Chaidh foillseachadh an sgaoileadh Linux Bottlerocket 1.8.0 fhoillseachadh, air a leasachadh le com-pàirt Amazon airson soithichean iomallach a chuir air bhog gu h-èifeachdach agus gu tèarainte. Tha innealan agus co-phàirtean smachd an sgaoilidh air an sgrìobhadh ann an Rust agus air an sgaoileadh fo cheadan MIT agus Apache 2.0. Bidh e a ’toirt taic do bhith a’ ruith Bottlerocket air cruinneachaidhean Amazon ECS, VMware agus AWS EKS Kubernetes, a bharrachd air a bhith a ’cruthachadh toglaichean àbhaisteach agus deasachaidhean a leigeas le diofar innealan orchestration agus runtime a chleachdadh airson soithichean.
Tha an cuairteachadh a’ toirt seachad ìomhaigh siostam do-roinnte ùrachadh gu h-atamach agus gu fèin-ghluasadach a tha a’ toirt a-steach an kernel Linux agus àrainneachd siostam as ìsle, a’ toirt a-steach dìreach na pàirtean a tha riatanach airson soithichean a ruith. Tha an àrainneachd a’ toirt a-steach manaidsear siostam siostam, leabharlann Glibc, inneal togail Buildroot, an inneal-luachaidh GRUB, an rèiteachadh lìonra aingidh, an ùine ruith airson soithichean iomallach, àrd-ùrlar orchestration container Kubernetes, an aws-iam-authenticator, agus an Amazon Neach-ionaid ECS.
Bidh innealan orchestration container a’ tighinn a-steach ann an soitheach riaghlaidh air leth a tha air a chomasachadh gu bunaiteach agus air a riaghladh tron Agent API agus AWS SSM. Chan eil slige òrduigh, frithealaiche SSH agus cànanan eadar-mhìneachaidh aig an ìomhaigh bhunaiteach (mar eisimpleir, gun Python no Perl) - tha innealan rianachd agus innealan deasbaid air an cur ann an soitheach seirbheis air leth, a tha ciorramach gu bunaiteach.
Is e am prìomh eadar-dhealachadh bho sgaoilidhean coltach ris leithid Fedora CoreOS, CentOS / Red Hat Atomic Host am prìomh fhòcas air a bhith a’ toirt seachad an tèarainteachd as motha ann an co-theacsa dìon siostam a neartachadh bho chunnartan a dh’ fhaodadh a bhith ann, ga dhèanamh nas duilghe brath a ghabhail air so-leòntachd ann an co-phàirtean OS agus àrdachadh iomallachd container . Tha soithichean air an cruthachadh a’ cleachdadh uidheamachdan kernel Linux àbhaisteach - cgroups, ainmean-àite agus seccomp. Airson aonaranachd a bharrachd, bidh an cuairteachadh a’ cleachdadh SELinux ann am modh “èigneachaidh”.
Tha an sgaradh freumha air a chuir suas ri leughadh a-mhàin, agus tha an sgaradh roghainnean /etc air a chuir suas ann an tmpfs agus air ath-nuadhachadh chun staid thùsail aige às deidh ath-thòiseachadh. Chan eil taic ri atharrachadh dìreach air faidhlichean san eòlaire /etc, leithid /etc/resolv.conf agus /etc/containerd/config.toml, - gus roghainnean a shàbhaladh gu maireannach, feumaidh tu an API a chleachdadh no an gnìomh a ghluasad gu soithichean fa leth. Tha am modal dm-verity air a chleachdadh gus ionracas an sgaradh freumh a dhearbhadh gu criptografach, agus ma lorgar oidhirp air dàta atharrachadh aig ìre inneal bloca, bidh an siostam ag ath-thòiseachadh.
Tha a’ mhòr-chuid de cho-phàirtean an t-siostaim sgrìobhte ann an Rust, a tha a’ toirt seachad feartan cuimhne-sàbhailte gus so-leòntachd a sheachnadh air adhbhrachadh le slighean cuimhne às deidh an-asgaidh, ro-aithrisean puing null, agus cus bufair. Nuair a thathar a’ togail gu bunaiteach, bithear a’ cleachdadh na modhan cruinneachaidh “-enable-default-pie” agus “-enable-default-ssp” gus àite seòladh faidhle so-ghnìomhaichte (PIE) a chur air thuaiream agus dìon an aghaidh stacan a’ cur thairis tro ionadachadh canàrraidh. Airson pasganan sgrìobhte ann an C / C ++, tha na brataichean “-Wall”, “-Werror=format-security”, “-Wp, -D_FORTIFY_SOURCE=2”, “-Wp, -D_GLIBCXX_ASSERTIONS” agus “-fstack-clash” cuideachd comas -dìon".
Anns an fhoillseachadh ùr:
- Chaidh susbaint nan soithichean rianachd is smachd ùrachadh.
- Chaidh ùine ruith airson soithichean iomallach ùrachadh chun mheur 1.6.x le soithichean.
- A’ dèanamh cinnteach gun tèid pròiseasan cùl-fhiosrachaidh a bhios a’ co-òrdanachadh obrachadh shoithichean ath-thòiseachadh às deidh atharrachaidhean air stòr an teisteanais.
- Tha e comasach paramadairean bròg kernel a shuidheachadh tron roinn Boot Configuration.
- Air a chomasachadh le bhith a’ seachnadh bhlocaichean falamh nuair a thathar a’ cumail sùil air ionracas an sgaradh freumh a’ cleachdadh dm-verity.
- Chaidh an comas ainmean aoigheachd a cheangal gu statach ann an / etc/hosts.
- Chaidh an comas rèiteachadh lìonra a ghineadh a’ cleachdadh goireas netdog a thoirt seachad (chaidh an àithne Generation-net-config a chur ris).
- Chaidh roghainnean cuairteachaidh ùra le taic airson Kubernetes 1.23 a mholadh. Chaidh an ùine tòiseachaidh airson pods ann an Kubernetes a lughdachadh le bhith a’ cuir à comas modh configMapAndSecretChangeDetectionStrategy. Chaidh roghainnean kubelet ùra a chur ris: solaraiche-id agus podPidsLimit.
- Chaidh dreach ùr den phasgan cuairteachaidh “aws-ecs-1-nvidia” airson Amazon Elastic Container Service (Amazon ECS), air a thoirt seachad le draibhearan NVIDIA, a mholadh.
- Taic a bharrachd airson innealan stòraidh Microchip Smart Storage agus MegaRAID SAS. Chaidh taic airson cairtean Ethernet air sgoltagan Broadcom a leudachadh.
- Tionndaidhean pacaid ùraichte agus eisimeileachd airson na cànanan Go and Rust, a bharrachd air dreachan de phasganan le prògraman treas-phàrtaidh. Chaidh Bottlerocket SDK ùrachadh gu dreach 0.26.0.
Source: fosgailtenet.ru