Доступен выпуск Linux-дистрибутива Bottlerocket 1.1.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров.
De distribúsje leveret in atomysk en automatysk bywurke ûndielbere systeemôfbylding dy't de Linux-kernel omfettet en in minimale systeemomjouwing, ynklusyf allinich de komponinten dy't nedich binne om konteners út te fieren. De omjouwing omfettet de systemd-systeembehearder, de Glibc-bibleteek, it Buildroot-bou-ark, de GRUB-bootlader, de kweade netwurkkonfigurator, de containerd-runtime foar isolearre konteners, it Kubernetes-kontener-orkestraasjeplatfoarm, de aws-iam-autentikator, en de Amazon ECS agent.
Container orkestraasje ark komme yn in aparte behear container dat is ynskeakele standert en beheard fia de API en AWS SSM Agent. De basisôfbylding mist in kommando-shell, SSH-tsjinner en ynterpretearre talen (bygelyks gjin Python of Perl) - bestjoerlike ark en ark foar debuggen wurde pleatst yn in aparte tsjinstkontener, dy't standert útskeakele is.
It wichtichste ferskil fan ferlykbere distribúsjes lykas Fedora CoreOS, CentOS / Red Hat Atomic Host is de primêre fokus op it leverjen fan maksimale feiligens yn 'e kontekst fan it fersterkjen fan systeembeskerming tsjin mooglike bedrigingen, wêrtroch it dreger wurdt om kwetsberens yn OS-komponinten te eksploitearjen en kontenerisolaasje te fergrutsjen. . Containers wurde makke mei standert Linux-kernelmeganismen - cgroups, namespaces en seccomp. Foar ekstra isolemint brûkt de distribúsje SELinux yn "hanthavenje" modus.
De root-partysje is allinich lêzen monteard, en de / etc ynstellingspartysje wurdt yn tmpfs monteard en werombrocht nei syn oarspronklike steat nei in trochstart. Direkte wiziging fan bestannen yn 'e map /etc, lykas /etc/resolv.conf en /etc/containerd/config.toml, wurdt net stipe - om ynstellings permanint te bewarjen, moatte jo de API brûke of de funksjonaliteit yn aparte konteners ferpleatse. De dm-verity-module wurdt brûkt om kryptografysk de yntegriteit fan 'e root-partysje te ferifiearjen, en as in besykjen om gegevens op it blokapparaatnivo te wizigjen wurdt ûntdutsen, sil it systeem opnij starte.
De measte systeemkomponinten binne skreaun yn Rust, dy't ûnthâldfeilige funksjes leveret om kwetsberens te foarkommen dy't feroarsake binne troch nei-frije ûnthâldtagongen, nul-oanwizers en buffer-oerrin. By it bouwen fan standert, wurde de kompilaasjemodi "-enable-default-pie" en "-enable-default-ssp" brûkt om randomisaasje fan 'e útfierbere triemadresromte (PIE) en beskerming tsjin stackoverflows troch kanaryske ferfanging yn te skeakeljen. Foar pakketten skreaun yn C/C++ binne de flaggen "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" en "-fstack-clash" boppedat ynskeakele -beskerming".
Yn de nije release:
- Предложено два новых варианта дистрибутива aws-k8s-1.20 и vmware-k8s-1.20 c поддержкой Kubernetes 1.20. В данных вариантах, а также в обновлённом варианте aws-ecs-1, задействован новый выпуск ядра Linux 5.10. Режим lockdown по умолчанию переведён в значение «integrity» (блокируются возможности, позволяющие вносить изменения в работающее ядро из пространства пользователя). Прекращена поддержка варианта aws-k8s-1.15 на базе Kubernetes 1.15.
- Для Amazon ECS реализована поддержка сетевого режима awsvpc, позволяющего выделять отдельные сетевых интерфейсы и внутренние IP-адреса для каждой задачи.
- Добавлены настройки для управления различными параметрами Kubernetes, включая QPS, лимиты на пулы и возможность подключения к облачным провайдерам, отличным от AWS.
- В bootstrap-контейнере обеспечено ограничение доступа к данным пользователя при помощи SELinux.
- Добавлена утилита resize2fs.
Boarne: opennet.ru