Companaidh Amazon a’ chiad fhoillseachadh cudromach de sgaoileadh Linux sònraichte , air a dhealbhadh gus soithichean iomallach a ruith gu h-èifeachdach agus gu tèarainte. Tha innealan agus co-phàirtean smachd an sgaoilidh sgrìobhte ann an Rust agus fo cheadan MIT agus Apache 2.0. Tha am pròiseact ga leasachadh air GitHub agus tha e ri fhaotainn airson com-pàirteachadh le buill na coimhearsnachd. Tha ìomhaigh cleachdadh an t-siostaim air a chruthachadh airson ailtireachd x86_64 agus Aarch64. Tha an OS air atharrachadh gus a ruith air cruinneachaidhean Amazon ECS agus AWS EKS Kubernetes. innealan airson na co-chruinneachaidhean agus na deasachaidhean agad fhèin a chruthachadh, a chleachdas innealan orcastra eile, kernels agus ùine ruith airson soithichean.
Tha an cuairteachadh a ’toirt seachad an kernel Linux agus àrainneachd siostam as ìsle, a’ toirt a-steach dìreach na pàirtean a tha riatanach airson soithichean a ruith. Am measg nam pasganan a tha an sàs sa phròiseact tha am manaidsear siostam systemd, leabharlann Glibc, agus na h-innealan cruinneachaidh
Buildroot, bootloader GRUB, rèitiche lìonra , ùine ruith airson soithichean iomallach , Àrd-ùrlar orchestration container Kubernetes, aws-iam-authenticator, agus àidseant Amazon ECS.
Tha an cuairteachadh air ùrachadh gu atamach agus air a lìbhrigeadh ann an cruth ìomhaigh siostam do-sheachanta. Tha dà sgaradh diosc air an riarachadh airson an t-siostam, aon dhiubh anns a bheil an siostam gnìomhach, agus tha an ùrachadh air a chopaigeadh chun dàrna fear. Às deidh an ùrachadh a bhith air a chuir a-steach, bidh an dàrna pàirt gnìomhach, agus anns a ’chiad fhear, gus an tig an ath ùrachadh, thèid an dreach roimhe den t-siostam a shàbhaladh, agus faodaidh tu a dhol air ais ma dh’ èiricheas duilgheadasan. Thèid ùrachaidhean a chuir a-steach gu fèin-ghluasadach às aonais eadar-theachd rianaire.
Is e am prìomh eadar-dhealachadh bho sgaoilidhean coltach ris leithid Fedora CoreOS, CentOS / Red Hat Atomic Host am prìomh fhòcas air solarachadh ann an co-theacsa dìon siostam a neartachadh bho chunnartan a dh’ fhaodadh a bhith ann, ga dhèanamh nas duilghe brath a ghabhail air so-leòntachd ann an co-phàirtean OS agus a bhith ag àrdachadh iomallachd shoithichean. Tha soithichean air an cruthachadh a’ cleachdadh uidheamachdan kernel Linux àbhaisteach - cgroups, ainmean-àite agus seccomp. Airson aonaranachd a bharrachd, bidh an cuairteachadh a’ cleachdadh SELinux anns a’ mhodh “èigneachaidh”, agus tha am modal air a chleachdadh airson dearbhadh criptografach air ionracas an sgaradh freumh. . Ma lorgar oidhirp air dàta atharrachadh aig ìre inneal bloca, tòisichidh an siostam.
Tha an sgaradh freumha air a chuir suas ri leughadh a-mhàin, agus tha an sgaradh roghainnean /etc air a chuir suas ann an tmpfs agus air ath-nuadhachadh chun staid thùsail aige às deidh ath-thòiseachadh. Chan eil taic ri atharrachadh dìreach air faidhlichean san eòlaire /etc, leithid /etc/resolv.conf agus /etc/containerd/config.toml, - gus roghainnean a shàbhaladh gu maireannach, feumaidh tu an API a chleachdadh no an gnìomh a ghluasad gu soithichean fa leth.
Tha a’ mhòr-chuid de cho-phàirtean an t-siostaim sgrìobhte ann an Rust, a tha a’ toirt seachad feartan cuimhne-sàbhailte gus so-leòntachd a sheachnadh air adhbhrachadh le slighean cuimhne às deidh an-asgaidh, ro-aithrisean puing null, agus cus bufair. Nuair a bhios tu a’ togail gu bunaiteach, bithear a’ cleachdadh na modhan cruinneachaidh “--enable-default-pie” agus “--enable-default-ssp” gus àite seòlaidh nam faidhlichean so-ghnìomhaichte a dhèanamh air thuaiream () agus cruachan dìon thar-shruth tro ionadachadh canary.
Airson pasganan sgrìobhte ann an C / C ++, tha brataichean a bharrachd air an toirt a-steach
"-Wall", "-Werror=format-security", "-Wp, -D_FORTIFY_SOURCE=2", "-Wp, -D_GLIBCXX_ASSERTIONS" agus "-fstack-clash-protection".
Tha innealan orchestration container air an toirt seachad air leth , a tha air a chomasachadh gu bunaiteach agus air a riaghladh tro agus AWS SSM Agent. Chan eil slige-àithne, frithealaiche SSH agus cànanan eadar-mhìneachaidh aig an ìomhaigh bhunaiteach (mar eisimpleir, gun Python no Perl) - tha innealan rianachd agus innealan deasbaid suidhichte ann an , a tha ciorramach gu bunaiteach.
Source: fosgailtenet.ru