Uzņēmums Amazon
Izplatījums nodrošina Linux kodolu un minimālu sistēmas vidi, iekļaujot tikai konteineru palaišanai nepieciešamos komponentus. Starp projektā iesaistītajām pakotnēm ir sistēmas pārvaldnieks systemd, Glibc bibliotēka un montāžas rīki
Buildroot, GRUB sāknēšanas ielādētājs, tīkla konfigurators
Izplatījums tiek atjaunināts atomiski un tiek piegādāts nedalāma sistēmas attēla veidā. Sistēmai tiek piešķirti divi diska nodalījumi, no kuriem vienā ir aktīvā sistēma, un atjauninājums tiek kopēts uz otro. Pēc atjauninājuma izvietošanas otrais nodalījums kļūst aktīvs, un pirmajā, līdz tiek saņemts nākamais atjauninājums, tiek saglabāta iepriekšējā sistēmas versija, kuru var atvilkt atpakaļ, ja rodas problēmas. Atjauninājumi tiek instalēti automātiski bez administratora iejaukšanās.
Galvenā atšķirība no līdzīgiem izplatījumiem, piemēram, Fedora CoreOS, CentOS/Red Hat Atomic Host, ir galvenā uzmanība
Saknes nodalījums ir montēts tikai lasāms, un /etc iestatījumu nodalījums tiek pievienots tmpfs un pēc restartēšanas tiek atjaunots tā sākotnējā stāvoklī. Tieša failu pārveidošana direktorijā /etc, piemēram, /etc/resolv.conf un /etc/containerd/config.toml, netiek atbalstīta - lai pastāvīgi saglabātu iestatījumus, ir jāizmanto API vai jāpārvieto funkcionalitāte atsevišķos konteineros.
Lielākā daļa sistēmas komponentu ir rakstīti valodā Rust, kas nodrošina atmiņai drošus līdzekļus, lai izvairītos no ievainojamībām, ko izraisa pēcbrīva piekļuve atmiņai, nulles rādītāja novirzīšana un bufera pārtēriņš. Veidojot pēc noklusējuma, kompilācijas režīmi “--enable-default-pie” un “--enable-default-ssp” tiek izmantoti, lai iespējotu izpildāmo failu adrešu telpas nejaušību (
C/C++ valodā rakstītām pakotnēm ir iekļauti papildu karodziņi
"-Siena", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" un "-fstack-clash-protection".
Konteineru orķestrēšanas rīki tiek piegādāti atsevišķi
Avots: opennet.ru