Liberasyon distribisyon Linux Bottlerocket 1.2.0 disponib, devlope ak patisipasyon Amazon pou lansman efikas ak an sekirite nan resipyan izole. Zouti distribisyon an ak eleman kontwòl yo ekri nan Rust epi distribye anba lisans MIT ak Apache 2.0. Li sipòte kouri Bottlerocket sou Amazon ECS, VMware ak AWS EKS Kubernetes grap, osi byen ke kreye bati koutim ak edisyon ki pèmèt itilizasyon divès kalite òkestrasyon ak zouti ègzekutasyon pou resipyan yo.
Distribisyon an bay yon imaj sistèm atomik ak otomatikman mete ajou endivizib ki gen ladan nwayo Linux la ak yon anviwònman sistèm minim, ki gen ladan sèlman eleman ki nesesè pou kouri kontenè yo. Anviwònman an gen ladan manadjè sistèm systemd la, bibliyotèk Glibc, zouti konstriksyon Buildroot, chargeur bòt GRUB, konfigirasyon rezo mechan, tan exekutif containerd pou resipyan izole, platfòm orchestration veso Kubernetes, aws-iam-authenticator, ak Amazon. Ajan ECS.
Zouti orchestrasyon veso yo vini nan yon veso jesyon separe ki aktive pa default epi jere atravè API ak AWS SSM Ajan. Imaj baz la manke yon kokiy lòd, sèvè SSH ak lang entèprete (pa egzanp, pa gen Python oswa Perl) - zouti administratif ak zouti debogaj yo mete nan yon veso sèvis separe, ki se enfim pa default.
Diferans kle ak distribisyon menm jan an tankou Fedora CoreOS, CentOS/Red Hat Atomic Host se prensipal konsantre sou bay maksimòm sekirite nan yon kontèks ranfòse pwoteksyon sistèm kont menas posib, ki fè li pi difisil pou eksplwate frajilite nan konpozan OS ak ogmante izolasyon veso. . Kontenè yo kreye lè l sèvi avèk mekanis nwayo Linux estanda - cgroups, namespaces ak seccomp. Pou plis izolasyon, distribisyon an sèvi ak SELinux nan mòd "ranfòse".
Patisyon rasin lan monte pou lekti sèlman, epi patisyon paramèt /etc la monte nan tmpfs epi retabli nan eta orijinal li apre yon rekòmanse. Modifikasyon dirèk nan dosye ki nan anyè /etc, tankou /etc/resolv.conf ak /etc/containerd/config.toml, pa sipòte - pou konsève pou tout tan, ou dwe itilize API a oswa deplase fonksyonalite a nan resipyan separe. Yo itilize modil dm-verity pou verifye entegrite patisyon rasin nan yon fason kriptografik, epi si yo detekte yon tantativ pou modifye done nan nivo aparèy blòk la, sistèm lan rekòmanse.
Pifò konpozan sistèm yo ekri nan Rust, ki bay karakteristik memwa ki an sekirite pou evite frajilite ki te koze pa aksè memwa apre gratis, dereferans pointeur nil, ak depase tanpon. Lè yo bati pa default, mòd konpilasyon "-enable-default-pie" ak "-enable-default-ssp" yo itilize pou pèmèt randomization nan espas adrès dosye ègzèkutabl (PIE) ak pwoteksyon kont debòde pil atravè sibstitisyon Canary. Pou pakè ki ekri nan C/C++, drapo yo "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" ak "-fstack-clash" yo anplis. pèmèt -pwoteksyon".
Nan nouvo lage a:
- Te ajoute sipò pou miwa rejis imaj veso yo.
- Te ajoute kapasite pou sèvi ak sètifika pwòp tèt ou siyen.
- Te ajoute opsyon pou konfigirasyon hostname.
- Vèsyon default veso administratif la te mete ajou.
- Te ajoute topologyManagerPolicy ak topologyManagerScope paramèt pou kubelet.
- Te ajoute sipò pou konpresyon nwayo lè l sèvi avèk algorithm zstd la.
- Yo bay kapasite pou chaje machin vityèl nan VMware nan fòma OVA (Open Virtualization Format).
- Yo te mete ajou vèsyon distribisyon aws-k8s-1.21 ak sipò pou Kubernetes 1.21. Sipò pou aws-k8s-1.16 sispann.
- Mizajou vèsyon pake ak depandans pou lang Rust la.
Sous: opennet.ru