ഒറ്റപ്പെട്ട കണ്ടെയ്നറുകളുടെ കാര്യക്ഷമവും സുരക്ഷിതവുമായ സമാരംഭത്തിനായി ആമസോണിന്റെ പങ്കാളിത്തത്തോടെ വികസിപ്പിച്ചെടുത്ത Linux വിതരണ ബോട്ടിൽറോക്കറ്റ് 1.2.0 ന്റെ റിലീസ് ലഭ്യമാണ്. വിതരണത്തിന്റെ ഉപകരണങ്ങളും നിയന്ത്രണ ഘടകങ്ങളും റസ്റ്റിൽ എഴുതി MIT, Apache 2.0 ലൈസൻസുകൾക്ക് കീഴിൽ വിതരണം ചെയ്യുന്നു. ആമസോൺ ഇസിഎസ്, വിഎംവെയർ, എഡബ്ല്യുഎസ് ഇകെഎസ് കുബർനെറ്റ്സ് ക്ലസ്റ്ററുകൾ എന്നിവയിൽ ബോട്ടിൽറോക്കറ്റ് പ്രവർത്തിപ്പിക്കുന്നതിന് ഇത് പിന്തുണയ്ക്കുന്നു, അതുപോലെ തന്നെ കണ്ടെയ്നറുകൾക്കായി വിവിധ ഓർക്കസ്ട്രേഷനും റൺടൈം ടൂളുകളും ഉപയോഗിക്കാൻ അനുവദിക്കുന്ന ഇഷ്ടാനുസൃത ബിൽഡുകളും പതിപ്പുകളും സൃഷ്ടിക്കുന്നു.
ഡിസ്ട്രിബ്യൂഷൻ, ലിനക്സ് കെർണലും, കണ്ടെയ്നറുകൾ പ്രവർത്തിപ്പിക്കുന്നതിന് ആവശ്യമായ ഘടകങ്ങൾ മാത്രം ഉൾപ്പെടുന്ന ഒരു മിനിമം സിസ്റ്റം എൻവയോൺമെന്റും ഉൾപ്പെടുന്ന ഒരു ആറ്റോമിക്, ഓട്ടോമാറ്റിക്കായി അപ്ഡേറ്റ് ചെയ്ത അവിഭാജ്യ സിസ്റ്റം ഇമേജ് നൽകുന്നു. പരിസ്ഥിതിയിൽ systemd സിസ്റ്റം മാനേജർ, Glibc ലൈബ്രറി, ബിൽഡ്റൂട്ട് ബിൽഡ് ടൂൾ, GRUB ബൂട്ട് ലോഡർ, ദുഷ്ട നെറ്റ്വർക്ക് കോൺഫിഗറേറ്റർ, ഒറ്റപ്പെട്ട കണ്ടെയ്നറുകൾക്കായുള്ള കണ്ടെയ്നർ റൺടൈം, Kubernetes കണ്ടെയ്നർ ഓർക്കസ്ട്രേഷൻ പ്ലാറ്റ്ഫോം, aws-iam-authenticator, Amazon എന്നിവ ഉൾപ്പെടുന്നു. ഇസിഎസ് ഏജന്റ്.
കണ്ടെയ്നർ ഓർക്കസ്ട്രേഷൻ ടൂളുകൾ ഒരു പ്രത്യേക മാനേജ്മെന്റ് കണ്ടെയ്നറിലാണ് വരുന്നത്, അത് ഡിഫോൾട്ടായി പ്രവർത്തനക്ഷമമാക്കുകയും API, AWS SSM ഏജന്റ് എന്നിവയിലൂടെ നിയന്ത്രിക്കുകയും ചെയ്യുന്നു. അടിസ്ഥാന ഇമേജിന് കമാൻഡ് ഷെൽ, എസ്എസ്എച്ച് സെർവർ, വ്യാഖ്യാനിച്ച ഭാഷകൾ എന്നിവ ഇല്ല (ഉദാഹരണത്തിന്, പൈത്തൺ അല്ലെങ്കിൽ പേൾ ഇല്ല) - അഡ്മിനിസ്ട്രേറ്റീവ് ഉപകരണങ്ങളും ഡീബഗ്ഗിംഗ് ഉപകരണങ്ങളും ഒരു പ്രത്യേക സേവന കണ്ടെയ്നറിൽ സ്ഥാപിച്ചിരിക്കുന്നു, അത് സ്ഥിരസ്ഥിതിയായി പ്രവർത്തനരഹിതമാണ്.
Fedora CoreOS, CentOS/Red Hat Atomic Host തുടങ്ങിയ സമാന വിതരണങ്ങളിൽ നിന്നുള്ള പ്രധാന വ്യത്യാസം, സാധ്യമായ ഭീഷണികളിൽ നിന്ന് സിസ്റ്റം സംരക്ഷണം ശക്തിപ്പെടുത്തുന്നതിന്റെ പശ്ചാത്തലത്തിൽ പരമാവധി സുരക്ഷ നൽകുന്നതിൽ പ്രാഥമിക ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു, ഇത് OS ഘടകങ്ങളിലെ കേടുപാടുകൾ ചൂഷണം ചെയ്യുന്നത് കൂടുതൽ ബുദ്ധിമുട്ടാക്കുകയും കണ്ടെയ്നർ ഐസൊലേഷൻ വർദ്ധിപ്പിക്കുകയും ചെയ്യുന്നു. . സാധാരണ ലിനക്സ് കേർണൽ മെക്കാനിസങ്ങൾ ഉപയോഗിച്ചാണ് കണ്ടെയ്നറുകൾ സൃഷ്ടിക്കുന്നത് - cgroups, namespaces, seccomp. കൂടുതൽ ഒറ്റപ്പെടലിനായി, വിതരണം "നിർവഹണ" മോഡിൽ SELinux ഉപയോഗിക്കുന്നു.
റൂട്ട് പാർട്ടീഷൻ റീഡ്-ഓൺലി ആയി മൌണ്ട് ചെയ്തിരിക്കുന്നു, കൂടാതെ /etc സെറ്റിംഗ്സ് പാർട്ടീഷൻ tmpfs-ൽ മൌണ്ട് ചെയ്യുകയും പുനരാരംഭിച്ചതിന് ശേഷം അതിന്റെ യഥാർത്ഥ അവസ്ഥയിലേക്ക് പുനഃസ്ഥാപിക്കുകയും ചെയ്യുന്നു. /etc/resolv.conf, /etc/containerd/config.toml പോലുള്ള /etc ഡയറക്ടറിയിലെ ഫയലുകളുടെ നേരിട്ടുള്ള പരിഷ്ക്കരണം പിന്തുണയ്ക്കുന്നില്ല - ക്രമീകരണങ്ങൾ ശാശ്വതമായി സംരക്ഷിക്കുന്നതിന്, നിങ്ങൾ API ഉപയോഗിക്കണം അല്ലെങ്കിൽ പ്രവർത്തനം പ്രത്യേക കണ്ടെയ്നറുകളിലേക്ക് മാറ്റണം. റൂട്ട് പാർട്ടീഷന്റെ സമഗ്രത ക്രിപ്റ്റോഗ്രാഫിക്കായി പരിശോധിക്കാൻ dm-verity മൊഡ്യൂൾ ഉപയോഗിക്കുന്നു, കൂടാതെ ബ്ലോക്ക് ഡിവൈസ് തലത്തിൽ ഡാറ്റ പരിഷ്കരിക്കാനുള്ള ശ്രമം കണ്ടെത്തിയാൽ, സിസ്റ്റം റീബൂട്ട് ചെയ്യുന്നു.
മിക്ക സിസ്റ്റം ഘടകങ്ങളും റസ്റ്റിൽ എഴുതിയിരിക്കുന്നു, അത് ഫ്രീ-ഫ്രീ മെമ്മറി ആക്സസ്സ്, നൾ പോയിന്റർ ഡിറഫറൻസുകൾ, ബഫർ ഓവർറൺ എന്നിവ മൂലമുണ്ടാകുന്ന കേടുപാടുകൾ ഒഴിവാക്കാൻ മെമ്മറി-സേഫ് ഫീച്ചറുകൾ നൽകുന്നു. സ്ഥിരസ്ഥിതിയായി നിർമ്മിക്കുമ്പോൾ, കംപൈലേഷൻ മോഡുകൾ "-enable-default-pie", "-enable-default-ssp" എന്നിവ എക്സിക്യൂട്ടബിൾ ഫയൽ അഡ്രസ് സ്പെയ്സിന്റെ (PIE) ക്രമരഹിതമാക്കാനും കാനറി സബ്സ്റ്റിറ്റ്യൂഷനിലൂടെ സ്റ്റാക്ക് ഓവർഫ്ലോകളിൽ നിന്നുള്ള സംരക്ഷണവും പ്രാപ്തമാക്കാനും ഉപയോഗിക്കുന്നു. C/C++-ൽ എഴുതിയിരിക്കുന്ന പാക്കേജുകൾക്ക്, “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS”, “-fstack-clash” എന്നീ ഫ്ലാഗുകൾ അധികമാണ്. പ്രാപ്തമാക്കിയ -സംരക്ഷണം".
പുതിയ റിലീസിൽ:
- കണ്ടെയ്നർ ഇമേജ് രജിസ്ട്രി മിററുകൾക്കുള്ള പിന്തുണ ചേർത്തു.
- സ്വയം ഒപ്പിട്ട സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിക്കാനുള്ള കഴിവ് ചേർത്തു.
- ഹോസ്റ്റ്നാമം കോൺഫിഗർ ചെയ്യുന്നതിനുള്ള ഓപ്ഷൻ ചേർത്തു.
- അഡ്മിനിസ്ട്രേറ്റീവ് കണ്ടെയ്നറിന്റെ ഡിഫോൾട്ട് പതിപ്പ് അപ്ഡേറ്റ് ചെയ്തു.
- കുബെലെറ്റിനായി ടോപ്പോളജി മാനേജർ പോളിസിയും ടോപ്പോളജി മാനേജർ സ്കോപ്പ് ക്രമീകരണങ്ങളും ചേർത്തു.
- zstd അൽഗോരിതം ഉപയോഗിച്ചുള്ള കേർണൽ കംപ്രഷൻ പിന്തുണ ചേർത്തു.
- OVA (ഓപ്പൺ വിർച്ച്വലൈസേഷൻ ഫോർമാറ്റ്) ഫോർമാറ്റിൽ VMware-ലേക്ക് വെർച്വൽ മെഷീനുകൾ ലോഡ് ചെയ്യാനുള്ള കഴിവ് നൽകിയിരിക്കുന്നു.
- Kubernetes 8-നുള്ള പിന്തുണയോടെ വിതരണ പതിപ്പ് aws-k1.21s-1.21 അപ്ഡേറ്റുചെയ്തു. aws-k8s-1.16-നുള്ള പിന്തുണ നിർത്തലാക്കി.
- റസ്റ്റ് ഭാഷയ്ക്കായുള്ള അപ്ഡേറ്റ് ചെയ്ത പാക്കേജ് പതിപ്പുകളും ഡിപൻഡൻസികളും.
അവലംബം: opennet.ru