Доступен выпуск Linux-дистрибутива Bottlerocket 1.1.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров.
Soláthraíonn an dáileadh íomhá córais doroinnte a nuashonraítear go adamhach agus go huathoibríoch a chuimsíonn an eithne Linux agus timpeallacht an chórais íosta, lena n-áirítear na comhpháirteanna is gá chun coimeádáin a rith amháin. Áirítear leis an timpeallacht an bainisteoir córais siste, leabharlann Glibc, an uirlis tógála Buildroot, an lódóir tosaithe GRUB, an cumróir líonra olc, an t-am rite coimeádán do choimeádáin scoite, ardán ceolfhoirne coimeádán Kubernetes, an aws-iam-authenticator, agus an Amazon Gníomhaire ECS.
Tagann uirlisí orchestration coimeádán i gcoimeádán bainistíochta ar leithligh atá cumasaithe de réir réamhshocraithe agus a bhainistiú tríd an API agus Gníomhaire SSM AWS. Níl blaosc ordaithe, freastalaí SSH agus teangacha léirmhínithe ag an mbuníomhá (mar shampla, gan Python nó Perl) - cuirtear uirlisí riaracháin agus uirlisí dífhabhtaithe i gcoimeádán seirbhíse ar leith, atá díchumasaithe de réir réamhshocraithe.
Is é an príomhdhifríocht ó dháiltí comhchosúla cosúil le Fedora CoreOS, CentOS / Red Hat Atomic Host ná an príomhfhócas ar an tslándáil uasta a sholáthar i gcomhthéacs cosaint an chórais a neartú ó bhagairtí féideartha, rud a fhágann go bhfuil sé níos deacra leochaileachtaí i gcomhpháirteanna OS a shaothrú agus leithlisiú coimeádán a mhéadú. . Cruthaítear coimeádáin ag baint úsáide as meicníochtaí caighdeánacha eithne Linux - cgroups, ainmspásanna agus seccomp. Le haghaidh aonrú breise, úsáideann an dáileadh SELinux i mód “forfheidhmiúcháin”.
Tá an deighilt fréimhe suite inléite amháin, agus tá an laindéal socruithe /etc suite i tmpfs agus á athchóiriú go dtí a staid bhunaidh tar éis atosaithe. Ní thacaítear le modhnú díreach comhaid san eolaire /etc, mar shampla /etc/resolv.conf agus /etc/containerd/config.toml - chun socruithe a shábháil go buan, ní mór duit an API a úsáid nó an fheidhmiúlacht a bhogadh i gcoimeádáin ar leith. Úsáidtear an modúl dm-verity chun sláine an fhréamhdheighilte a fhíorú go cripteach, agus má aimsítear iarracht sonraí a mhodhnú ag leibhéal an ghléis bloc, atosaíonn an córas.
Tá an chuid is mó de na comhpháirteanna córais scríofa i Rust, a sholáthraíonn gnéithe cuimhne-sábháilte chun leochaileachtaí a sheachaint de bharr rochtain saor ó chuimhne, dereferences pointeoir nialasach, agus róchaiteachas maolánach. Agus na modhanna tiomsaithe á dtógáil de réir réamhshocraithe, úsáidtear na modhanna tiomsaithe "-enable-default-pie" agus "-enable-default-ssp" chun an spás seolta comhaid inrite (PIE) a randamú agus chun cosaint a dhéanamh i gcoinne róshreafaí stoic trí ionadú canáraí. I gcás pacáistí atá scríofa i C/C++, tá na bratacha “-Wall”, “-Werror=format-security”, “-Wp, -D_FORTIFY_SOURCE=2”, “-Wp, -D_GLIBCXX_ASSERTIONS” agus “-fstack-clash” chomh maith cumasaithe -protection".
Sa scaoileadh nua:
- Предложено два новых варианта дистрибутива aws-k8s-1.20 и vmware-k8s-1.20 c поддержкой Kubernetes 1.20. В данных вариантах, а также в обновлённом варианте aws-ecs-1, задействован новый выпуск ядра Linux 5.10. Режим lockdown по умолчанию переведён в значение «integrity» (блокируются возможности, позволяющие вносить изменения в работающее ядро из пространства пользователя). Прекращена поддержка варианта aws-k8s-1.15 на базе Kubernetes 1.15.
- Для Amazon ECS реализована поддержка сетевого режима awsvpc, позволяющего выделять отдельные сетевых интерфейсы и внутренние IP-адреса для каждой задачи.
- Добавлены настройки для управления различными параметрами Kubernetes, включая QPS, лимиты на пулы и возможность подключения к облачным провайдерам, отличным от AWS.
- В bootstrap-контейнере обеспечено ограничение доступа к данным пользователя при помощи SELinux.
- Добавлена утилита resize2fs.
Foinse: oscailtenet.ru