Navoaka ny famoahana ny fizarana Bottlerocket 1.7.0 Linux, novolavolaina niaraka tamin'ny fandraisan'anjaran'i Amazon mba hampandeha tsara sy azo antoka ireo kaontenera mitoka-monina. Ny kitapom-pitaovana sy ny singa mifehy ny fizarana dia nosoratana tamin'ny Rust ary zaraina amin'ny alàlan'ny fahazoan-dàlana MIT sy Apache 2.0. Izy io dia manohana ny fampandehanana Bottlerocket amin'ny kluster Amazon ECS, VMware, ary AWS EKS Kubernetes, ary koa ny famoronana fanamboarana sy fanontana mahazatra izay mamela ny orkestra sy fitaovana fampandehanana isan-karazany ho an'ny kaontenera.
Ny fizarana dia manome sarin'ny rafitra tsy azo zaraina atomika sy nohavaozina ho azy izay ahitana ny kernel Linux sy ny tontolo iainana rafitra kely indrindra izay tsy ahitana afa-tsy ny singa ilaina amin'ny fampandehanana kaontenera. Ny tontolo iainana dia ahitana ny mpitantana ny rafitra systemd, ny tranomboky Glibc, ny fitaovana fananganana Buildroot, ny bootloader GRUB, ny configurator tamba-jotra ratsy, ny fampandehanana ny container mitokana, ny sehatra orkestra kaontenera Kubernetes, ny aws-iam-authenticator, ary ny Amazon ECS agent. .
Ny fitaovana orkestra kaontenera dia tonga ao anaty kaontenera fitantanana mitokana izay alefa amin'ny alàlan'ny default ary tantanana amin'ny alàlan'ny API sy AWS SSM Agent. Ny sary fototra dia tsy misy akorandriaka baiko, mpizara SSH, ary fiteny voadika (ohatra, tsy misy Python na Perl) - fitaovana administratif sy debugging dia afindra any amin'ny fitoeran-tsarimihetsika misaraka, izay kilemaina amin'ny alàlan'ny default.
Ny fahasamihafana lehibe amin'ny fizarana mitovy toy ny Fedora CoreOS, CentOS / Red Hat Atomic Host dia ny fifantohana voalohany amin'ny fanomezana fiarovana ambony indrindra amin'ny tontolon'ny fanamafisana ny fiarovana ny rafitra amin'ny fandrahonana mety hitranga, manasarotra ny fitrandrahana ny vulnerabilities amin'ny singa OS ary mampitombo ny fitokanan'ny container. Ny kaontenera dia noforonina amin'ny alàlan'ny mekanika mahazatra an'ny kernel Linux - cgroups, namespaces ary seccomp. Ho an'ny fitokanana fanampiny, ny fizarana dia mampiasa SELinux amin'ny fomba "mampihatra".
Ny fizarazaran'ny fakany dia napetraka amin'ny fomba vakiana fotsiny, ary ny fizarazarana miaraka amin'ny / sns dia apetraka ao amin'ny tmpfs ary averina amin'ny toerany voalohany aorian'ny fanombohana. Ny fanovana mivantana amin'ny rakitra ao amin'ny lahatahiry /etc, toy ny /etc/resolv.conf sy /etc/containerd/config.toml, dia tsy tohanana - raha te-hitahiry lamina maharitra ianao, dia tokony hampiasa ny API ianao na hamindra ny fampiasa mba hanasaraka ireo fitoeran-javatra. Ho an'ny fanamarinana kriptografika ny fahamendrehan'ny fizarazaran'ny faka dia ampiasaina ny môdely dm-verity, ary raha hita ny fikasana hanova ny angona amin'ny haavon'ny fitaovana fanakanana, dia averina indray ny rafitra.
Ny ankamaroan'ny singa ao amin'ny rafitra dia voasoratra ao amin'ny Rust, izay manome fitaovana azo antoka amin'ny fitadidiana mba hialana amin'ny vulnerability ateraky ny fiatrehana faritra fitadidiana aorian'ny nafahana azy, ny fanafoanana ny tondro tsy misy dikany ary ny fihoaran'ny buffer. Rehefa manorina, ny maodely fanangonana "--enable-default-pie" sy "--enable-default-ssp" dia ampiasaina amin'ny alàlan'ny alàlan'ny alàlan'ny alàlan'ny fandefasana ny toerana misy ny rakitra azo tanterahana (PIE) sy ny fiarovana amin'ny fihoaram-pefy amin'ny alàlan'ny fanoloana marika canary. Ho an'ny fonosana voasoratra ao amin'ny C/C++, ny saina "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" ary "-fstack-clash" dia fanampiny. tafiditra - fiarovana.
Ao amin'ny famoahana vaovao:
- Rehefa mametraka fonosana RPM dia azo atao ny mamorona lisitry ny programa amin'ny endrika JSON ary mametraka izany ao amin'ny fitoeran'ny mpampiantrano ho toy ny rakitra /var/lib/bottlerocket/inventory/application.json hahazoana fampahalalana momba ny fonosana misy.
- Nohavaozina ny kaontenera "admin" sy "control".
- Ny dikan-ny fonosana nohavaozina sy ny miankina amin'ny fiteny Go sy Rust.
- Dikan-drakitra nohavaozina misy programa an'ny antoko fahatelo.
- Namaha ny olan'ny fanamafisana tmpfilesd ho an'ny kmod-5.10-nvidia.
- Rehefa mametraka tuftool dia mifamatotra ny dikan-teny miankina.
Source: opennet.ru