Издавање на Bottlerocket 1.2, дистрибуција базирана на изолирани контејнери

Достапно е објавувањето на дистрибуцијата на Linux Bottlerocket 1.2.0, развиена со учество на Amazon за ефикасно и безбедно лансирање на изолирани контејнери. Алатките и контролните компоненти на дистрибуцијата се напишани во Rust и се дистрибуираат под лиценците MIT и Apache 2.0. Поддржува стартување на Bottlerocket на кластерите на Amazon ECS, VMware и AWS EKS Kubernetes, како и создавање прилагодени изданија и изданија кои овозможуваат употреба на различни алатки за оркестрација и време на траење за контејнери.

Дистрибуцијата обезбедува атомски и автоматски ажурирана неделива системска слика која го вклучува кернелот на Линукс и минимална системска околина, вклучувајќи ги само компонентите неопходни за извршување на контејнерите. Околината вклучува системски менаџер, библиотека Glibc, алатка за градење Buildroot, подигнувач GRUB, зли мрежен конфигуратор, време на траење на контејнери за изолирани контејнери, платформа за оркестрација на контејнери Kubernetes, aws-iam-authenticator и Amazon ECS агент.

Алатките за оркестрација на контејнери доаѓаат во посебен контејнер за управување што е стандардно овозможен и управуван преку API и AWS SSM агент. Основната слика нема командна школка, SSH сервер и толкувани јазици (на пример, без Python или Perl) - административните алатки и алатките за дебагирање се сместени во посебен контејнер за услуги, кој стандардно е оневозможен.

Клучната разлика од сличните дистрибуции како Fedora CoreOS, CentOS/Red Hat Atomic Host е примарниот фокус на обезбедување максимална безбедност во контекст на зајакнување на заштитата на системот од можни закани, што го отежнува искористувањето на ранливостите во компонентите на оперативниот систем и зголемувањето на изолацијата на контејнерите. . Контејнерите се креираат со користење на стандардни механизми на кернелот на Линукс - cgroups, именски простори и seccomp. За дополнителна изолација, дистрибуцијата користи SELinux во режимот „спроведување“.

Коренската партиција е монтирана само за читање, а партицијата за поставки /etc се монтира во tmpfs и се враќа во првобитната состојба по рестартирање. Директната промена на датотеките во директориумот /etc, како што се /etc/resolv.conf и /etc/containerd/config.toml, не е поддржана - за трајно да ги зачувате поставките, мора да го користите API или да ја преместите функционалноста во посебни контејнери. Модулот dm-verity се користи за криптографска проверка на интегритетот на root партицијата и ако се открие обид за измена на податоците на ниво на блок уред, системот се рестартира.

Повеќето компоненти на системот се напишани во Rust, кој обезбедува функции безбедни за меморија за да се избегнат пропусти предизвикани од последователен пристап до меморијата, дереференции на нула покажувач и пречекорувања на баферот. При стандардно градење, режимите на компајлирање „-enable-default-pie“ и „-enable-default-ssp“ се користат за да се овозможи рандомизација на просторот за адреси на извршна датотека (PIE) и заштита од прелевање на магацинот преку замена на канари. За пакетите напишани во C/C++, знаменцата „-Wall“, „-Werror=format-security“, „-Wp,-D_FORTIFY_SOURCE=2“, „-Wp,-D_GLIBCXX_ASSERTIONS“ и „-fstack-clash“ се дополнително овозможено -заштита“.

Во новото издание:

• Додадена е поддршка за огледала на регистарот на слики од контејнерот.
• Додадена е можност за користење на самопотпишани сертификати.
• Додадена е опција за конфигурирање на името на домаќинот.
• Стандардната верзија на административниот контејнер е ажурирана.
• Додадени се поставки за topologyManagerPolicy и topologyManagerScope за kubelet.
• Додадена е поддршка за компресија на јадрото користејќи го алгоритмот zstd.
• Обезбедена е можност за вчитување на виртуелни машини во VMware во формат OVA (Отворен формат за виртуелизација).
• Дистрибутивната верзија aws-k8s-1.21 е ажурирана со поддршка за Kubernetes 1.21. Поддршката за aws-k8s-1.16 е прекината.
• Ажурирани верзии на пакети и зависности за јазикот Rust.

Извор: opennet.ru