Tha an sgaoileadh Linux Bottlerocket 1.2.0 ri fhaighinn, air a leasachadh le com-pàirt Amazon airson soithichean iomallach a chuir air bhog gu h-èifeachdach agus gu tèarainte. Tha innealan agus co-phàirtean smachd an sgaoilidh air an sgrìobhadh ann an Rust agus air an sgaoileadh fo cheadan MIT agus Apache 2.0. Bidh e a’ toirt taic do bhith a’ ruith Bottlerocket air cruinneachaidhean Amazon ECS, VMware agus AWS EKS Kubernetes, a bharrachd air a bhith a’ cruthachadh toglaichean àbhaisteach agus deasachaidhean a leigeas le diofar innealan orchestration agus runtime a chleachdadh airson soithichean.
Tha an cuairteachadh a’ toirt seachad ìomhaigh siostam do-roinnte ùrachadh gu h-atamach agus gu fèin-ghluasadach a tha a’ toirt a-steach an kernel Linux agus àrainneachd siostam as ìsle, a’ toirt a-steach dìreach na pàirtean a tha riatanach airson soithichean a ruith. Tha an àrainneachd a’ toirt a-steach manaidsear siostam siostam, leabharlann Glibc, inneal togail Buildroot, an inneal-luachaidh GRUB, an rèiteachadh lìonra aingidh, an ùine ruith airson soithichean iomallach, àrd-ùrlar orchestration container Kubernetes, an aws-iam-authenticator, agus an Amazon Neach-ionaid ECS.
Bidh innealan orchestration container a’ tighinn a-steach ann an soitheach riaghlaidh air leth a tha air a chomasachadh gu bunaiteach agus air a riaghladh tron Agent API agus AWS SSM. Chan eil slige òrduigh, frithealaiche SSH agus cànanan eadar-mhìneachaidh aig an ìomhaigh bhunaiteach (mar eisimpleir, gun Python no Perl) - tha innealan rianachd agus innealan deasbaid air an cur ann an soitheach seirbheis air leth, a tha ciorramach gu bunaiteach.
Is e am prìomh eadar-dhealachadh bho sgaoilidhean coltach ris leithid Fedora CoreOS, CentOS / Red Hat Atomic Host am prìomh fhòcas air a bhith a’ toirt seachad an tèarainteachd as motha ann an co-theacsa dìon siostam a neartachadh bho chunnartan a dh’ fhaodadh a bhith ann, ga dhèanamh nas duilghe brath a ghabhail air so-leòntachd ann an co-phàirtean OS agus àrdachadh iomallachd container . Tha soithichean air an cruthachadh a’ cleachdadh uidheamachdan kernel Linux àbhaisteach - cgroups, ainmean-àite agus seccomp. Airson aonaranachd a bharrachd, bidh an cuairteachadh a’ cleachdadh SELinux ann am modh “èigneachaidh”.
Tha an sgaradh freumha air a chuir suas ri leughadh a-mhàin, agus tha an sgaradh roghainnean /etc air a chuir suas ann an tmpfs agus air ath-nuadhachadh chun staid thùsail aige às deidh ath-thòiseachadh. Chan eil taic ri atharrachadh dìreach air faidhlichean san eòlaire /etc, leithid /etc/resolv.conf agus /etc/containerd/config.toml, - gus roghainnean a shàbhaladh gu maireannach, feumaidh tu an API a chleachdadh no an gnìomh a ghluasad gu soithichean fa leth. Tha am modal dm-verity air a chleachdadh gus ionracas an sgaradh freumh a dhearbhadh gu criptografach, agus ma lorgar oidhirp air dàta atharrachadh aig ìre inneal bloca, bidh an siostam ag ath-thòiseachadh.
Tha a’ mhòr-chuid de cho-phàirtean an t-siostaim sgrìobhte ann an Rust, a tha a’ toirt seachad feartan cuimhne-sàbhailte gus so-leòntachd a sheachnadh air adhbhrachadh le slighean cuimhne às deidh an-asgaidh, ro-aithrisean puing null, agus cus bufair. Nuair a thathar a’ togail gu bunaiteach, bithear a’ cleachdadh na modhan cruinneachaidh “-enable-default-pie” agus “-enable-default-ssp” gus àite seòladh faidhle so-ghnìomhaichte (PIE) a chur air thuaiream agus dìon an aghaidh stacan a’ cur thairis tro ionadachadh canàrraidh. Airson pasganan sgrìobhte ann an C / C ++, tha na brataichean “-Wall”, “-Werror=format-security”, “-Wp, -D_FORTIFY_SOURCE=2”, “-Wp, -D_GLIBCXX_ASSERTIONS” agus “-fstack-clash” cuideachd comas -dìon".
Anns an fhoillseachadh ùr:
- Taic a bharrachd airson sgàthan clàraidh ìomhaighean container.
- Chuir sinn ris a’ chomas teisteanasan fèin-shoidhnichte a chleachdadh.
- Roghainn a bharrachd gus ainm aoigheachd a rèiteachadh.
- Chaidh an dreach bunaiteach den ghobhar rianachd ùrachadh.
- TopologyManager air a chur risRoghainnean poileasaidh agus topologyManagerScope airson kubelet.
- Taic a bharrachd airson teannachadh kernel a’ cleachdadh an algairim zstd.
- Tha comas air innealan brìgheil a luchdachadh gu VMware ann an cruth OVA (Open Virtualization Format).
- Chaidh an dreach cuairteachaidh aws-k8s-1.21 ùrachadh le taic airson Kubernetes 1.21. Tha taic airson aws-k8s-1.16 air a stad.
- Tionndaidhean pacaid ùraichte agus eisimeileachd airson cànan Rust.
Source: fosgailtenet.ru