Utjefte beskikber LinuxBottlerocket 1.1.0, in distribúsje ûntwikkele mei Amazon foar de effisjinte en feilige lansearring fan isolearre konteners. De ark- en kontrôlekomponinten fan 'e distribúsje binne skreaun yn Rust en lisinsearre ûnder de MIT- en Apache 2.0-lisinsjes. Bottlerocket rint op Amazon ECS- en AWS EKS Kubernetes-klusters, en stipet ek oanpaste builds en edysjes dy't it gebrûk fan ferskate kontenerorkestraasje- en runtime-ark stypje.
De distribúsje leveret in atomysk en automatysk bywurke ûndielbere systeemôfbylding, ynklusyf de kernel Linux en in minimale systeemomjouwing, ynklusyf allinich de komponinten dy't nedich binne foar it útfieren fan konteners. Dizze omjouwing omfettet de systemd systeembehearder, de Glibc-bibleteek, de Buildroot build toolchain, de GRUB bootloader, de wicked netwurkkonfigurator, de containerd runtime foar isolearre konteners, it Kubernetes container orkestraasjeplatfoarm, de aws-iam-authenticator authenticator, en de Amazon ECS-agent.
Containerorkestraasje-ark wurde levere yn in aparte behearkontener, dy't standert ynskeakele is en beheard wurdt fia de API en AWS SSM Agent. De basisôfbylding befettet gjin kommandoshell. server SSH en ynterpretearre talen (bygelyks gjin Python of Perl) - admin- en debugging-ark binne te finen yn in aparte tsjinstkontener, dy't standert útskeakele is.
It wichtichste ferskil mei ferlykbere distribúsjes lykas Fedora CoreOS is CentOSRed Hat Atomic Host is primêr rjochte op it leverjen fan maksimale feiligens troch it ferbetterjen fan systeembeskerming tsjin potinsjele bedrigingen, it komplisearjen fan de eksploitaasje fan kwetsberheden yn OS-komponinten, en it fergrutsjen fan kontenerisolaasje. Konteners wurde makke mei native kernelmeganismen. Linux — cgroups, nammeromten en seccomp. Foar ekstra isolaasje brûkt de distribúsje SELinux yn "hanthavenjende" modus.
De root-partysje is allinich lêzen monteard, en de / etc ynstellingspartysje wurdt yn tmpfs monteard en werombrocht nei syn oarspronklike steat nei in trochstart. Direkte wiziging fan bestannen yn 'e map /etc, lykas /etc/resolv.conf en /etc/containerd/config.toml, wurdt net stipe - om ynstellings permanint te bewarjen, moatte jo de API brûke of de funksjonaliteit yn aparte konteners ferpleatse. De dm-verity-module wurdt brûkt om kryptografysk de yntegriteit fan 'e root-partysje te ferifiearjen, en as in besykjen om gegevens op it blokapparaatnivo te wizigjen wurdt ûntdutsen, sil it systeem opnij starte.
De measte systeemkomponinten binne skreaun yn Rust, dy't ûnthâldfeilige funksjes leveret om kwetsberens te foarkommen dy't feroarsake binne troch nei-frije ûnthâldtagongen, nul-oanwizers en buffer-oerrin. By it bouwen fan standert, wurde de kompilaasjemodi "-enable-default-pie" en "-enable-default-ssp" brûkt om randomisaasje fan 'e útfierbere triemadresromte (PIE) en beskerming tsjin stackoverflows troch kanaryske ferfanging yn te skeakeljen. Foar pakketten skreaun yn C/C++ binne de flaggen "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" en "-fstack-clash" boppedat ynskeakele -beskerming".
Yn de nije release:
- Twa nije distribúsjefarianten, aws-k8s-1.20 en vmware-k8s-1.20, binne útbrocht, dy't Kubernetes 1.20 stypje. Dizze farianten, lykas de bywurke aws-ecs-1-fariant, brûke de nije kernelferzje. Linux 5.10. De standert lockdown-modus is feroare nei "yntegriteit" (it blokkearjen fan brûkersromte-oanpassingen oan 'e rinnende kernel). Stipe foar de aws-k8s-1.15-fariant basearre op Kubernetes 1.15 is stopset.
- Amazon ECS stipet no awsvpc-netwurkmodus, wêrmei jo yndividuele netwurkynterfaces en ynterne ... kinne leverje IP adressen foar elke taak.
- Ynstellings tafoege om ferskate Kubernetes-parameters te behearjen, ynklusyf QPS, poolgrinzen, en de mooglikheid om te ferbinen mei oare wolkproviders dan AWS.
- De bootstrap-kontener jout tagongsbeperking ta brûkersgegevens mei SELinux.
- Resize2fs utility tafoege.
Boarne: opennet.ru
