Navoaka ny famoahana ny fizarana Bottlerocket 1.3.0 Linux, novolavolaina niaraka tamin'ny fandraisan'anjaran'i Amazon mba hampandeha tsara sy azo antoka ireo kaontenera mitoka-monina. Ny kitapom-pitaovana sy ny singa mifehy ny fizarana dia nosoratana tamin'ny Rust ary zaraina amin'ny alàlan'ny fahazoan-dàlana MIT sy Apache 2.0. Izy io dia manohana ny fampandehanana Bottlerocket amin'ny kluster Amazon ECS, VMware, ary AWS EKS Kubernetes, ary koa ny famoronana fanamboarana sy fanontana mahazatra izay mamela ny orkestra sy fitaovana fampandehanana isan-karazany ho an'ny kaontenera.
Ny fizarana dia manome sarin'ny rafitra tsy azo zaraina atomika sy nohavaozina ho azy izay ahitana ny kernel Linux sy ny tontolo iainana rafitra kely indrindra izay tsy ahitana afa-tsy ny singa ilaina amin'ny fampandehanana kaontenera. Ny tontolo iainana dia ahitana ny mpitantana ny rafitra systemd, ny tranomboky Glibc, ny fitaovana fananganana Buildroot, ny bootloader GRUB, ny configurator tamba-jotra ratsy, ny fampandehanana ny container mitokana, ny sehatra orkestra kaontenera Kubernetes, ny aws-iam-authenticator, ary ny Amazon ECS agent. .
Ny fitaovana orkestra kaontenera dia tonga ao anaty kaontenera fitantanana mitokana izay alefa amin'ny alàlan'ny default ary tantanana amin'ny alàlan'ny API sy AWS SSM Agent. Ny sary fototra dia tsy misy akorandriaka baiko, mpizara SSH, ary fiteny voadika (ohatra, tsy misy Python na Perl) - fitaovana administratif sy debugging dia afindra any amin'ny fitoeran-tsarimihetsika misaraka, izay kilemaina amin'ny alàlan'ny default.
Ny fahasamihafana lehibe amin'ny fizarana mitovy toy ny Fedora CoreOS, CentOS / Red Hat Atomic Host dia ny fifantohana voalohany amin'ny fanomezana fiarovana ambony indrindra amin'ny tontolon'ny fanamafisana ny fiarovana ny rafitra amin'ny fandrahonana mety hitranga, manasarotra ny fitrandrahana ny vulnerabilities amin'ny singa OS ary mampitombo ny fitokanan'ny container. Ny kaontenera dia noforonina amin'ny alàlan'ny mekanika mahazatra an'ny kernel Linux - cgroups, namespaces ary seccomp. Ho an'ny fitokanana fanampiny, ny fizarana dia mampiasa SELinux amin'ny fomba "mampihatra".
Ny fizarazaran'ny fakany dia napetraka amin'ny fomba vakiana fotsiny, ary ny fizarazarana miaraka amin'ny / sns dia apetraka ao amin'ny tmpfs ary averina amin'ny toerany voalohany aorian'ny fanombohana. Ny fanovana mivantana amin'ny rakitra ao amin'ny lahatahiry /etc, toy ny /etc/resolv.conf sy /etc/containerd/config.toml, dia tsy tohanana - raha te-hitahiry lamina maharitra ianao, dia tokony hampiasa ny API ianao na hamindra ny fampiasa mba hanasaraka ireo fitoeran-javatra. Ho an'ny fanamarinana kriptografika ny fahamendrehan'ny fizarazaran'ny faka dia ampiasaina ny môdely dm-verity, ary raha hita ny fikasana hanova ny angona amin'ny haavon'ny fitaovana fanakanana, dia averina indray ny rafitra.
Ny ankamaroan'ny singa ao amin'ny rafitra dia voasoratra ao amin'ny Rust, izay manome fitaovana azo antoka amin'ny fitadidiana mba hialana amin'ny vulnerability ateraky ny fiatrehana faritra fitadidiana aorian'ny nafahana azy, ny fanafoanana ny tondro tsy misy dikany ary ny fihoaran'ny buffer. Rehefa manorina, ny maodely fanangonana "--enable-default-pie" sy "--enable-default-ssp" dia ampiasaina amin'ny alàlan'ny alàlan'ny alàlan'ny alàlan'ny fandefasana ny toerana misy ny rakitra azo tanterahana (PIE) sy ny fiarovana amin'ny fihoaram-pefy amin'ny alàlan'ny fanoloana marika canary. Ho an'ny fonosana voasoratra ao amin'ny C/C++, ny saina "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" ary "-fstack-clash" dia fanampiny. tafiditra - fiarovana.
Ao amin'ny famoahana vaovao:
- Ny vulnerabilities amin'ny docker sy ny fitaovam-pitaterana runtime (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) mifandraika amin'ny fametrahana diso amin'ny zon'ny fidirana, izay nahafahan'ireo mpampiasa tsy manana tombontsoa hihoatra ny zony. lahatahiry ary manatanteraka programa ivelany.
- Nampiana ny fanohanana IPv6 amin'ny kubelet sy pluto.
- Azo atao ny mamerina indray ny kaontenera rehefa avy nanova ny fandrindrany.
- Ny fanohanana ny trangan'ny Amazon EC2 M6i dia nampiana tao amin'ny fonosana eni-max-pods.
- Open-vm-tools dia nanampy fanohanana ny sivana fitaovana, mifototra amin'ny fitaovana Cilium.
- Ho an'ny sehatra x86_64, ny maodely boot hybrid dia ampiharina (miaraka amin'ny fanohanan'ny EFI sy BIOS).
- Ny dikan-ny fonosana nohavaozina sy ny miankina amin'ny fiteny Rust.
- Ny fanohanana ny variana fizarana aws-k8s-1.17 mifototra amin'ny Kubernetes 1.17 dia natsahatra. Amporisihina ny hampiasa ny kinova aws-k8s-1.21 miaraka amin'ny fanohanana ny Kubernetes 1.21. Ny k8s variants dia mampiasa ny cgroup runtime.slice sy system.slice.
Source: opennet.ru