ការចេញផ្សាយ Bottlerocket 1.2 ដែលជាការចែកចាយផ្អែកលើធុងដាច់ដោយឡែក

ការចេញផ្សាយនៃការចែកចាយលីនុច Bottlerocket 1.2.0 អាចរកបាន ដែលត្រូវបានបង្កើតឡើងដោយមានការចូលរួមពីក្រុមហ៊ុន Amazon សម្រាប់ការបើកដំណើរការប្រកបដោយប្រសិទ្ធភាព និងសុវត្ថិភាពនៃធុងដាច់ដោយឡែក។ ឧបករណ៍ និងសមាសធាតុត្រួតពិនិត្យនៃការចែកចាយត្រូវបានសរសេរជា Rust និងចែកចាយក្រោមអាជ្ញាប័ណ្ណ MIT និង Apache 2.0 ។ វាគាំទ្រការដំណើរការ Bottlerocket នៅលើ Amazon ECS, VMware និង AWS EKS Kubernetes clusters ក៏ដូចជាការបង្កើតការស្ថាបនាផ្ទាល់ខ្លួន និងការបោះពុម្ពដែលអនុញ្ញាតឱ្យប្រើឧបករណ៍ orchestration និង runtime ផ្សេងៗសម្រាប់កុងតឺន័រ។

ការចែកចាយផ្តល់នូវរូបភាពប្រព័ន្ធដែលមិនអាចបំបែកបានតាមអាតូម និងធ្វើបច្ចុប្បន្នភាពដោយស្វ័យប្រវត្តិ ដែលរួមបញ្ចូលខឺណែលលីនុច និងបរិស្ថានប្រព័ន្ធតិចតួចបំផុត រួមទាំងសមាសធាតុចាំបាច់សម្រាប់ដំណើរការកុងតឺន័រប៉ុណ្ណោះ។ បរិស្ថានរួមមានកម្មវិធីគ្រប់គ្រងប្រព័ន្ធ systemd, បណ្ណាល័យ Glibc, ឧបករណ៍បង្កើត Buildroot, កម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ GRUB, កម្មវិធីកំណត់រចនាសម្ព័ន្ធបណ្តាញដ៏អាក្រក់, រយៈពេលដំណើរការកុងតឺន័រសម្រាប់កុងតឺន័រដាច់ស្រយាល, វេទិការៀបចំកុងតឺន័រ Kubernetes, aws-iam-authenticator និង Amazon ភ្នាក់ងារ ECS ។

ឧបករណ៍រៀបចំកុងតឺន័រមាននៅក្នុងកុងតឺន័រគ្រប់គ្រងដាច់ដោយឡែកដែលត្រូវបានបើកតាមលំនាំដើម និងគ្រប់គ្រងតាមរយៈ API និង AWS SSM Agent។ រូបភាពមូលដ្ឋានខ្វះសែលពាក្យបញ្ជា ម៉ាស៊ីនមេ SSH និងភាសាដែលបានបកប្រែ (ឧទាហរណ៍ គ្មាន Python ឬ Perl) - ឧបករណ៍រដ្ឋបាល និងឧបករណ៍បំបាត់កំហុសត្រូវបានដាក់ក្នុងធុងសេវាកម្មដាច់ដោយឡែក ដែលត្រូវបានបិទតាមលំនាំដើម។

ភាពខុសគ្នាសំខាន់ពីការចែកចាយស្រដៀងគ្នាដូចជា Fedora CoreOS, CentOS/Red Hat Atomic Host គឺជាការផ្តោតសំខាន់លើការផ្តល់នូវសុវត្ថិភាពអតិបរមាក្នុងបរិបទនៃការពង្រឹងការការពារប្រព័ន្ធពីការគំរាមកំហែងដែលអាចកើតមាន ដែលធ្វើឱ្យវាកាន់តែពិបាកក្នុងការទាញយកភាពងាយរងគ្រោះនៅក្នុងសមាសធាតុ OS និងបង្កើនភាពឯកោកុងតឺន័រ។ . កុងតឺន័រត្រូវបានបង្កើតដោយប្រើយន្តការខឺណែលលីនុចស្តង់ដារ - cgroups, namespaces និង seccomp ។ សម្រាប់ភាពឯកោបន្ថែម ការចែកចាយប្រើ SELinux នៅក្នុងរបៀប "ពង្រឹង" ។

ភាគថាសឫសត្រូវបានម៉ោនបានតែអាន ហើយភាគថាសការកំណត់ /etc ត្រូវបានម៉ោនក្នុង tmpfs ហើយបានស្ដារទៅសភាពដើមរបស់វាវិញបន្ទាប់ពីចាប់ផ្តើមឡើងវិញ។ ការកែប្រែដោយផ្ទាល់នៃឯកសារនៅក្នុងថត /etc ដូចជា /etc/resolv.conf និង /etc/containerd/config.toml មិនត្រូវបានគាំទ្រទេ - ដើម្បីរក្សាទុកការកំណត់ជាអចិន្ត្រៃយ៍ អ្នកត្រូវតែប្រើ API ឬផ្លាស់ទីមុខងារទៅក្នុងធុងដាច់ដោយឡែក។ ម៉ូឌុល dm-verity ត្រូវបានប្រើដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃភាគថាស root ហើយប្រសិនបើការប៉ុនប៉ងកែប្រែទិន្នន័យនៅកម្រិតឧបករណ៍ទប់ស្កាត់ត្រូវបានរកឃើញ ប្រព័ន្ធនឹងចាប់ផ្តើមឡើងវិញ។

សមាសធាតុប្រព័ន្ធភាគច្រើនត្រូវបានសរសេរជា Rust ដែលផ្តល់នូវលក្ខណៈពិសេសសុវត្ថិភាពនៃការចងចាំ ដើម្បីជៀសវាងភាពងាយរងគ្រោះដែលបណ្តាលមកពីការចូលប្រើអង្គចងចាំក្រោយទំនេរ ការបដិសេធរបស់ទ្រនិចគ្មានលេខ និងការដំណើរការលើសចំណុះ។ នៅពេលបង្កើតតាមលំនាំដើម របៀបចងក្រង "-enable-default-pie" និង "-enable-default-ssp" ត្រូវបានប្រើដើម្បីបើកការចៃដន្យនៃទំហំអាសយដ្ឋានឯកសារដែលអាចប្រតិបត្តិបាន (PIE) និងការការពារប្រឆាំងនឹងការហៀរលើជង់តាមរយៈការជំនួស Canary ។ សម្រាប់កញ្ចប់ដែលសរសេរក្នុង C/C++ ទង់ “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” និង “-fstack-clash” ក៏មានផងដែរ។ បានបើក - ការការពារ" ។

នៅក្នុងការចេញផ្សាយថ្មី:

• បានបន្ថែមការគាំទ្រសម្រាប់កញ្ចក់ចុះបញ្ជីរូបភាពកុងតឺន័រ។
• បានបន្ថែមសមត្ថភាពក្នុងការប្រើវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯង។
• បានបន្ថែមជម្រើសដើម្បីកំណត់រចនាសម្ព័ន្ធឈ្មោះម៉ាស៊ីន។
• កំណែលំនាំដើមនៃធុងរដ្ឋបាលត្រូវបានធ្វើបច្ចុប្បន្នភាព។
• បានបន្ថែមការកំណត់ topologyManagerPolicy និង topologyManagerScope សម្រាប់ kubelet។
• បានបន្ថែមការគាំទ្រសម្រាប់ការបង្ហាប់ខឺណែលដោយប្រើក្បួនដោះស្រាយ zstd ។
• សមត្ថភាពផ្ទុកម៉ាស៊ីននិម្មិតទៅក្នុង VMware ក្នុងទម្រង់ OVA (Open Virtualization Format) ត្រូវបានផ្តល់ជូន។
• កំណែចែកចាយ aws-k8s-1.21 ត្រូវបានអាប់ដេតដោយមានការគាំទ្រសម្រាប់ Kubernetes 1.21។ ការគាំទ្រសម្រាប់ aws-k8s-1.16 ត្រូវបានបញ្ឈប់។
• កំណែកញ្ចប់ដែលបានធ្វើបច្ចុប្បន្នភាព និងភាពអាស្រ័យសម្រាប់ភាសា Rust ។

ប្រភព: opennet.ru