ការចេញផ្សាយ Bottlerocket 1.1 ដែលជាការចែកចាយផ្អែកលើធុងដាច់ដោយឡែក

Доступен выпуск Linux-дистрибутива Bottlerocket 1.1.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров.

ការចែកចាយផ្តល់នូវរូបភាពប្រព័ន្ធដែលមិនអាចបំបែកបានតាមអាតូម និងធ្វើបច្ចុប្បន្នភាពដោយស្វ័យប្រវត្តិ ដែលរួមបញ្ចូលខឺណែលលីនុច និងបរិស្ថានប្រព័ន្ធតិចតួចបំផុត រួមទាំងសមាសធាតុចាំបាច់សម្រាប់ដំណើរការកុងតឺន័រប៉ុណ្ណោះ។ បរិស្ថានរួមមានកម្មវិធីគ្រប់គ្រងប្រព័ន្ធ systemd, បណ្ណាល័យ Glibc, ឧបករណ៍បង្កើត Buildroot, កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ GRUB, កម្មវិធីកំណត់រចនាសម្ព័ន្ធបណ្តាញដ៏អាក្រក់, រយៈពេលដំណើរការកុងតឺន័រសម្រាប់កុងតឺន័រដាច់ស្រយាល, វេទិការៀបចំកុងតឺន័រ Kubernetes, aws-iam-authenticator និង Amazon ភ្នាក់ងារ ECS ។

ឧបករណ៍រៀបចំកុងតឺន័រមាននៅក្នុងកុងតឺន័រគ្រប់គ្រងដាច់ដោយឡែកដែលត្រូវបានបើកតាមលំនាំដើម និងគ្រប់គ្រងតាមរយៈ API និង AWS SSM Agent។ រូបភាពមូលដ្ឋានខ្វះសែលពាក្យបញ្ជា ម៉ាស៊ីនមេ SSH និងភាសាដែលបានបកប្រែ (ឧទាហរណ៍ គ្មាន Python ឬ Perl) - ឧបករណ៍រដ្ឋបាល និងឧបករណ៍បំបាត់កំហុសត្រូវបានដាក់ក្នុងធុងសេវាកម្មដាច់ដោយឡែក ដែលត្រូវបានបិទតាមលំនាំដើម។

ភាពខុសគ្នាសំខាន់ពីការចែកចាយស្រដៀងគ្នាដូចជា Fedora CoreOS, CentOS/Red Hat Atomic Host គឺជាការផ្តោតសំខាន់លើការផ្តល់នូវសុវត្ថិភាពអតិបរមាក្នុងបរិបទនៃការពង្រឹងការការពារប្រព័ន្ធពីការគំរាមកំហែងដែលអាចកើតមាន ដែលធ្វើឱ្យវាកាន់តែពិបាកក្នុងការទាញយកភាពងាយរងគ្រោះនៅក្នុងសមាសធាតុ OS និងបង្កើនភាពឯកោកុងតឺន័រ។ . កុងតឺន័រត្រូវបានបង្កើតដោយប្រើយន្តការខឺណែលលីនុចស្តង់ដារ - cgroups, namespaces និង seccomp ។ សម្រាប់ភាពឯកោបន្ថែម ការចែកចាយប្រើ SELinux នៅក្នុងរបៀប "ពង្រឹង" ។

ភាគថាសឫសត្រូវបានម៉ោនបានតែអាន ហើយភាគថាសការកំណត់ /etc ត្រូវបានម៉ោនក្នុង tmpfs ហើយបានស្ដារទៅសភាពដើមរបស់វាវិញបន្ទាប់ពីចាប់ផ្តើមឡើងវិញ។ ការកែប្រែដោយផ្ទាល់នៃឯកសារនៅក្នុងថត /etc ដូចជា /etc/resolv.conf និង /etc/containerd/config.toml មិនត្រូវបានគាំទ្រទេ - ដើម្បីរក្សាទុកការកំណត់ជាអចិន្ត្រៃយ៍ អ្នកត្រូវតែប្រើ API ឬផ្លាស់ទីមុខងារទៅក្នុងធុងដាច់ដោយឡែក។ ម៉ូឌុល dm-verity ត្រូវបានប្រើដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃភាគថាស root ហើយប្រសិនបើការប៉ុនប៉ងកែប្រែទិន្នន័យនៅកម្រិតឧបករណ៍ទប់ស្កាត់ត្រូវបានរកឃើញ ប្រព័ន្ធនឹងចាប់ផ្តើមឡើងវិញ។

សមាសធាតុប្រព័ន្ធភាគច្រើនត្រូវបានសរសេរជា Rust ដែលផ្តល់នូវលក្ខណៈពិសេសសុវត្ថិភាពនៃការចងចាំ ដើម្បីជៀសវាងភាពងាយរងគ្រោះដែលបណ្តាលមកពីការចូលប្រើអង្គចងចាំក្រោយទំនេរ ការបដិសេធរបស់ទ្រនិចគ្មានលេខ និងការដំណើរការលើសចំណុះ។ នៅពេលបង្កើតតាមលំនាំដើម របៀបចងក្រង "-enable-default-pie" និង "-enable-default-ssp" ត្រូវបានប្រើដើម្បីបើកការចៃដន្យនៃទំហំអាសយដ្ឋានឯកសារដែលអាចប្រតិបត្តិបាន (PIE) និងការការពារប្រឆាំងនឹងការហៀរលើជង់តាមរយៈការជំនួស Canary ។ សម្រាប់កញ្ចប់ដែលសរសេរក្នុង C/C++ ទង់ “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” និង “-fstack-clash” ក៏មានផងដែរ។ បានបើក - ការការពារ" ។

នៅក្នុងការចេញផ្សាយថ្មី:

• Предложено два новых варианта дистрибутива aws-k8s-1.20 и vmware-k8s-1.20 c поддержкой Kubernetes 1.20. В данных вариантах, а также в обновлённом варианте aws-ecs-1, задействован новый выпуск ядра Linux 5.10. Режим lockdown по умолчанию переведён в значение «integrity» (блокируются возможности, позволяющие вносить изменения в работающее ядро из пространства пользователя). Прекращена поддержка варианта aws-k8s-1.15 на базе Kubernetes 1.15.
• Для Amazon ECS реализована поддержка сетевого режима awsvpc, позволяющего выделять отдельные сетевых интерфейсы и внутренние IP-адреса для каждой задачи.
• Добавлены настройки для управления различными параметрами Kubernetes, включая QPS, лимиты на пулы и возможность подключения к облачным провайдерам, отличным от AWS.
• В bootstrap-контейнере обеспечено ограничение доступа к данным пользователя при помощи SELinux.
• Добавлена утилита resize2fs.

ប្រភព: opennet.ru