बॉटलरॉकेट 1.2 चे प्रकाशन, वेगळ्या कंटेनरवर आधारित वितरण

लिनक्स वितरण बॉटलरॉकेट 1.2.0 चे प्रकाशन उपलब्ध आहे, जे वेगळ्या कंटेनरच्या कार्यक्षम आणि सुरक्षित प्रक्षेपणासाठी Amazon च्या सहभागाने विकसित केले आहे. वितरणाची साधने आणि नियंत्रण घटक रस्टमध्ये लिहिलेले आहेत आणि MIT आणि Apache 2.0 लायसन्स अंतर्गत वितरित केले आहेत. हे Amazon ECS, VMware आणि AWS EKS Kubernetes क्लस्टरवर बॉटलरॉकेट चालवण्यास समर्थन देते, तसेच कंटेनरसाठी विविध ऑर्केस्ट्रेशन आणि रनटाइम साधनांचा वापर करण्यास अनुमती देणारे कस्टम बिल्ड आणि आवृत्त्या तयार करतात.

वितरण एक आण्विक आणि स्वयंचलितपणे अद्यतनित अविभाज्य प्रणाली प्रतिमा प्रदान करते ज्यामध्ये लिनक्स कर्नल आणि किमान सिस्टम वातावरण समाविष्ट असते, फक्त कंटेनर चालविण्यासाठी आवश्यक घटकांसह. वातावरणात systemd सिस्टम व्यवस्थापक, Glibc लायब्ररी, Buildroot बिल्ड टूल, GRUB बूट लोडर, दुष्ट नेटवर्क कॉन्फिगरेटर, वेगळ्या कंटेनरसाठी कंटेनर रनटाइम, Kubernetes कंटेनर ऑर्केस्ट्रेशन प्लॅटफॉर्म, aws-iam-authenticator आणि Amazon यांचा समावेश होतो. ECS एजंट.

कंटेनर ऑर्केस्ट्रेशन टूल्स वेगळ्या व्यवस्थापन कंटेनरमध्ये येतात जे डीफॉल्टनुसार सक्षम केले जातात आणि API आणि AWS SSM एजंटद्वारे व्यवस्थापित केले जातात. बेस इमेजमध्ये कमांड शेल, एसएसएच सर्व्हर आणि व्याख्या केलेल्या भाषांचा अभाव आहे (उदाहरणार्थ, पायथन किंवा पर्ल नाही) - प्रशासकीय साधने आणि डीबगिंग साधने वेगळ्या सेवा कंटेनरमध्ये ठेवली जातात, जी डीफॉल्टनुसार अक्षम केली जाते.

Fedora CoreOS, CentOS/Red Hat Atomic Host सारख्या समान वितरणांमधील मुख्य फरक म्हणजे संभाव्य धोक्यांपासून सिस्टम संरक्षण मजबूत करण्याच्या संदर्भात जास्तीत जास्त सुरक्षा प्रदान करण्यावर प्राथमिक लक्ष केंद्रित करणे, OS घटकांमधील भेद्यतेचे शोषण करणे अधिक कठीण करणे आणि कंटेनर अलगाव वाढवणे. . मानक लिनक्स कर्नल यंत्रणा वापरून कंटेनर तयार केले जातात - cgroups, नेमस्पेसेस आणि seccomp. अतिरिक्त पृथक्करणासाठी, वितरण SELinux चा वापर “लागू” मोडमध्ये करते.

रूट विभाजन केवळ-वाचण्यासाठी माउंट केले जाते, आणि /etc सेटिंग्ज विभाजन tmpfs मध्ये आरोहित केले जाते आणि रीस्टार्ट केल्यानंतर त्याच्या मूळ स्थितीत पुनर्संचयित केले जाते. /etc/resolv.conf आणि /etc/containerd/config.toml सारख्या /etc निर्देशिकेतील फाइल्सचे थेट फेरफार समर्थित नाही - सेटिंग्ज कायमस्वरूपी जतन करण्यासाठी, तुम्ही API वापरणे आवश्यक आहे किंवा कार्यशीलता वेगळ्या कंटेनरमध्ये हलवणे आवश्यक आहे. dm-verity मॉड्यूलचा वापर क्रिप्टोग्राफिक पद्धतीने रूट विभाजनाच्या अखंडतेची पडताळणी करण्यासाठी केला जातो आणि ब्लॉक डिव्हाइस स्तरावर डेटा सुधारण्याचा प्रयत्न आढळल्यास, सिस्टम रीबूट होते.

बहुतेक सिस्टम घटक रस्टमध्ये लिहिलेले असतात, जे फ्री-फ्री मेमरी ऍक्सेस, नल पॉइंटर डिरेफरेन्सेस आणि बफर ओव्हररन्समुळे होणारी भेद्यता टाळण्यासाठी मेमरी-सुरक्षित वैशिष्ट्ये प्रदान करते. डीफॉल्टनुसार बिल्डिंग करताना, "-सक्षम-डीफॉल्ट-पाई" आणि "-सक्षम-डिफॉल्ट-एसएसपी" संकलित मोडचा वापर एक्झीक्यूटेबल फाइल अॅड्रेस स्पेस (पीआयई) चे यादृच्छिकीकरण आणि कॅनरी प्रतिस्थापनाद्वारे स्टॅक ओव्हरफ्लोपासून संरक्षण करण्यासाठी केला जातो. C/C++ मध्ये लिहिलेल्या पॅकेजेससाठी, “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” आणि “-fstack-clash” अतिरिक्त आहेत. सक्षम - संरक्षण".

नवीन प्रकाशनात:

• कंटेनर इमेज रेजिस्ट्री मिररसाठी समर्थन जोडले.
• स्व-स्वाक्षरी केलेले प्रमाणपत्रे वापरण्याची क्षमता जोडली.
• होस्टनाव कॉन्फिगर करण्यासाठी पर्याय जोडला.
• प्रशासकीय कंटेनरची डीफॉल्ट आवृत्ती अद्यतनित केली गेली आहे.
• kubelet साठी topologyManagerPolicy आणि topologyManagerScope सेटिंग्ज जोडल्या.
• zstd अल्गोरिदम वापरून कर्नल कॉम्प्रेशनसाठी समर्थन जोडले.
• VMware मध्ये व्हर्च्युअल मशीन लोड करण्याची क्षमता OVA (ओपन व्हर्च्युअलायझेशन फॉरमॅट) स्वरूपात प्रदान केली आहे.
• वितरण आवृत्ती aws-k8s-1.21 ला Kubernetes 1.21 साठी समर्थनासह अद्यतनित केले आहे. aws-k8s-1.16 साठी समर्थन बंद केले आहे.
• रस्ट भाषेसाठी पॅकेज आवृत्त्या आणि अवलंबित्व अद्यतनित केले.

स्त्रोत: opennet.ru