ഒറ്റപ്പെട്ട കണ്ടെയ്നറുകളുടെ കാര്യക്ഷമവും സുരക്ഷിതവുമായ സമാരംഭത്തിനായി ആമസോണിന്റെ പങ്കാളിത്തത്തോടെ വികസിപ്പിച്ചെടുത്ത Linux വിതരണ ബോട്ടിൽറോക്കറ്റ് 1.3.0 ന്റെ റിലീസ് പ്രസിദ്ധീകരിച്ചു. വിതരണത്തിന്റെ ഉപകരണങ്ങളും നിയന്ത്രണ ഘടകങ്ങളും റസ്റ്റിൽ എഴുതി MIT, Apache 2.0 ലൈസൻസുകൾക്ക് കീഴിൽ വിതരണം ചെയ്യുന്നു. ആമസോൺ ഇസിഎസ്, വിഎംവെയർ, എഡബ്ല്യുഎസ് ഇകെഎസ് കുബർനെറ്റ്സ് ക്ലസ്റ്ററുകൾ എന്നിവയിൽ ബോട്ടിൽറോക്കറ്റ് പ്രവർത്തിപ്പിക്കുന്നതിന് ഇത് പിന്തുണയ്ക്കുന്നു, അതുപോലെ തന്നെ കണ്ടെയ്നറുകൾക്കായി വിവിധ ഓർക്കസ്ട്രേഷനും റൺടൈം ടൂളുകളും ഉപയോഗിക്കാൻ അനുവദിക്കുന്ന ഇഷ്ടാനുസൃത ബിൽഡുകളും പതിപ്പുകളും സൃഷ്ടിക്കുന്നു.
ഡിസ്ട്രിബ്യൂഷൻ, ലിനക്സ് കെർണലും, കണ്ടെയ്നറുകൾ പ്രവർത്തിപ്പിക്കുന്നതിന് ആവശ്യമായ ഘടകങ്ങൾ മാത്രം ഉൾപ്പെടുന്ന ഒരു മിനിമം സിസ്റ്റം എൻവയോൺമെന്റും ഉൾപ്പെടുന്ന ഒരു ആറ്റോമിക്, ഓട്ടോമാറ്റിക്കായി അപ്ഡേറ്റ് ചെയ്ത അവിഭാജ്യ സിസ്റ്റം ഇമേജ് നൽകുന്നു. പരിസ്ഥിതിയിൽ systemd സിസ്റ്റം മാനേജർ, Glibc ലൈബ്രറി, ബിൽഡ്റൂട്ട് ബിൽഡ് ടൂൾ, GRUB ബൂട്ട് ലോഡർ, ദുഷ്ട നെറ്റ്വർക്ക് കോൺഫിഗറേറ്റർ, ഒറ്റപ്പെട്ട കണ്ടെയ്നറുകൾക്കായുള്ള കണ്ടെയ്നർ റൺടൈം, Kubernetes കണ്ടെയ്നർ ഓർക്കസ്ട്രേഷൻ പ്ലാറ്റ്ഫോം, aws-iam-authenticator, Amazon എന്നിവ ഉൾപ്പെടുന്നു. ഇസിഎസ് ഏജന്റ്.
കണ്ടെയ്നർ ഓർക്കസ്ട്രേഷൻ ടൂളുകൾ ഒരു പ്രത്യേക മാനേജ്മെന്റ് കണ്ടെയ്നറിലാണ് വരുന്നത്, അത് ഡിഫോൾട്ടായി പ്രവർത്തനക്ഷമമാക്കുകയും API, AWS SSM ഏജന്റ് എന്നിവയിലൂടെ നിയന്ത്രിക്കുകയും ചെയ്യുന്നു. അടിസ്ഥാന ഇമേജിന് കമാൻഡ് ഷെൽ, എസ്എസ്എച്ച് സെർവർ, വ്യാഖ്യാനിച്ച ഭാഷകൾ എന്നിവ ഇല്ല (ഉദാഹരണത്തിന്, പൈത്തൺ അല്ലെങ്കിൽ പേൾ ഇല്ല) - അഡ്മിനിസ്ട്രേറ്റീവ് ഉപകരണങ്ങളും ഡീബഗ്ഗിംഗ് ഉപകരണങ്ങളും ഒരു പ്രത്യേക സേവന കണ്ടെയ്നറിൽ സ്ഥാപിച്ചിരിക്കുന്നു, അത് സ്ഥിരസ്ഥിതിയായി പ്രവർത്തനരഹിതമാണ്.
Fedora CoreOS, CentOS/Red Hat Atomic Host തുടങ്ങിയ സമാന വിതരണങ്ങളിൽ നിന്നുള്ള പ്രധാന വ്യത്യാസം, സാധ്യമായ ഭീഷണികളിൽ നിന്ന് സിസ്റ്റം സംരക്ഷണം ശക്തിപ്പെടുത്തുന്നതിന്റെ പശ്ചാത്തലത്തിൽ പരമാവധി സുരക്ഷ നൽകുന്നതിൽ പ്രാഥമിക ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു, ഇത് OS ഘടകങ്ങളിലെ കേടുപാടുകൾ ചൂഷണം ചെയ്യുന്നത് കൂടുതൽ ബുദ്ധിമുട്ടാക്കുകയും കണ്ടെയ്നർ ഐസൊലേഷൻ വർദ്ധിപ്പിക്കുകയും ചെയ്യുന്നു. . സാധാരണ ലിനക്സ് കേർണൽ മെക്കാനിസങ്ങൾ ഉപയോഗിച്ചാണ് കണ്ടെയ്നറുകൾ സൃഷ്ടിക്കുന്നത് - cgroups, namespaces, seccomp. കൂടുതൽ ഒറ്റപ്പെടലിനായി, വിതരണം "നിർവഹണ" മോഡിൽ SELinux ഉപയോഗിക്കുന്നു.
റൂട്ട് പാർട്ടീഷൻ റീഡ്-ഓൺലി ആയി മൌണ്ട് ചെയ്തിരിക്കുന്നു, കൂടാതെ /etc സെറ്റിംഗ്സ് പാർട്ടീഷൻ tmpfs-ൽ മൌണ്ട് ചെയ്യുകയും പുനരാരംഭിച്ചതിന് ശേഷം അതിന്റെ യഥാർത്ഥ അവസ്ഥയിലേക്ക് പുനഃസ്ഥാപിക്കുകയും ചെയ്യുന്നു. /etc/resolv.conf, /etc/containerd/config.toml പോലുള്ള /etc ഡയറക്ടറിയിലെ ഫയലുകളുടെ നേരിട്ടുള്ള പരിഷ്ക്കരണം പിന്തുണയ്ക്കുന്നില്ല - ക്രമീകരണങ്ങൾ ശാശ്വതമായി സംരക്ഷിക്കുന്നതിന്, നിങ്ങൾ API ഉപയോഗിക്കണം അല്ലെങ്കിൽ പ്രവർത്തനം പ്രത്യേക കണ്ടെയ്നറുകളിലേക്ക് മാറ്റണം. റൂട്ട് പാർട്ടീഷന്റെ സമഗ്രത ക്രിപ്റ്റോഗ്രാഫിക്കായി പരിശോധിക്കാൻ dm-verity മൊഡ്യൂൾ ഉപയോഗിക്കുന്നു, കൂടാതെ ബ്ലോക്ക് ഡിവൈസ് തലത്തിൽ ഡാറ്റ പരിഷ്കരിക്കാനുള്ള ശ്രമം കണ്ടെത്തിയാൽ, സിസ്റ്റം റീബൂട്ട് ചെയ്യുന്നു.
മിക്ക സിസ്റ്റം ഘടകങ്ങളും റസ്റ്റിൽ എഴുതിയിരിക്കുന്നു, അത് ഫ്രീ-ഫ്രീ മെമ്മറി ആക്സസ്സ്, നൾ പോയിന്റർ ഡിറഫറൻസുകൾ, ബഫർ ഓവർറൺ എന്നിവ മൂലമുണ്ടാകുന്ന കേടുപാടുകൾ ഒഴിവാക്കാൻ മെമ്മറി-സേഫ് ഫീച്ചറുകൾ നൽകുന്നു. സ്ഥിരസ്ഥിതിയായി നിർമ്മിക്കുമ്പോൾ, കംപൈലേഷൻ മോഡുകൾ "-enable-default-pie", "-enable-default-ssp" എന്നിവ എക്സിക്യൂട്ടബിൾ ഫയൽ അഡ്രസ് സ്പെയ്സിന്റെ (PIE) ക്രമരഹിതമാക്കാനും കാനറി സബ്സ്റ്റിറ്റ്യൂഷനിലൂടെ സ്റ്റാക്ക് ഓവർഫ്ലോകളിൽ നിന്നുള്ള സംരക്ഷണവും പ്രാപ്തമാക്കാനും ഉപയോഗിക്കുന്നു. C/C++-ൽ എഴുതിയിരിക്കുന്ന പാക്കേജുകൾക്ക്, “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS”, “-fstack-clash” എന്നീ ഫ്ലാഗുകൾ അധികമാണ്. പ്രാപ്തമാക്കിയ -സംരക്ഷണം".
പുതിയ റിലീസിൽ:
- ഡോക്കർ, റൺടൈം കണ്ടെയ്നർഡ് ടൂളുകളിലെ സ്ഥിരമായ കേടുപാടുകൾ (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) തെറ്റായ അടിസ്ഥാന അവകാശങ്ങളുടെ ക്രമീകരണവുമായി ബന്ധപ്പെട്ടതാണ്, ഇത് ഉപയോക്താക്കളെ അൺപ്രിവിൽ അവകാശങ്ങൾക്കപ്പുറം പോകാൻ അനുവദിച്ചു ഡയറക്ടറി, ബാഹ്യ പ്രോഗ്രാമുകൾ എക്സിക്യൂട്ട് ചെയ്യുക.
- IPv6 പിന്തുണ kubelet, pluto എന്നിവയിലേക്ക് ചേർത്തു.
- കണ്ടെയ്നറിന്റെ ക്രമീകരണങ്ങൾ മാറ്റിയതിന് ശേഷം അത് പുനരാരംഭിക്കുന്നത് സാധ്യമാണ്.
- Amazon EC2 M6i ഇൻസ്റ്റൻസുകൾക്കുള്ള പിന്തുണ eni-max-pods പാക്കേജിലേക്ക് ചേർത്തു.
- സിലിയം ടൂൾകിറ്റിനെ അടിസ്ഥാനമാക്കി, ഓപ്പൺ-വിഎം-ടൂളുകൾ ഉപകരണ ഫിൽട്ടറുകൾക്കുള്ള പിന്തുണ ചേർത്തു.
- x86_64 പ്ലാറ്റ്ഫോമിനായി, ഒരു ഹൈബ്രിഡ് ബൂട്ട് മോഡ് നടപ്പിലാക്കുന്നു (EFI, BIOS എന്നിവയ്ക്കുള്ള പിന്തുണയോടെ).
- റസ്റ്റ് ഭാഷയ്ക്കായുള്ള അപ്ഡേറ്റ് ചെയ്ത പാക്കേജ് പതിപ്പുകളും ഡിപൻഡൻസികളും.
- Kubernetes 8 അടിസ്ഥാനമാക്കിയുള്ള വിതരണ വേരിയന്റായ aws-k1.17s-1.17-നുള്ള പിന്തുണ നിർത്തലാക്കി. Kubernetes 8-നുള്ള പിന്തുണയോടെ aws-k1.21s-1.21 പതിപ്പ് ഉപയോഗിക്കാൻ ശുപാർശ ചെയ്യുന്നു. k8s വേരിയന്റുകൾ cgroup runtime.slice, system.slice ക്രമീകരണങ്ങൾ ഉപയോഗിക്കുന്നു.
അവലംബം: opennet.ru