Ko te tukunga o te Linux tohatoha Bottlerocket 1.2.0 e waatea ana, i whakawhanakehia me te whai waahi a Amazon mo te whakarewanga pai me te haumaru o nga ipu taratahi. Ko nga taputapu o te tohatoha me nga waahanga whakahaere kua tuhia ki te Rust ka tohatohahia i raro i nga raihana MIT me Apache 2.0. Ka tautokohia te whakahaere Bottlerocket i Amazon ECS, VMware me AWS EKS Kubernetes tautau, tae atu ki te hanga hanga ritenga me nga whakaputanga e taea ai te whakamahi i nga momo orkestra me nga taputapu wa whakahaere mo nga ipu.
Ko te tohatoha e whakarato ana i te ahua o te punaha ngota me te whakahou aunoa i te ahua o te punaha kei roto ko te kernel Linux me te taiao punaha iti, tae atu ki nga waahanga e tika ana hei whakahaere ipu. Kei roto i te taiao ko te kaiwhakahaere o te punaha punaha, te whare pukapuka Glibc, te taputapu hanga Buildroot, te GRUB boot loader, te whirihoranga whatunga kino, te wa whakahaere mo nga ipu taratahi, te papaahanga whakahiato ipu Kubernetes, te aws-iam-authenticator, me te Amazon. Kaitohu ECS.
Ko nga taputapu whakahiato ipu ka tae mai ki tetahi ipu whakahaere motuhake ka taea te taunoa me te whakahaere ma te API me te AWS SSM Agent. Ko te ahua o te turanga kaore he anga whakahau, he tūmau SSH me nga reo whakamaori (hei tauira, kaore he Python, Perl ranei) - ka whakauruhia nga taputapu whakahaere me nga taputapu patuiro ki roto i tetahi ipu ratonga motuhake, kua whakakorehia e te taunoa.
Ko te rereketanga nui mai i nga tohatoha rite penei i a Fedora CoreOS, CentOS / Red Hat Atomic Host ko te arotahi tuatahi ki te whakarato i te haumarutanga teitei i roto i te horopaki o te whakapakari i te whakamarumaru o te punaha mai i nga riri ka taea, ka uaua ake te whakamahi i nga whakaraeraetanga i roto i nga waahanga OS me te whakanui ake i te wehenga ipu. . Ka waihangahia nga ipu ma te whakamahi i nga tikanga kernel Linux paerewa - cgroups, ingoa mokowā me te seccomp. Mo etahi atu taapiri, ka whakamahia e te tohatoha SELinux i roto i te aratau "whakauru".
Ko te arai pakiaka ka whakairihia he panui-anake, a ko te wehewehenga tautuhinga /etc ka mau ki tmpfs ka whakahokia ki tona ahuatanga taketake i muri i te tiimatanga. Ko te whakarereketanga tika o nga konae kei roto i te whaiaronga /etc, penei i te /etc/resolv.conf me /etc/containerd/config.toml, kaore i te tautokohia - hei tiaki tuturu i nga tautuhinga, me whakamahi koe i te API, me neke ranei te mahi ki nga ipu motuhake. Ka whakamahia te kōwae dm-verity ki te manatoko i te pono o te wehewehenga pakiaka, a, ki te kitea he ngana ki te whakarereke i nga raraunga i te taumata taputapu poraka, ka whakaara ano te punaha.
Ko te nuinga o nga waahanga o te punaha kua tuhia ki roto i te Rust, e whakarato ana i nga ahuatanga haumaru-mahara hei karo i nga whakaraeraetanga i puta mai i nga urunga mahara kore-kore, nga tohu tohu korekore, me te nui o te aukati. Ina hanga taunoa, ka whakamahia nga tikanga whakahiato "-enable-default-pie" me "-enable-default-ssp" kia taea ai te matapōkeretia o te mokowā wāhitau konae (PIE) me te whakamarumaru i te puhake o te puranga ma te whakakapi i te kanari. Mo nga kohinga kua tuhia ki C/C++, ko nga haki "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" me "-fstack-clash" he taapiri. whakahohea -protection".
I roto i te tukunga hou:
- He tautoko taapiri mo nga whakaata rehita whakaahua ipu.
- Kua taapirihia te kaha ki te whakamahi i nga tiwhikete haina-whaiaro.
- He whiringa taapiri hei whirihora i te ingoa kaihautu.
- Kua whakahōungia te putanga taunoa o te ipu whakahaere.
- Kua taapirihia nga tautuhinga topologyManagerPolicy me te topologyManagerScope mo te kubelet.
- Kua taapirihia te tautoko mo te kopiri o te kernel ma te whakamahi i te zstd algorithm.
- Ko te kaha ki te uta i nga miihini mariko ki roto i te VMware i te whakatakotoranga OVA (Open Virtualization Format).
- Ko te putanga tohatoha aws-k8s-1.21 kua whakahoutia me te tautoko mo Kubernetes 1.21. Kua mutu te tautoko mo aws-k8s-1.16.
- Kua whakahōuhia ngā putanga mōkihi me ngā whakawhirinakitanga mō te reo Rust.
Source: opennet.ru