ಲಿನಕ್ಸ್ ವಿತರಣಾ ಬಾಟಲ್ರಾಕೆಟ್ 1.8.0 ಬಿಡುಗಡೆಯನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ, ಪ್ರತ್ಯೇಕವಾದ ಕಂಟೈನರ್ಗಳ ಸಮರ್ಥ ಮತ್ತು ಸುರಕ್ಷಿತ ಉಡಾವಣೆಗಾಗಿ Amazon ಭಾಗವಹಿಸುವಿಕೆಯೊಂದಿಗೆ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ. ವಿತರಣೆಯ ಪರಿಕರಗಳು ಮತ್ತು ನಿಯಂತ್ರಣ ಘಟಕಗಳನ್ನು ರಸ್ಟ್ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು MIT ಮತ್ತು Apache 2.0 ಪರವಾನಗಿಗಳ ಅಡಿಯಲ್ಲಿ ವಿತರಿಸಲಾಗುತ್ತದೆ. ಇದು Amazon ECS, VMware ಮತ್ತು AWS EKS ಕುಬರ್ನೆಟ್ಸ್ ಕ್ಲಸ್ಟರ್ಗಳಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಬಾಟಲ್ರಾಕೆಟ್ ಅನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ, ಜೊತೆಗೆ ಕಂಟೈನರ್ಗಳಿಗಾಗಿ ವಿವಿಧ ಆರ್ಕೆಸ್ಟ್ರೇಶನ್ ಮತ್ತು ರನ್ಟೈಮ್ ಪರಿಕರಗಳ ಬಳಕೆಯನ್ನು ಅನುಮತಿಸುವ ಕಸ್ಟಮ್ ಬಿಲ್ಡ್ಗಳು ಮತ್ತು ಆವೃತ್ತಿಗಳನ್ನು ರಚಿಸುತ್ತದೆ.
ವಿತರಣೆಯು ಪರಮಾಣು ಮತ್ತು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ನವೀಕರಿಸಲಾದ ಅವಿಭಾಜ್ಯ ಸಿಸ್ಟಮ್ ಇಮೇಜ್ ಅನ್ನು ಒದಗಿಸುತ್ತದೆ ಅದು Linux ಕರ್ನಲ್ ಮತ್ತು ಕನಿಷ್ಟ ಸಿಸ್ಟಮ್ ಪರಿಸರವನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ, ಕಂಟೇನರ್ಗಳನ್ನು ಚಲಾಯಿಸಲು ಅಗತ್ಯವಾದ ಘಟಕಗಳನ್ನು ಮಾತ್ರ ಒಳಗೊಂಡಿರುತ್ತದೆ. ಪರಿಸರವು systemd ಸಿಸ್ಟಮ್ ಮ್ಯಾನೇಜರ್, Glibc ಲೈಬ್ರರಿ, ಬಿಲ್ಡ್ರೂಟ್ ಬಿಲ್ಡ್ ಟೂಲ್, GRUB ಬೂಟ್ಲೋಡರ್, ವಿಕೆಡ್ ನೆಟ್ವರ್ಕ್ ಕಾನ್ಫಿಗರೇಟರ್, ಪ್ರತ್ಯೇಕ ಕಂಟೈನರ್ಗಳಿಗಾಗಿ ಕಂಟೈನರ್ ರನ್ಟೈಮ್, ಕುಬರ್ನೆಟ್ಸ್ ಕಂಟೈನರ್ ಆರ್ಕೆಸ್ಟ್ರೇಶನ್ ಪ್ಲಾಟ್ಫಾರ್ಮ್, aws-iam-authenticator ಮತ್ತು Amazon ECS ಅನ್ನು ಒಳಗೊಂಡಿದೆ. ಏಜೆಂಟ್.
ಕಂಟೈನರ್ ಆರ್ಕೆಸ್ಟ್ರೇಶನ್ ಪರಿಕರಗಳು ಪ್ರತ್ಯೇಕ ನಿರ್ವಹಣಾ ಕಂಟೇನರ್ನಲ್ಲಿ ಬರುತ್ತವೆ, ಅದನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ ಮತ್ತು API ಮತ್ತು AWS SSM ಏಜೆಂಟ್ ಮೂಲಕ ನಿರ್ವಹಿಸಲಾಗುತ್ತದೆ. ಮೂಲ ಚಿತ್ರವು ಕಮಾಂಡ್ ಶೆಲ್, SSH ಸರ್ವರ್ ಮತ್ತು ವ್ಯಾಖ್ಯಾನಿಸಲಾದ ಭಾಷೆಗಳನ್ನು ಹೊಂದಿಲ್ಲ (ಉದಾಹರಣೆಗೆ, ಪೈಥಾನ್ ಅಥವಾ ಪರ್ಲ್ ಇಲ್ಲ) - ಆಡಳಿತಾತ್ಮಕ ಪರಿಕರಗಳು ಮತ್ತು ಡೀಬಗ್ ಮಾಡುವ ಸಾಧನಗಳನ್ನು ಪ್ರತ್ಯೇಕ ಸೇವಾ ಕಂಟೇನರ್ನಲ್ಲಿ ಇರಿಸಲಾಗುತ್ತದೆ, ಇದನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ.
Fedora CoreOS, CentOS/Red Hat ಪರಮಾಣು ಹೋಸ್ಟ್ನಂತಹ ಒಂದೇ ರೀತಿಯ ವಿತರಣೆಗಳಿಂದ ಪ್ರಮುಖ ವ್ಯತ್ಯಾಸವೆಂದರೆ ಸಂಭವನೀಯ ಬೆದರಿಕೆಗಳಿಂದ ಸಿಸ್ಟಮ್ ರಕ್ಷಣೆಯನ್ನು ಬಲಪಡಿಸುವ ಸಂದರ್ಭದಲ್ಲಿ ಗರಿಷ್ಠ ಭದ್ರತೆಯನ್ನು ಒದಗಿಸುವಲ್ಲಿ ಪ್ರಾಥಮಿಕ ಗಮನ, OS ಘಟಕಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವುದು ಮತ್ತು ಧಾರಕ ಪ್ರತ್ಯೇಕತೆಯನ್ನು ಹೆಚ್ಚಿಸುವುದು ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗಿದೆ. . ಧಾರಕಗಳನ್ನು ಪ್ರಮಾಣಿತ ಲಿನಕ್ಸ್ ಕರ್ನಲ್ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಬಳಸಿಕೊಂಡು ರಚಿಸಲಾಗಿದೆ - cgroups, namespaces ಮತ್ತು seccomp. ಹೆಚ್ಚುವರಿ ಪ್ರತ್ಯೇಕತೆಗಾಗಿ, ವಿತರಣೆಯು "ಎನ್ಫೋರ್ಸಿಂಗ್" ಮೋಡ್ನಲ್ಲಿ SELinux ಅನ್ನು ಬಳಸುತ್ತದೆ.
ರೂಟ್ ವಿಭಾಗವನ್ನು ಓದಲು ಮಾತ್ರ ಅಳವಡಿಸಲಾಗಿದೆ, ಮತ್ತು /etc ಸೆಟ್ಟಿಂಗ್ಗಳ ವಿಭಾಗವನ್ನು tmpfs ನಲ್ಲಿ ಅಳವಡಿಸಲಾಗಿದೆ ಮತ್ತು ಮರುಪ್ರಾರಂಭಿಸಿದ ನಂತರ ಅದರ ಮೂಲ ಸ್ಥಿತಿಗೆ ಮರುಸ್ಥಾಪಿಸಲಾಗುತ್ತದೆ. /etc/resolv.conf ಮತ್ತು /etc/containerd/config.toml ನಂತಹ /etc ಡೈರೆಕ್ಟರಿಯಲ್ಲಿರುವ ಫೈಲ್ಗಳ ನೇರ ಮಾರ್ಪಾಡು ಬೆಂಬಲಿತವಾಗಿಲ್ಲ - ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಶಾಶ್ವತವಾಗಿ ಉಳಿಸಲು, ನೀವು API ಅನ್ನು ಬಳಸಬೇಕು ಅಥವಾ ಕಾರ್ಯವನ್ನು ಪ್ರತ್ಯೇಕ ಕಂಟೇನರ್ಗಳಿಗೆ ಸರಿಸಬೇಕು. ರೂಟ್ ವಿಭಾಗದ ಸಮಗ್ರತೆಯನ್ನು ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಆಗಿ ಪರಿಶೀಲಿಸಲು dm-verity ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಮತ್ತು ಬ್ಲಾಕ್ ಸಾಧನ ಮಟ್ಟದಲ್ಲಿ ಡೇಟಾವನ್ನು ಮಾರ್ಪಡಿಸುವ ಪ್ರಯತ್ನವು ಪತ್ತೆಯಾದರೆ, ಸಿಸ್ಟಮ್ ರೀಬೂಟ್ ಆಗುತ್ತದೆ.
ಹೆಚ್ಚಿನ ಸಿಸ್ಟಮ್ ಘಟಕಗಳನ್ನು ರಸ್ಟ್ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ, ಇದು ಆಫ್ಟರ್-ಫ್ರೀ ಮೆಮೊರಿ ಪ್ರವೇಶಗಳು, ಶೂನ್ಯ ಪಾಯಿಂಟರ್ ಡಿರೆಫರೆನ್ಸ್ಗಳು ಮತ್ತು ಬಫರ್ ಓವರ್ರನ್ಗಳಿಂದ ಉಂಟಾಗುವ ದುರ್ಬಲತೆಗಳನ್ನು ತಪ್ಪಿಸಲು ಮೆಮೊರಿ-ಸುರಕ್ಷಿತ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ. ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿರ್ಮಿಸುವಾಗ, ಸಂಕಲನ ವಿಧಾನಗಳು "-enable-default-pie" ಮತ್ತು "-enable-default-ssp" ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ವಿಳಾಸ ಸ್ಥಳದ (PIE) ಯಾದೃಚ್ಛಿಕತೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಮತ್ತು ಕ್ಯಾನರಿ ಪರ್ಯಾಯದ ಮೂಲಕ ಸ್ಟಾಕ್ ಓವರ್ಫ್ಲೋಗಳ ವಿರುದ್ಧ ರಕ್ಷಣೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. C/C++ ನಲ್ಲಿ ಬರೆಯಲಾದ ಪ್ಯಾಕೇಜುಗಳಿಗೆ, ಫ್ಲ್ಯಾಗ್ಗಳು “-ವಾಲ್”, “-ವೆರ್ರರ್=ಫಾರ್ಮ್ಯಾಟ್-ಸೆಕ್ಯುರಿಟಿ”, “-ಡಬ್ಲ್ಯೂಪಿ,-ಡಿ_ಫೋರ್ಟಿಎಫ್ವೈ_SOURCE=2”, “-ಡಬ್ಲ್ಯೂಪಿ,-ಡಿ_ಜಿಎಲ್ಬಿಸಿಎಕ್ಸ್ಎಕ್ಸ್_ASSERTIONS” ಮತ್ತು “-fstack-clash” ಹೆಚ್ಚುವರಿಯಾಗಿವೆ. ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ - ರಕ್ಷಣೆ".
ಹೊಸ ಬಿಡುಗಡೆಯಲ್ಲಿ:
- Обновлено содержимое административного и управляющего контейнеров.
- Runtime для изолированных контейнеров обновлён до ветки containerd 1.6.x.
- Обеспечен перезапуск фоновых процессов, координирующих работу контейнеров, после изменений в хранилище сертификатов.
- Предоставлена возможность выставления загрузочных параметров ядра через секцию Boot Configuration.
- Включено игнорирование пустых блоков при контроле целостности корневого раздела при помощи dm-verity.
- Предоставлена возможность статической привязки имён хостов в /etc/hosts.
- Предоставлена возможность генерации сетевой конфигурации при помощи утилиты netdog (добавлена команда generate-net-config).
- Предложены новые варианты дистрибутива c поддержкой Kubernetes 1.23. Сокращено время запуска pod-ов в Kubernetes за счёт отключения режима configMapAndSecretChangeDetectionStrategy. Добавлены новые настройки kubelet-ов: provider-id и podPidsLimit.
- Предложен новый вариант дистрибутива «aws-ecs-1-nvidia» для Amazon Elastic Container Service (Amazon ECS), поставляемый с драйверами NVIDIA.
- Добавлена поддержка устройств хранения Microchip Smart Storage и MegaRAID SAS. Расширена поддержка Ethernet-карт на чипах Broadcom.
- Обновлены версии пакетов и зависимости для языков Go и Rust, а также версии пакетов со сторонними программами. Bottlerocket SDK обновлён до версии 0.26.0.
ಮೂಲ: opennet.ru