Serbestberdana belavkirina Linux Bottlerocket 1.2.0 heye, ku bi beşdariya Amazon ve hatî pêşve xistin ji bo destpêkirina bikêr û ewledar a konteynerên veqetandî. Amûrên belavkirinê û hêmanên kontrolê bi Rust têne nivîsandin û di bin lîsansa MIT û Apache 2.0 de têne belav kirin. Ew piştgirî dide xebitandina Bottlerocket-ê li ser komikên Amazon ECS, VMware û AWS EKS Kubernetes, û her weha avahî û çapên xwerû diafirîne ku destûrê dide karanîna cûrbecûr amûrên orkestrasyonê û dema xebitandinê ji bo konteyneran.
Dabeşkirin wêneyek pergalê ya yekbûyî ya atomî û bixweber nûvekirî peyda dike ku tê de kernel Linux û jîngehek pergalê ya hindiktirîn, di nav de tenê hêmanên ku ji bo xebitandina konteyneran hewce ne. Jîngeh birêveberê pergala systemd, pirtûkxaneya Glibc, amûra avakirina Buildroot, barkera bootê GRUB, vesazkera torê ya xerab, dema xebitandina konteyneran ji bo konteynerên veqetandî, platforma orkestrasyona konteyneran Kubernetes, aws-iam-authenticator, û Amazon dihewîne. nûnerê ECS.
Amûrên orkestrasyona konteyner di konteynirek rêveberiyê ya cihêreng de têne ku ji hêla xwerû ve hatî çalak kirin û bi navgîniya API û AWS SSM Agent ve têne rêve kirin. Wêneya bingehîn şêlê fermanê, servera SSH û zimanên şîrovekirî tune ye (mînakî, Python an Perl tune) - Amûrên îdarî û amûrên debugkirinê di konteynirek karûbarê cihêreng de têne danîn, ku ji hêla xwerû ve hatî asteng kirin.
Cûdahiya sereke ji belavkirinên wekhev ên wekî Fedora CoreOS, CentOS / Red Hat Atomic Host di çarçoweya xurtkirina parastina pergalê ji xetereyên muhtemel de, baldariya bingehîn e li ser peydakirina ewlehiya herî zêde di çarçoweya bihêzkirina parastina pergalê ji xetereyên muhtemel de, û dijwartir dike ku xerabûna di hêmanên OS-ê de bikar bîne û îzolasyona konteynerê zêde bike. . Konteyner bi karanîna mekanîzmayên kernel Linux-ê yên standard têne afirandin - cgroup, navên nav û seccomp. Ji bo veqetandina zêde, belavkirin di moda "sepandin" de SELinux bikar tîne.
Dabeşkirina root tenê tenê-xwendewarî tê hilanîn, û dabeşkirina mîhengên /etc di tmpfs de tê danîn û piştî nûve destpêkirinê vedigere rewşa xweya bingehîn. Guhertina rasterast a pelên di pelrêça /etc de, wek /etc/resolv.conf û /etc/containerd/config.toml, nayê piştgirî kirin - ji bo ku hûn mîhengan bi domdarî hilînin, divê hûn API-ê bikar bînin an fonksiyonê bixin nav konteynerên cihê. Modula dm-verity tê bikar anîn da ku bi şîfrekirina yekbûna dabeşa root-ê verast bike, û heke hewlek ji bo guheztina daneyan di asta cîhaza blokê de were dîtin, pergalê ji nû ve dest pê dike.
Piraniya hêmanên pergalê di Rust de têne nivîsandin, ku taybetmendiyên ewledar ên bîranînê peyda dike da ku ji qelsiyên ku ji ber gihîştinên bîranînê yên bêpere, veqetandinên nîşangirên betal, û zêdekirina tamponan dûr bixin. Dema ku ji hêla xwerû ve têne çêkirin, modên berhevokê "-enable-default-pie" û "-enable-default-ssp" têne bikar anîn da ku rasthatîkirina cîhê navnîşana pelê ya darvekirî (PIE) û parastina li dijî dorpêçkirina stakê bi veguheztina kanariyê ve were çalak kirin. Ji bo pakêtên ku bi C/C++ hatine nivîsandin, alayên "-Dîwar", "-Werror=format-ewlehî", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" û "-fstack-clash" zêde ne. çalak -parastin".
Di weşana nû de:
- Piştgiriya ji bo neynikên qeydkirina wêneya konteynerê zêde kir.
- Kapasîteya karanîna sertîfîkayên xwe-îmzakirî zêde kir.
- Vebijêrkek ji bo mîhengkirina navê mêvandar zêde kir.
- Guhertoya xwerû ya konteynera îdarî hate nûve kirin.
- Mîhengên topologyManagerPolicy û topologyManagerScope ji bo kubelet zêde kirin.
- Piştgiriya ji bo komkirina kernelê bi karanîna algorîtmaya zstd ve zêde kir.
- Kapasîteya barkirina makîneyên virtual li VMware di forma OVA (Forma Virtualîzasyona Vekirî) de tê peyda kirin.
- Guhertoya belavkirinê aws-k8s-1.21 bi piştgiriya Kubernetes 1.21 ve hatî nûve kirin. Piştgiriya aws-k8s-1.16 hate rawestandin.
- Guhertoyên pakêtê û girêdanên ji bo zimanê Rust nûve kirin.
Source: opennet.ru