Şirketa Amazon первый значительный выпуск специализированного Linux-belavkirinî , ku ji bo rêvekirina konteynerên veqetandî bi bandor û bi ewle hatî sêwirandin. Amûrên belavkirinê û hêmanên kontrolê bi Rust û têne nivîsandin di bin lîsansa MIT û Apache 2.0 de. Proje li ser GitHub tê pêşve xistin û ji bo beşdarbûna endamên civakê heye. Wêneya bicîhkirina pergalê ji bo mîmariya x86_64 û Aarch64 tête çêkirin. OS-ê tête adaptekirin ku li ser komikên Amazon ECS û AWS EKS Kubernetes bixebite. Amûrên ji bo afirandina meclîs û weşanên xwe, ku dikarin amûrên din ên orkestrasyonê, kernel û dema xebitandinê ji bo konteyneran bikar bînin.
Дистрибутив предоставляет ядро Linux и минимальное системное окружение, включающие только компоненты, необходимые для запуска контейнеров. Среди задействованных в проекте пакетов отмечаются системный менеджер systemd, библиотека Glibc, сборочный инструментарий
Buildroot, bootloader GRUB, konfiguratorê torê , dema xebitandinê ji bo konteynerên veqetandî , platforma orkestrasyona konteynerê Kubernetes, aws-iam-authenticator, û nûnerê Amazon ECS.
Dabeşkirin bi atomî tê nûve kirin û di forma wêneyek pergalê ya nayê dabeş kirin de tê peyda kirin. Du parçeyên dîskê ji bo pergalê têne veqetandin, yek ji wan pergala çalak dihewîne, û nûvekirin li ya duyemîn tê kopî kirin. Piştî ku nûvekirin hate bicîh kirin, dabeşa duyemîn çalak dibe, û di ya yekem de, heya ku nûvekirina din were, guhertoya berê ya pergalê tê hilanîn, ku heke pirsgirêk derkevin, hûn dikarin paşde vegerînin. Nûvekirin bêyî destwerdana rêveber bixweber têne saz kirin.
Cûdahiya sereke ji belavkirinên mîna Fedora CoreOS ev e CentOS/Red Hat Atomic Host является первичная ориентация на обеспечение в контексте усиления защиты системы от возможных угроз, усложнения эксплуатации уязвимостей в компонентах ОС и повышения изоляции контейнеров. Контейнеры создаются при помощи штатных механизмов ядра Linux — cgroups, namespaces, û seccomp. Ji bo îzolekirina zêdetir, belavkirin SE bikar tîneLinux в режиме «enforcing», а для криптографической верификации целостности корневого раздела задействован модуль . Ger hewldanek ji bo guheztina daneyan di asta cîhaza blokê de were dîtin, pergalê ji nû ve dest pê dike.
Dabeşkirina root tenê tenê-xwendewarî tê hilanîn, û dabeşkirina mîhengên /etc di tmpfs de tê danîn û piştî nûve destpêkirinê vedigere rewşa xweya bingehîn. Guhertina rasterast a pelên di pelrêça /etc de, wek /etc/resolv.conf û /etc/containerd/config.toml, nayê piştgirî kirin - ji bo ku hûn mîhengan bi domdarî hilînin, divê hûn API-ê bikar bînin an fonksiyonê bixin nav konteynerên cihê.
Piraniya hêmanên pergalê di Rust de têne nivîsandin, ku taybetmendiyên ewledar ên bîranînê peyda dike da ku ji qelsiyên ku ji ber gihîştinên bîranînê yên bêpere, veqetandinên nîşangirên betal, û zêdekirina tamponan dûr bixin. Dema ku ji hêla xwerû ve tê çêkirin, modên berhevkirinê yên "--çalak-default-pie" û "--çalak-default-ssp" têne bikar anîn da ku rasthatîkirina cîhê navnîşana pelên îcrakar çalak bike () û bi veguheztina kanariyan ve parastina sermayê stack.
Ji bo pakêtên ku bi C/C++ hatine nivîsandin, alayên zêde tê de hene
"-Dîwar", "-Werror=format-ewlehî", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" û "-fstack-clash-protection".
Amûrên orkestrasyona konteyner ji hev cuda têne peyda kirin , ku ji hêla xwerû ve hatî çalak kirin û bi rê ve tê kontrol kirin û AWS SSM Agent. Di wêneya bingehîn de şêlek ferman, serverek SSH û zimanên şîrovekirî tune ye (mînak, Python an Perl tune) - Amûrên îdarî û amûrên debugkirinê di nav de ne. , ku ji hêla xwerû ve neçalak e.
Source: opennet.ru
