Rilis distribusi Linux Bottlerocket 1.1.0 kasedhiya, dikembangake kanthi partisipasi Amazon kanggo peluncuran wadhah terpencil sing efisien lan aman. Piranti distribusi lan komponen kontrol ditulis ing Rust lan disebarake miturut lisensi MIT lan Apache 2.0. Ndhukung Bottlerocket sing mlaku ing kluster Amazon ECS lan AWS EKS Kubernetes, uga nggawe bangunan lan edisi khusus sing ngidini nggunakake macem-macem alat orkestrasi lan runtime kanggo kontaner.
Distribusi kasebut nyedhiyakake gambar sistem sing ora bisa dibagi kanthi otomatis lan otomatis dianyari sing kalebu kernel Linux lan lingkungan sistem minimal sing kalebu mung komponen sing dibutuhake kanggo mbukak wadhah. Lingkungan kasebut kalebu manajer sistem sistem, perpustakaan Glibc, alat mbangun Buildroot, bootloader GRUB, konfigurator jaringan sing jahat, wadhah kontainer terisolasi, platform orkestrasi wadah Kubernetes, aws-iam-authenticator, lan agen Amazon ECS .
Piranti orkestrasi wadhah kasedhiya ing wadhah manajemen sing kapisah sing diaktifake kanthi standar lan dikelola liwat Agen API lan AWS SSM. Gambar dhasar ora duwe cangkang perintah, server SSH, lan basa sing diinterpretasikake (contone, ora ana Python utawa Perl) - alat administratif lan debugging dipindhah menyang wadhah layanan sing kapisah, sing dipateni kanthi standar.
Bentenane utama saka distribusi sing padha kayata Fedora CoreOS, CentOS / Red Hat Atomic Host yaiku fokus utamane kanggo nyedhiyakake keamanan maksimal ing konteks nguatake proteksi sistem nglawan ancaman sing bisa ditindakake, nyepetake eksploitasi kerentanan ing komponen OS lan nambah isolasi wadah. Wadah digawe nggunakake mekanisme biasa saka kernel Linux - cgroups, namespaces lan seccomp. Kanggo isolasi tambahan, distribusi nggunakake SELinux ing mode "menerapake".
Partisi root dipasang ing mode mung maca, lan partisi kanthi setelan / etc dipasang ing tmpfs lan dibalekake menyang negara asline sawise diwiwiti maneh. Modifikasi langsung file ing direktori /etc, kayata /etc/resolv.conf lan /etc/containerd/config.toml, ora didhukung - kanggo nyimpen setelan permanen, sampeyan kudu nggunakake API utawa mindhah fungsi kanggo kontaner kapisah. Kanggo verifikasi kriptografi saka integritas partisi ROOT, modul dm-verity digunakake, lan yen nyoba kanggo ngowahi data ing tingkat piranti pamblokiran dideteksi, sistem reboots.
Umume komponen sistem ditulis ing Rust, sing nyedhiyakake alat sing aman kanggo memori kanggo ngindhari kerentanan sing disebabake dening ngatasi area memori sawise dibebasake, nuli null pointer, lan overruns buffer. Nalika mbangun, mode kompilasi "--enable-default-pie" lan "--enable-default-ssp" digunakake kanthi gawan kanggo ngaktifake acak spasi alamat file eksekusi (PIE) lan pangayoman marang tumpukan overflows liwat substitusi label kenari. Kanggo paket sing ditulis ing C/C++, gendΓ©ra "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" lan "-fstack-clash" minangka tambahan. klebu - pangayoman.
Ing release anyar:
- Rong opsi distribusi anyar aws-k8s-1.20 lan vmware-k8s-1.20 kanthi dhukungan kanggo Kubernetes 1.20 wis diusulake. Varian kasebut, uga versi aws-ecs-1 sing dianyari, nggunakake rilis kernel Linux 5.10 anyar. Mode kunci disetel menyang "integritas" kanthi standar (kapabilitas sing ngidini owah-owahan kanggo kernel sing mlaku saka ruang pangguna diblokir). Dhukungan kanggo varian aws-k8s-1.15 adhedhasar Kubernetes 1.15 wis mandheg.
- Amazon ECS ndhukung mode jaringan awsvpc, sing ngidini sampeyan ngatur antarmuka jaringan lan alamat IP internal sing kapisah kanggo saben tugas.
- Setelan sing ditambahake kanggo ngontrol macem-macem parameter Kubernetes, kalebu QPS, watesan blumbang, lan kemampuan kanggo nyambung menyang panyedhiya maya saliyane AWS.
- Wadah bootstrap nyedhiyakake watesan akses menyang data pangguna nggunakake SELinux.
- Nambahake utilitas resize2fs.
Source: opennet.ru