Amazon Company
Bottlerocket (obiter, nomen parvae homemade nigri pulveris rockets donatum) primum OS pro vasis non est, sed verisimile est diffusum fiet ob integrationem defectuum cum AWS servitiis. Quamquam systema in nube Amazonum tenditur, fons apertus codicei alicubi aedificari sinit: localiter in servo, in Raspberry Pi, in quavis nube certandi, et etiam in continenti ambitu.
Haec omnino digna substitutio pro distributione CoreOS quam Rubrum Hat sepelivit.
Re quidem vera divisio muneris interretialis iam Linux Amazonem habet, quae nuper in secunda versione prodiit: generalis propositi distributio quae in vase Docker vel cum Linux KVM, Microsoft Hyper-V et VMware currere potest. ESXi hypervisores. Optima facta est currere in nubem AWS, sed cum emissione Bottlerocket, quisque hortatus est ad novam systema tutiorem, modernum, et paucioribus utitur opibus.
AWS nuntiatum Bottlerocket
Extremae minimalismus
Linux omnia nudatur quae vasis ad currere non opus est. Hoc consilio, secundum multitudinem, superficiem reducet impetus.
Hoc significat quod pauciores fasciculi in basi systema instituuntur, quod facilius OS conservare et renovare facit, et verisimilitudinem problematum propter clientelas reducens, usus subsidiorum minuit. Basically, omnia quae hic in singulis vasis operatur, et ratio subiecta fere nuda est.
Conchas quoque et interpretes Amazon omnes removit, periculum adhibitis vel utentibus utentibus casualiter privilegia evadendis sublato. Minimalismi et securitatis causa, basis imaginis testam praecepti non includit, SSH cultor, vel linguae Pythonis ut interpretata. Administratore instrumenta ponuntur in vase separato, quod per defaltam debilitatum est.
Ratio duobus modis administratur: per API et orchestrationem.
Instead of villicus sarcinae quae singula fragmenta programmatum updates, Bottlerocket downloads integram imaginem filesystem et in reboots habet. Si onus deficit, automatice revolvitur, et quod inposuit defectum manually reverti potest (mandatum per API).
Framework /etc
conscendens tabella ratio in RAM /etc
non sustinetur: ad unctiones servandas API utere debes vel functionem in vasis separatis movere.
API update consilium
salutem
Vasa machinationes normae Linux nuclei - cgroups, spatii nomina seccomp creantur et quasi coacta ratio accessus moderandi adhibentur, hoc est, ad solitudo additional.
Defalta consilia communicare possunt facultates inter vascula et acinum. Binarii vexillis muniuntur ne utentes aut programmata ab iis capiant. Et si ratio tabellae acquirat, Bottlerocket instrumentum praebet ad reprimendam et indagandas quaslibet mutationes factas.
The "verificatur tabernus" modus est implemented per ipsam functionem fabrica-mapper-verity (
Est etiam filtrum in systemate
Supplicium exemplum
User defined
compilation
salutem
Defectum modus
Aditum opibus
User
negotium
yes
nihil
user iura
interrumpere supplicium
ratio vocatio, culpa
core
negotium
no
static
no
nucleus panicum
recta
GMP
res
yes
JIT, CO-RE
verificationem, JIT
erroris nuntius
limitata auxiliatores
Quomodo BPF differt a iusto usuario vel nucleo gradu code
AWS dixit Bottlerocket "malum operans utitur quod adhuc securitatem auget, prohibendo nexus ad servitores producendos cum privilegiis administrativis" et "apta est ad magnas systemata distributas ubi potestas uniuscuiusque exercitus limitatur".
Continens administratoris providetur pro administratoribus systematis. Sed AWS non putat admin saepe opus esse intus Bottlerocket laborandum: "Actus logendi in singularem instantiam Bottlerocket raris operationibus destinatur: provectus debugging et fermentum"
Lingua rubigo
Instrumentum OS in summitate nuclei plerumque in Rust scriptum est. Lingua sua natura est
Vexilla applicantur per default cum aedificaretur --enable-default-pie
ΠΈ --enable-default-ssp
ad enable randomization inscriptionis spatium exsecutabile (
Nam C/C ++ fasciculi, additamenta vexilla includuntur -Wall
, -Werror=format-security
, -Wp,-D_FORTIFY_SOURCE=2
, -Wp,-D_GLIBCXX_ASSERTIONS
ΠΈ -fstack-clash-protection
.
Praeter Rust et C/C++, fasciculi aliquot in Go scripti sunt.
Integration cum AWS officia
Differentia a similibus continentis systematis operandi est quod Amazon optimized Bottlerocket currere in AWS et cum aliis AWS officiis integrare.
Maxime continens orchestrator popularis Kubernetes est, itaque AWS integrationem induxit cum Officio suo Kubernetes Enterprise (EKS). Instrumenta orchestrationis venient in vase separato
Studium erit videre si Bottlerocket deponit, datis defectibus aliquorum similium inceptorum in praeteritum. Exempli gratia, PhotonOS ab Vmware incognita evasit, et RedHat emit CoreOS and
Bottlerocket integratio in officia AWS hanc systema suo modo unicum facit. Haec fortasse praecipua causa est cur aliqui utentes Bottlerocket praeferant super alias distros quales CoreOS vel Alpinos. Ratio initio destinatur ad operandum cum EKS et ECS, sed repetemus hoc non esse necessarium. Uno modo, Bottlerocket can
Codicis fons Bottlerocket divulgatur in GitHub sub licentia Apache 2.0. In developers iam
ut vendo
VDSina deals
Source: www.habr.com