ะะพัััะฟะตะฝ ะฒัะฟััะบ Linux-ะดะธัััะธะฑััะธะฒะฐ Bottlerocket 1.1.0, ัะฐะทะฒะธะฒะฐะตะผะพะณะพ ะฟัะธ ััะฐััะธะธ ะบะพะผะฟะฐะฝะธะธ Amazon ะดะปั ัััะตะบัะธะฒะฝะพะณะพ ะธ ะฑะตะทะพะฟะฐัะฝะพะณะพ ะทะฐะฟััะบะฐ ะธะทะพะปะธัะพะฒะฐะฝะฝัั ะบะพะฝัะตะนะฝะตัะพะฒ. ะะฝััััะผะตะฝัะฐัะธะน ะธ ัะฟัะฐะฒะปัััะธะต ะบะพะผะฟะพะฝะตะฝัั ะดะธัััะธะฑััะธะฒะฐ ะฝะฐะฟะธัะฐะฝั ะฝะฐ ัะทัะบะต Rust ะธ ัะฐัะฟัะพัััะฐะฝััััั ะฟะพะด ะปะธัะตะฝะทะธัะผะธ MIT ะธ Apache 2.0. ะะพะดะดะตัะถะธะฒะฐะตััั ะทะฐะฟััะบ Bottlerocket ะฒ ะบะปะฐััะตัะฐั Amazon ECS ะธ AWS EKS Kubernetes, ะฐ ัะฐะบะถะต ัะพะทะดะฐะฝะธะต ะฟัะพะธะทะฒะพะปัะฝัั ัะฑะพัะพะบ ะธ ัะตะดะฐะบัะธะน, ะดะพะฟััะบะฐััะธั ะฟัะธะผะตะฝะตะฝะธะต ัะฐะทะปะธัะฝัั ะธะฝััััะผะตะฝัะพะฒ ะพัะบะตัััะพะฒะบะธ ะธ runtime ะดะปั ะบะพะฝัะตะนะฝะตัะพะฒ.
เบเบฒเบเปเบเบเบขเบฒเบเปเบซเปเบฎเบนเบเบเบฒเบเบเบญเบเบฅเบฐเบเบปเบ indivisible เบเบตเปเบกเบตเบเบฒเบเบเบฑเบเบเบธเบเปเบเบเบญเบฐเบเบญเบกเปเบฅเบฐเบญเบฑเบเบเบฐเปเบเบกเบฑเบเปเบเบดเปเบเบเบฐเบเบญเบเบกเบต Linux kernel เปเบฅเบฐเบชเบฐเบเบฒเบเปเบงเบเบฅเปเบญเบกเบเบญเบเบฅเบฐเบเบปเบเบซเบเปเบญเบเบเบตเปเบเบฐเบเบญเบเบกเบตเบเบฝเบเปเบเปเบญเบปเบเบเบฐเบเบญเบเบเบตเปเบเปเบฒเปเบเบฑเบเปเบเบทเปเบญเบเปเบฒเปเบเบตเบเบเบฒเบเบเบฑเบเบเบธ. เบชเบฐเบเบฒเบเปเบงเบเบฅเปเบญเบกเบฅเบงเบกเบกเบตเบเบปเบงเบเบฑเบเบเบฒเบเบฅเบฐเบเบปเบ systemd, เบซเปเบญเบเบชเบฐเปเบธเบ Glibc, เปเบเบทเปเบญเบเบกเบทเบชเปเบฒเบ Buildroot, bootloader GRUB, เบเบปเบงเบเบฑเปเบเปเบเบทเบญเบเปเบฒเบเบเบตเปเบเบปเปเบงเบฎเปเบฒเบ, เบเปเบงเบเปเบงเบฅเบฒเบเบฑเบเบเบธ container เบเบตเปเปเบเบเบเปเบฝเบง, เปเบเบฅเบเบเบญเบก orchestration container Kubernetes, aws-iam-authenticator, เปเบฅเบฐเบเบปเบงเปเบเบ Amazon ECS .
เปเบเบทเปเบญเบเบกเบท orchestration เบเบนเปเบเบญเบเปเบเบเปเบเบตเบกเบฒเบขเบนเปเปเบเบเบฑเบเบเบฒเบเบเบฑเบเบเบฒเบเปเบเบเบเปเบฒเบเบซเบฒเบเบเบตเปเบเบทเบเปเบเบตเบเปเบเปเปเบเบเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบเปเบฅเบฐเบเบฑเบเบเบฒเบเบเปเบฒเบ API เปเบฅเบฐ AWS SSM Agent. เบฎเบนเบเบเบฒเบเบเบทเปเบเบเบฒเบเบเบฒเบเปเบเบฐเบเปเบฒเบชเบฑเปเบ, เปเบเบตเบเปเบงเบต SSH, เปเบฅเบฐเบเบฒเบชเบฒเบเบตเปเบเบทเบเบเบตเบเบงเบฒเบก (เบเบปเบงเบขเปเบฒเบ, เบเปเปเบกเบต Python เบซเบผเบท Perl) - เปเบเบทเปเบญเบเบกเบทเบเบฒเบเบเปเบฅเบดเบซเบฒเบเปเบฅเบฐเบเบฒเบเบเบตเบเบฑเบเบเบทเบเบเปเบฒเบเปเบเบเปเบญเบเปเบเบฑเบเบเปเบฅเบดเบเบฒเบเปเบเบเบเปเบฒเบเบซเบฒเบ, เปเบเบดเปเบเบเบทเบเบเบดเบเปเบเปเบเบฒเบเปเบเบเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบ.
เบเบงเบฒเบกเปเบเบเบเปเบฒเบเบเบตเป เบชเบณ เบเบฑเบเบเบฒเบเบเบฒเบเปเบเบเบขเบฒเบเบเบตเปเบเปเบฒเบเบเบทเบเบฑเบเปเบเบฑเปเบ Fedora CoreOS, CentOS / Red Hat Atomic Host เปเบกเปเบเบเบธเบเบชเบธเบกเบเบปเปเบเบเปเปเบเบเบฒเบเปเบซเปเบเบงเบฒเบกเบเบญเบเปเบเบชเบนเบเบชเบธเบเปเบเปเบเปเบเบญเบเบเบฒเบเปเบชเบตเบกเบชเปเบฒเบเบฅเบฐเบเบปเบเบเปเบญเบเบเบฑเบเปเบเบเบปเปเบกเบเบนเปเบเบตเปเปเบเบฑเบเปเบเปเบเป, เบชเบฑเบเบชเบปเบเบเบฒเบเบเบนเบเบฎเบตเบเบเบญเบเบเปเบญเบเปเบซเบงเปเปเบเบญเบปเบเบเบฐเบเบญเบ OS เปเบฅเบฐเปเบเบตเปเบกเบเบฒเบเปเบเบเบเบปเบงเบเบฑเบเบเบธ. Containers เบเบทเบเบชเปเบฒเบเบเบทเปเบเปเบเบเปเบเปเบเบปเบเปเบเบเบปเบเบเบฐเบเบดเบเบญเบ Linux kernel - cgroups, namespaces เปเบฅเบฐ seccomp. เบชเปเบฒเบฅเบฑเบเบเบฒเบเปเบเบเบเปเบฝเบงเปเบเบตเปเบกเปเบเบตเบก, เบเบฒเบเปเบเบเบขเบฒเบเปเบเป SELinux เปเบเปเบซเบกเบ "เบเบฑเบเบเบฑเบ".
เบเบฒเบเปเบเปเบเบชเปเบงเบเบฎเบฒเบเปเบกเปเบเบเบดเบเบขเบนเปเปเบเปเปเบเบญเปเบฒเบเปเบเบปเปเบฒเบเบฑเปเบ, เปเบฅเบฐเบเบฒเบเบดเบเบฑเบเบเบตเปเบกเบตเบเบฒเบเบเบฑเปเบเบเปเบฒ /etc เบเบทเบเบเบดเบเบเบฑเปเบเบขเบนเปเปเบ tmpfs เปเบฅเบฐเบเบทเปเบเบเบนเบเบทเบเบชเบนเปเบชเบฐเบเบฒเบเปเบเบตเบกเบซเบผเบฑเบเบเบฒเบเบเบดเบเปเบเบตเบเปเปเป. เบเบฒเบเบเบฑเบเปเบเปเปเบเบเบเบปเบเบเบญเบเปเบเบฅเปเปเบเปเบเปเบฅเบเบฐเบเปเบฅเบต /etc, เปเบเบฑเปเบ /etc/resolv.conf เปเบฅเบฐ /etc/containerd/config.toml, เปเบกเปเบเบเปเปเบชเบฐเบซเบเบฑเบเบชเบฐเบซเบเบนเบ - เปเบเบทเปเบญเบเบฑเบเบเบถเบเบเบฒเบเบเบฑเปเบเบเปเบฒเบเบฒเบงเบญเบ, เบเปเบฒเบเบเบงเบเปเบเป API เบซเบผเบทเบเปเบฒเบเบเบฒเบเปเบฎเบฑเบเบงเบฝเบเปเบเบซเบฒเบเปเบญเบเบเบฑเบเบเบธเปเบเบเบเปเบฒเบเบซเบฒเบ. เบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบงเบเบชเบญเบเบเบฒเบเปเบเบปเปเบฒเบฅเบฐเบซเบฑเบเบฅเบฑเบเบเบญเบเบเบงเบฒเบกเบชเบปเบกเบเบนเบเบเบญเบเบเบฒเบเปเบเปเบเบเบฑเบเบฎเบฒเบ, เปเบกเบเบนเบ dm-verity เบเบทเบเบเปเบฒเปเบเป, เปเบฅเบฐเบเปเบฒเบเบงเบฒเบกเบเบฐเบเบฒเบเบฒเบกเบเบตเปเบเบฐเบเบฑเบเปเบเบเบเปเปเบกเบนเบเปเบเบฅเบฐเบเบฑเบเบญเบธเบเบฐเบเบญเบเบเบฑเบเปเบเปเบเบทเบเบเบงเบเบเบปเบ, เบฅเบฐเบเบปเบเบเบฐเบเบดเบเปเบเบทเปเบญเบเปเบซเบกเป.
เบญเบปเบเบเบฐเบเบญเบเบเบญเบเบฅเบฐเบเบปเบเบชเปเบงเบเปเบซเบเปเบเบทเบเบเบฝเบเปเบงเปเปเบ Rust, เปเบเบดเปเบเบชเบฐเบซเบเบญเบเปเบเบทเปเบญเบเบกเบทเบเบตเปเบเบญเบเปเบเปเบเบซเบเปเบงเบเบเบงเบฒเบกเบเปเบฒเปเบเบทเปเบญเบซเบผเบตเบเปเบงเบฑเปเบเบเบงเบฒเบกเบญเปเบญเบเปเบญเบเบตเปเปเบเบตเบเบเบฒเบเบเบฒเบเปเบเปเปเบเบเบทเปเบเบเบตเปเบซเบเปเบงเบเบเบงเบฒเบกเบเปเบฒเบซเบผเบฑเบเบเบฒเบเบเบตเปเบกเบฑเบเบเบทเบเบเบปเบเบเปเบญเบ, เบเบฒเบเบเบฐเบเบดเปเบชเบเบเบปเบงเบเบตเป null, เปเบฅเบฐ buffer overruns. เปเบกเบทเปเบญเบชเปเบฒเบ, เบฎเบนเบเปเบเบเบเบฒเบเบฅเบงเบเบฅเบงเบก "--enable-default-pie" เปเบฅเบฐ "--enable-default-ssp" เบเบทเบเปเบเปเปเบเบเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบเปเบเบทเปเบญเปเบเบตเบเปเบเปเบเบฒเบเบชเบธเปเบกเบเบทเปเบเบเบตเปเบเบตเปเบขเบนเปเบเบญเบเปเบเบฅเปเบเบตเปเบชเบฒเบกเบฒเบเบเบฐเบเบดเบเบฑเบเปเบเป (PIE) เปเบฅเบฐเบเบฒเบเบเปเบญเบเบเบฑเบเบเบฒเบ overflows stack เปเบเบเบเปเบฒเบเบเบฒเบเบเบปเบเปเบเบเบเปเบฒเบ canary. เบชเบณเบฅเบฑเบเปเบเบฑเบเปเบเบฑเบเบเบตเปเบเบฝเบเปเบงเปเปเบ C/C++, เบเบธเบ "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" เปเบฅเบฐ "-fstack-clash" เบเบฑเบเบกเบตเบญเบตเบ. เบฅเบงเบกโเบเบฑเบโเบเบฒเบโเบเบปเบโเบเบฑเบโเบฎเบฑเบโเบชเบฒโ.
เปเบเบเบฒเบเบเปเบญเบเปเบซเบกเป:
- ะัะตะดะปะพะถะตะฝะพ ะดะฒะฐ ะฝะพะฒัั ะฒะฐัะธะฐะฝัะฐ ะดะธัััะธะฑััะธะฒะฐ aws-k8s-1.20 ะธ vmware-k8s-1.20 c ะฟะพะดะดะตัะถะบะพะน Kubernetes 1.20. ะ ะดะฐะฝะฝัั ะฒะฐัะธะฐะฝัะฐั , ะฐ ัะฐะบะถะต ะฒ ะพะฑะฝะพะฒะปัะฝะฝะพะผ ะฒะฐัะธะฐะฝัะต aws-ecs-1, ะทะฐะดะตะนััะฒะพะฒะฐะฝ ะฝะพะฒัะน ะฒัะฟััะบ ัะดัะฐ Linux 5.10. ะ ะตะถะธะผ lockdown ะฟะพ ัะผะพะปัะฐะฝะธั ะฟะตัะตะฒะตะดัะฝ ะฒ ะทะฝะฐัะตะฝะธะต ยซintegrityยป (ะฑะปะพะบะธัััััั ะฒะพะทะผะพะถะฝะพััะธ, ะฟะพะทะฒะพะปัััะธะต ะฒะฝะพัะธัั ะธะทะผะตะฝะตะฝะธั ะฒ ัะฐะฑะพัะฐััะตะต ัะดัะพ ะธะท ะฟัะพัััะฐะฝััะฒะฐ ะฟะพะปัะทะพะฒะฐัะตะปั). ะัะตะบัะฐัะตะฝะฐ ะฟะพะดะดะตัะถะบะฐ ะฒะฐัะธะฐะฝัะฐ aws-k8s-1.15 ะฝะฐ ะฑะฐะทะต Kubernetes 1.15.
- ะะปั Amazon ECS ัะตะฐะปะธะทะพะฒะฐะฝะฐ ะฟะพะดะดะตัะถะบะฐ ัะตัะตะฒะพะณะพ ัะตะถะธะผะฐ awsvpc, ะฟะพะทะฒะพะปัััะตะณะพ ะฒัะดะตะปััั ะพัะดะตะปัะฝัะต ัะตัะตะฒัั ะธะฝัะตััะตะนัั ะธ ะฒะฝัััะตะฝะฝะธะต IP-ะฐะดัะตัะฐ ะดะปั ะบะฐะถะดะพะน ะทะฐะดะฐัะธ.
- ะะพะฑะฐะฒะปะตะฝั ะฝะฐัััะพะนะบะธ ะดะปั ัะฟัะฐะฒะปะตะฝะธั ัะฐะทะปะธัะฝัะผะธ ะฟะฐัะฐะผะตััะฐะผะธ Kubernetes, ะฒะบะปััะฐั QPS, ะปะธะผะธัั ะฝะฐ ะฟัะปั ะธ ะฒะพะทะผะพะถะฝะพััั ะฟะพะดะบะปััะตะฝะธั ะบ ะพะฑะปะฐัะฝัะผ ะฟัะพะฒะฐะนะดะตัะฐะผ, ะพัะปะธัะฝัะผ ะพั AWS.
- ะ bootstrap-ะบะพะฝัะตะนะฝะตัะต ะพะฑะตัะฟะตัะตะฝะพ ะพะณัะฐะฝะธัะตะฝะธะต ะดะพัััะฟะฐ ะบ ะดะฐะฝะฝัะผ ะฟะพะปัะทะพะฒะฐัะตะปั ะฟัะธ ะฟะพะผะพัะธ SELinux.
- ะะพะฑะฐะฒะปะตะฝะฐ ััะธะปะธัะฐ resize2fs.
เปเบซเบผเปเบเบเปเปเบกเบนเบ: opennet.ru