Bottlerocket 1.2-ის გამოშვება, დისტრიბუცია, რომელიც დაფუძნებულია იზოლირებულ კონტეინერებზე

ხელმისაწვდომია Linux დისტრიბუციის Bottlerocket 1.2.0 გამოშვება, რომელიც შემუშავებულია Amazon-ის მონაწილეობით იზოლირებული კონტეინერების ეფექტური და უსაფრთხო გაშვებისთვის. დისტრიბუციის ხელსაწყოები და კონტროლის კომპონენტები დაწერილია Rust-ში და ნაწილდება MIT და Apache 2.0 ლიცენზიებით. იგი მხარს უჭერს Bottlerocket-ის გაშვებას Amazon ECS, VMware და AWS EKS Kubernetes კლასტერებზე, ასევე პერსონალური კონსტრუქციებისა და გამოცემების შექმნას, რომლებიც საშუალებას აძლევს გამოიყენონ სხვადასხვა ორკესტრირებისა და გაშვების ხელსაწყოები კონტეინერებისთვის.

დისტრიბუცია უზრუნველყოფს ატომურად და ავტომატურად განახლებულ განუყოფელ სისტემის სურათს, რომელიც მოიცავს Linux-ის ბირთვს და მინიმალურ სისტემურ გარემოს, მათ შორის მხოლოდ კონტეინერების გასაშვებად აუცილებელ კომპონენტებს. გარემო მოიცავს systemd სისტემის მენეჯერს, Glibc ბიბლიოთეკას, Buildroot build ხელსაწყოს, GRUB ჩამტვირთველს, ბოროტი ქსელის კონფიგურატორს, კონტეინერის მუშაობის დრო იზოლირებული კონტეინერებისთვის, Kubernetes კონტეინერის ორკესტრირების პლატფორმა, aws-iam-authenticator და Amazon. ECS აგენტი.

კონტეინერის ორკესტრირების ხელსაწყოები მოდის ცალკე მართვის კონტეინერში, რომელიც ჩართულია ნაგულისხმევად და იმართება API და AWS SSM აგენტის მეშვეობით. საბაზისო სურათს აკლია ბრძანების გარსი, SSH სერვერი და ინტერპრეტირებული ენები (მაგალითად, არ არის Python ან Perl) - ადმინისტრაციული ინსტრუმენტები და გამართვის ხელსაწყოები მოთავსებულია ცალკე სერვისის კონტეინერში, რომელიც გამორთულია ნაგულისხმევად.

ძირითადი განსხვავება მსგავსი დისტრიბუციებისგან, როგორიცაა Fedora CoreOS, CentOS/Red Hat Atomic Host არის ძირითადი აქცენტი მაქსიმალური უსაფრთხოების უზრუნველყოფაზე შესაძლო საფრთხეებისგან სისტემის დაცვის გაძლიერების კონტექსტში, რაც ართულებს OS კომპონენტებში დაუცველობის გამოყენებას და კონტეინერის იზოლაციის გაზრდას. . კონტეინერები იქმნება Linux-ის ბირთვის სტანდარტული მექანიზმების გამოყენებით - cgroups, namespaces და seccomp. დამატებითი იზოლაციისთვის, დისტრიბუცია იყენებს SELinux-ს „აღსრულების“ რეჟიმში.

root დანაყოფი დამონტაჟებულია მხოლოდ წაკითხვისთვის, ხოლო /etc პარამეტრების დანაყოფი დამონტაჟებულია tmpfs-ში და აღდგება თავდაპირველ მდგომარეობაში გადატვირთვის შემდეგ. ფაილების პირდაპირი მოდიფიკაცია /etc დირექტორიაში, როგორიცაა /etc/resolv.conf და /etc/containerd/config.toml, არ არის მხარდაჭერილი - პარამეტრების სამუდამოდ შესანახად თქვენ უნდა გამოიყენოთ API ან გადაიტანოთ ფუნქციები ცალკეულ კონტეინერებში. dm-verity მოდული გამოიყენება ძირეული დანაყოფის მთლიანობის კრიპტოგრაფიული შესამოწმებლად და თუ აღმოჩენილია მონაცემების შეცვლის მცდელობა ბლოკის მოწყობილობის დონეზე, სისტემა გადაიტვირთება.

სისტემის კომპონენტების უმეტესობა დაწერილია Rust-ში, რომელიც უზრუნველყოფს მეხსიერების უსაფრთხო ფუნქციებს, რათა თავიდან იქნას აცილებული დაუცველობა, რომელიც გამოწვეულია მეხსიერების თავისუფალი წვდომით, ნულოვანი მაჩვენებლის გაუქმებით და ბუფერის გადაჭარბებით. ნაგულისხმევად აშენებისას, კომპილაციის რეჟიმები "-enable-default-pie" და "-enable-default-ssp" გამოიყენება შესრულებადი ფაილის მისამართების სივრცის (PIE) რანდომიზაციის გასააქტიურებლად და კანარის ჩანაცვლების გზით სტეკის გადადინებისგან დაცვის მიზნით. C/C++-ში დაწერილი პაკეტებისთვის დამატებით არის დროშები “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” და “-fstack-clash” ჩართულია - დაცვა".

ახალ გამოცემაში:

• დამატებულია მხარდაჭერა კონტეინერის გამოსახულების რეესტრის სარკეებისთვის.
• დამატებულია თვით ხელმოწერილი სერთიფიკატების გამოყენების შესაძლებლობა.
• დამატებულია ჰოსტის სახელის კონფიგურაციის ვარიანტი.
• განახლებულია ადმინისტრაციული კონტეინერის ნაგულისხმევი ვერსია.
• დამატებულია topologyManagerPolicy და topologyManagerScope პარამეტრები kubelet-ისთვის.
• დაემატა ბირთვის შეკუმშვის მხარდაჭერა zstd ალგორითმის გამოყენებით.
• უზრუნველყოფილია ვირტუალური მანქანების VMware-ში ჩატვირთვის შესაძლებლობა OVA (Open Virtualization Format) ფორმატში.
• სადისტრიბუციო ვერსია aws-k8s-1.21 განახლებულია Kubernetes 1.21-ის მხარდაჭერით. aws-k8s-1.16-ის მხარდაჭერა შეწყდა.
• განახლებული პაკეტის ვერსიები და დამოკიდებულებები Rust ენისთვის.

წყარო: opennet.ru