Misy Bottlerocket 1.8, fizarana mifototra amin'ny kaontenera mitoka-monina

Navoaka ny famoahana ny fizarana Bottlerocket 1.8.0 Linux, novolavolaina niaraka tamin'ny fandraisan'anjaran'i Amazon mba hampandeha tsara sy azo antoka ireo kaontenera mitoka-monina. Ny kitapom-pitaovana sy ny singa mifehy ny fizarana dia nosoratana tamin'ny Rust ary zaraina amin'ny alàlan'ny fahazoan-dàlana MIT sy Apache 2.0. Izy io dia manohana ny fampandehanana Bottlerocket amin'ny kluster Amazon ECS, VMware, ary AWS EKS Kubernetes, ary koa ny famoronana fanamboarana sy fanontana mahazatra izay mamela ny orkestra sy fitaovana fampandehanana isan-karazany ho an'ny kaontenera.

Ny fizarana dia manome sarin'ny rafitra tsy azo zaraina atomika sy nohavaozina ho azy izay ahitana ny kernel Linux sy ny tontolo iainana rafitra kely indrindra izay tsy ahitana afa-tsy ny singa ilaina amin'ny fampandehanana kaontenera. Ny tontolo iainana dia ahitana ny mpitantana ny rafitra systemd, ny tranomboky Glibc, ny fitaovana fananganana Buildroot, ny bootloader GRUB, ny configurator tamba-jotra ratsy, ny fampandehanana ny container mitokana, ny sehatra orkestra kaontenera Kubernetes, ny aws-iam-authenticator, ary ny Amazon ECS agent. .

Ny fitaovana orkestra kaontenera dia tonga ao anaty kaontenera fitantanana mitokana izay alefa amin'ny alàlan'ny default ary tantanana amin'ny alàlan'ny API sy AWS SSM Agent. Ny sary fototra dia tsy misy akorandriaka baiko, mpizara SSH, ary fiteny voadika (ohatra, tsy misy Python na Perl) - fitaovana administratif sy debugging dia afindra any amin'ny fitoeran-tsarimihetsika misaraka, izay kilemaina amin'ny alàlan'ny default.

Ny fahasamihafana lehibe amin'ny fizarana mitovy toy ny Fedora CoreOS, CentOS / Red Hat Atomic Host dia ny fifantohana voalohany amin'ny fanomezana fiarovana ambony indrindra amin'ny tontolon'ny fanamafisana ny fiarovana ny rafitra amin'ny fandrahonana mety hitranga, manasarotra ny fitrandrahana ny vulnerabilities amin'ny singa OS ary mampitombo ny fitokanan'ny container. Ny kaontenera dia noforonina amin'ny alàlan'ny mekanika mahazatra an'ny kernel Linux - cgroups, namespaces ary seccomp. Ho an'ny fitokanana fanampiny, ny fizarana dia mampiasa SELinux amin'ny fomba "mampihatra".

Ny fizarazaran'ny fakany dia napetraka amin'ny fomba vakiana fotsiny, ary ny fizarazarana miaraka amin'ny / sns dia apetraka ao amin'ny tmpfs ary averina amin'ny toerany voalohany aorian'ny fanombohana. Ny fanovana mivantana amin'ny rakitra ao amin'ny lahatahiry /etc, toy ny /etc/resolv.conf sy /etc/containerd/config.toml, dia tsy tohanana - raha te-hitahiry lamina maharitra ianao, dia tokony hampiasa ny API ianao na hamindra ny fampiasa mba hanasaraka ireo fitoeran-javatra. Ho an'ny fanamarinana kriptografika ny fahamendrehan'ny fizarazaran'ny faka dia ampiasaina ny môdely dm-verity, ary raha hita ny fikasana hanova ny angona amin'ny haavon'ny fitaovana fanakanana, dia averina indray ny rafitra.

Ny ankamaroan'ny singa ao amin'ny rafitra dia voasoratra ao amin'ny Rust, izay manome fitaovana azo antoka amin'ny fitadidiana mba hialana amin'ny vulnerability ateraky ny fiatrehana faritra fitadidiana aorian'ny nafahana azy, ny fanafoanana ny tondro tsy misy dikany ary ny fihoaran'ny buffer. Rehefa manorina, ny maodely fanangonana "--enable-default-pie" sy "--enable-default-ssp" dia ampiasaina amin'ny alàlan'ny alàlan'ny alàlan'ny alàlan'ny fandefasana ny toerana misy ny rakitra azo tanterahana (PIE) sy ny fiarovana amin'ny fihoaram-pefy amin'ny alàlan'ny fanoloana marika canary. Ho an'ny fonosana voasoratra ao amin'ny C/C++, ny saina "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" ary "-fstack-clash" dia fanampiny. tafiditra - fiarovana.

Ao amin'ny famoahana vaovao:

  • Nohavaozina ny votoatin'ny kaontenera administratif sy fanaraha-maso.
  • Nohavaozina ho an'ny sampana container 1.6.x ny fotoana fampandehanana ny kaontenera mitoka-monina.
  • Ny fanombohana indray ny fizotran'ny background mandrindra ny asan'ny kaontenera dia azo antoka aorian'ny fanovana ao amin'ny fivarotana taratasy fanamarinana.
  • Ny fahafahana mametraka mari-pamantarana boot amin'ny kernel amin'ny alàlan'ny fizarana Boot Configuration dia omena.
  • Navela ny tsy firaharahiana blocs tsy misy na inona na inona rehefa manamarina ny fahamarinan'ny fizarazarana faka amin'ny fampiasana dm-verity.
  • Manome fahafahana mamehy ny anaran'ny mpampiantrano amin'ny /etc/hosts.
  • Efa nomena ny fahafaha-mamorona rindrankajy tambajotra amin'ny fampiasana ny utility netdog (nampiana ny baiko Gene-net-config).
  • Safidy fizarana vaovao miaraka amin'ny fanohanana ny Kubernetes 1.23 no atolotra. Nahena ny fotoana fanombohana ho an'ny pods ao amin'ny Kubernetes amin'ny alàlan'ny fanesorana ny maody configMapAndSecretChangeDetectionStrategy. Nampiana fanovana kubelet vaovao: provider-id sy podPidsLimit.
  • Ny fizarana 'aws-ecs-1-nvidia' vaovao ho an'ny Amazon Elastic Container Service (Amazon ECS) dia natolotra ary miaraka amin'ny mpamily NVIDIA.
  • Fanohanana fanampiny ho an'ny fitaovana fitahirizana Microchip Smart sy MegaRAID SAS. Fanohanana nitarina ho an'ny karatra Ethernet mifototra amin'ny chips Broadcom.
  • Dikan-kafatra sy fiankinan-doha nohavaozina ho an'ny fiteny Go sy Rust, ary koa ny dikan-tenin'ny fonosana misy programa an'ny antoko fahatelo. Nohavaozina ho version 0.26.0 ny Bottlerocket SDK.

Source: opennet.ru

Add a comment