Foilsíodh scaoileadh Bottlerocket 1.7.0 dáileacháin Linux, a forbraíodh le rannpháirtíocht Amazon chun coimeádáin scoite a sheoladh go héifeachtach agus go slán. Scríobhtar uirlisí agus comhpháirteanna rialaithe an dáileacháin i Rust agus déantar iad a dháileadh faoi cheadúnais MIT agus Apache 2.0. Tacaíonn sé le Bottlerocket a reáchtáil ar bhraislí Amazon ECS, VMware agus AWS EKS Kubernetes, chomh maith le tógáil saincheaptha agus eagráin a chruthú a cheadaíonn úsáid a bhaint as uirlisí éagsúla orchestration agus am rite le haghaidh coimeádáin.
Soláthraíonn an dáileadh íomhá córais doroinnte a nuashonraítear go adamhach agus go huathoibríoch a chuimsíonn an eithne Linux agus timpeallacht an chórais íosta, lena n-áirítear na comhpháirteanna is gá chun coimeádáin a rith amháin. Áirítear leis an timpeallacht an bainisteoir córais siste, leabharlann Glibc, an uirlis tógála Buildroot, an lódóir tosaithe GRUB, an cumróir líonra olc, an t-am rite coimeádán do choimeádáin scoite, ardán ceolfhoirne coimeádán Kubernetes, an aws-iam-authenticator, agus an Amazon Gníomhaire ECS.
Tagann uirlisí orchestration coimeádán i gcoimeádán bainistíochta ar leithligh atá cumasaithe de réir réamhshocraithe agus a bhainistiú tríd an API agus Gníomhaire SSM AWS. Níl blaosc ordaithe, freastalaí SSH agus teangacha léirmhínithe ag an mbuníomhá (mar shampla, gan Python nó Perl) - cuirtear uirlisí riaracháin agus uirlisí dífhabhtaithe i gcoimeádán seirbhíse ar leith, atá díchumasaithe de réir réamhshocraithe.
Is é an príomhdhifríocht ó dháiltí comhchosúla cosúil le Fedora CoreOS, CentOS / Red Hat Atomic Host ná an príomhfhócas ar an tslándáil uasta a sholáthar i gcomhthéacs cosaint an chórais a neartú ó bhagairtí féideartha, rud a fhágann go bhfuil sé níos deacra leochaileachtaí i gcomhpháirteanna OS a shaothrú agus leithlisiú coimeádán a mhéadú. . Cruthaítear coimeádáin ag baint úsáide as meicníochtaí caighdeánacha eithne Linux - cgroups, ainmspásanna agus seccomp. Le haghaidh aonrú breise, úsáideann an dáileadh SELinux i mód “forfheidhmiúcháin”.
Tá an deighilt fréimhe suite inléite amháin, agus tá an laindéal socruithe /etc suite i tmpfs agus á athchóiriú go dtí a staid bhunaidh tar éis atosaithe. Ní thacaítear le modhnú díreach comhaid san eolaire /etc, mar shampla /etc/resolv.conf agus /etc/containerd/config.toml - chun socruithe a shábháil go buan, ní mór duit an API a úsáid nó an fheidhmiúlacht a bhogadh i gcoimeádáin ar leith. Úsáidtear an modúl dm-verity chun sláine an fhréamhdheighilte a fhíorú go cripteach, agus má aimsítear iarracht sonraí a mhodhnú ag leibhéal an ghléis bloc, atosaíonn an córas.
Tá an chuid is mó de na comhpháirteanna córais scríofa i Rust, a sholáthraíonn gnéithe cuimhne-sábháilte chun leochaileachtaí a sheachaint de bharr rochtain saor ó chuimhne, dereferences pointeoir nialasach, agus róchaiteachas maolánach. Agus na modhanna tiomsaithe á dtógáil de réir réamhshocraithe, úsáidtear na modhanna tiomsaithe "-enable-default-pie" agus "-enable-default-ssp" chun an spás seolta comhaid inrite (PIE) a randamú agus chun cosaint a dhéanamh i gcoinne róshreafaí stoic trí ionadú canáraí. I gcás pacáistí atá scríofa i C/C++, tá na bratacha “-Wall”, “-Werror=format-security”, “-Wp, -D_FORTIFY_SOURCE=2”, “-Wp, -D_GLIBCXX_ASSERTIONS” agus “-fstack-clash” chomh maith cumasaithe -protection".
Sa scaoileadh nua:
- При установке RPM-пакетов обеспечена генерации списка программ в формате JSON и монтирование его в host-контейнер как файл /var/lib/bottlerocket/inventory/application.json для получения информации о доступных пакетах.
- Обновлены контейнеры «admin» и «control».
- Обновлены версии пакетов и зависимости для языков Go и Rust.
- Обновлены версии пакетов со сторонними программами.
- Решены проблемы с конфигурацией tmpfilesd для kmod-5.10-nvidia.
- При установке tuftool обеспечена привязка версий зависимостей.
Foinse: oscailtenet.ru