שחרור Bottlerocket 1.1, הפצה המבוססת על מכולות מבודדות

ההפצה של הפצת לינוקס Bottlerocket 1.1.0 זמינה, שפותחה בהשתתפות אמזון לצורך השקה יעילה ומאובטחת של מכולות מבודדות. הכלים ורכיבי הבקרה של ההפצה נכתבים ב-Rust ומופצים תחת רישיונות MIT ו-Apache 2.0. הוא תומך בהפעלת Bottlerocket באשכולות Amazon ECS ו-AWS EKS Kubernetes, כמו גם ביצירת בנייה ומהדורות מותאמות אישית המאפשרות שימוש בכלי תזמור וזמן ריצה שונים עבור קונטיינרים.

ההפצה מספקת תמונת מערכת בלתי ניתנת לחלוקה מעודכנת באופן אטומי ואוטומטי הכוללת את ליבת לינוקס וסביבת מערכת מינימלית, הכוללת רק את הרכיבים הדרושים להפעלת קונטיינרים. הסביבה כוללת את מנהל המערכת systemd, ספריית Glibc, כלי הבנייה Buildroot, טוען האתחול GRUB, Configurator הרשת המרושעת, זמן הריצה של containerd עבור קונטיינרים מבודדים, פלטפורמת תזמור הקונטיינרים Kubernetes, aws-iam-authenticator ו-Amazon. סוכן ECS.

כלי תזמור מיכל מגיעים במיכל ניהול נפרד המופעל כברירת מחדל ומנוהל באמצעות ה-API ו-AWS SSM Agent. תמונת הבסיס חסרה מעטפת פקודה, שרת SSH ושפות מפורשות (לדוגמה, ללא Python או Perl) - כלי ניהול וכלי ניפוי באגים ממוקמים במיכל שירות נפרד, המושבת כברירת מחדל.

ההבדל העיקרי מהפצות דומות כגון Fedora CoreOS, CentOS/Red Hat Atomic Host הוא ההתמקדות העיקרית במתן אבטחה מקסימלית בהקשר של חיזוק הגנת המערכת מפני איומים אפשריים, מה שמקשה על ניצול נקודות תורפה ברכיבי מערכת ההפעלה והגברת בידוד הקונטיינרים . קונטיינרים נוצרים באמצעות מנגנוני ליבת לינוקס סטנדרטיים - cgroups, מרחבי שמות ו-seccomp. לבידוד נוסף, ההפצה משתמשת ב-SELinux במצב "אכיפה".

מחיצת השורש מותקנת לקריאה בלבד, ומחיצת ההגדרות /etc נטענת ב-tmpfs ומשוחזרת למצבה המקורי לאחר הפעלה מחדש. שינוי ישיר של קבצים בספריית /etc, כגון /etc/resolv.conf ו-/etc/containerd/config.toml, אינו נתמך - כדי לשמור הגדרות לצמיתות, עליך להשתמש ב-API או להעביר את הפונקציונליות לקונטיינרים נפרדים. מודול dm-verity משמש לאימות קריפטוגרפית של תקינות מחיצת השורש, ואם מזוהה ניסיון לשנות נתונים ברמת התקן הבלוק, המערכת מופעלת מחדש.

רוב רכיבי המערכת כתובים ב-Rust, המספק תכונות בטוחות לזיכרון כדי למנוע פגיעויות הנגרמות על ידי גישה חופשית לזיכרון, הפניית מצביע null וחריפות מאגר. בעת בנייה כברירת מחדל, מצבי הקומפילציה "-enable-default-pie" ו-"-enable-default-ssp" משמשים כדי לאפשר אקראית של מרחב הכתובות של קובץ ההפעלה (PIE) והגנה מפני הצפת מחסנית באמצעות החלפה קנרית. עבור חבילות שנכתבו ב-C/C++, הדגלים "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" ו-"-fstack-clash" הם בנוסף -הגנה מופעלת".

במהדורה החדשה:

• הוצעו שתי אפשרויות הפצה חדשות aws-k8s-1.20 ו-vmware-k8s-1.20 עם תמיכה ב-Kubernetes 1.20. גרסאות אלה, כמו גם הגרסה המעודכנת aws-ecs-1, משתמשים במהדורת ליבת לינוקס החדשה 5.10. מצב הנעילה מוגדר ל"שלמות" כברירת מחדל (יכולות המאפשרות לבצע שינויים בקרנל הפועל ממרחב המשתמש חסומות). התמיכה בגרסה aws-k8s-1.15 המבוססת על Kubernetes 1.15 הופסקה.
• Amazon ECS תומך במצב רשת awsvpc, המאפשר לך להקצות ממשקי רשת נפרדים וכתובות IP פנימיות לכל משימה.
• נוספו הגדרות לשליטה בפרמטרים שונים של Kubernetes, כולל QPS, מגבלות מאגר ויכולת להתחבר לספקי ענן מלבד AWS.
• מיכל ה-bootstrap מספק הגבלת גישה לנתוני משתמש באמצעות SELinux.
• נוסף תוכנית השירות resize2fs.

מקור: OpenNet.ru