Foilsíodh scaoileadh Bottlerocket 1.8.0 dáileacháin Linux, a forbraíodh le rannpháirtíocht Amazon chun coimeádáin scoite a sheoladh go héifeachtach agus go slán. Scríobhtar uirlisí agus comhpháirteanna rialaithe an dáileacháin i Rust agus déantar iad a dháileadh faoi cheadúnais MIT agus Apache 2.0. Tacaíonn sé le Bottlerocket a reáchtáil ar bhraislí Amazon ECS, VMware agus AWS EKS Kubernetes, chomh maith le tógáil saincheaptha agus eagráin a chruthú a cheadaíonn úsáid a bhaint as uirlisí éagsúla orchestration agus am rite le haghaidh coimeádáin.
Soláthraíonn an dáileadh íomhá córais doroinnte a nuashonraítear go adamhach agus go huathoibríoch a chuimsíonn an eithne Linux agus timpeallacht an chórais íosta, lena n-áirítear na comhpháirteanna is gá chun coimeádáin a rith amháin. Áirítear leis an timpeallacht an bainisteoir córais siste, leabharlann Glibc, an uirlis tógála Buildroot, an lódóir tosaithe GRUB, an cumróir líonra olc, an t-am rite coimeádán do choimeádáin scoite, ardán ceolfhoirne coimeádán Kubernetes, an aws-iam-authenticator, agus an Amazon Gníomhaire ECS.
Tagann uirlisí orchestration coimeádán i gcoimeádán bainistíochta ar leithligh atá cumasaithe de réir réamhshocraithe agus a bhainistiú tríd an API agus Gníomhaire SSM AWS. Níl blaosc ordaithe, freastalaí SSH agus teangacha léirmhínithe ag an mbuníomhá (mar shampla, gan Python nó Perl) - cuirtear uirlisí riaracháin agus uirlisí dífhabhtaithe i gcoimeádán seirbhíse ar leith, atá díchumasaithe de réir réamhshocraithe.
Is é an príomhdhifríocht ó dháiltí comhchosúla cosúil le Fedora CoreOS, CentOS / Red Hat Atomic Host ná an príomhfhócas ar an tslándáil uasta a sholáthar i gcomhthéacs cosaint an chórais a neartú ó bhagairtí féideartha, rud a fhágann go bhfuil sé níos deacra leochaileachtaí i gcomhpháirteanna OS a shaothrú agus leithlisiú coimeádán a mhéadú. . Cruthaítear coimeádáin ag baint úsáide as meicníochtaí caighdeánacha eithne Linux - cgroups, ainmspásanna agus seccomp. Le haghaidh aonrú breise, úsáideann an dáileadh SELinux i mód “forfheidhmiúcháin”.
Tá an deighilt fréimhe suite inléite amháin, agus tá an laindéal socruithe /etc suite i tmpfs agus á athchóiriú go dtí a staid bhunaidh tar éis atosaithe. Ní thacaítear le modhnú díreach comhaid san eolaire /etc, mar shampla /etc/resolv.conf agus /etc/containerd/config.toml - chun socruithe a shábháil go buan, ní mór duit an API a úsáid nó an fheidhmiúlacht a bhogadh i gcoimeádáin ar leith. Úsáidtear an modúl dm-verity chun sláine an fhréamhdheighilte a fhíorú go cripteach, agus má aimsítear iarracht sonraí a mhodhnú ag leibhéal an ghléis bloc, atosaíonn an córas.
Tá an chuid is mó de na comhpháirteanna córais scríofa i Rust, a sholáthraíonn gnéithe cuimhne-sábháilte chun leochaileachtaí a sheachaint de bharr rochtain saor ó chuimhne, dereferences pointeoir nialasach, agus róchaiteachas maolánach. Agus na modhanna tiomsaithe á dtógáil de réir réamhshocraithe, úsáidtear na modhanna tiomsaithe "-enable-default-pie" agus "-enable-default-ssp" chun an spás seolta comhaid inrite (PIE) a randamú agus chun cosaint a dhéanamh i gcoinne róshreafaí stoic trí ionadú canáraí. I gcás pacáistí atá scríofa i C/C++, tá na bratacha “-Wall”, “-Werror=format-security”, “-Wp, -D_FORTIFY_SOURCE=2”, “-Wp, -D_GLIBCXX_ASSERTIONS” agus “-fstack-clash” chomh maith cumasaithe -protection".
Sa scaoileadh nua:
- Обновлено содержимое административного и управляющего контейнеров.
- Runtime для изолированных контейнеров обновлён до ветки containerd 1.6.x.
- Обеспечен перезапуск фоновых процессов, координирующих работу контейнеров, после изменений в хранилище сертификатов.
- Предоставлена возможность выставления загрузочных параметров ядра через секцию Boot Configuration.
- Включено игнорирование пустых блоков при контроле целостности корневого раздела при помощи dm-verity.
- Предоставлена возможность статической привязки имён хостов в /etc/hosts.
- Предоставлена возможность генерации сетевой конфигурации при помощи утилиты netdog (добавлена команда generate-net-config).
- Предложены новые варианты дистрибутива c поддержкой Kubernetes 1.23. Сокращено время запуска pod-ов в Kubernetes за счёт отключения режима configMapAndSecretChangeDetectionStrategy. Добавлены новые настройки kubelet-ов: provider-id и podPidsLimit.
- Предложен новый вариант дистрибутива «aws-ecs-1-nvidia» для Amazon Elastic Container Service (Amazon ECS), поставляемый с драйверами NVIDIA.
- Добавлена поддержка устройств хранения Microchip Smart Storage и MegaRAID SAS. Расширена поддержка Ethernet-карт на чипах Broadcom.
- Обновлены версии пакетов и зависимости для языков Go и Rust, а также версии пакетов со сторонними программами. Bottlerocket SDK обновлён до версии 0.26.0.
Foinse: oscailtenet.ru