Амазон компани
Энэхүү түгээлт нь Линуксийн цөм болон хамгийн бага системийн орчин, үүнд зөвхөн контейнер ажиллуулахад шаардлагатай бүрэлдэхүүн хэсгүүдийг багтаасан болно. Төсөлд хамрагдсан багцуудын дунд системийн менежер systemd, Glibc номын сан, угсралтын хэрэгслүүд орно
Buildroot, GRUB ачаалагч, сүлжээний тохируулагч
Түгээлт нь атомаар шинэчлэгдэж, хуваагдашгүй системийн дүрс хэлбэрээр хүргэгдэнэ. Системд хоёр дискний хуваалт хуваарилагдсан бөгөөд тэдгээрийн нэг нь идэвхтэй системийг агуулдаг бөгөөд шинэчлэлтийг хоёр дахь хэсэгт хуулж авдаг. Шинэчлэлтийг суулгасны дараа хоёрдахь хуваалт идэвхжиж, эхнийх нь дараагийн шинэчлэлт ирэх хүртэл системийн өмнөх хувилбар хадгалагдах бөгөөд хэрэв асуудал гарвал буцаах боломжтой. Шинэчлэлтүүдийг администраторын оролцоогүйгээр автоматаар суулгадаг.
Fedora CoreOS, CentOS/Red Hat Atomic Host зэрэг ижил төстэй түгээлтийн гол ялгаа нь хангахад гол анхаарлаа хандуулдаг.
Үндэс хуваалт нь зөвхөн уншихад суурилагдсан бөгөөд /etc тохиргооны хуваалт нь tmpfs-д суурилагдсан бөгөөд дахин ачаалсны дараа анхны төлөвт нь сэргээгддэг. /etc/resolv.conf болон /etc/containerd/config.toml зэрэг /etc лавлах дахь файлуудыг шууд өөрчлөхийг дэмждэггүй - тохиргоог бүрмөсөн хадгалахын тулд та API ашиглах эсвэл функцийг тусдаа саванд шилжүүлэх шаардлагатай.
Системийн ихэнх бүрэлдэхүүн хэсгүүд нь Rust хэл дээр бичигдсэн байдаг бөгөөд санах ойд үнэгүй хандалт хийх, хоосон заагч хаягжилт, буфер хэт ачааллаас үүсэх эмзэг байдлаас зайлсхийхийн тулд санах ойд аюулгүй функцуудыг өгдөг. Анхдагчаар бүтээхдээ "--enable-default-pie" болон "--enable-default-ssp" эмхэтгэлийн горимуудыг ажиллуулж болох файлуудын хаягийн зайг санамсаргүй байдлаар идэвхжүүлэхийн тулд ашигладаг (
C/C++ хэл дээр бичигдсэн багцуудын хувьд нэмэлт тугуудыг оруулсан болно
"-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" болон "-fstack-clash-protection".
Контейнерын зохион байгуулалтын хэрэгслийг тусад нь нийлүүлдэг
Эх сурвалж: opennet.ru