Доступен выпуск Linux-дистрибутива Bottlerocket 1.1.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров.
Dabeşkirin wêneyek pergalê ya yekbûyî ya atomî û bixweber nûvekirî peyda dike ku tê de kernel Linux û jîngehek pergalê ya hindiktirîn, di nav de tenê hêmanên ku ji bo xebitandina konteyneran hewce ne. Jîngeh birêveberê pergala systemd, pirtûkxaneya Glibc, amûra avakirina Buildroot, barkera bootê GRUB, vesazkera torê ya xerab, dema xebitandina konteyneran ji bo konteynerên veqetandî, platforma orkestrasyona konteyneran Kubernetes, aws-iam-authenticator, û Amazon dihewîne. nûnerê ECS.
Amûrên orkestrasyona konteyner di konteynirek rêveberiyê ya cihêreng de têne ku ji hêla xwerû ve hatî çalak kirin û bi navgîniya API û AWS SSM Agent ve têne rêve kirin. Wêneya bingehîn şêlê fermanê, servera SSH û zimanên şîrovekirî tune ye (mînakî, Python an Perl tune) - Amûrên îdarî û amûrên debugkirinê di konteynirek karûbarê cihêreng de têne danîn, ku ji hêla xwerû ve hatî asteng kirin.
Cûdahiya sereke ji belavkirinên wekhev ên wekî Fedora CoreOS, CentOS / Red Hat Atomic Host di çarçoweya xurtkirina parastina pergalê ji xetereyên muhtemel de, baldariya bingehîn e li ser peydakirina ewlehiya herî zêde di çarçoweya bihêzkirina parastina pergalê ji xetereyên muhtemel de, û dijwartir dike ku xerabûna di hêmanên OS-ê de bikar bîne û îzolasyona konteynerê zêde bike. . Konteyner bi karanîna mekanîzmayên kernel Linux-ê yên standard têne afirandin - cgroup, navên nav û seccomp. Ji bo veqetandina zêde, belavkirin di moda "sepandin" de SELinux bikar tîne.
Dabeşkirina root tenê tenê-xwendewarî tê hilanîn, û dabeşkirina mîhengên /etc di tmpfs de tê danîn û piştî nûve destpêkirinê vedigere rewşa xweya bingehîn. Guhertina rasterast a pelên di pelrêça /etc de, wek /etc/resolv.conf û /etc/containerd/config.toml, nayê piştgirî kirin - ji bo ku hûn mîhengan bi domdarî hilînin, divê hûn API-ê bikar bînin an fonksiyonê bixin nav konteynerên cihê. Modula dm-verity tê bikar anîn da ku bi şîfrekirina yekbûna dabeşa root-ê verast bike, û heke hewlek ji bo guheztina daneyan di asta cîhaza blokê de were dîtin, pergalê ji nû ve dest pê dike.
Piraniya hêmanên pergalê di Rust de têne nivîsandin, ku taybetmendiyên ewledar ên bîranînê peyda dike da ku ji qelsiyên ku ji ber gihîştinên bîranînê yên bêpere, veqetandinên nîşangirên betal, û zêdekirina tamponan dûr bixin. Dema ku ji hêla xwerû ve têne çêkirin, modên berhevokê "-enable-default-pie" û "-enable-default-ssp" têne bikar anîn da ku rasthatîkirina cîhê navnîşana pelê ya darvekirî (PIE) û parastina li dijî dorpêçkirina stakê bi veguheztina kanariyê ve were çalak kirin. Ji bo pakêtên ku bi C/C++ hatine nivîsandin, alayên "-Dîwar", "-Werror=format-ewlehî", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" û "-fstack-clash" zêde ne. çalak -parastin".
Di weşana nû de:
- Предложено два новых варианта дистрибутива aws-k8s-1.20 и vmware-k8s-1.20 c поддержкой Kubernetes 1.20. В данных вариантах, а также в обновлённом варианте aws-ecs-1, задействован новый выпуск ядра Linux 5.10. Режим lockdown по умолчанию переведён в значение «integrity» (блокируются возможности, позволяющие вносить изменения в работающее ядро из пространства пользователя). Прекращена поддержка варианта aws-k8s-1.15 на базе Kubernetes 1.15.
- Для Amazon ECS реализована поддержка сетевого режима awsvpc, позволяющего выделять отдельные сетевых интерфейсы и внутренние IP-адреса для каждой задачи.
- Добавлены настройки для управления различными параметрами Kubernetes, включая QPS, лимиты на пулы и возможность подключения к облачным провайдерам, отличным от AWS.
- В bootstrap-контейнере обеспечено ограничение доступа к данным пользователя при помощи SELinux.
- Добавлена утилита resize2fs.
Source: opennet.ru