize2fs.
Ffynhonnell: opennet.ru