Tha an sgaoileadh Linux Bottlerocket 1.1.0 ri fhaighinn, air a leasachadh le com-pàirt Amazon airson soithichean iomallach a chuir air bhog gu h-èifeachdach agus gu tèarainte. Tha innealan agus co-phàirtean smachd an sgaoilidh air an sgrìobhadh ann an Rust agus air an sgaoileadh fo cheadan MIT agus Apache 2.0. Bidh e a ’toirt taic do bhith a’ ruith Bottlerocket ann an cruinneachaidhean Amazon ECS agus AWS EKS Kubernetes, a bharrachd air a bhith a ’cruthachadh toglaichean àbhaisteach agus deasachaidhean a leigeas le diofar innealan orchestration agus runtime a chleachdadh airson soithichean.
Tha an cuairteachadh a’ toirt seachad ìomhaigh siostam do-roinnte ùrachadh gu h-atamach agus gu fèin-ghluasadach a tha a’ toirt a-steach an kernel Linux agus àrainneachd siostam as ìsle, a’ toirt a-steach dìreach na pàirtean a tha riatanach airson soithichean a ruith. Tha an àrainneachd a’ toirt a-steach manaidsear siostam siostam, leabharlann Glibc, inneal togail Buildroot, an inneal-luachaidh GRUB, an rèiteachadh lìonra aingidh, an ùine ruith airson soithichean iomallach, àrd-ùrlar orchestration container Kubernetes, an aws-iam-authenticator, agus an Amazon Neach-ionaid ECS.
Bidh innealan orchestration container a’ tighinn a-steach ann an soitheach riaghlaidh air leth a tha air a chomasachadh gu bunaiteach agus air a riaghladh tron Agent API agus AWS SSM. Chan eil slige òrduigh, frithealaiche SSH agus cànanan eadar-mhìneachaidh aig an ìomhaigh bhunaiteach (mar eisimpleir, gun Python no Perl) - tha innealan rianachd agus innealan deasbaid air an cur ann an soitheach seirbheis air leth, a tha ciorramach gu bunaiteach.
Is e am prìomh eadar-dhealachadh bho sgaoilidhean coltach ris leithid Fedora CoreOS, CentOS / Red Hat Atomic Host am prìomh fhòcas air a bhith a’ toirt seachad an tèarainteachd as motha ann an co-theacsa dìon siostam a neartachadh bho chunnartan a dh’ fhaodadh a bhith ann, ga dhèanamh nas duilghe brath a ghabhail air so-leòntachd ann an co-phàirtean OS agus àrdachadh iomallachd container . Tha soithichean air an cruthachadh a’ cleachdadh uidheamachdan kernel Linux àbhaisteach - cgroups, ainmean-àite agus seccomp. Airson aonaranachd a bharrachd, bidh an cuairteachadh a’ cleachdadh SELinux ann am modh “èigneachaidh”.
Tha an sgaradh freumha air a chuir suas ri leughadh a-mhàin, agus tha an sgaradh roghainnean /etc air a chuir suas ann an tmpfs agus air ath-nuadhachadh chun staid thùsail aige às deidh ath-thòiseachadh. Chan eil taic ri atharrachadh dìreach air faidhlichean san eòlaire /etc, leithid /etc/resolv.conf agus /etc/containerd/config.toml, - gus roghainnean a shàbhaladh gu maireannach, feumaidh tu an API a chleachdadh no an gnìomh a ghluasad gu soithichean fa leth. Tha am modal dm-verity air a chleachdadh gus ionracas an sgaradh freumh a dhearbhadh gu criptografach, agus ma lorgar oidhirp air dàta atharrachadh aig ìre inneal bloca, bidh an siostam ag ath-thòiseachadh.
Tha a’ mhòr-chuid de cho-phàirtean an t-siostaim sgrìobhte ann an Rust, a tha a’ toirt seachad feartan cuimhne-sàbhailte gus so-leòntachd a sheachnadh air adhbhrachadh le slighean cuimhne às deidh an-asgaidh, ro-aithrisean puing null, agus cus bufair. Nuair a thathar a’ togail gu bunaiteach, bithear a’ cleachdadh na modhan cruinneachaidh “-enable-default-pie” agus “-enable-default-ssp” gus àite seòladh faidhle so-ghnìomhaichte (PIE) a chur air thuaiream agus dìon an aghaidh stacan a’ cur thairis tro ionadachadh canàrraidh. Airson pasganan sgrìobhte ann an C / C ++, tha na brataichean “-Wall”, “-Werror=format-security”, “-Wp, -D_FORTIFY_SOURCE=2”, “-Wp, -D_GLIBCXX_ASSERTIONS” agus “-fstack-clash” cuideachd comas -dìon".
Anns an fhoillseachadh ùr:
- Chaidh dà roghainn sgaoilidh ùr aws-k8s-1.20 agus vmware-k8s-1.20 le taic airson Kubernetes 1.20 a mholadh. Bidh na caochlaidhean sin, a bharrachd air an dreach ùraichte aws-ecs-1, a’ cleachdadh an sgaoileadh ùr Linux kernel 5.10. Tha am modh glasaidh air a shuidheachadh gu “ionracas” gu bunaiteach (tha comasan a leigeas le atharrachaidhean a dhèanamh air an kernel ruith bho àite luchd-cleachdaidh air am bacadh). Chaidh stad a chuir air taic airson an tionndadh aws-k8s-1.15 stèidhichte air Kubernetes 1.15.
- Tha Amazon ECS a 'toirt taic do mhodh lìonra awsvpc, a leigeas leat eadar-aghaidh lìonra fa leth agus seòlaidhean IP a-staigh a riarachadh airson gach gnìomh.
- Suidhichidhean a bharrachd gus smachd a chumail air diofar pharaimearan Kubernetes, a ’toirt a-steach QPS, crìochan amar, agus an comas ceangal ri solaraichean sgòthan a bharrachd air AWS.
- Tha an soitheach bootstrap a’ toirt casg air ruigsinneachd air dàta luchd-cleachdaidh a’ cleachdadh SELinux.
- Chaidh goireas ath-mheudachadh 2fs a chur ris.
Source: fosgailtenet.ru