Amazon Company de ultima emissione β peculiaris distributio pro vasis currit et ea efficaciter administrandi.
Bottlerocket (obiter, nomen parvae homemade nigri pulveris rockets donatum) primum OS pro vasis non est, sed verisimile est diffusum fiet ob integrationem defectuum cum AWS servitiis. Quamquam systema in nube Amazonum tenditur, fons apertus codicei alicubi aedificari sinit: localiter in servo, in Raspberry Pi, in quavis nube certandi, et etiam in continenti ambitu.
Haec omnino digna substitutio pro distributione CoreOS quam Rubrum Hat sepelivit.
Re quidem vera divisio muneris interretialis iam Linux Amazonem habet, quae nuper in secunda versione prodiit: generalis propositi distributio quae in vase Docker vel cum Linux KVM, Microsoft Hyper-V et VMware currere potest. ESXi hypervisores. Optima facta est currere in nubem AWS, sed cum emissione Bottlerocket, quisque hortatus est ad novam systema tutiorem, modernum, et paucioribus utitur opibus.
AWS nuntiatum Bottlerocket . Confestim confessa est hanc non esse primam "Linux pro vasis", citans CoreOS, Rancher OS et Project atomos tamquam fontes inspirationis. Tincidunt scripserunt systema operandi esse "ex lectionum quae in scalis Amazonicae diuturno tempore didicerunt ex curriculis operarum productionis, et experientiam per sex annos proximos quomodo vasa currendi adepti sumus".
Extremae minimalismus
Linux omnia nudatur quae vasis ad currere non opus est. Hoc consilio, secundum multitudinem, superficiem reducet impetus.
Hoc significat quod pauciores fasciculi in basi systema instituuntur, quod facilius OS conservare et renovare facit, et verisimilitudinem problematum propter clientelas reducens, usus subsidiorum minuit. Basically, omnia quae hic in singulis vasis operatur, et ratio subiecta fere nuda est.
Conchas quoque et interpretes Amazon omnes removit, periculum adhibitis vel utentibus utentibus casualiter privilegia evadendis sublato. Minimalismi et securitatis causa, basis imaginis testam praecepti non includit, SSH cultor, vel linguae Pythonis ut interpretata. Administratore instrumenta ponuntur in vase separato, quod per defaltam debilitatum est.
Ratio duobus modis administratur: per API et orchestrationem.
Instead of villicus sarcinae quae singula fragmenta programmatum updates, Bottlerocket downloads integram imaginem filesystem et in reboots habet. Si onus deficit, automatice revolvitur, et quod inposuit defectum manually reverti potest (mandatum per API).
Framework (Renovatio Framework) downloads renovationes imaginum fundatorum ad partitiones alternas vel "ascendentes". Duae partitiones disci pro systemate partita sunt, quarum altera systema activum continet, et renovatio ad secundum exscripta est. Hoc in casu, radix partitio tantum modo legitur, et partitio /etc conscendens tabella ratio in RAM et restituit pristinum statum post sileo. Directam modificationem configurationis files in /etc non sustinetur: ad unctiones servandas API utere debes vel functionem in vasis separatis movere.
API update consilium
salutem
Vasa machinationes normae Linux nuclei - cgroups, spatii nomina seccomp creantur et quasi coacta ratio accessus moderandi adhibentur, hoc est, ad solitudo additional. in "exsequendi" modum.
Defalta consilia communicare possunt facultates inter vascula et acinum. Binarii vexillis muniuntur ne utentes aut programmata ab iis capiant. Et si ratio tabellae acquirat, Bottlerocket instrumentum praebet ad reprimendam et indagandas quaslibet mutationes factas.
The "verificatur tabernus" modus est implemented per ipsam functionem fabrica-mapper-verity () , qui in tabernus partitione radicis integritatem cohibet. AWS dm-verititatem describit ut "lineum nuclei Linux quae integritatem praebet cohibet ne malware currendo in OS, ut programmatis nuclei overwriting."
Est etiam filtrum in systemate (extenta BPF, ) , qui dat modulorum nuclei reponenda cum programmatis BPF securioribus pro operationibus systematis inferioris gradus.
Supplicium exemplum
User defined
compilation
salutem
Defectum modus
Aditum opibus
User
negotium
yes
nihil
user iura
interrumpere supplicium
ratio vocatio, culpa
core
negotium
no
static
no
nucleus panicum
recta
GMP
res
yes
JIT, CO-RE
verificationem, JIT
erroris nuntius
limitata auxiliatores
Quomodo BPF differt a iusto usuario vel nucleo gradu code
AWS dixit Bottlerocket "malum operans utitur quod adhuc securitatem auget, prohibendo nexus ad servitores producendos cum privilegiis administrativis" et "apta est ad magnas systemata distributas ubi potestas uniuscuiusque exercitus limitatur".
Continens administratoris providetur pro administratoribus systematis. Sed AWS non putat admin saepe opus esse intus Bottlerocket laborandum: "Actus logendi in singularem instantiam Bottlerocket raris operationibus destinatur: provectus debugging et fermentum" tincidunt.
Lingua rubigo
Instrumentum OS in summitate nuclei plerumque in Rust scriptum est. Lingua sua natura est Et .
Vexilla applicantur per default cum aedificaretur --enable-default-pie ΠΈ --enable-default-ssp ad enable randomization inscriptionis spatium exsecutabile (, PIE) ET BIBLIOTHECA HUNDANTIA PRAESIDIUM.
Nam C/C ++ fasciculi, additamenta vexilla includuntur -Wall, -Werror=format-security, -Wp,-D_FORTIFY_SOURCE=2, -Wp,-D_GLIBCXX_ASSERTIONS ΠΈ -fstack-clash-protection.
Praeter Rust et C/C++, fasciculi aliquot in Go scripti sunt.
Integration cum AWS officia
Differentia a similibus continentis systematis operandi est quod Amazon optimized Bottlerocket currere in AWS et cum aliis AWS officiis integrare.
Maxime continens orchestrator popularis Kubernetes est, itaque AWS integrationem induxit cum Officio suo Kubernetes Enterprise (EKS). Instrumenta orchestrationis venient in vase separato quae per defaltam et per API et AWS SSM Agentem administratur.
Studium erit videre si Bottlerocket deponit, datis defectibus aliquorum similium inceptorum in praeteritum. Exempli gratia, PhotonOS ab Vmware incognita evasit, et RedHat emit CoreOS and qui in agro auctor habebatur.
Bottlerocket integratio in officia AWS hanc systema suo modo unicum facit. Haec fortasse praecipua causa est cur aliqui utentes Bottlerocket praeferant super alias distros quales CoreOS vel Alpinos. Ratio initio destinatur ad operandum cum EKS et ECS, sed repetemus hoc non esse necessarium. Uno modo, Bottlerocket can et uti, verbi gratia, solutione hosted. Secundo, EKS et ECS utentes adhuc facultatem eligendi OS suos habent.
Codicis fons Bottlerocket divulgatur in GitHub sub licentia Apache 2.0. In developers iam .
ut vendo
VDSina deals . Possibile est ullam systema operandi inaugurare, etiam ex imagine tua propria. Uniuscuiusque servo iungitur cum canali interretiali 500 Megabitorum et ab DDoS oppugnationibus gratis custoditur!
Source: www.habr.com