Mae rhyddhau Bottlerocket 1.7.0 dosbarthiad Linux wedi'i gyhoeddi, a ddatblygwyd gyda chyfranogiad Amazon ar gyfer lansiad effeithlon a diogel o gynwysyddion ynysig. Mae offer a chydrannau rheoli'r dosbarthiad yn cael eu hysgrifennu yn Rust a'u dosbarthu o dan drwyddedau MIT ac Apache 2.0. Mae'n cefnogi rhedeg Bottlerocket ar glystyrau Amazon ECS, VMware ac AWS EKS Kubernetes, yn ogystal â chreu adeiladau a rhifynnau arfer sy'n caniatáu defnyddio offer cerddorfaol ac amser rhedeg amrywiol ar gyfer cynwysyddion.
Mae'r dosbarthiad yn darparu delwedd system anwahanadwy wedi'i diweddaru'n atomig ac yn awtomatig sy'n cynnwys y cnewyllyn Linux ac amgylchedd system leiaf, gan gynnwys dim ond y cydrannau sy'n angenrheidiol i redeg cynwysyddion. Mae'r amgylchedd yn cynnwys y rheolwr system systemd, llyfrgell Glibc, yr offeryn adeiladu Buildroot, y cychwynnydd GRUB, y cyflunydd rhwydwaith drygionus, yr amser rhedeg amwys ar gyfer cynwysyddion ynysig, platfform cerddorfa cynhwysydd Kubernetes, yr aws-iam-authenticator, a'r Amazon ECS asiant.
Daw offer cerddorfaol cynhwysydd mewn cynhwysydd rheoli ar wahân sy'n cael ei alluogi yn ddiofyn a'i reoli trwy'r Asiant SSM API ac AWS. Nid oes gan y ddelwedd sylfaen gragen gorchymyn, gweinydd SSH ac ieithoedd dehongli (er enghraifft, dim Python neu Perl) - mae offer gweinyddol ac offer dadfygio yn cael eu gosod mewn cynhwysydd gwasanaeth ar wahân, sy'n anabl yn ddiofyn.
Y gwahaniaeth allweddol o ddosbarthiadau tebyg fel Fedora CoreOS, CentOS / Red Hat Atomic Host yw'r prif ffocws ar ddarparu'r diogelwch mwyaf posibl yng nghyd-destun gwella amddiffyniad system rhag bygythiadau posibl, gan ei gwneud hi'n anoddach manteisio ar wendidau mewn cydrannau OS a chynyddu ynysu cynhwysydd. . Crëir cynwysyddion gan ddefnyddio mecanweithiau cnewyllyn Linux safonol - cgroups, namespaces a seccomp. Ar gyfer ynysu ychwanegol, mae'r dosbarthiad yn defnyddio SELinux yn y modd “gorfodi”.
Mae'r rhaniad gwraidd wedi'i osod yn ddarllen-yn-unig, ac mae'r rhaniad gosodiadau /etc yn cael ei osod mewn tmpfs a'i adfer i'w gyflwr gwreiddiol ar ôl ailgychwyn. Ni chefnogir addasu ffeiliau yn uniongyrchol yn y cyfeiriadur /etc, fel /etc/resolv.conf a /etc/containerd/config.toml - i arbed gosodiadau yn barhaol, rhaid i chi ddefnyddio'r API neu symud y swyddogaeth i gynwysyddion ar wahân. Defnyddir y modiwl dm-verity i wirio cywirdeb y rhaniad gwraidd yn cryptograffig, ac os canfyddir ymgais i addasu data ar lefel dyfais bloc, mae'r system yn ailgychwyn.
Mae'r rhan fwyaf o gydrannau'r system wedi'u hysgrifennu yn Rust, sy'n darparu nodweddion cof-ddiogel i osgoi gwendidau a achosir gan gyrchoedd cof ôl-rydd, dadgyfeiriadau pwyntydd null, a gor-redeg byffer. Wrth adeiladu yn ddiofyn, defnyddir y moddau crynhoi "-enable-default-pie" a "-enable-default-ssp" i alluogi gofod cyfeiriad ffeil gweithredadwy (PIE) ar hap ac amddiffyn rhag gorlifoedd stac trwy amnewid caneri. Ar gyfer pecynnau a ysgrifennwyd yn C/C ++, mae'r baneri “-Wall”, “-Werror=format-security”, “-Wp, -D_FORTIFY_SOURCE=2”, “-Wp, -D_GLIBCXX_ASSERTIONS” a “-fstack-clash” hefyd wedi'i alluogi -protection".
Yn y datganiad newydd:
- Wrth osod pecynnau RPM, mae'n bosibl cynhyrchu rhestr o raglenni mewn fformat JSON a'i osod yn y cynhwysydd gwesteiwr fel y ffeil /var/lib/bottlerocket/inventory/application.json i gael gwybodaeth am y pecynnau sydd ar gael.
- Mae'r cynwysyddion “admin” a “control” wedi'u diweddaru.
- Fersiynau pecyn wedi'u diweddaru a dibyniaethau ar gyfer ieithoedd Go a Rust.
- Fersiynau wedi'u diweddaru o becynnau gyda rhaglenni trydydd parti.
- Wedi datrys problemau cyfluniad tmpfilesd ar gyfer kmod-5.10-nvidia.
- Wrth osod tuftool, mae fersiynau dibyniaeth yn gysylltiedig.
Ffynhonnell: opennet.ru