Útgáfa Linux dreifingar Bottlerocket 1.2.0 er fáanleg, þróuð með þátttöku Amazon fyrir skilvirka og örugga sjósetningu einangraðra gáma. Verkfæri og stýrihlutar dreifingarinnar eru skrifaðir í Rust og dreift undir MIT og Apache 2.0 leyfi. Það styður við að keyra Bottlerocket á Amazon ECS, VMware og AWS EKS Kubernetes klösum, auk þess að búa til sérsniðnar smíði og útgáfur sem leyfa notkun ýmissa skipulags- og keyrslutækja fyrir gáma.
Dreifingin veitir frumeindalega og sjálfkrafa uppfærða óskiptanlega kerfismynd sem inniheldur Linux kjarnann og lágmarks kerfisumhverfi, þar á meðal aðeins þá íhluti sem nauðsynlegir eru til að keyra ílát. Umhverfið inniheldur systemd kerfisstjórann, Glibc bókasafnið, Buildroot smíðatólið, GRUB ræsihleðslumanninn, óguðlega netkerfisstillingarann, containerd keyrslutíma fyrir einangraða gáma, Kubernetes gámaskipunarvettvanginn, aws-iam-authenticator og Amazon. ECS umboðsmaður.
Gámaskipunarverkfæri koma í sérstökum stjórnunaríláti sem er sjálfgefið virkt og stjórnað í gegnum API og AWS SSM Agent. Grunnmyndina vantar skipanaskel, SSH netþjón og túlkuð tungumál (til dæmis engin Python eða Perl) - stjórnunarverkfæri og villuleitarverkfæri eru sett í sérstakt þjónustuílát, sem er sjálfgefið óvirkt.
Lykilmunurinn frá svipuðum dreifingum eins og Fedora CoreOS, CentOS/Red Hat Atomic Host er aðaláherslan á að veita hámarksöryggi í samhengi við að styrkja kerfisvörn gegn hugsanlegum ógnum, sem gerir það erfiðara að nýta veikleika í OS íhlutum og auka einangrun gáma. . Gámar eru búnir til með því að nota staðlaða Linux kjarnakerfi - cgroups, namespaces og seccomp. Fyrir frekari einangrun notar dreifingin SELinux í „framfylgja“ ham.
Rótarsneiðin er sett upp sem skrifvarinn og /etc stillingar skiptingin er sett upp í tmpfs og endurheimt í upprunalegt ástand eftir endurræsingu. Beinar breytingar á skrám í /etc möppunni, eins og /etc/resolv.conf og /etc/containerd/config.toml, eru ekki studdar - til að vista stillingar varanlega verður þú að nota API eða færa virknina í aðskilda ílát. dm-verity einingin er notuð til að sannreyna dulkóðun heilleika rótar skiptingarinnar, og ef tilraun til að breyta gögnum á stigi blokkarbúnaðar uppgötvast endurræsir kerfið sig.
Flestir kerfishlutar eru skrifaðir í Rust, sem býður upp á minnisörugga eiginleika til að forðast veikleika sem stafa af eftirlausum minnisaðgangi, núllbendistilvísunum og yfirkeyrslu biðminni. Þegar verið er að byggja sjálfgefið, eru samantektarstillingarnar "-enable-default-pie" og "-enable-default-ssp" notaðar til að virkja slembival á executable file address space (PIE) og vörn gegn flæði stafla með kanaríútskiptum. Fyrir pakka skrifaða í C/C++ eru fánarnir „-Wall“, „-Werror=format-security“, „-Wp,-D_FORTIFY_SOURCE=2“, „-Wp,-D_GLIBCXX_ASSERTIONS“ og „-fstack-clash“ til viðbótar virkt -vernd".
Í nýju útgáfunni:
- Bætti við stuðningi við gámamyndaskrárspegla.
- Bætti við möguleikanum á að nota sjálf undirrituð vottorð.
- Bætt við möguleika til að stilla hýsingarheiti.
- Sjálfgefin útgáfa af stjórnunarílátinu hefur verið uppfærð.
- Bætti við topologyManagerPolicy og topologyManagerScope stillingum fyrir kubelet.
- Bætti við stuðningi við kjarnaþjöppun með því að nota zstd reikniritið.
- Hægt er að hlaða sýndarvélum inn í VMware á OVA (Open Virtualization Format) sniði.
- Dreifingarútgáfan aws-k8s-1.21 hefur verið uppfærð með stuðningi við Kubernetes 1.21. Stuðningur við aws-k8s-1.16 hefur verið hætt.
- Uppfærðar pakkaútgáfur og ósjálfstæði fyrir Rust tungumálið.
Heimild: opennet.ru