Amazon Company
D'Verdeelung bitt de Linux Kernel an e minimale Systemëmfeld, och nëmmen déi Komponenten déi néideg sinn fir Container ze lafen. Ënnert de Packagen, déi am Projet involvéiert sinn, sinn de Systemmanager systemd, d'Glibc Bibliothéik, an d'Versammlungstools
Buildroot, GRUB Bootloader, Netzwierkkonfigurator
D'Verdeelung gëtt atomesch aktualiséiert a gëtt a Form vun engem ondeelbare Systembild geliwwert. Zwee Disk Partitionen ginn fir de System zougewisen, eng vun deenen den aktive System enthält, an den Update gëtt op déi zweet kopéiert. Nodeems d'Aktualiséierung ofgesat ass, gëtt déi zweet Partition aktiv, an an der éischter, bis den nächsten Update ukomm ass, gëtt déi viregt Versioun vum System gespäichert, op déi Dir kënnt zréckrollen wann Probleemer entstinn. Updates ginn automatesch installéiert ouni Administratorinterventioun.
De Schlësselunterscheed vun ähnlechen Distributiounen wéi Fedora CoreOS, CentOS / Red Hat Atomic Host ass de primäre Fokus op d'Liwwerung
D'Root-Partition ass nëmme liest montéiert, an d' / etc Astellungspartition ass an tmpfs montéiert a restauréiert an säin ursprénglechen Zoustand no engem Neistart. Direkt Ännerung vun Dateien am /etc Verzeichnis, wéi /etc/resolv.conf an /etc/containerd/config.toml, gëtt net ënnerstëtzt - fir permanent Astellungen ze späicheren, musst Dir d'API benotzen oder d'Funktionalitéit an getrennten Container réckelen.
Déi meescht Systemkomponente sinn a Rust geschriwwe ginn, wat Memory-sécher Features ubitt fir Schwachstelle ze vermeiden verursaacht duerch After-Free Memory-Zougäng, Null Pointer-Dereferenzen a Puffer-Iwwerreechungen. Wann Dir als Standard baut, ginn d'Kompilatiounsmodi "--enable-default-pie" an "--enable-default-ssp" benotzt fir Randomiséierung vum Adressraum vun ausführbare Dateien z'erméiglechen (
Fir Packagen geschriwwen an C / C ++, zousätzlech Fändelen sinn abegraff
"-Wall", "-Werror=format-Security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" an "-fstack-clash-protection".
Container Orchestratiounsinstrumenter ginn separat geliwwert
Source: opennet.ru