Доступен выпуск Linux-дистрибутива Bottlerocket 1.1.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров.
ವಿತರಣೆಯು ಪರಮಾಣು ಮತ್ತು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ನವೀಕರಿಸಲಾದ ಅವಿಭಾಜ್ಯ ಸಿಸ್ಟಮ್ ಇಮೇಜ್ ಅನ್ನು ಒದಗಿಸುತ್ತದೆ ಅದು Linux ಕರ್ನಲ್ ಮತ್ತು ಕನಿಷ್ಟ ಸಿಸ್ಟಮ್ ಪರಿಸರವನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ, ಕಂಟೇನರ್ಗಳನ್ನು ಚಲಾಯಿಸಲು ಅಗತ್ಯವಾದ ಘಟಕಗಳನ್ನು ಮಾತ್ರ ಒಳಗೊಂಡಿರುತ್ತದೆ. ಪರಿಸರವು systemd ಸಿಸ್ಟಮ್ ಮ್ಯಾನೇಜರ್, Glibc ಲೈಬ್ರರಿ, ಬಿಲ್ಡ್ರೂಟ್ ಬಿಲ್ಡ್ ಟೂಲ್, GRUB ಬೂಟ್ಲೋಡರ್, ವಿಕೆಡ್ ನೆಟ್ವರ್ಕ್ ಕಾನ್ಫಿಗರೇಟರ್, ಪ್ರತ್ಯೇಕ ಕಂಟೈನರ್ಗಳಿಗಾಗಿ ಕಂಟೈನರ್ ರನ್ಟೈಮ್, ಕುಬರ್ನೆಟ್ಸ್ ಕಂಟೈನರ್ ಆರ್ಕೆಸ್ಟ್ರೇಶನ್ ಪ್ಲಾಟ್ಫಾರ್ಮ್, aws-iam-authenticator ಮತ್ತು Amazon ECS ಅನ್ನು ಒಳಗೊಂಡಿದೆ. ಏಜೆಂಟ್.
ಕಂಟೈನರ್ ಆರ್ಕೆಸ್ಟ್ರೇಶನ್ ಪರಿಕರಗಳು ಪ್ರತ್ಯೇಕ ನಿರ್ವಹಣಾ ಕಂಟೇನರ್ನಲ್ಲಿ ಬರುತ್ತವೆ, ಅದನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ ಮತ್ತು API ಮತ್ತು AWS SSM ಏಜೆಂಟ್ ಮೂಲಕ ನಿರ್ವಹಿಸಲಾಗುತ್ತದೆ. ಮೂಲ ಚಿತ್ರವು ಕಮಾಂಡ್ ಶೆಲ್, SSH ಸರ್ವರ್ ಮತ್ತು ವ್ಯಾಖ್ಯಾನಿಸಲಾದ ಭಾಷೆಗಳನ್ನು ಹೊಂದಿಲ್ಲ (ಉದಾಹರಣೆಗೆ, ಪೈಥಾನ್ ಅಥವಾ ಪರ್ಲ್ ಇಲ್ಲ) - ಆಡಳಿತಾತ್ಮಕ ಪರಿಕರಗಳು ಮತ್ತು ಡೀಬಗ್ ಮಾಡುವ ಸಾಧನಗಳನ್ನು ಪ್ರತ್ಯೇಕ ಸೇವಾ ಕಂಟೇನರ್ನಲ್ಲಿ ಇರಿಸಲಾಗುತ್ತದೆ, ಇದನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ.
Fedora CoreOS, CentOS/Red Hat ಪರಮಾಣು ಹೋಸ್ಟ್ನಂತಹ ಒಂದೇ ರೀತಿಯ ವಿತರಣೆಗಳಿಂದ ಪ್ರಮುಖ ವ್ಯತ್ಯಾಸವೆಂದರೆ ಸಂಭವನೀಯ ಬೆದರಿಕೆಗಳಿಂದ ಸಿಸ್ಟಮ್ ರಕ್ಷಣೆಯನ್ನು ಬಲಪಡಿಸುವ ಸಂದರ್ಭದಲ್ಲಿ ಗರಿಷ್ಠ ಭದ್ರತೆಯನ್ನು ಒದಗಿಸುವಲ್ಲಿ ಪ್ರಾಥಮಿಕ ಗಮನ, OS ಘಟಕಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವುದು ಮತ್ತು ಧಾರಕ ಪ್ರತ್ಯೇಕತೆಯನ್ನು ಹೆಚ್ಚಿಸುವುದು ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗಿದೆ. . ಧಾರಕಗಳನ್ನು ಪ್ರಮಾಣಿತ ಲಿನಕ್ಸ್ ಕರ್ನಲ್ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಬಳಸಿಕೊಂಡು ರಚಿಸಲಾಗಿದೆ - cgroups, namespaces ಮತ್ತು seccomp. ಹೆಚ್ಚುವರಿ ಪ್ರತ್ಯೇಕತೆಗಾಗಿ, ವಿತರಣೆಯು "ಎನ್ಫೋರ್ಸಿಂಗ್" ಮೋಡ್ನಲ್ಲಿ SELinux ಅನ್ನು ಬಳಸುತ್ತದೆ.
ರೂಟ್ ವಿಭಾಗವನ್ನು ಓದಲು ಮಾತ್ರ ಅಳವಡಿಸಲಾಗಿದೆ, ಮತ್ತು /etc ಸೆಟ್ಟಿಂಗ್ಗಳ ವಿಭಾಗವನ್ನು tmpfs ನಲ್ಲಿ ಅಳವಡಿಸಲಾಗಿದೆ ಮತ್ತು ಮರುಪ್ರಾರಂಭಿಸಿದ ನಂತರ ಅದರ ಮೂಲ ಸ್ಥಿತಿಗೆ ಮರುಸ್ಥಾಪಿಸಲಾಗುತ್ತದೆ. /etc/resolv.conf ಮತ್ತು /etc/containerd/config.toml ನಂತಹ /etc ಡೈರೆಕ್ಟರಿಯಲ್ಲಿರುವ ಫೈಲ್ಗಳ ನೇರ ಮಾರ್ಪಾಡು ಬೆಂಬಲಿತವಾಗಿಲ್ಲ - ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಶಾಶ್ವತವಾಗಿ ಉಳಿಸಲು, ನೀವು API ಅನ್ನು ಬಳಸಬೇಕು ಅಥವಾ ಕಾರ್ಯವನ್ನು ಪ್ರತ್ಯೇಕ ಕಂಟೇನರ್ಗಳಿಗೆ ಸರಿಸಬೇಕು. ರೂಟ್ ವಿಭಾಗದ ಸಮಗ್ರತೆಯನ್ನು ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಆಗಿ ಪರಿಶೀಲಿಸಲು dm-verity ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಮತ್ತು ಬ್ಲಾಕ್ ಸಾಧನ ಮಟ್ಟದಲ್ಲಿ ಡೇಟಾವನ್ನು ಮಾರ್ಪಡಿಸುವ ಪ್ರಯತ್ನವು ಪತ್ತೆಯಾದರೆ, ಸಿಸ್ಟಮ್ ರೀಬೂಟ್ ಆಗುತ್ತದೆ.
ಹೆಚ್ಚಿನ ಸಿಸ್ಟಮ್ ಘಟಕಗಳನ್ನು ರಸ್ಟ್ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ, ಇದು ಆಫ್ಟರ್-ಫ್ರೀ ಮೆಮೊರಿ ಪ್ರವೇಶಗಳು, ಶೂನ್ಯ ಪಾಯಿಂಟರ್ ಡಿರೆಫರೆನ್ಸ್ಗಳು ಮತ್ತು ಬಫರ್ ಓವರ್ರನ್ಗಳಿಂದ ಉಂಟಾಗುವ ದುರ್ಬಲತೆಗಳನ್ನು ತಪ್ಪಿಸಲು ಮೆಮೊರಿ-ಸುರಕ್ಷಿತ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ. ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಿರ್ಮಿಸುವಾಗ, ಸಂಕಲನ ವಿಧಾನಗಳು "-enable-default-pie" ಮತ್ತು "-enable-default-ssp" ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ವಿಳಾಸ ಸ್ಥಳದ (PIE) ಯಾದೃಚ್ಛಿಕತೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಮತ್ತು ಕ್ಯಾನರಿ ಪರ್ಯಾಯದ ಮೂಲಕ ಸ್ಟಾಕ್ ಓವರ್ಫ್ಲೋಗಳ ವಿರುದ್ಧ ರಕ್ಷಣೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. C/C++ ನಲ್ಲಿ ಬರೆಯಲಾದ ಪ್ಯಾಕೇಜುಗಳಿಗೆ, ಫ್ಲ್ಯಾಗ್ಗಳು “-ವಾಲ್”, “-ವೆರ್ರರ್=ಫಾರ್ಮ್ಯಾಟ್-ಸೆಕ್ಯುರಿಟಿ”, “-ಡಬ್ಲ್ಯೂಪಿ,-ಡಿ_ಫೋರ್ಟಿಎಫ್ವೈ_SOURCE=2”, “-ಡಬ್ಲ್ಯೂಪಿ,-ಡಿ_ಜಿಎಲ್ಬಿಸಿಎಕ್ಸ್ಎಕ್ಸ್_ASSERTIONS” ಮತ್ತು “-fstack-clash” ಹೆಚ್ಚುವರಿಯಾಗಿವೆ. ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ - ರಕ್ಷಣೆ".
ಹೊಸ ಬಿಡುಗಡೆಯಲ್ಲಿ:
- Предложено два новых варианта дистрибутива aws-k8s-1.20 и vmware-k8s-1.20 c поддержкой Kubernetes 1.20. В данных вариантах, а также в обновлённом варианте aws-ecs-1, задействован новый выпуск ядра Linux 5.10. Режим lockdown по умолчанию переведён в значение «integrity» (блокируются возможности, позволяющие вносить изменения в работающее ядро из пространства пользователя). Прекращена поддержка варианта aws-k8s-1.15 на базе Kubernetes 1.15.
- Для Amazon ECS реализована поддержка сетевого режима awsvpc, позволяющего выделять отдельные сетевых интерфейсы и внутренние IP-адреса для каждой задачи.
- Добавлены настройки для управления различными параметрами Kubernetes, включая QPS, лимиты на пулы и возможность подключения к облачным провайдерам, отличным от AWS.
- В bootstrap-контейнере обеспечено ограничение доступа к данным пользователя при помощи SELinux.
- Добавлена утилита resize2fs.
ಮೂಲ: opennet.ru