Mae rhyddhau Bottlerocket 1.2.0 dosbarthiad Linux ar gael, a ddatblygwyd gyda chyfranogiad Amazon ar gyfer lansiad effeithlon a diogel o gynwysyddion ynysig. Mae offer a chydrannau rheoli'r dosbarthiad yn cael eu hysgrifennu yn Rust a'u dosbarthu o dan drwyddedau MIT ac Apache 2.0. Mae'n cefnogi rhedeg Bottlerocket ar glystyrau Amazon ECS, VMware ac AWS EKS Kubernetes, yn ogystal â chreu adeiladau a rhifynnau arfer sy'n caniatáu defnyddio offer cerddorfaol ac amser rhedeg amrywiol ar gyfer cynwysyddion.
Mae'r dosbarthiad yn darparu delwedd system anwahanadwy wedi'i diweddaru'n atomig ac yn awtomatig sy'n cynnwys y cnewyllyn Linux ac amgylchedd system leiaf, gan gynnwys dim ond y cydrannau sy'n angenrheidiol i redeg cynwysyddion. Mae'r amgylchedd yn cynnwys y rheolwr system systemd, llyfrgell Glibc, yr offeryn adeiladu Buildroot, y cychwynnydd GRUB, y cyflunydd rhwydwaith drygionus, yr amser rhedeg amwys ar gyfer cynwysyddion ynysig, platfform cerddorfa cynhwysydd Kubernetes, yr aws-iam-authenticator, a'r Amazon ECS asiant.
Daw offer cerddorfaol cynhwysydd mewn cynhwysydd rheoli ar wahân sy'n cael ei alluogi yn ddiofyn a'i reoli trwy'r Asiant SSM API ac AWS. Nid oes gan y ddelwedd sylfaen gragen gorchymyn, gweinydd SSH ac ieithoedd dehongli (er enghraifft, dim Python neu Perl) - mae offer gweinyddol ac offer dadfygio yn cael eu gosod mewn cynhwysydd gwasanaeth ar wahân, sy'n anabl yn ddiofyn.
Y gwahaniaeth allweddol o ddosbarthiadau tebyg fel Fedora CoreOS, CentOS / Red Hat Atomic Host yw'r prif ffocws ar ddarparu'r diogelwch mwyaf posibl yng nghyd-destun gwella amddiffyniad system rhag bygythiadau posibl, gan ei gwneud hi'n anoddach manteisio ar wendidau mewn cydrannau OS a chynyddu ynysu cynhwysydd. . Crëir cynwysyddion gan ddefnyddio mecanweithiau cnewyllyn Linux safonol - cgroups, namespaces a seccomp. Ar gyfer ynysu ychwanegol, mae'r dosbarthiad yn defnyddio SELinux yn y modd “gorfodi”.
Mae'r rhaniad gwraidd wedi'i osod yn ddarllen-yn-unig, ac mae'r rhaniad gosodiadau /etc yn cael ei osod mewn tmpfs a'i adfer i'w gyflwr gwreiddiol ar ôl ailgychwyn. Ni chefnogir addasu ffeiliau yn uniongyrchol yn y cyfeiriadur /etc, fel /etc/resolv.conf a /etc/containerd/config.toml - i arbed gosodiadau yn barhaol, rhaid i chi ddefnyddio'r API neu symud y swyddogaeth i gynwysyddion ar wahân. Defnyddir y modiwl dm-verity i wirio cywirdeb y rhaniad gwraidd yn cryptograffig, ac os canfyddir ymgais i addasu data ar lefel dyfais bloc, mae'r system yn ailgychwyn.
Mae'r rhan fwyaf o gydrannau'r system wedi'u hysgrifennu yn Rust, sy'n darparu nodweddion cof-ddiogel i osgoi gwendidau a achosir gan gyrchoedd cof ôl-rydd, dadgyfeiriadau pwyntydd null, a gor-redeg byffer. Wrth adeiladu yn ddiofyn, defnyddir y moddau crynhoi "-enable-default-pie" a "-enable-default-ssp" i alluogi gofod cyfeiriad ffeil gweithredadwy (PIE) ar hap ac amddiffyn rhag gorlifoedd stac trwy amnewid caneri. Ar gyfer pecynnau a ysgrifennwyd yn C/C ++, mae'r baneri “-Wall”, “-Werror=format-security”, “-Wp, -D_FORTIFY_SOURCE=2”, “-Wp, -D_GLIBCXX_ASSERTIONS” a “-fstack-clash” hefyd wedi'i alluogi -protection".
Yn y datganiad newydd:
- Ychwanegwyd cefnogaeth ar gyfer drychau cofrestrfa delwedd cynhwysydd.
- Ychwanegwyd y gallu i ddefnyddio tystysgrifau hunan-lofnodedig.
- Ychwanegwyd opsiwn i ffurfweddu enw gwesteiwr.
- Mae fersiwn rhagosodedig y cynhwysydd gweinyddol wedi'i ddiweddaru.
- Ychwanegwyd topologyManagerPolicy a gosodiadau topologyManagerScope ar gyfer kubelet.
- Cefnogaeth ychwanegol ar gyfer cywasgu cnewyllyn gan ddefnyddio'r algorithm zstd.
- Darperir y gallu i lwytho peiriannau rhithwir i VMware yn y fformat OVA (Fformat Rhithwiroli Agored).
- Mae'r fersiwn ddosbarthu aws-k8s-1.21 wedi'i ddiweddaru gyda chefnogaeth Kubernetes 1.21. Mae cefnogaeth ar gyfer aws-k8s-1.16 wedi dod i ben.
- Fersiynau pecyn wedi'u diweddaru a dibyniaethau ar gyfer yr iaith Rust.
Ffynhonnell: opennet.ru