プロホスト > ブログ > インターネットニュース > Amazon が、分離コンテナをベースとした Linux ディストリビューションである Bottlerocket 1.0.0 を公開

Amazon が、分離コンテナをベースとした Linux ディストリビューションである Bottlerocket 1.0.0 を公開

アマゾン社 提示 専用 Linux ディストリビューションの最初の重要なリリース ボトルロケット1.0.0、分離されたコンテナを効率的かつ安全に実行するように設計されています。ディストリビューションのツールと制御コンポーネントは Rust で書かれており、 広める MIT および Apache 2.0 ライセンスに基づいて。このプロジェクトは GitHub で開発されており、コミュニティ メンバーが参加できます。システム展開イメージは、x86_64 および Aarch64 アーキテクチャ用に生成されます。この OS は、Amazon ECS および AWS EKS Kubernetes クラスター上で実行するように適合されています。 提供されています 独自のアセンブリとエディションを作成するためのツール。他のオーケストレーション ツール、カーネル、コンテナーのランタイムを使用できます。

このディストリビューションは、Linux カーネルと、コンテナーの実行に必要なコンポーネントのみを含む最小限のシステム環境を提供します。プロジェクトに関係するパッケージには、システム マネージャー systemd、Glibc ライブラリ、アセンブリ ツールなどがあります。
Buildroot、GRUB ブートローダー、ネットワーク コンフィギュレーター 邪悪、分離されたコンテナーのランタイム コンテナ、Kubernetes コンテナ オーケストレーション プラットフォーム、aws-iam-authenticator、Amazon ECS エージェント。

ディストリビューションはアトミックに更新され、分割できないシステム イメージの形式で配信されます。システムには XNUMX つのディスク パーティションが割り当てられ、そのうちの XNUMX つはアクティブ システムを含み、更新は XNUMX 番目のパーティションにコピーされます。更新プログラムの展開後、XNUMX 番目のパーティションがアクティブになり、最初のパーティションでは、次の更新が到着するまで、システムの以前のバージョンが保存され、問題が発生した場合にロールバックできます。更新は管理者の介入なしで自動的にインストールされます。

Fedora CoreOS、CentOS/Red Hat Atomic Host などの同様のディストリビューションとの主な違いは、提供することに主に焦点を当てていることです。 最大限のセキュリティ 潜在的な脅威からのシステム保護を強化し、OS コンポーネントの脆弱性の悪用をより困難にし、コンテナの分離を強化するというコンテキストで。コンテナーは、標準の Linux カーネル メカニズム (cgroup、名前空間、seccomp) を使用して作成されます。さらなる分離のために、ディストリビューションは SELinux を「強制」モードで使用し、モジュールはルート パーティションの整合性の暗号化検証に使用されます。 dm-ベリティ。ブロックデバイスレベルでデータを変更しようとする試みが検出されると、システムが再起動します。

ルート パーティションは読み取り専用でマウントされ、/etc 設定パーティションは tmpfs にマウントされ、再起動後に元の状態に復元されます。 /etc/resolv.conf や /etc/containerd/config.toml など、/etc ディレクトリ内のファイルの直接変更はサポートされていません。設定を永続的に保存するには、API を使用するか、機能を別のコンテナに移動する必要があります。

ほとんどのシステム コンポーネントは Rust で書かれており、解放後のメモリ アクセス、null ポインタの逆参照、バッファ オーバーランによって引き起こされる脆弱性を回避するメモリセーフ機能を提供します。デフォルトでビルドする場合、「--enable-default-pie」および「--enable-default-ssp」コンパイル モードを使用して、実行可能ファイルのアドレス空間のランダム化が有効になります(パイ) およびカナリア置換によるスタック オーバーフロー保護。
C/C++ で書かれたパッケージの場合、追加のフラグが含まれます
「-Wall」、「-Werror=format-security」、「-Wp、-D_FORTIFY_SOURCE=2」、「-Wp、-D_GLIBCXX_ASSERTIONS」、および「-fstack-clash-protection」。

コンテナオーケストレーションツールは別途提供されます コントロールコンテナ、デフォルトで有効になっており、次によって制御されます。 API および AWS SSM エージェント。基本イメージにはコマンド シェル、SSH サーバー、およびインタープリタ言語 (たとえば、Python や Perl がない) がありません。管理ツールとデバッグ ツールは次の場所にあります。 個別のサービスコンテナ、デフォルトでは無効になっています。

出所: オープンネット.ru

コメントを追加します