Rilis distribusi Linux Bottlerocket 1.2.0 kasedhiya, dikembangake kanthi partisipasi Amazon kanggo peluncuran wadhah terpencil sing efisien lan aman. Piranti distribusi lan komponen kontrol ditulis ing Rust lan disebarake miturut lisensi MIT lan Apache 2.0. Ndhukung mlaku Bottlerocket ing Amazon ECS, VMware lan AWS EKS Kubernetes kluster, uga nggawe adat mbangun lan edisi sing ngidini nggunakake macem-macem orkestrasi lan alat runtime kanggo kontaner.
Distribusi kasebut nyedhiyakake gambar sistem sing ora bisa dibagi kanthi otomatis lan otomatis dianyari sing kalebu kernel Linux lan lingkungan sistem minimal sing kalebu mung komponen sing dibutuhake kanggo mbukak wadhah. Lingkungan kasebut kalebu manajer sistem sistem, perpustakaan Glibc, alat mbangun Buildroot, bootloader GRUB, konfigurator jaringan sing jahat, wadhah kontainer terisolasi, platform orkestrasi wadah Kubernetes, aws-iam-authenticator, lan agen Amazon ECS .
Piranti orkestrasi wadhah kasedhiya ing wadhah manajemen sing kapisah sing diaktifake kanthi standar lan dikelola liwat Agen API lan AWS SSM. Gambar dhasar ora duwe cangkang perintah, server SSH, lan basa sing diinterpretasikake (contone, ora ana Python utawa Perl) - alat administratif lan debugging dipindhah menyang wadhah layanan sing kapisah, sing dipateni kanthi standar.
Bentenane utama saka distribusi sing padha kayata Fedora CoreOS, CentOS / Red Hat Atomic Host yaiku fokus utamane kanggo nyedhiyakake keamanan maksimal ing konteks nguatake proteksi sistem nglawan ancaman sing bisa ditindakake, nyepetake eksploitasi kerentanan ing komponen OS lan nambah isolasi wadah. Wadah digawe nggunakake mekanisme biasa saka kernel Linux - cgroups, namespaces lan seccomp. Kanggo isolasi tambahan, distribusi nggunakake SELinux ing mode "menerapake".
Partisi root dipasang ing mode mung maca, lan partisi kanthi setelan / etc dipasang ing tmpfs lan dibalekake menyang negara asline sawise diwiwiti maneh. Modifikasi langsung file ing direktori /etc, kayata /etc/resolv.conf lan /etc/containerd/config.toml, ora didhukung - kanggo nyimpen setelan permanen, sampeyan kudu nggunakake API utawa mindhah fungsi kanggo kontaner kapisah. Kanggo verifikasi kriptografi saka integritas partisi ROOT, modul dm-verity digunakake, lan yen nyoba kanggo ngowahi data ing tingkat piranti pamblokiran dideteksi, sistem reboots.
Umume komponen sistem ditulis ing Rust, sing nyedhiyakake alat sing aman kanggo memori kanggo ngindhari kerentanan sing disebabake dening ngatasi area memori sawise dibebasake, nuli null pointer, lan overruns buffer. Nalika mbangun, mode kompilasi "--enable-default-pie" lan "--enable-default-ssp" digunakake kanthi gawan kanggo ngaktifake acak spasi alamat file eksekusi (PIE) lan pangayoman marang tumpukan overflows liwat substitusi label kenari. Kanggo paket sing ditulis ing C/C++, gendΓ©ra "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" lan "-fstack-clash" minangka tambahan. klebu - pangayoman.
Ing release anyar:
- Dhukungan ditambahake kanggo mirrors pendaptaran gambar wadhah.
- Nambahake kemampuan kanggo nggunakake sertifikat sing ditandatangani dhewe.
- Opsi sing ditambahake kanggo ngatur jeneng host.
- Versi standar saka wadhah administratif wis dianyari.
- Ditambahake setelan topologyManagerPolicy lan topologyManagerScope kanggo kubelet.
- Dhukungan ditambahake kanggo kompresi kernel nggunakake algoritma zstd.
- Kemampuan kanggo mbukak mesin virtual menyang VMware ing format OVA (Open Virtualization Format) kasedhiya.
- Versi distribusi aws-k8s-1.21 wis dianyari kanthi dhukungan kanggo Kubernetes 1.21. Dhukungan kanggo aws-k8s-1.16 wis mandheg.
- Versi paket sing dianyari lan dependensi kanggo basa Rust.
Source: opennet.ru