Foilsíodh scaoileadh Bottlerocket 1.3.0 dáileacháin Linux, a forbraíodh le rannpháirtíocht Amazon chun coimeádáin scoite a sheoladh go héifeachtach agus go slán. Scríobhtar uirlisí agus comhpháirteanna rialaithe an dáileacháin i Rust agus déantar iad a dháileadh faoi cheadúnais MIT agus Apache 2.0. Tacaíonn sé le Bottlerocket a reáchtáil ar bhraislí Amazon ECS, VMware agus AWS EKS Kubernetes, chomh maith le tógáil saincheaptha agus eagráin a chruthú a cheadaíonn úsáid a bhaint as uirlisí éagsúla orchestration agus am rite le haghaidh coimeádáin.
Soláthraíonn an dáileadh íomhá córais doroinnte a nuashonraítear go adamhach agus go huathoibríoch a chuimsíonn an eithne Linux agus timpeallacht an chórais íosta, lena n-áirítear na comhpháirteanna is gá chun coimeádáin a rith amháin. Áirítear leis an timpeallacht an bainisteoir córais siste, leabharlann Glibc, an uirlis tógála Buildroot, an lódóir tosaithe GRUB, an cumróir líonra olc, an t-am rite coimeádán do choimeádáin scoite, ardán ceolfhoirne coimeádán Kubernetes, an aws-iam-authenticator, agus an Amazon Gníomhaire ECS.
Tagann uirlisí orchestration coimeádán i gcoimeádán bainistíochta ar leithligh atá cumasaithe de réir réamhshocraithe agus a bhainistiú tríd an API agus Gníomhaire SSM AWS. Níl blaosc ordaithe, freastalaí SSH agus teangacha léirmhínithe ag an mbuníomhá (mar shampla, gan Python nó Perl) - cuirtear uirlisí riaracháin agus uirlisí dífhabhtaithe i gcoimeádán seirbhíse ar leith, atá díchumasaithe de réir réamhshocraithe.
Is é an príomhdhifríocht ó dháiltí comhchosúla cosúil le Fedora CoreOS, CentOS / Red Hat Atomic Host ná an príomhfhócas ar an tslándáil uasta a sholáthar i gcomhthéacs cosaint an chórais a neartú ó bhagairtí féideartha, rud a fhágann go bhfuil sé níos deacra leochaileachtaí i gcomhpháirteanna OS a shaothrú agus leithlisiú coimeádán a mhéadú. . Cruthaítear coimeádáin ag baint úsáide as meicníochtaí caighdeánacha eithne Linux - cgroups, ainmspásanna agus seccomp. Le haghaidh aonrú breise, úsáideann an dáileadh SELinux i mód “forfheidhmiúcháin”.
Tá an deighilt fréimhe suite inléite amháin, agus tá an laindéal socruithe /etc suite i tmpfs agus á athchóiriú go dtí a staid bhunaidh tar éis atosaithe. Ní thacaítear le modhnú díreach comhaid san eolaire /etc, mar shampla /etc/resolv.conf agus /etc/containerd/config.toml - chun socruithe a shábháil go buan, ní mór duit an API a úsáid nó an fheidhmiúlacht a bhogadh i gcoimeádáin ar leith. Úsáidtear an modúl dm-verity chun sláine an fhréamhdheighilte a fhíorú go cripteach, agus má aimsítear iarracht sonraí a mhodhnú ag leibhéal an ghléis bloc, atosaíonn an córas.
Tá an chuid is mó de na comhpháirteanna córais scríofa i Rust, a sholáthraíonn gnéithe cuimhne-sábháilte chun leochaileachtaí a sheachaint de bharr rochtain saor ó chuimhne, dereferences pointeoir nialasach, agus róchaiteachas maolánach. Agus na modhanna tiomsaithe á dtógáil de réir réamhshocraithe, úsáidtear na modhanna tiomsaithe "-enable-default-pie" agus "-enable-default-ssp" chun an spás seolta comhaid inrite (PIE) a randamú agus chun cosaint a dhéanamh i gcoinne róshreafaí stoic trí ionadú canáraí. I gcás pacáistí atá scríofa i C/C++, tá na bratacha “-Wall”, “-Werror=format-security”, “-Wp, -D_FORTIFY_SOURCE=2”, “-Wp, -D_GLIBCXX_ASSERTIONS” agus “-fstack-clash” chomh maith cumasaithe -protection".
Sa scaoileadh nua:
- Bhain leochaileachtaí seasta in uirlisí coimeádaithe docker agus am rite (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) le socrú mícheart ar chearta rochtana, rud a chuir ar chumas úsáideoirí neamhphribhléideacha dul thar an mbonn eolaire agus cláir sheachtracha a rith.
- Tá tacaíocht IPv6 curtha le kubelet agus plútón.
- Is féidir an coimeádán a atosú tar éis dó a chuid socruithe a athrú.
- Tá tacaíocht do chásanna Amazon EC2 M6i curtha leis an bpacáiste eni-max-pods.
- Chuir Open-vm-tools tacaíocht do scagairí gléasanna, bunaithe ar fhoireann uirlisí Cilium.
- Maidir leis an ardán x86_64, cuirtear modh tosaithe hibrideach i bhfeidhm (le tacaíocht do EFI agus BIOS).
- Leaganacha pacáiste nuashonraithe agus spleáchais don teanga Rust.
- Cuireadh deireadh le tacaíocht don leagan dáileacháin aws-k8s-1.17 bunaithe ar Kubernetes 1.17. Moltar an leagan aws-k8s-1.21 a úsáid le tacaíocht do Kubernetes 1.21. Úsáideann na leaganacha k8s na socruithe cgroup runtime.slice agus system.slice.
Foinse: oscailtenet.ru