Bottlerocket 1.1၊ သီးခြားကွန်တိန်နာများကို အခြေခံ၍ ဖြန့်ဖြူးမှု

ထုတ်ဝေမှု ရရှိနိုင်ပါသည် LinuxBottlerocket 1.1.0 သည် သီးခြားကွန်တိန်နာများကို ထိရောက်စွာနှင့် လုံခြုံစွာစတင်နိုင်ရန်အတွက် Amazon နှင့်အတူ တီထွင်ထားသော ဖြန့်ဖြူးမှုတစ်ခုဖြစ်သည်။ ဖြန့်ဖြူးမှု၏ ကိရိယာတန်ဆာပလာများနှင့် ထိန်းချုပ်မှုအစိတ်အပိုင်းများကို Rust ဖြင့်ရေးသားထားပြီး MIT နှင့် Apache 2.0 လိုင်စင်များအောက်တွင် လိုင်စင်ရထားသည်။ Bottlerocket သည် Amazon ECS နှင့် AWS EKS Kubernetes clusters များတွင် လည်ပတ်သည့်အပြင် ကွန်တိန်နာ orchestration နှင့် runtime tools အမျိုးမျိုးကို အသုံးပြုမှုကို ပံ့ပိုးပေးသည့် custom builds နှင့် editions များကိုလည်း ပံ့ပိုးပေးသည်။

ဖြန့်ဖြူးမှုသည် kernel အပါအဝင် ခွဲထုတ်၍မရသော စနစ်ပုံရိပ်ကို အက်တမ်ဖြင့် အလိုအလျောက် အပ်ဒိတ်လုပ်ထားသည်။ Linux နှင့် containers များကို လည်ပတ်ရန် လိုအပ်သော အစိတ်အပိုင်းများသာ ပါဝင်သော အနည်းဆုံး system environment တစ်ခု။ ဤ environment တွင် systemd system manager၊ Glibc library၊ Buildroot build toolchain၊ GRUB bootloader၊ wicked network configurator၊ isolated containers များအတွက် containerd runtime၊ Kubernetes container orchestration platform၊ aws-iam-authenticator authenticator နှင့် Amazon ECS agent တို့ ပါဝင်သည်။

Container orchestration tools များကို သီးခြား management container တစ်ခုတွင် ပေးပို့ပြီး ၎င်းကို default အနေဖြင့် enable လုပ်ထားပြီး API နှင့် AWS SSM Agent မှတစ်ဆင့် စီမံခန့်ခွဲပါသည်။ base image တွင် command shell မပါဝင်ပါ။ ဆာဗာ SSH နှင့် အဓိပ္ပာယ်ဖွင့်ဆိုထားသော ဘာသာစကားများ (ဥပမာ Python သို့မဟုတ် Perl မရှိပါ) - admin နှင့် debugging tools များသည် သီးခြား service container တွင် တည်ရှိပြီး ၎င်းကို default အနေဖြင့် disable လုပ်ထားသည်။

Fedora CoreOS ကဲ့သို့သော အလားတူ ဖြန့်ချိမှုများနှင့် အဓိက ကွာခြားချက်မှာ CentOSRed Hat Atomic Host သည် အဓိကအားဖြင့် ခြိမ်းခြောက်မှုများမှ စနစ်ကာကွယ်မှုကို မြှင့်တင်ခြင်း၊ OS အစိတ်အပိုင်းများရှိ အားနည်းချက်များကို အသုံးချခြင်းကို ရှုပ်ထွေးစေခြင်းနှင့် container isolation ကို တိုးမြှင့်ခြင်းဖြင့် အမြင့်ဆုံးလုံခြုံရေးကို ပေးအပ်ရန် အာရုံစိုက်ပါသည်။ containers များကို native kernel ယန္တရားများကို အသုံးပြု၍ ဖန်တီးထားသည်။ Linux — cgroups, namespaces, နှင့် seccomp။ နောက်ထပ် သီးခြားခွဲထားရန်အတွက်၊ ဖြန့်ဖြူးမှုသည် SE ကိုအသုံးပြုသည်။Linux "အတင်းအကျပ်" မုဒ်မှာ။

root partition ကို read-only တွင်တပ်ဆင်ထားပြီး /etc settings partition ကို tmpfs တွင်တပ်ဆင်ထားပြီး ပြန်လည်စတင်ပြီးနောက် ၎င်း၏မူလအခြေအနေသို့ ပြန်လည်ရောက်ရှိသွားပါသည်။ /etc/resolv.conf နှင့် /etc/containerd/config.toml ကဲ့သို့သော /etc directory ရှိ ဖိုင်များ၏ တိုက်ရိုက်မွမ်းမံမှုကို ပံ့ပိုးမထားပါ။ - ဆက်တင်များကို အပြီးတိုင်သိမ်းဆည်းရန်၊ သင်သည် API ကို အသုံးပြုရမည် သို့မဟုတ် လုပ်ဆောင်နိုင်စွမ်းကို သီးခြား ကွန်တိန်နာများသို့ ရွှေ့ရပါမည်။ dm-verity module ကို root partition ၏ မှန်ကန်မှုကို ကုဒ်ဝှက်ထားရန် အသုံးပြုပြီး ပိတ်ဆို့သည့် စက်ပစ္စည်းအဆင့်တွင် အချက်အလက်မွမ်းမံရန် ကြိုးပမ်းမှုအား တွေ့ရှိပါက၊ စနစ်သည် ပြန်လည်စတင်မည်ဖြစ်သည်။

စနစ်အစိတ်အပိုင်းအများစုကို Rust တွင်ရေးထားပါသည်၊ ၎င်းသည် အခမဲ့မှတ်ဉာဏ်ဝင်ရောက်မှုများ၊ null pointer dereferences နှင့် buffer overruns များကြောင့်ဖြစ်ရသည့် အားနည်းချက်များကိုရှောင်ရှားရန် memory-safe အင်္ဂါရပ်များကိုပေးဆောင်သည်။ ပုံသေဖြင့်တည်ဆောက်သည့်အခါ၊ စုစည်းမှုမုဒ် "-enable-default-pie" နှင့် "-enable-default-ssp" ကို executable file address space (PIE) ၏ ကျပန်းပြုလုပ်ခြင်းကိုဖွင့်ရန်နှင့် canary အစားထိုးခြင်းဖြင့် stack overflows ကိုကာကွယ်ရန်အတွက်အသုံးပြုပါသည်။ C/C++ ဖြင့် ရေးသားထားသော ပက်ကေ့ဂျ်များအတွက်၊ “-Wall”၊ “-Werror=format-security”၊ “-Wp၊-D_FORTIFY_SOURCE=2”၊ “-Wp၊-D_GLIBCXX_ASSERTIONS” နှင့် “-fstack-clash” အလံများအပြင်၊ enabled -protection"။

ထုတ်ဝေမှုအသစ်တွင်-

• Kubernetes 1.20 ကို ပံ့ပိုးပေးသည့် ဖြန့်ဖြူးမှု မျိုးကွဲအသစ်နှစ်ခုဖြစ်သည့် aws-k8s-1.20 နှင့် vmware-k8s-1.20 တို့ကို ထုတ်ပြန်လိုက်ပါပြီ။ ဤမျိုးကွဲများအပြင် အပ်ဒိတ်လုပ်ထားသော aws-ecs-1 မျိုးကွဲသည် kernel ထုတ်ဝေမှုအသစ်ကို အသုံးပြုပါသည်။ Linux ၅.၁၀။ မူရင်း lockdown မုဒ်ကို "integrity" (လည်ပတ်နေသော kernel အတွက် user-space ပြုပြင်မွမ်းမံမှုများကို ပိတ်ဆို့ခြင်း) သို့ ပြောင်းလဲလိုက်ပါပြီ။ Kubernetes 1.15 ကို အခြေခံထားသော aws-k8s-1.15 မျိုးကွဲအတွက် ပံ့ပိုးမှုကို ရပ်ဆိုင်းလိုက်ပါပြီ။
• Amazon ECS သည် awsvpc ကွန်ရက်မုဒ်ကို ယခု ပံ့ပိုးပေးနေပြီဖြစ်ပြီး၊ ၎င်းသည် သင့်အား တစ်ဦးချင်းကွန်ရက်အင်တာဖေ့စ်များနှင့် အတွင်းပိုင်း... IP လိပ်စာများ တာဝန်တစ်ခုစီအတွက်။
• QPS၊ pool ကန့်သတ်ချက်များနှင့် AWS မှလွဲ၍ အခြားသော cloud ဝန်ဆောင်မှုပေးသူများထံသို့ ချိတ်ဆက်နိုင်မှုအပါအဝင် အမျိုးမျိုးသော Kubernetes ကန့်သတ်ဘောင်များကို ထိန်းချုပ်ရန်အတွက် ဆက်တင်များထည့်သွင်းထားသည်။
• bootstrap container သည် SE ကို အသုံးပြု၍ user data များကို ဝင်ရောက်ခွင့် ကန့်သတ်ချက် ပေးသည်Linux.
• resize2fs utility ကိုထပ်ထည့်သည်။

source: opennet.ru