שחרור Bottlerocket 1.2, הפצה המבוססת על מכולות מבודדות

ההפצה של הפצת לינוקס Bottlerocket 1.2.0 זמינה, שפותחה בהשתתפות אמזון לצורך השקה יעילה ומאובטחת של מכולות מבודדות. הכלים ורכיבי הבקרה של ההפצה נכתבים ב-Rust ומופצים תחת רישיונות MIT ו-Apache 2.0. הוא תומך בהפעלת Bottlerocket באשכולות Amazon ECS, VMware ו-AWS EKS Kubernetes, כמו גם יצירת בנייה ומהדורות מותאמות אישית המאפשרות שימוש בכלי תזמור וזמן ריצה שונים עבור קונטיינרים.

ההפצה מספקת תמונת מערכת בלתי ניתנת לחלוקה מעודכנת באופן אטומי ואוטומטי הכוללת את ליבת לינוקס וסביבת מערכת מינימלית, הכוללת רק את הרכיבים הדרושים להפעלת קונטיינרים. הסביבה כוללת את מנהל המערכת systemd, ספריית Glibc, כלי הבנייה Buildroot, טוען האתחול GRUB, Configurator הרשת המרושעת, זמן הריצה של containerd עבור קונטיינרים מבודדים, פלטפורמת תזמור הקונטיינרים Kubernetes, aws-iam-authenticator ו-Amazon. סוכן ECS.

כלי תזמור מיכל מגיעים במיכל ניהול נפרד המופעל כברירת מחדל ומנוהל באמצעות ה-API ו-AWS SSM Agent. תמונת הבסיס חסרה מעטפת פקודה, שרת SSH ושפות מפורשות (לדוגמה, ללא Python או Perl) - כלי ניהול וכלי ניפוי באגים ממוקמים במיכל שירות נפרד, המושבת כברירת מחדל.

ההבדל העיקרי מהפצות דומות כגון Fedora CoreOS, CentOS/Red Hat Atomic Host הוא ההתמקדות העיקרית במתן אבטחה מקסימלית בהקשר של חיזוק הגנת המערכת מפני איומים אפשריים, מה שמקשה על ניצול נקודות תורפה ברכיבי מערכת ההפעלה והגברת בידוד הקונטיינרים . קונטיינרים נוצרים באמצעות מנגנוני ליבת לינוקס סטנדרטיים - cgroups, מרחבי שמות ו-seccomp. לבידוד נוסף, ההפצה משתמשת ב-SELinux במצב "אכיפה".

מחיצת השורש מותקנת לקריאה בלבד, ומחיצת ההגדרות /etc נטענת ב-tmpfs ומשוחזרת למצבה המקורי לאחר הפעלה מחדש. שינוי ישיר של קבצים בספריית /etc, כגון /etc/resolv.conf ו-/etc/containerd/config.toml, אינו נתמך - כדי לשמור הגדרות לצמיתות, עליך להשתמש ב-API או להעביר את הפונקציונליות לקונטיינרים נפרדים. מודול dm-verity משמש לאימות קריפטוגרפית של תקינות מחיצת השורש, ואם מזוהה ניסיון לשנות נתונים ברמת התקן הבלוק, המערכת מופעלת מחדש.

רוב רכיבי המערכת כתובים ב-Rust, המספק תכונות בטוחות לזיכרון כדי למנוע פגיעויות הנגרמות על ידי גישה חופשית לזיכרון, הפניית מצביע null וחריפות מאגר. בעת בנייה כברירת מחדל, מצבי הקומפילציה "-enable-default-pie" ו-"-enable-default-ssp" משמשים כדי לאפשר אקראית של מרחב הכתובות של קובץ ההפעלה (PIE) והגנה מפני הצפת מחסנית באמצעות החלפה קנרית. עבור חבילות שנכתבו ב-C/C++, הדגלים "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" ו-"-fstack-clash" הם בנוסף -הגנה מופעלת".

במהדורה החדשה:

• נוספה תמיכה במראות רישום של תמונת מיכל.
• נוספה היכולת להשתמש בתעודות בחתימה עצמית.
• נוספה אפשרות להגדרת שם מארח.
• גרסת ברירת המחדל של המכולה הניהולית עודכנה.
• נוספו הגדרות topologyManagerPolicy ו-topologyManagerScope עבור kubelet.
• נוספה תמיכה בדחיסת ליבה באמצעות אלגוריתם zstd.
• מסופקת היכולת לטעון מכונות וירטואליות לתוך VMware בפורמט OVA (Open Virtualization Format).
• גרסת ההפצה aws-k8s-1.21 עודכנה עם תמיכה ב-Kubernetes 1.21. התמיכה ב-aws-k8s-1.16 הופסקה.
• גרסאות חבילה ותלות מעודכנות עבור שפת Rust.

מקור: OpenNet.ru