Bottlerocket 1.8 អាចរកបាន ការចែកចាយដោយផ្អែកលើធុងដាច់ដោយឡែក

ការចេញផ្សាយនៃការចែកចាយលីនុច Bottlerocket 1.8.0 ត្រូវបានបោះពុម្ព បង្កើតឡើងដោយមានការចូលរួមពីក្រុមហ៊ុន Amazon សម្រាប់ការដាក់ឱ្យដំណើរការប្រកបដោយប្រសិទ្ធភាព និងសុវត្ថិភាពនៃធុងដាច់ដោយឡែក។ ឧបករណ៍ និងសមាសធាតុត្រួតពិនិត្យនៃការចែកចាយត្រូវបានសរសេរជា Rust និងចែកចាយក្រោមអាជ្ញាប័ណ្ណ MIT និង Apache 2.0 ។ វាគាំទ្រការដំណើរការ Bottlerocket នៅលើ Amazon ECS, VMware និង AWS EKS Kubernetes clusters ក៏ដូចជាការបង្កើតការស្ថាបនាផ្ទាល់ខ្លួន និងការបោះពុម្ពដែលអនុញ្ញាតឱ្យប្រើឧបករណ៍ orchestration និង runtime ផ្សេងៗសម្រាប់កុងតឺន័រ។

ការចែកចាយផ្តល់នូវរូបភាពប្រព័ន្ធដែលមិនអាចបំបែកបានតាមអាតូម និងធ្វើបច្ចុប្បន្នភាពដោយស្វ័យប្រវត្តិ ដែលរួមបញ្ចូលខឺណែលលីនុច និងបរិស្ថានប្រព័ន្ធតិចតួចបំផុត រួមទាំងសមាសធាតុចាំបាច់សម្រាប់ដំណើរការកុងតឺន័រប៉ុណ្ណោះ។ បរិស្ថានរួមមានកម្មវិធីគ្រប់គ្រងប្រព័ន្ធ systemd, បណ្ណាល័យ Glibc, ឧបករណ៍បង្កើត Buildroot, កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ GRUB, កម្មវិធីកំណត់រចនាសម្ព័ន្ធបណ្តាញដ៏អាក្រក់, រយៈពេលដំណើរការកុងតឺន័រសម្រាប់កុងតឺន័រដាច់ស្រយាល, វេទិការៀបចំកុងតឺន័រ Kubernetes, aws-iam-authenticator និង Amazon ភ្នាក់ងារ ECS ។

ឧបករណ៍រៀបចំកុងតឺន័រមាននៅក្នុងកុងតឺន័រគ្រប់គ្រងដាច់ដោយឡែកដែលត្រូវបានបើកតាមលំនាំដើម និងគ្រប់គ្រងតាមរយៈ API និង AWS SSM Agent។ រូបភាពមូលដ្ឋានខ្វះសែលពាក្យបញ្ជា ម៉ាស៊ីនមេ SSH និងភាសាដែលបានបកប្រែ (ឧទាហរណ៍ គ្មាន Python ឬ Perl) - ឧបករណ៍រដ្ឋបាល និងឧបករណ៍បំបាត់កំហុសត្រូវបានដាក់ក្នុងធុងសេវាកម្មដាច់ដោយឡែក ដែលត្រូវបានបិទតាមលំនាំដើម។

ភាពខុសគ្នាសំខាន់ពីការចែកចាយស្រដៀងគ្នាដូចជា Fedora CoreOS, CentOS/Red Hat Atomic Host គឺជាការផ្តោតសំខាន់លើការផ្តល់នូវសុវត្ថិភាពអតិបរមាក្នុងបរិបទនៃការពង្រឹងការការពារប្រព័ន្ធពីការគំរាមកំហែងដែលអាចកើតមាន ដែលធ្វើឱ្យវាកាន់តែពិបាកក្នុងការទាញយកភាពងាយរងគ្រោះនៅក្នុងសមាសធាតុ OS និងបង្កើនភាពឯកោកុងតឺន័រ។ . កុងតឺន័រត្រូវបានបង្កើតដោយប្រើយន្តការខឺណែលលីនុចស្តង់ដារ - cgroups, namespaces និង seccomp ។ សម្រាប់ភាពឯកោបន្ថែម ការចែកចាយប្រើ SELinux នៅក្នុងរបៀប "ពង្រឹង" ។

ភាគថាសឫសត្រូវបានម៉ោនបានតែអាន ហើយភាគថាសការកំណត់ /etc ត្រូវបានម៉ោនក្នុង tmpfs ហើយបានស្ដារទៅសភាពដើមរបស់វាវិញបន្ទាប់ពីចាប់ផ្តើមឡើងវិញ។ ការកែប្រែដោយផ្ទាល់នៃឯកសារនៅក្នុងថត /etc ដូចជា /etc/resolv.conf និង /etc/containerd/config.toml មិនត្រូវបានគាំទ្រទេ - ដើម្បីរក្សាទុកការកំណត់ជាអចិន្ត្រៃយ៍ អ្នកត្រូវតែប្រើ API ឬផ្លាស់ទីមុខងារទៅក្នុងធុងដាច់ដោយឡែក។ ម៉ូឌុល dm-verity ត្រូវបានប្រើដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃភាគថាស root ហើយប្រសិនបើការប៉ុនប៉ងកែប្រែទិន្នន័យនៅកម្រិតឧបករណ៍ទប់ស្កាត់ត្រូវបានរកឃើញ ប្រព័ន្ធនឹងចាប់ផ្តើមឡើងវិញ។

សមាសធាតុប្រព័ន្ធភាគច្រើនត្រូវបានសរសេរជា Rust ដែលផ្តល់នូវលក្ខណៈពិសេសសុវត្ថិភាពនៃការចងចាំ ដើម្បីជៀសវាងភាពងាយរងគ្រោះដែលបណ្តាលមកពីការចូលប្រើអង្គចងចាំក្រោយទំនេរ ការបដិសេធរបស់ទ្រនិចគ្មានលេខ និងការដំណើរការលើសចំណុះ។ នៅពេលបង្កើតតាមលំនាំដើម របៀបចងក្រង "-enable-default-pie" និង "-enable-default-ssp" ត្រូវបានប្រើដើម្បីបើកការចៃដន្យនៃទំហំអាសយដ្ឋានឯកសារដែលអាចប្រតិបត្តិបាន (PIE) និងការការពារប្រឆាំងនឹងការហៀរលើជង់តាមរយៈការជំនួស Canary ។ សម្រាប់កញ្ចប់ដែលសរសេរក្នុង C/C++ ទង់ “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” និង “-fstack-clash” ក៏មានផងដែរ។ បានបើក - ការការពារ" ។

នៅក្នុងការចេញផ្សាយថ្មី:

• ខ្លឹមសារនៃធុងរដ្ឋបាល និងការគ្រប់គ្រងត្រូវបានធ្វើបច្ចុប្បន្នភាព។
• ពេលវេលាដំណើរការសម្រាប់ធុងដាច់ដោយឡែកត្រូវបានធ្វើបច្ចុប្បន្នភាពទៅសាខា 1.6.x ដែលមានផ្ទុក។
• ធានាថាដំណើរការផ្ទៃខាងក្រោយដែលសម្របសម្រួលប្រតិបត្តិការរបស់កុងតឺន័រត្រូវបានចាប់ផ្តើមឡើងវិញបន្ទាប់ពីការផ្លាស់ប្តូរទៅកន្លែងផ្ទុកវិញ្ញាបនបត្រ។
• វាអាចធ្វើទៅបានដើម្បីកំណត់ប៉ារ៉ាម៉ែត្រចាប់ផ្ដើមខឺណែលតាមរយៈផ្នែកកំណត់រចនាសម្ព័ន្ធចាប់ផ្ដើម។
• បានបើកការមិនអើពើប្លុកទទេនៅពេលត្រួតពិនិត្យភាពត្រឹមត្រូវនៃភាគថាសឫសដោយប្រើ dm-verity ។
• សមត្ថភាពក្នុងការចងឈ្មោះម៉ាស៊ីនជាឋិតិវន្តក្នុង /etc/hosts ត្រូវបានផ្តល់ជូន។
• សមត្ថភាពក្នុងការបង្កើតការកំណត់រចនាសម្ព័ន្ធបណ្តាញដោយប្រើឧបករណ៍ប្រើប្រាស់ netdog ត្រូវបានផ្តល់ជូន (ពាក្យបញ្ជា generate-net-config ត្រូវបានបន្ថែម)។
• ជម្រើសចែកចាយថ្មីជាមួយនឹងការគាំទ្រសម្រាប់ Kubernetes 1.23 ត្រូវបានស្នើឡើង។ ពេលវេលាចាប់ផ្តើមសម្រាប់ផតនៅក្នុង Kubernetes ត្រូវបានកាត់បន្ថយដោយការបិទមុខងារ configMapAndSecretChangeDetectionStrategy ។ បានបន្ថែមការកំណត់ kubelet ថ្មី៖ provider-id និង podPidsLimit ។
• កំណែថ្មីនៃកញ្ចប់ចែកចាយ "aws-ecs-1-nvidia" សម្រាប់ Amazon Elastic Container Service (Amazon ECS) ដែលផ្គត់ផ្គង់ជាមួយកម្មវិធីបញ្ជា NVIDIA ត្រូវបានស្នើឡើង។
• បានបន្ថែមការគាំទ្រសម្រាប់ Microchip Smart Storage និងឧបករណ៍ផ្ទុក MegaRAID SAS ។ ការគាំទ្រសម្រាប់កាតអ៊ីសឺរណិតនៅលើបន្ទះឈីប Broadcom ត្រូវបានពង្រីក។
• កំណែកញ្ចប់ដែលបានធ្វើបច្ចុប្បន្នភាព និងភាពអាស្រ័យសម្រាប់ភាសា Go និង Rust ក៏ដូចជាកំណែនៃកញ្ចប់ជាមួយកម្មវិធីភាគីទីបី។ Bottlerocket SDK ត្រូវបានធ្វើបច្ចុប្បន្នភាពទៅកំណែ 0.26.0 ។

ប្រភព: opennet.ru