એમેઝોન કંપની જાહેરાત કરી અંતિમ પ્રકાશન વિશે બોટલરોકેટ - કન્ટેનર ચલાવવા અને તેનું અસરકારક રીતે સંચાલન કરવા માટેનું વિશિષ્ટ વિતરણ.

બોટલરોકેટ (માર્ગ દ્વારા, નાના હોમમેઇડ બ્લેક પાવડર રોકેટને આપવામાં આવેલું નામ) કન્ટેનર માટેનું પ્રથમ ઓએસ નથી, પરંતુ સંભવ છે કે તે AWS સેવાઓ સાથે ડિફોલ્ટ એકીકરણને કારણે વ્યાપક બની જશે. જો કે સિસ્ટમ એમેઝોન ક્લાઉડ પર કેન્દ્રિત છે, ઓપન સોર્સ કોડ તેને ગમે ત્યાં બાંધવાની મંજૂરી આપે છે: સ્થાનિક રીતે સર્વર પર, રાસ્પબેરી પી પર, કોઈપણ સ્પર્ધાત્મક ક્લાઉડમાં અને કન્ટેનર વિનાના વાતાવરણમાં પણ.

આ CoreOS ડિસ્ટ્રિબ્યુશન માટે સંપૂર્ણપણે યોગ્ય રિપ્લેસમેન્ટ છે જે Red Hat દફનાવવામાં આવ્યું છે.

હકીકતમાં, એમેઝોન વેબ સર્વિસીસ વિભાગમાં પહેલેથી જ એમેઝોન લિનક્સ છે, જે તાજેતરમાં તેના બીજા સંસ્કરણમાં બહાર આવ્યું છે: તે એક સામાન્ય હેતુનું વિતરણ છે જે ડોકર કન્ટેનરમાં અથવા Linux KVM, Microsoft Hyper-V, અને VMware સાથે ચલાવી શકાય છે. ESXi હાઇપરવાઇઝર. તે AWS ક્લાઉડ પર ચલાવવા માટે ઑપ્ટિમાઇઝ કરવામાં આવ્યું હતું, પરંતુ Bottlerocket ના પ્રકાશન સાથે, દરેકને વધુ સુરક્ષિત, આધુનિક અને ઓછા સંસાધનોનો ઉપયોગ કરતી નવી સિસ્ટમમાં અપગ્રેડ કરવા માટે પ્રોત્સાહિત કરવામાં આવે છે.

AWS એ Bottlerocket ની જાહેરાત કરી માર્ચ 2020 માં. તેણીએ તરત જ સ્વીકાર્યું કે પ્રેરણાના સ્ત્રોત તરીકે CoreOS, Rancher OS અને Project Atomic ને ટાંકીને આ પ્રથમ "કંટેનર માટેનું લિનક્સ" નથી. ડેવલપર્સે લખ્યું છે કે ઓપરેટિંગ સિસ્ટમ "અમે લાંબા સમયથી એમેઝોનના સ્કેલ પર પ્રોડક્શન સર્વિસીસ ચલાવવાથી શીખેલા પાઠનું પરિણામ છે અને કન્ટેનર કેવી રીતે ચલાવવું તે વિશે છેલ્લા છ વર્ષમાં અમે જે અનુભવ મેળવ્યો છે તેનું પરિણામ છે."

એક્સ્ટ્રીમ મિનિમલિઝમ

Linux એ દરેક વસ્તુને છીનવી લેવામાં આવે છે જે કન્ટેનર ચલાવવા માટે જરૂરી નથી. આ ડિઝાઇન, કંપની અનુસાર, હુમલાની સપાટીને ઘટાડે છે.

આનો અર્થ એ છે કે બેઝ સિસ્ટમ પર ઓછા પેકેજો ઇન્સ્ટોલ કરેલા છે, જે OS ને જાળવવાનું અને અપડેટ કરવાનું સરળ બનાવે છે, અને નિર્ભરતાને કારણે સમસ્યાઓની સંભાવનાને પણ ઘટાડે છે, સંસાધનનો ઉપયોગ ઘટાડે છે. મૂળભૂત રીતે, અહીં દરેક વસ્તુ અલગ કન્ટેનરની અંદર કામ કરે છે, અને અંતર્ગત સિસ્ટમ વ્યવહારીક રીતે ખુલ્લી છે.

એમેઝોને તમામ શેલ્સ અને દુભાષિયાઓને પણ દૂર કર્યા છે, તેનો ઉપયોગ થવાનું જોખમ દૂર કર્યું છે અથવા વપરાશકર્તાઓ આકસ્મિક રીતે વિશેષાધિકારોને વધારી દે છે. ન્યૂનતમવાદ અને સુરક્ષા ખાતર, બેઝ ઇમેજમાં કમાન્ડ શેલ, SSH સર્વર અથવા પાયથોન જેવી અર્થઘટન ભાષાઓનો સમાવેશ થતો નથી. એડમિનિસ્ટ્રેટર ટૂલ્સ એક અલગ સેવા કન્ટેનરમાં મૂકવામાં આવે છે, જે ડિફોલ્ટ રૂપે અક્ષમ હોય છે.

સિસ્ટમ બે રીતે સંચાલિત થાય છે: API અને ઓર્કેસ્ટ્રેશન દ્વારા.

પેકેજ મેનેજરને બદલે જે સૉફ્ટવેરના વ્યક્તિગત ટુકડાઓને અપડેટ કરે છે, Bottlerocket એક સંપૂર્ણ ફાઇલસિસ્ટમ છબી ડાઉનલોડ કરે છે અને તેમાં રીબૂટ કરે છે. જો લોડ નિષ્ફળ જાય છે, તો તે આપમેળે પાછા ફરે છે, અને વર્કલોડ નિષ્ફળતા મેન્યુઅલી રોલબેકને ટ્રિગર કરી શકે છે (API મારફતે આદેશ).

ફ્રેમવર્ક ટીયુએફ (અપડેટ ફ્રેમવર્ક) વૈકલ્પિક અથવા "અનમાઉન્ટેડ" પાર્ટીશનો માટે ઇમેજ-આધારિત અપડેટ્સ ડાઉનલોડ કરે છે. સિસ્ટમ માટે બે ડિસ્ક પાર્ટીશનો ફાળવવામાં આવ્યા છે, જેમાંથી એક સક્રિય સિસ્ટમ ધરાવે છે, અને અપડેટ બીજામાં કૉપિ કરવામાં આવે છે. આ કિસ્સામાં, રુટ પાર્ટીશન ફક્ત વાંચવા માટેના મોડમાં માઉન્ટ થયેલ છે, અને પાર્ટીશન /etc RAM માં ફાઇલ સિસ્ટમ સાથે માઉન્ટ થયેલ છે tmpfs અને પુનઃપ્રારંભ પછી મૂળ સ્થિતિને પુનઃસ્થાપિત કરે છે. માં રૂપરેખાંકન ફાઇલોનું સીધું ફેરફાર /etc સપોર્ટેડ નથી: સેટિંગ્સ સાચવવા માટે તમારે API નો ઉપયોગ કરવો જોઈએ અથવા કાર્યક્ષમતાને અલગ કન્ટેનરમાં ખસેડવું જોઈએ.

API અપડેટ સ્કીમ

સુરક્ષા

કન્ટેનર લિનક્સ કર્નલની પ્રમાણભૂત પદ્ધતિઓ દ્વારા બનાવવામાં આવે છે - cgroups, નેમસ્પેસ અને seccomp, અને તેનો ઉપયોગ ફરજિયાત એક્સેસ કંટ્રોલ સિસ્ટમ તરીકે થાય છે, એટલે કે વધારાના અલગતા માટે SELinux "એન્ફોર્સિંગ" મોડમાં.

મૂળભૂત રીતે, નીતિઓ કન્ટેનર અને કર્નલ વચ્ચે સંસાધનો શેર કરવા માટે સક્ષમ છે. દ્વિસંગી વપરાશકર્તાઓ અથવા પ્રોગ્રામ્સને એક્ઝિક્યુટ કરતા અટકાવવા ફ્લેગ્સ સાથે સુરક્ષિત છે. અને જો કોઈ ફાઇલ સિસ્ટમ પર પહોંચે છે, તો Bottlerocket કોઈપણ ફેરફારોને તપાસવા અને ટ્રૅક કરવા માટે એક સાધન પ્રદાન કરે છે.

"ચકાસાયેલ બૂટ" મોડ ઉપકરણ-મેપર-વેરિટી ફંક્શન દ્વારા લાગુ કરવામાં આવે છે (dm-verity), જે બુટ દરમિયાન રૂટ પાર્ટીશનની અખંડિતતાને ચકાસે છે. AWS એ dm-verityને "Linux કર્નલની એક વિશેષતા તરીકે વર્ણવે છે જે માલવેરને OS પર ચાલતા અટકાવવા માટે અખંડિતતાની તપાસ પૂરી પાડે છે, જેમ કે કોર સિસ્ટમ સોફ્ટવેરને ઓવરરાઇટ કરવા."

સિસ્ટમમાં ફિલ્ટર પણ છે eGMP (વિસ્તૃત BPF, એલેક્સી સ્ટારોવોઇટોવ દ્વારા વિકસિત), જે કર્નલ મોડ્યુલોને નિમ્ન-સ્તરની સિસ્ટમ કામગીરી માટે વધુ સુરક્ષિત BPF પ્રોગ્રામ્સ સાથે બદલવાની પરવાનગી આપે છે.

એક્ઝેક્યુશન મોડલ
વપરાશકર્તા વ્યાખ્યાયિત
સંકલન
સુરક્ષા
નિષ્ફળતા મોડ
સંસાધનોની ઍક્સેસ

વપરાશકર્તા
કાર્ય
હા
કોઈપણ
વપરાશકર્તા અધિકારો
અમલમાં વિક્ષેપ
સિસ્ટમ કૉલ, ખામી

કોર
કાર્ય
કોઈ
સ્થિર
કોઈ
કર્નલ ગભરાટ
સીધા

બી.પી.એફ.
ઘટના
હા
JIT, CO-RE
ચકાસણી, JIT
ક્ષતી સંદેશ
મર્યાદિત સહાયકો

BPF નિયમિત વપરાશકર્તા અથવા કર્નલ સ્તર કોડથી કેવી રીતે અલગ છે સ્રોત

AWSએ જણાવ્યું હતું કે બોટલરોકેટ "એક ઓપરેટિંગ મોડલને રોજગારી આપે છે જે વહીવટી વિશેષાધિકારો સાથે ઉત્પાદન સર્વર્સ સાથેના જોડાણોને અટકાવીને સુરક્ષામાં વધારો કરે છે" અને "મોટી વિતરિત સિસ્ટમો માટે યોગ્ય છે જ્યાં દરેક વ્યક્તિગત યજમાન પર નિયંત્રણ મર્યાદિત હોય છે."

સિસ્ટમ એડમિનિસ્ટ્રેટર્સ માટે એડમિનિસ્ટ્રેટર કન્ટેનર આપવામાં આવે છે. પરંતુ AWS ને નથી લાગતું કે એડમિનને વારંવાર Bottlerocket ની અંદર કામ કરવાની જરૂર પડશે: "અલગ Bottlerocket ઇન્સ્ટન્સમાં લૉગ ઇન કરવાની ક્રિયા અવારનવાર કામગીરી માટે બનાવાયેલ છે: અદ્યતન ડિબગીંગ અને મુશ્કેલીનિવારણ," તેઓ લખેછે વિકાસકર્તાઓ

રસ્ટ ભાષા

કર્નલની ટોચ પરનું OS ઇન્સ્ટ્રુમેન્ટેશન મોટે ભાગે રસ્ટમાં લખાયેલું છે. આ ભાષા તેના સ્વભાવથી છે અસુરક્ષિત મેમરી એક્સેસની શક્યતા ઘટાડે છે, અને થ્રેડો વચ્ચેની જાતિની સ્થિતિને દૂર કરે છે.

ધ્વજ બનાવતી વખતે મૂળભૂત રીતે લાગુ કરવામાં આવે છે --enable-default-pie и --enable-default-ssp એક્ઝેક્યુટેબલ ફાઇલોની સરનામાંની જગ્યાના રેન્ડમાઇઝેશનને સક્ષમ કરવા માટે (સ્થિતિ-સ્વતંત્ર એક્ઝિક્યુટેબલ, PIE) અને સ્ટેક ઓવરફ્લો પ્રોટેક્શન.

C/C++ પેકેજો માટે, વધારાના ફ્લેગ્સ સામેલ છે -Wall, -Werror=format-security, -Wp,-D_FORTIFY_SOURCE=2, -Wp,-D_GLIBCXX_ASSERTIONS и -fstack-clash-protection.

રસ્ટ અને C/C++ ઉપરાંત, કેટલાક પેકેજો Go માં લખેલા છે.

AWS સેવાઓ સાથે એકીકરણ

સમાન કન્ટેનર ઓપરેટિંગ સિસ્ટમ્સથી તફાવત એ છે કે એમેઝોને AWS પર ચાલવા અને અન્ય AWS સેવાઓ સાથે એકીકૃત થવા માટે Bottlerocket ઑપ્ટિમાઇઝ કર્યું છે.

સૌથી વધુ લોકપ્રિય કન્ટેનર ઓર્કેસ્ટ્રેટર કુબરનેટ્સ છે, તેથી AWS એ તેની પોતાની એન્ટરપ્રાઇઝ કુબરનેટ્સ સર્વિસ (EKS) સાથે એકીકરણ રજૂ કર્યું છે. ઓર્કેસ્ટ્રેશન સાધનો અલગ નિયંત્રણ કન્ટેનરમાં આવે છે બોટલરોકેટ-કંટ્રોલ-કન્ટેનર, જે ડિફોલ્ટ રૂપે સક્ષમ છે અને API અને AWS SSM એજન્ટ દ્વારા સંચાલિત છે.

ભૂતકાળમાં કેટલીક સમાન પહેલોની નિષ્ફળતાને જોતાં, બોટલરોકેટ ઉપડે છે કે કેમ તે જોવું રસપ્રદ રહેશે. ઉદાહરણ તરીકે, Vmware માંથી PhotonOS દાવો ન કરેલ હોવાનું બહાર આવ્યું, અને RedHat એ CoreOS ખરીદ્યું અને પ્રોજેક્ટ બંધ કર્યો, જે આ ક્ષેત્રમાં અગ્રણી માનવામાં આવતા હતા.

AWS સેવાઓમાં Bottlerocketનું એકીકરણ આ સિસ્ટમને તેની પોતાની રીતે અનન્ય બનાવે છે. આ કદાચ મુખ્ય કારણ છે કે કેટલાક વપરાશકર્તાઓ અન્ય ડિસ્ટ્રો જેમ કે CoreOS અથવા Alpine કરતાં Bottlerocket પસંદ કરી શકે છે. સિસ્ટમ શરૂઆતમાં EKS અને ECS સાથે કામ કરવા માટે બનાવવામાં આવી છે, પરંતુ અમે પુનરાવર્તન કરીએ છીએ કે આ જરૂરી નથી. પ્રથમ, બોટલરોકેટ કરી શકે છે જાતે ભેગા કરો અને તેનો ઉપયોગ કરો, ઉદાહરણ તરીકે, હોસ્ટેડ સોલ્યુશન તરીકે. બીજું, EKS અને ECS વપરાશકર્તાઓ પાસે હજુ પણ તેમની OS પસંદ કરવાની ક્ષમતા હશે.

Apache 2.0 લાયસન્સ હેઠળ GitHub પર Bottlerocket સોર્સ કોડ પ્રકાશિત કરવામાં આવ્યો છે. વિકાસકર્તાઓ પાસે પહેલેથી જ છે બગ રિપોર્ટ્સ અને ફીચર વિનંતીઓનો જવાબ આપો.

જાહેરાતના અધિકારો પર

વીડીસીના તક આપે છે દૈનિક ચુકવણી સાથે VDS. તમારી પોતાની છબી સહિત કોઈપણ ઓપરેટિંગ સિસ્ટમ ઇન્સ્ટોલ કરવું શક્ય છે. દરેક સર્વર 500 Megabits ની ઇન્ટરનેટ ચેનલ સાથે જોડાયેલ છે અને DDoS હુમલાઓથી મફતમાં સુરક્ષિત છે!

સોર્સ: www.habr.com