Доступен выпуск Linux-дистрибутива Bottlerocket 1.1.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров.
ഡിസ്ട്രിബ്യൂഷൻ, ലിനക്സ് കെർണലും, കണ്ടെയ്നറുകൾ പ്രവർത്തിപ്പിക്കുന്നതിന് ആവശ്യമായ ഘടകങ്ങൾ മാത്രം ഉൾപ്പെടുന്ന ഒരു മിനിമം സിസ്റ്റം എൻവയോൺമെന്റും ഉൾപ്പെടുന്ന ഒരു ആറ്റോമിക്, ഓട്ടോമാറ്റിക്കായി അപ്ഡേറ്റ് ചെയ്ത അവിഭാജ്യ സിസ്റ്റം ഇമേജ് നൽകുന്നു. പരിസ്ഥിതിയിൽ systemd സിസ്റ്റം മാനേജർ, Glibc ലൈബ്രറി, ബിൽഡ്റൂട്ട് ബിൽഡ് ടൂൾ, GRUB ബൂട്ട് ലോഡർ, ദുഷ്ട നെറ്റ്വർക്ക് കോൺഫിഗറേറ്റർ, ഒറ്റപ്പെട്ട കണ്ടെയ്നറുകൾക്കായുള്ള കണ്ടെയ്നർ റൺടൈം, Kubernetes കണ്ടെയ്നർ ഓർക്കസ്ട്രേഷൻ പ്ലാറ്റ്ഫോം, aws-iam-authenticator, Amazon എന്നിവ ഉൾപ്പെടുന്നു. ഇസിഎസ് ഏജന്റ്.
കണ്ടെയ്നർ ഓർക്കസ്ട്രേഷൻ ടൂളുകൾ ഒരു പ്രത്യേക മാനേജ്മെന്റ് കണ്ടെയ്നറിലാണ് വരുന്നത്, അത് ഡിഫോൾട്ടായി പ്രവർത്തനക്ഷമമാക്കുകയും API, AWS SSM ഏജന്റ് എന്നിവയിലൂടെ നിയന്ത്രിക്കുകയും ചെയ്യുന്നു. അടിസ്ഥാന ഇമേജിന് കമാൻഡ് ഷെൽ, എസ്എസ്എച്ച് സെർവർ, വ്യാഖ്യാനിച്ച ഭാഷകൾ എന്നിവ ഇല്ല (ഉദാഹരണത്തിന്, പൈത്തൺ അല്ലെങ്കിൽ പേൾ ഇല്ല) - അഡ്മിനിസ്ട്രേറ്റീവ് ഉപകരണങ്ങളും ഡീബഗ്ഗിംഗ് ഉപകരണങ്ങളും ഒരു പ്രത്യേക സേവന കണ്ടെയ്നറിൽ സ്ഥാപിച്ചിരിക്കുന്നു, അത് സ്ഥിരസ്ഥിതിയായി പ്രവർത്തനരഹിതമാണ്.
Fedora CoreOS, CentOS/Red Hat Atomic Host തുടങ്ങിയ സമാന വിതരണങ്ങളിൽ നിന്നുള്ള പ്രധാന വ്യത്യാസം, സാധ്യമായ ഭീഷണികളിൽ നിന്ന് സിസ്റ്റം സംരക്ഷണം ശക്തിപ്പെടുത്തുന്നതിന്റെ പശ്ചാത്തലത്തിൽ പരമാവധി സുരക്ഷ നൽകുന്നതിൽ പ്രാഥമിക ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു, ഇത് OS ഘടകങ്ങളിലെ കേടുപാടുകൾ ചൂഷണം ചെയ്യുന്നത് കൂടുതൽ ബുദ്ധിമുട്ടാക്കുകയും കണ്ടെയ്നർ ഐസൊലേഷൻ വർദ്ധിപ്പിക്കുകയും ചെയ്യുന്നു. . സാധാരണ ലിനക്സ് കേർണൽ മെക്കാനിസങ്ങൾ ഉപയോഗിച്ചാണ് കണ്ടെയ്നറുകൾ സൃഷ്ടിക്കുന്നത് - cgroups, namespaces, seccomp. കൂടുതൽ ഒറ്റപ്പെടലിനായി, വിതരണം "നിർവഹണ" മോഡിൽ SELinux ഉപയോഗിക്കുന്നു.
റൂട്ട് പാർട്ടീഷൻ റീഡ്-ഓൺലി ആയി മൌണ്ട് ചെയ്തിരിക്കുന്നു, കൂടാതെ /etc സെറ്റിംഗ്സ് പാർട്ടീഷൻ tmpfs-ൽ മൌണ്ട് ചെയ്യുകയും പുനരാരംഭിച്ചതിന് ശേഷം അതിന്റെ യഥാർത്ഥ അവസ്ഥയിലേക്ക് പുനഃസ്ഥാപിക്കുകയും ചെയ്യുന്നു. /etc/resolv.conf, /etc/containerd/config.toml പോലുള്ള /etc ഡയറക്ടറിയിലെ ഫയലുകളുടെ നേരിട്ടുള്ള പരിഷ്ക്കരണം പിന്തുണയ്ക്കുന്നില്ല - ക്രമീകരണങ്ങൾ ശാശ്വതമായി സംരക്ഷിക്കുന്നതിന്, നിങ്ങൾ API ഉപയോഗിക്കണം അല്ലെങ്കിൽ പ്രവർത്തനം പ്രത്യേക കണ്ടെയ്നറുകളിലേക്ക് മാറ്റണം. റൂട്ട് പാർട്ടീഷന്റെ സമഗ്രത ക്രിപ്റ്റോഗ്രാഫിക്കായി പരിശോധിക്കാൻ dm-verity മൊഡ്യൂൾ ഉപയോഗിക്കുന്നു, കൂടാതെ ബ്ലോക്ക് ഡിവൈസ് തലത്തിൽ ഡാറ്റ പരിഷ്കരിക്കാനുള്ള ശ്രമം കണ്ടെത്തിയാൽ, സിസ്റ്റം റീബൂട്ട് ചെയ്യുന്നു.
മിക്ക സിസ്റ്റം ഘടകങ്ങളും റസ്റ്റിൽ എഴുതിയിരിക്കുന്നു, അത് ഫ്രീ-ഫ്രീ മെമ്മറി ആക്സസ്സ്, നൾ പോയിന്റർ ഡിറഫറൻസുകൾ, ബഫർ ഓവർറൺ എന്നിവ മൂലമുണ്ടാകുന്ന കേടുപാടുകൾ ഒഴിവാക്കാൻ മെമ്മറി-സേഫ് ഫീച്ചറുകൾ നൽകുന്നു. സ്ഥിരസ്ഥിതിയായി നിർമ്മിക്കുമ്പോൾ, കംപൈലേഷൻ മോഡുകൾ "-enable-default-pie", "-enable-default-ssp" എന്നിവ എക്സിക്യൂട്ടബിൾ ഫയൽ അഡ്രസ് സ്പെയ്സിന്റെ (PIE) ക്രമരഹിതമാക്കാനും കാനറി സബ്സ്റ്റിറ്റ്യൂഷനിലൂടെ സ്റ്റാക്ക് ഓവർഫ്ലോകളിൽ നിന്നുള്ള സംരക്ഷണവും പ്രാപ്തമാക്കാനും ഉപയോഗിക്കുന്നു. C/C++-ൽ എഴുതിയിരിക്കുന്ന പാക്കേജുകൾക്ക്, “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS”, “-fstack-clash” എന്നീ ഫ്ലാഗുകൾ അധികമാണ്. പ്രാപ്തമാക്കിയ -സംരക്ഷണം".
പുതിയ റിലീസിൽ:
- Предложено два новых варианта дистрибутива aws-k8s-1.20 и vmware-k8s-1.20 c поддержкой Kubernetes 1.20. В данных вариантах, а также в обновлённом варианте aws-ecs-1, задействован новый выпуск ядра Linux 5.10. Режим lockdown по умолчанию переведён в значение «integrity» (блокируются возможности, позволяющие вносить изменения в работающее ядро из пространства пользователя). Прекращена поддержка варианта aws-k8s-1.15 на базе Kubernetes 1.15.
- Для Amazon ECS реализована поддержка сетевого режима awsvpc, позволяющего выделять отдельные сетевых интерфейсы и внутренние IP-адреса для каждой задачи.
- Добавлены настройки для управления различными параметрами Kubernetes, включая QPS, лимиты на пулы и возможность подключения к облачным провайдерам, отличным от AWS.
- В bootstrap-контейнере обеспечено ограничение доступа к данным пользователя при помощи SELinux.
- Добавлена утилита resize2fs.
അവലംബം: opennet.ru