Amazon ကုမ္ပဏီ ကြေငြာခဲ့သည် နောက်ဆုံးထွက်ရှိမှုအကြောင်း ပုလင်းဗုံး - ကွန်တိန်နာများကိုလည်ပတ်ပြီး ထိရောက်စွာစီမံခန့်ခွဲခြင်းအတွက် အထူးပြုဖြန့်ဖြူးမှု။

Bottlerocket (စကားအားဖြင့်၊ အိမ်လုပ် အနက်ရောင်အမှုန့် ဒုံးပျံငယ်များဟု အမည်ပေးထားသော) သည် ကွန်တိန်နာများအတွက် ပထမဆုံး OS မဟုတ်သော်လည်း AWS ဝန်ဆောင်မှုများနှင့် မူရင်းပေါင်းစည်းမှုကြောင့် ကျယ်ပြန့်လာဖွယ်ရှိသည်။ စနစ်သည် Amazon cloud ပေါ်တွင် အာရုံစိုက်ထားသော်လည်း open source code သည် မည်သည့်နေရာတွင်မဆို တည်ဆောက်နိုင်သည်- ပြည်တွင်း၌ ဆာဗာတစ်ခု၊ Raspberry Pi တွင်၊ ယှဉ်ပြိုင်နေသည့် မည်သည့် cloud တွင်မဆို၊ ကွန်တိန်နာမဲ့ပတ်ဝန်းကျင်၌ပင်။

၎င်းသည် Red Hat မြှုပ်နှံထားသော CoreOS ဖြန့်ဖြူးမှုအတွက် လုံးဝထိုက်တန်သော အစားထိုးမှုတစ်ခုဖြစ်သည်။

တကယ်တော့၊ Amazon Web Services ဌာနခွဲတွင် မကြာသေးမီက ၎င်း၏ ဒုတိယဗားရှင်းတွင် ထွက်လာသည့် Amazon Linux ရှိပြီးဖြစ်သည်- ၎င်းသည် Docker container တွင် သို့မဟုတ် Linux KVM၊ Microsoft Hyper-V နှင့် VMware ဖြင့် လုပ်ဆောင်နိုင်သော ယေဘူယျရည်ရွယ်ချက် ဖြန့်ဖြူးမှုဖြစ်သည်။ ESXi hypervisors များ။ ၎င်းကို AWS cloud တွင်လည်ပတ်ရန် အကောင်းဆုံးပြင်ဆင်ထားသော်လည်း Bottlerocket ထုတ်ဝေမှုနှင့်အတူ၊ လူတိုင်းသည် ပိုမိုလုံခြုံသော၊ ခေတ်မီပြီး အရင်းအမြစ်နည်းပါးသောအသုံးပြုသည့်စနစ်အသစ်သို့ အဆင့်မြှင့်တင်ရန် တိုက်တွန်းထားသည်။

AWS မှ Bottlerocket ကိုကြေငြာခဲ့သည်။ မတ်လ 2020 ခုနှစ်. CoreOS, Rancher OS နှင့် Project Atomic အား လှုံ့ဆော်မှု အရင်းအမြစ်အဖြစ် ကိုးကား၍ ဤသည်မှာ ပထမဆုံး “Linux for containers” မဟုတ်ကြောင်း သူမ ချက်ချင်း ဝန်ခံခဲ့သည်။ ဆော့ဖ်ဝဲအင်ဂျင်နီယာများက "လုပ်ငန်းလည်ပတ်မှုစနစ်သည် Amazon ၏စကေးတွင် အချိန်အတော်ကြာ ထုတ်လုပ်မှုဝန်ဆောင်မှုများ လုပ်ဆောင်ခြင်းမှ ကျွန်ုပ်တို့ သင်ယူခဲ့သည့် သင်ခန်းစာများ နှင့် ကွန်တိန်နာများကို လည်ပတ်ပုံနှင့်ပတ်သက်သည့် လွန်ခဲ့သည့် ခြောက်နှစ်ကျော်က ရရှိခဲ့သော အတွေ့အကြုံများ" ဟု ရေးသားခဲ့သည်။

အလွန်အမင်း အနည်းငယ်မျှသာဖြစ်သည်။

ကွန်တိန်နာများကိုလည်ပတ်ရန် Linux သည် မလိုအပ်သည့်အရာအားလုံးကို ဖယ်ရှားထားသည်။ ကုမ္ပဏီ၏အဆိုအရ ဤဒီဇိုင်းသည် တိုက်ခိုက်မှုမျက်နှာပြင်ကို လျှော့ချပေးသည်။

ဆိုလိုသည်မှာ OS ကို ဆက်လက်ထိန်းသိမ်းရန်နှင့် အပ်ဒိတ်လုပ်ရန် ပိုမိုလွယ်ကူစေသည့် အခြေခံစနစ်တွင် ပက်ကေ့ဂျ်များကို နည်းပါးလာစေရန် တပ်ဆင်ထားခြင်း၊ မှီခိုမှုများကြောင့် ပြဿနာများ ဖြစ်နိုင်ခြေကို လျော့နည်းစေပြီး အရင်းအမြစ်အသုံးပြုမှုကို လျှော့ချပေးသည်။ အခြေခံအားဖြင့်၊ ဤနေရာရှိ အရာအားလုံးသည် သီးခြားကွန်တိန်နာအတွင်းတွင် အလုပ်လုပ်ကြပြီး အရင်းခံစနစ်သည် လက်တွေ့တွင် ဗလာဖြစ်နေသည်။

Amazon သည် အခွံများနှင့် စကားပြန်များအားလုံးကို ဖယ်ရှားခဲ့ပြီး ၎င်းတို့ကို အသုံးပြုခံရခြင်း သို့မဟုတ် အသုံးပြုသူများ အခွင့်ထူးများ မတော်တဆ တိုးလာနေသည့် အန္တရာယ်ကို ဖယ်ရှားပေးပါသည်။ အနည်းငယ်မျှသာနှင့် လုံခြုံရေးအတွက်၊ အခြေခံပုံတွင် အမိန့်ပေးသည့်ရှဲလ်၊ SSH ဆာဗာ သို့မဟုတ် Python ကဲ့သို့ အဓိပ္ပာယ်ပြန်ဆိုထားသော ဘာသာစကားများ မပါဝင်ပါ။ စီမံခန့်ခွဲသူ ကိရိယာများကို ပုံမှန်အားဖြင့် ပိတ်ထားသည့် သီးခြားဝန်ဆောင်မှု ကွန်တိန်နာတွင် ထားရှိထားသည်။

စနစ်အား API နှင့် orchestration မှတဆင့် နည်းလမ်းနှစ်မျိုးဖြင့် စီမံခန့်ခွဲပါသည်။

ဆော့ဖ်ဝဲတစ်ခုချင်းစီကို အပ်ဒိတ်လုပ်မည့် ပက်ကေ့ဂျ်မန်နေဂျာအစား Bottlerocket သည် ပြီးပြည့်စုံသော ဖိုင်စနစ်ပုံတစ်ပုံကို ဒေါင်းလုဒ်လုပ်ပြီး ၎င်းထဲသို့ ပြန်လည်စတင်သည်။ ဝန်ထုပ်ဝန်ပိုးတစ်ခု ပျက်ကွက်ပါက ၎င်းသည် အလိုအလျောက် ပြန်လှည့်သွားမည်ဖြစ်ပြီး အလုပ်ဝန်ချို့ယွင်းမှုတစ်ခုသည် ကိုယ်တိုင်ပြန်လှည့်ခြင်း (API မှတစ်ဆင့် အမိန့်ပေးမှု) ကို အစပျိုးနိုင်သည်။

မူဘောင် TUF (The Update Framework) သည် အစားထိုး သို့မဟုတ် "မတပ်ထားသော" အခန်းကန့်များသို့ ရုပ်ပုံအခြေခံမွမ်းမံမှုများကို ဒေါင်းလုဒ်လုပ်သည်။ စနစ်အတွက် disk partition နှစ်ခုကို ခွဲဝေပေးထားပြီး တစ်ခုမှာ active system ပါရှိပြီး update ကို ဒုတိယသို့ ကူးယူပါသည်။ ဤကိစ္စတွင်၊ root partition ကို read-only mode နှင့် partition တွင်တပ်ဆင်ထားသည်။ /etc RAM တွင် ဖိုင်စနစ်ဖြင့် တပ်ဆင်ထားသည်။ စိုင်းစိုင်းခမ်းလှိုင် ပြန်လည်စတင်ပြီးနောက် မူလအခြေအနေအား ပြန်လည်ရယူပါ။ ပြင်ဆင်မှုဖိုင်များကို တိုက်ရိုက်မွမ်းမံခြင်း။ /etc မပံ့ပိုးပါ- ဆက်တင်များကို သိမ်းဆည်းရန် သင်သည် API ကို အသုံးပြုသင့်သည် သို့မဟုတ် လုပ်ဆောင်နိုင်စွမ်းကို သီးခြား ကွန်တိန်နာများသို့ ရွှေ့သင့်သည်။

API အပ်ဒိတ်အစီအစဉ်

လုံခွုံမှု

ကွန်တိန်နာများကို Linux kernel ၏ စံယန္တရားများ - cgroups၊ namespaces နှင့် seccomp တို့မှ ဖန်တီးထားပြီး အပိုအထီးကျန်ခြင်းအတွက် အတင်းအကြပ်ဝင်ရောက်ထိန်းချုပ်မှုစနစ်အဖြစ် အသုံးပြုပါသည်။ selinux "လိုက်နာခြင်း" မုဒ်တွင်။

ပုံမှန်အားဖြင့်၊ ကွန်တိန်နာများနှင့် kernel အကြား အရင်းအမြစ်များကို မျှဝေရန် မူဝါဒများကို ဖွင့်ထားသည်။ အသုံးပြုသူများ သို့မဟုတ် ပရိုဂရမ်များကို ၎င်းတို့လုပ်ဆောင်ခြင်းမှ တားဆီးရန် Binaries များကို အလံများဖြင့် ကာကွယ်ထားသည်။ ဖိုင်စနစ်သို့ရောက်သွားပါက Bottlerocket သည် ပြုလုပ်ထားသော မည်သည့်ပြောင်းလဲမှုများကိုမဆို စစ်ဆေးပြီး ခြေရာခံရန် tool တစ်ခု ပေးပါသည်။

စက်ပစ္စည်း-mapper-verity လုပ်ဆောင်ချက်အားဖြင့် “အတည်ပြုပြီးသော boot” မုဒ်ကို အကောင်အထည်ဖော်သည် (dm-verity) boot လုပ်နေစဉ်အတွင်း root partition ၏ခိုင်မာမှုကိုစစ်ဆေးသည်။ AWS မှ dm-verity သည် "core system software ကို overwrite လုပ်ခြင်းကဲ့သို့သော OS ပေါ်တွင် malware လည်ပတ်ခြင်းမှကာကွယ်ရန် သမာဓိစစ်ဆေးမှုများကို ပံ့ပိုးပေးသည့် Linux kernel ၏အင်္ဂါရပ်တစ်ခုဖြစ်သည်။"

စနစ်တွင် filter တစ်ခုလည်းရှိသည်။ eGMP (တိုးချဲ့ BPF၊ Alexey Starovoitov မှတီထွင်ခဲ့သည်။) အဆင့်နိမ့်စနစ်လုပ်ဆောင်မှုများအတွက် kernel module များကို ပိုမိုလုံခြုံသော BPF ပရိုဂရမ်များဖြင့် အစားထိုးခွင့်ပြုသည်။

အကောင်အထည်ဖော်မှုပုံစံ
အသုံးပြုသူသတ်မှတ်ထားသည်။
စုစည်းမှု
လုံခွုံမှု
ပျက်ကွက်မုဒ်
အရင်းအမြစ်များကို ရယူပါ။

အသုံးပြုသူကို
လုပ်ငန်း
ဟုတ်ကဲ့
မည်သည့်
အသုံးပြုသူအခွင့်အရေး
ကြားဖြတ်လုပ်ဆောင်ခြင်း။
စနစ်ခေါ်ဆိုမှု၊ အမှား

အဓိက
လုပ်ငန်း
အဘယ်သူမျှမ
အငြိမ်
အဘယ်သူမျှမ
kernel အထိတ်တလန့်
ဖြောင့်

GMP
အဖြစ်အပျက်
ဟုတ်ကဲ့
JIT၊ CO-RE
အတည်ပြုခြင်း၊ JIT
အမှားပြစာ
အကန့်အသတ်ရှိသော အကူအညီများ

BPF သည် ပုံမှန်အသုံးပြုသူ သို့မဟုတ် kernel အဆင့်ကုဒ်နှင့် မည်သို့ကွာခြားသနည်း။ အရင်းအမြစ်

Bottlerocket သည် "စီမံခန့်ခွဲရေးဆိုင်ရာအခွင့်ထူးများဖြင့် ထုတ်လုပ်သည့်ဆာဗာများသို့ ချိတ်ဆက်မှုများကို တားဆီးခြင်းဖြင့် လုံခြုံရေးကို ပိုမိုတိုးမြှင့်ပေးသည့် လည်ပတ်မှုပုံစံကို အသုံးပြုထားသည်" နှင့် "အိမ်ရှင်တစ်ဦးစီကို ထိန်းချုပ်ကန့်သတ်ထားသည့် ကြီးမားသောဖြန့်ဝေမှုစနစ်များအတွက် သင့်လျော်သည်" ဟု AWS မှ ပြောကြားခဲ့သည်။

စနစ်စီမံခန့်ခွဲသူများအတွက် စီမံခန့်ခွဲသူကွန်တိန်နာကို ပေးထားသည်။ သို့သော် AWS သည် Bottlerocket တွင် စီမံခန့်ခွဲသူ မကြာခဏ လုပ်ဆောင်ရန် လိုအပ်လိမ့်မည် မထင်ပါ- "သီးခြား Bottlerocket စံနမူနာသို့ လော့ဂ်အင်လုပ်ခြင်းသည် မကြာခဏ လုပ်ဆောင်မှုများအတွက် ရည်ရွယ်သည်- အဆင့်မြင့် အမှားရှာပြင်ခြင်းနှင့် ပြဿနာဖြေရှင်းခြင်း" ရေးသား developer များ။

သံချေးတက် ဘာသာစကား

Kernel ၏ထိပ်တွင် OS ကိရိယာတန်ဆာပလာကို အများအားဖြင့် Rust ဖြင့်ရေးထားသည်။ ဤဘာသာစကားသည် ၎င်း၏သဘောသဘာဝအရဖြစ်သည်။ မလုံခြုံသောမှတ်ဉာဏ်ဝင်ရောက်နိုင်ခြေကို လျှော့ချပေးသည်။နှင့် ကြိုးများကြားရှိ မျိုးနွယ်စုအခြေအနေများကို ဖယ်ရှားပေးသည်။.

ဆောက်လုပ်သည့်အခါ အလံများကို မူရင်းအတိုင်း အသုံးပြုပါသည်။ --enable-default-pie и --enable-default-ssp executable files များ၏ address space ကို randomization လုပ်ရန် (ရပ်တည်ချက်- အမှီအခိုကင်းသော စီမံဆောင်ရွက်မှု, PIE) နှင့် stack overflow ကာကွယ်မှု။

C/C++ ပက်ကေ့ဂျ်များအတွက်၊ နောက်ထပ် အလံများ ပါဝင်သည်။ -Wall, -Werror=format-security, -Wp,-D_FORTIFY_SOURCE=2, -Wp,-D_GLIBCXX_ASSERTIONS и -fstack-clash-protection.

Rust နှင့် C/C++ အပြင်၊ အချို့သော packages များကို Go တွင်ရေးထားသည်။

AWS ဝန်ဆောင်မှုများနှင့် ပေါင်းစပ်ခြင်း။

အလားတူကွန်တိန်နာလည်ပတ်မှုစနစ်များနှင့်ကွာခြားချက်မှာ Amazon သည် Bottlerocket ကို AWS တွင်လည်ပတ်ရန်အကောင်းဆုံးပြင်ဆင်ပြီး အခြားသော AWS ဝန်ဆောင်မှုများနှင့်ပေါင်းစပ်ခြင်းကြောင့်ဖြစ်သည်။

လူကြိုက်အများဆုံး ကွန်တိန်နာသံစုံတီးဝိုင်းသည် Kubernetes ဖြစ်သောကြောင့် AWS သည် ၎င်း၏ကိုယ်ပိုင် Enterprise Kubernetes Service (EKS) နှင့် ပေါင်းစည်းမှုကို မိတ်ဆက်ခဲ့သည်။ Orchestration ကိရိယာများသည် သီးခြားထိန်းချုပ်မှု ကွန်တိန်နာတစ်ခုတွင် ပါရှိသည်။ bottlerocket-control-containerAPI နှင့် AWS SSM Agent မှတဆင့် စီမံခန့်ခွဲပြီး default အနေဖြင့် ဖွင့်ထားသည်။

ယခင်က အလားတူလုပ်ဆောင်မှုအချို့ ပျက်ကွက်ခဲ့သောကြောင့် Bottlerocket ဆုတ်သွားခြင်း ရှိမရှိကို ကြည့်ရှုရန် စိတ်ဝင်စားဖွယ်ကောင်းပါသည်။ ဥပမာအားဖြင့်၊ Vmware မှ PhotonOS သည် အရေးဆိုမှုမရှိဘဲ RedHat သည် CoreOS နှင့် ဝယ်ယူခဲ့သည်။ ပရောဂျက်ကို ပိတ်လိုက်တယ်။လယ်ကွင်းတွင် ရှေ့ဆောင်တစ်ဦးအဖြစ် သတ်မှတ်ခံခဲ့ရသူဖြစ်သည်။

Bottlerocket ၏ AWS ဝန်ဆောင်မှုများတွင် ပေါင်းစည်းခြင်းသည် ဤစနစ်ကို ၎င်း၏ကိုယ်ပိုင်နည်းလမ်းဖြင့် ထူးခြားစေသည်။ ဤသည်မှာ အချို့သောအသုံးပြုသူများသည် CoreOS သို့မဟုတ် Alpine ကဲ့သို့သော အခြားသော distro များထက် Bottlerocket ကို ပိုမိုနှစ်သက်နိုင်ရသည့် အဓိကအကြောင်းရင်းဖြစ်နိုင်သည်။ စနစ်သည် EKS နှင့် ECS တို့နှင့် အလုပ်လုပ်ရန် အစပိုင်းတွင် ဒီဇိုင်းထုတ်ထားသော်လည်း ၎င်းသည် မလိုအပ်ကြောင်း ကျွန်ုပ်တို့ ထပ်ပြောပါသည်။ ပထမဦးစွာ Bottlerocket လုပ်နိုင်သည် သင်ကိုယ်တိုင် စုစည်းပါ။ ဥပမာအားဖြင့်၊ လက်ခံဖြေရှင်းချက်အဖြစ် ၎င်းကို အသုံးပြုပါ။ ဒုတိယအနေနှင့်၊ EKS နှင့် ECS အသုံးပြုသူများသည် ၎င်းတို့၏ OS ကို ရွေးချယ်နိုင်စွမ်းရှိနေဆဲဖြစ်သည်။

Bottlerocket အရင်းအမြစ်ကုဒ်ကို Apache 2.0 လိုင်စင်အောက်တွင် GitHub တွင် ထုတ်ဝေထားသည်။ Developer တွေက ရှိပြီးသားပါ။ ချွတ်ယွင်းချက်အစီရင်ခံစာများနှင့် လုပ်ဆောင်ချက်တောင်းဆိုမှုများကို တုံ့ပြန်ပါ။.

ကြော်ငြာအဖြစ်

VDSina ကမ်းလှမ်းမှု နေ့စဉ်ငွေပေးချေမှုနှင့်အတူ VDS. သင့်ကိုယ်ပိုင်ပုံအပါအဝင် မည်သည့် operating system ကိုမဆို ထည့်သွင်းနိုင်သည်။ ဆာဗာတစ်ခုစီသည် 500 Megabits အင်တာနက်ချန်နယ်တစ်ခုနှင့် ချိတ်ဆက်ထားပြီး DDoS တိုက်ခိုက်မှုများမှ အခမဲ့ကာကွယ်ထားသည်။

source: www.habr.com