Útgáfa Linux dreifingarinnar Bottlerocket 1.8.0 hefur verið gefin út, þróuð með þátttöku Amazon fyrir skilvirka og örugga sjósetningu einangraðra gáma. Verkfæri og stýrihlutar dreifingarinnar eru skrifaðir í Rust og dreift undir MIT og Apache 2.0 leyfi. Það styður við að keyra Bottlerocket á Amazon ECS, VMware og AWS EKS Kubernetes klösum, auk þess að búa til sérsniðnar smíði og útgáfur sem leyfa notkun ýmissa skipulags- og keyrslutækja fyrir gáma.
Dreifingin veitir frumeindalega og sjálfkrafa uppfærða óskiptanlega kerfismynd sem inniheldur Linux kjarnann og lágmarks kerfisumhverfi, þar á meðal aðeins þá íhluti sem nauðsynlegir eru til að keyra ílát. Umhverfið inniheldur systemd kerfisstjórann, Glibc bókasafnið, Buildroot smíðatólið, GRUB ræsihleðslumanninn, óguðlega netkerfisstillingarann, containerd keyrslutíma fyrir einangraða gáma, Kubernetes gámaskipunarvettvanginn, aws-iam-authenticator og Amazon. ECS umboðsmaður.
Gámaskipunarverkfæri koma í sérstökum stjórnunaríláti sem er sjálfgefið virkt og stjórnað í gegnum API og AWS SSM Agent. Grunnmyndina vantar skipanaskel, SSH netþjón og túlkuð tungumál (til dæmis engin Python eða Perl) - stjórnunarverkfæri og villuleitarverkfæri eru sett í sérstakt þjónustuílát, sem er sjálfgefið óvirkt.
Lykilmunurinn frá svipuðum dreifingum eins og Fedora CoreOS, CentOS/Red Hat Atomic Host er aðaláherslan á að veita hámarksöryggi í samhengi við að styrkja kerfisvörn gegn hugsanlegum ógnum, sem gerir það erfiðara að nýta veikleika í OS íhlutum og auka einangrun gáma. . Gámar eru búnir til með því að nota staðlaða Linux kjarnakerfi - cgroups, namespaces og seccomp. Fyrir frekari einangrun notar dreifingin SELinux í „framfylgja“ ham.
Rótarsneiðin er sett upp sem skrifvarinn og /etc stillingar skiptingin er sett upp í tmpfs og endurheimt í upprunalegt ástand eftir endurræsingu. Beinar breytingar á skrám í /etc möppunni, eins og /etc/resolv.conf og /etc/containerd/config.toml, eru ekki studdar - til að vista stillingar varanlega verður þú að nota API eða færa virknina í aðskilda ílát. dm-verity einingin er notuð til að sannreyna dulkóðun heilleika rótar skiptingarinnar, og ef tilraun til að breyta gögnum á stigi blokkarbúnaðar uppgötvast endurræsir kerfið sig.
Flestir kerfishlutar eru skrifaðir í Rust, sem býður upp á minnisörugga eiginleika til að forðast veikleika sem stafa af eftirlausum minnisaðgangi, núllbendistilvísunum og yfirkeyrslu biðminni. Þegar verið er að byggja sjálfgefið, eru samantektarstillingarnar "-enable-default-pie" og "-enable-default-ssp" notaðar til að virkja slembival á executable file address space (PIE) og vörn gegn flæði stafla með kanaríútskiptum. Fyrir pakka skrifaða í C/C++ eru fánarnir „-Wall“, „-Werror=format-security“, „-Wp,-D_FORTIFY_SOURCE=2“, „-Wp,-D_GLIBCXX_ASSERTIONS“ og „-fstack-clash“ til viðbótar virkt -vernd".
Í nýju útgáfunni:
- Innihald stjórnunar- og eftirlitsgáma hefur verið uppfært.
- Keyrslutími fyrir einangraða gáma hefur verið uppfærður í containerd 1.6.x útibúið.
- Tryggir að bakgrunnsferli sem samræma rekstur gáma séu endurræst eftir breytingar á vottorðageymslunni.
- Það er hægt að stilla ræsibreytur kjarna í gegnum ræsistillingarhlutann.
- Virkt að hunsa tómar blokkir þegar fylgst er með heilleika rótarskiptingarinnar með því að nota dm-verity.
- Möguleikinn á að binda hýsilnöfn á kyrrstöðu í /etc/hosts hefur verið veittur.
- Möguleikinn á að búa til netstillingar með netdog tólinu hefur verið veittur (generera-net-config skipuninni hefur verið bætt við).
- Nýir dreifingarvalkostir með stuðningi við Kubernetes 1.23 hafa verið lagðir til. Ræsingartími fyrir belg í Kubernetes hefur verið styttur með því að slökkva á configMapAndSecretChangeDetectionStrategy ham. Bætt við nýjum kubelet stillingum: provider-id og podPidsLimit.
- Ný útgáfa af dreifingarsettinu „aws-ecs-1-nvidia“ fyrir Amazon Elastic Container Service (Amazon ECS), sem fylgir NVIDIA rekla, hefur verið lögð til.
- Bætt við stuðningi fyrir Microchip Smart Storage og MegaRAID SAS geymslutæki. Stuðningur við Ethernet kort á Broadcom flísum hefur verið aukinn.
- Uppfærðar pakkaútgáfur og ósjálfstæði fyrir Go og Rust tungumálin, sem og útgáfur af pakka með forritum þriðja aðila. Bottlerocket SDK hefur verið uppfært í útgáfu 0.26.0.
Heimild: opennet.ru