अमेज़ॅन ने बॉटलरॉकेट 1.0.0 प्रकाशित किया है, जो पृथक कंटेनरों पर आधारित एक लिनक्स वितरण है

अमेज़न कंपनी प्रस्तुत समर्पित Linux वितरण की पहली महत्वपूर्ण रिलीज़ बॉटलरकेट 1.0.0, पृथक कंटेनरों को कुशलतापूर्वक और सुरक्षित रूप से चलाने के लिए डिज़ाइन किया गया है। वितरण के उपकरण और नियंत्रण घटक रस्ट और में लिखे गए हैं फैलाना एमआईटी और अपाचे 2.0 लाइसेंस के तहत। यह परियोजना GitHub पर विकसित की जा रही है और समुदाय के सदस्यों की भागीदारी के लिए उपलब्ध है। सिस्टम परिनियोजन छवि x86_64 और Aarch64 आर्किटेक्चर के लिए बनाई गई है। OS को Amazon ECS और AWS EKS Kubernetes क्लस्टर पर चलने के लिए अनुकूलित किया गया है। उपलब्ध कराए गए अपनी स्वयं की असेंबली और संस्करण बनाने के लिए उपकरण, जो कंटेनरों के लिए अन्य ऑर्केस्ट्रेशन टूल, कर्नेल और रनटाइम का उपयोग कर सकते हैं।

वितरण लिनक्स कर्नेल और एक न्यूनतम सिस्टम वातावरण प्रदान करता है, जिसमें केवल कंटेनर चलाने के लिए आवश्यक घटक शामिल हैं। प्रोजेक्ट में शामिल पैकेजों में सिस्टम मैनेजर सिस्टमडी, ग्लिबैक लाइब्रेरी और असेंबली टूल्स शामिल हैं
बिल्डरूट, GRUB बूटलोडर, नेटवर्क विन्यासकर्ता दुष्ट, पृथक कंटेनरों के लिए रनटाइम कंटेनर, Kubernetes कंटेनर ऑर्केस्ट्रेशन प्लेटफ़ॉर्म, aws-iam-प्रमाणक, और Amazon ECS एजेंट।

वितरण को परमाणु रूप से अद्यतन किया जाता है और एक अविभाज्य सिस्टम छवि के रूप में वितरित किया जाता है। सिस्टम के लिए दो डिस्क विभाजन आवंटित किए गए हैं, जिनमें से एक में सक्रिय सिस्टम है, और अपडेट को दूसरे में कॉपी किया गया है। अद्यतन लागू होने के बाद, दूसरा विभाजन सक्रिय हो जाता है, और पहले में, अगला अद्यतन आने तक, सिस्टम का पिछला संस्करण सहेजा जाता है, जिसमें समस्या आने पर आप वापस रोल कर सकते हैं। अपडेट व्यवस्थापक के हस्तक्षेप के बिना स्वचालित रूप से इंस्टॉल हो जाते हैं।

फेडोरा कोरओएस, सेंटओएस/रेड हैट एटॉमिक होस्ट जैसे समान वितरणों से मुख्य अंतर प्रदान करने पर प्राथमिक फोकस है अधिकतम सुरक्षा संभावित खतरों से सिस्टम सुरक्षा को मजबूत करने, ओएस घटकों में कमजोरियों का फायदा उठाना और कंटेनरों के अलगाव को बढ़ाने के संदर्भ में। कंटेनर मानक Linux कर्नेल तंत्र - cgroups, namespaces और seccomp का उपयोग करके बनाए जाते हैं। अतिरिक्त अलगाव के लिए, वितरण "प्रवर्तन" मोड में SELinux का उपयोग करता है, और मॉड्यूल का उपयोग रूट विभाजन की अखंडता के क्रिप्टोग्राफ़िक सत्यापन के लिए किया जाता है डीएम-सत्य. यदि ब्लॉक डिवाइस स्तर पर डेटा को संशोधित करने का प्रयास पाया जाता है, तो सिस्टम रीबूट हो जाता है।

रूट विभाजन को केवल-पढ़ने के लिए माउंट किया गया है, और /etc सेटिंग्स विभाजन को tmpfs में माउंट किया गया है और पुनरारंभ के बाद इसकी मूल स्थिति में पुनर्स्थापित किया गया है। /etc निर्देशिका में फ़ाइलों का प्रत्यक्ष संशोधन, जैसे कि /etc/resolv.conf और /etc/containerd/config.toml, समर्थित नहीं है - सेटिंग्स को स्थायी रूप से सहेजने के लिए, आपको एपीआई का उपयोग करना होगा या कार्यक्षमता को अलग कंटेनर में ले जाना होगा।

अधिकांश सिस्टम घटक रस्ट में लिखे गए हैं, जो फ्री-फ्री मेमोरी एक्सेस, नल पॉइंटर डीरेफरेंस और बफर ओवररन के कारण होने वाली कमजोरियों से बचने के लिए मेमोरी-सुरक्षित सुविधाएँ प्रदान करता है। डिफ़ॉल्ट रूप से निर्माण करते समय, निष्पादन योग्य फ़ाइलों के पता स्थान के यादृच्छिककरण को सक्षम करने के लिए "--सक्षम-डिफ़ॉल्ट-पाई" और "--सक्षम-डिफ़ॉल्ट-एसएसपी" संकलन मोड का उपयोग किया जाता है (पाई) और कैनरी प्रतिस्थापन के माध्यम से स्टैक ओवरफ़्लो सुरक्षा।
C/C++ में लिखे गए पैकेजों के लिए, अतिरिक्त झंडे शामिल किए गए हैं
"-वॉल", "-Werror=प्रारूप-सुरक्षा", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" और "-fstack-clash-protection"।

कंटेनर ऑर्केस्ट्रेशन उपकरण अलग से आपूर्ति किए जाते हैं नियंत्रण कंटेनर, जो डिफ़ॉल्ट रूप से सक्षम है और इसके माध्यम से नियंत्रित किया जाता है API और AWS SSM एजेंट। आधार छवि में कमांड शेल, एसएसएच सर्वर और व्याख्या की गई भाषाओं का अभाव है (उदाहरण के लिए, कोई पायथन या पर्ल नहीं) - प्रशासनिक उपकरण और डिबगिंग उपकरण इसमें स्थित हैं अलग सेवा कंटेनर, जो डिफ़ॉल्ट रूप से अक्षम है।

स्रोत: opennet.ru