Ny famoahana ny Linux distribution Bottlerocket 1.2.0 dia azo alaina, novolavolaina niaraka tamin'ny fandraisan'anjaran'i Amazon ho amin'ny fandefasana entana mitoka-monina mahomby sy azo antoka. Ny fitaovan'ny fizarana sy ny singa fanaraha-maso dia voasoratra amin'ny Rust ary zaraina amin'ny alàlan'ny fahazoan-dàlana MIT sy Apache 2.0. Izy io dia manohana ny fampandehanana Bottlerocket amin'ny kluster Amazon ECS, VMware ary AWS EKS Kubernetes, ary koa ny famoronana fanamboarana sy fanontana mahazatra izay mamela ny fampiasana fitaovana orkestra sy fampandehanana isan-karazany ho an'ny kaontenera.
Ny fizarana dia manome sarin'ny rafitra tsy azo zaraina atomika sy nohavaozina ho azy izay ahitana ny kernel Linux sy ny tontolo iainana rafitra kely indrindra izay tsy ahitana afa-tsy ny singa ilaina amin'ny fampandehanana kaontenera. Ny tontolo iainana dia ahitana ny mpitantana ny rafitra systemd, ny tranomboky Glibc, ny fitaovana fananganana Buildroot, ny bootloader GRUB, ny configurator tamba-jotra ratsy, ny fampandehanana ny container mitokana, ny sehatra orkestra kaontenera Kubernetes, ny aws-iam-authenticator, ary ny Amazon ECS agent. .
Ny fitaovana orkestra kaontenera dia tonga ao anaty kaontenera fitantanana mitokana izay alefa amin'ny alàlan'ny default ary tantanana amin'ny alàlan'ny API sy AWS SSM Agent. Ny sary fototra dia tsy misy akorandriaka baiko, mpizara SSH, ary fiteny voadika (ohatra, tsy misy Python na Perl) - fitaovana administratif sy debugging dia afindra any amin'ny fitoeran-tsarimihetsika misaraka, izay kilemaina amin'ny alàlan'ny default.
Ny fahasamihafana lehibe amin'ny fizarana mitovy toy ny Fedora CoreOS, CentOS / Red Hat Atomic Host dia ny fifantohana voalohany amin'ny fanomezana fiarovana ambony indrindra amin'ny tontolon'ny fanamafisana ny fiarovana ny rafitra amin'ny fandrahonana mety hitranga, manasarotra ny fitrandrahana ny vulnerabilities amin'ny singa OS ary mampitombo ny fitokanan'ny container. Ny kaontenera dia noforonina amin'ny alàlan'ny mekanika mahazatra an'ny kernel Linux - cgroups, namespaces ary seccomp. Ho an'ny fitokanana fanampiny, ny fizarana dia mampiasa SELinux amin'ny fomba "mampihatra".
Ny fizarazaran'ny fakany dia napetraka amin'ny fomba vakiana fotsiny, ary ny fizarazarana miaraka amin'ny / sns dia apetraka ao amin'ny tmpfs ary averina amin'ny toerany voalohany aorian'ny fanombohana. Ny fanovana mivantana amin'ny rakitra ao amin'ny lahatahiry /etc, toy ny /etc/resolv.conf sy /etc/containerd/config.toml, dia tsy tohanana - raha te-hitahiry lamina maharitra ianao, dia tokony hampiasa ny API ianao na hamindra ny fampiasa mba hanasaraka ireo fitoeran-javatra. Ho an'ny fanamarinana kriptografika ny fahamendrehan'ny fizarazaran'ny faka dia ampiasaina ny môdely dm-verity, ary raha hita ny fikasana hanova ny angona amin'ny haavon'ny fitaovana fanakanana, dia averina indray ny rafitra.
Ny ankamaroan'ny singa ao amin'ny rafitra dia voasoratra ao amin'ny Rust, izay manome fitaovana azo antoka amin'ny fitadidiana mba hialana amin'ny vulnerability ateraky ny fiatrehana faritra fitadidiana aorian'ny nafahana azy, ny fanafoanana ny tondro tsy misy dikany ary ny fihoaran'ny buffer. Rehefa manorina, ny maodely fanangonana "--enable-default-pie" sy "--enable-default-ssp" dia ampiasaina amin'ny alàlan'ny alàlan'ny alàlan'ny alàlan'ny fandefasana ny toerana misy ny rakitra azo tanterahana (PIE) sy ny fiarovana amin'ny fihoaram-pefy amin'ny alàlan'ny fanoloana marika canary. Ho an'ny fonosana voasoratra ao amin'ny C/C++, ny saina "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" ary "-fstack-clash" dia fanampiny. tafiditra - fiarovana.
Ao amin'ny famoahana vaovao:
- Fanampiana fanampiny ho an'ny fitaratry ny rejisitry ny sary container.
- Nampiana ny fahafahana mampiasa taratasy fanamarinana nosoniavin'ny tena.
- Safidy fanampiny handrindrana ny anaran'ny mpampiantrano.
- Nohavaozina ny version default an'ny container administratif.
- Nampiana ny topologyManagerPolicy sy topologyManagerScope ho an'ny kubelet.
- Fanampiana fanampiny ho an'ny famatrarana kernel amin'ny alàlan'ny algorithm zstd.
- Ny fahafahana mampiditra milina virtoaly ao amin'ny VMware amin'ny endrika OVA (Open Virtualization Format) dia omena.
- Ny kinova fizarana aws-k8s-1.21 dia nohavaozina miaraka amin'ny fanohanana ny Kubernetes 1.21. Ny fanohanana ny aws-k8s-1.16 dia natsahatra.
- Ny dikan-ny fonosana nohavaozina sy ny miankina amin'ny fiteny Rust.
Source: opennet.ru