Chaidh foillseachadh an sgaoileadh Linux Bottlerocket 1.3.0 fhoillseachadh, air a leasachadh le com-pàirt Amazon airson soithichean iomallach a chuir air bhog gu h-èifeachdach agus gu tèarainte. Tha innealan agus co-phàirtean smachd an sgaoilidh air an sgrìobhadh ann an Rust agus air an sgaoileadh fo cheadan MIT agus Apache 2.0. Bidh e a ’toirt taic do bhith a’ ruith Bottlerocket air cruinneachaidhean Amazon ECS, VMware agus AWS EKS Kubernetes, a bharrachd air a bhith a ’cruthachadh toglaichean àbhaisteach agus deasachaidhean a leigeas le diofar innealan orchestration agus runtime a chleachdadh airson soithichean.
Tha an cuairteachadh a’ toirt seachad ìomhaigh siostam do-roinnte ùrachadh gu h-atamach agus gu fèin-ghluasadach a tha a’ toirt a-steach an kernel Linux agus àrainneachd siostam as ìsle, a’ toirt a-steach dìreach na pàirtean a tha riatanach airson soithichean a ruith. Tha an àrainneachd a’ toirt a-steach manaidsear siostam siostam, leabharlann Glibc, inneal togail Buildroot, an inneal-luachaidh GRUB, an rèiteachadh lìonra aingidh, an ùine ruith airson soithichean iomallach, àrd-ùrlar orchestration container Kubernetes, an aws-iam-authenticator, agus an Amazon Neach-ionaid ECS.
Bidh innealan orchestration container a’ tighinn a-steach ann an soitheach riaghlaidh air leth a tha air a chomasachadh gu bunaiteach agus air a riaghladh tron Agent API agus AWS SSM. Chan eil slige òrduigh, frithealaiche SSH agus cànanan eadar-mhìneachaidh aig an ìomhaigh bhunaiteach (mar eisimpleir, gun Python no Perl) - tha innealan rianachd agus innealan deasbaid air an cur ann an soitheach seirbheis air leth, a tha ciorramach gu bunaiteach.
Is e am prìomh eadar-dhealachadh bho sgaoilidhean coltach ris leithid Fedora CoreOS, CentOS / Red Hat Atomic Host am prìomh fhòcas air a bhith a’ toirt seachad an tèarainteachd as motha ann an co-theacsa dìon siostam a neartachadh bho chunnartan a dh’ fhaodadh a bhith ann, ga dhèanamh nas duilghe brath a ghabhail air so-leòntachd ann an co-phàirtean OS agus àrdachadh iomallachd container . Tha soithichean air an cruthachadh a’ cleachdadh uidheamachdan kernel Linux àbhaisteach - cgroups, ainmean-àite agus seccomp. Airson aonaranachd a bharrachd, bidh an cuairteachadh a’ cleachdadh SELinux ann am modh “èigneachaidh”.
Tha an sgaradh freumha air a chuir suas ri leughadh a-mhàin, agus tha an sgaradh roghainnean /etc air a chuir suas ann an tmpfs agus air ath-nuadhachadh chun staid thùsail aige às deidh ath-thòiseachadh. Chan eil taic ri atharrachadh dìreach air faidhlichean san eòlaire /etc, leithid /etc/resolv.conf agus /etc/containerd/config.toml, - gus roghainnean a shàbhaladh gu maireannach, feumaidh tu an API a chleachdadh no an gnìomh a ghluasad gu soithichean fa leth. Tha am modal dm-verity air a chleachdadh gus ionracas an sgaradh freumh a dhearbhadh gu criptografach, agus ma lorgar oidhirp air dàta atharrachadh aig ìre inneal bloca, bidh an siostam ag ath-thòiseachadh.
Tha a’ mhòr-chuid de cho-phàirtean an t-siostaim sgrìobhte ann an Rust, a tha a’ toirt seachad feartan cuimhne-sàbhailte gus so-leòntachd a sheachnadh air adhbhrachadh le slighean cuimhne às deidh an-asgaidh, ro-aithrisean puing null, agus cus bufair. Nuair a thathar a’ togail gu bunaiteach, bithear a’ cleachdadh na modhan cruinneachaidh “-enable-default-pie” agus “-enable-default-ssp” gus àite seòladh faidhle so-ghnìomhaichte (PIE) a chur air thuaiream agus dìon an aghaidh stacan a’ cur thairis tro ionadachadh canàrraidh. Airson pasganan sgrìobhte ann an C / C ++, tha na brataichean “-Wall”, “-Werror=format-security”, “-Wp, -D_FORTIFY_SOURCE=2”, “-Wp, -D_GLIBCXX_ASSERTIONS” agus “-fstack-clash” cuideachd comas -dìon".
Anns an fhoillseachadh ùr:
- Bha so-leòntachd stèidhichte ann an innealan glacaidh docker agus runtime (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) co-cheangailte ri suidheachadh ceàrr de chòraichean-slighe, a leig le luchd-cleachdaidh gun bhuannachd a dhol seachad air a’ bhunait. eòlaire agus cuir an gnìomh prògraman taobh a-muigh.
- Chaidh taic IPv6 a chur ri kubelet agus pluto.
- Tha e comasach an soitheach ath-thòiseachadh às deidh dha na roghainnean atharrachadh.
- Chaidh taic airson suidheachaidhean Amazon EC2 M6i a chur ris a’ phacaid eni-max-pods.
- Tha Open-vm-tools air taic a chuir ri sìoltachain inneal, stèidhichte air inneal-innealan Cilium.
- Airson an àrd-ùrlar x86_64, tha modh bròg tar-chinealach air a chuir an gnìomh (le taic airson EFI agus BIOS).
- Tionndaidhean pacaid ùraichte agus eisimeileachd airson cànan Rust.
- Chaidh stad a chuir air taic airson an dreach cuairteachaidh aws-k8s-1.17 stèidhichte air Kubernetes 1.17. Thathas a’ moladh an dreach aws-k8s-1.21 a chleachdadh le taic airson Kubernetes 1.21. Bidh na caochlaidhean k8s a’ cleachdadh na roghainnean runtime.slice cgroup agus system.slice.
Source: fosgailtenet.ru