Linux ááŒáá·áºááŒá°ážáá±áž Bottlerocket 1.1.0 ááᯠááœá²áá¯ááºáá¬ážáá±á¬ ááœááºááááºáá¬áá»á¬ážááᯠáááá±á¬ááºááŒá®áž áá¯á¶ááŒá¯á¶á áœá¬ ááœáŸáá·áºáááºáááºá¡ááœáẠAmazon á áá°ážáá±á«ááºážáá«áááºááŸá¯ááŒáá·áº áá®ááœááºáá¯ááºáá¯ááºáá¬ážáá«áááºá ááŒáá·áºááŒá°ážááŸá¯á áááááá¬áá»á¬ážááŸáá·áº ááááºážáá»á¯ááºááŸá¯ á¡á áááºá¡ááá¯ááºážáá»á¬ážááᯠRust ááŒáá·áº áá±ážáá¬ážáá¬ážááŒá®áž MIT ááŸáá·áº Apache 2.0 ááá¯ááºá ááºáá»á¬ážá¡á±á¬ááºááœáẠááŒáá·áºáá±áá¬ážáááºá áááºážááẠAmazon ECS ááŸáá·áº AWS EKS Kubernetes á¡á á¯á¡áá±ážáá»á¬ážááœáẠBottlerocket áááºáááºááŸá¯ááᯠáá¶á·ááá¯ážáá±ážááá·áºá¡ááŒáẠááœááºááááºáá¬áá»á¬ážá¡ááœáẠá¡áá»áá¯ážáá»áá¯ážáá±á¬ á á¯á ááºážááŸá¯ ááŸáá·áº runtime áá°ážááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááœáá·áºáá±ážááá·áº á áááºááŒáá¯ááºáááºáá±á¬ááºááŸá¯áá»á¬ážááŸáá·áº áááºážááŒááºááŸá¯áá»á¬ážááᯠáááºáá®ážáá±ážáááºá
ááŒáá·áºááŒá°ážááŸá¯ááẠááœááºááááºáá¬áá»á¬ážáááºáááºááẠááá¯á¡ááºáá±á¬ á¡á áááºá¡ááá¯ááºážáá»á¬áž á¡áá«á¡ááẠLinux kernel ááŸáá·áº á¡áááºážáááºáá»áŸáá±á¬ á áá áºáááºáááºážáá»áẠáá«áááºáá±á¬ á¡ááºáááºááŸáá·áº á¡ááá¯á¡áá»á±á¬áẠááœááºážáá¶áá¬ážáá±á¬ ááœá²ááŒá¬ážááá¯ááºáá±á¬ á áá áºáá¯á¶áá áºáá¯á¶ááᯠáá¶á·ááá¯ážáá±ážáá«áááºá áááºáááºážáá»ááºááœáẠsystemd á áá áºáááºáá±áá»á¬á Glibc á á¬ááŒáá·áºááá¯ááºá Buildroot áááºáá±á¬ááºáá±ážáááááá¬á GRUB boot loaderá ááá¯ážááœááºážáá±á¬ network configuratorá áá®ážááŒá¬ážááœááºááááºáá¬áá»á¬ážá¡ááœáẠcontainerd runtimeá Kubernetes container orchestration platformá aws-iam-authenticator ááŸáá·áº Amazon ECS á¡á±ážáá»áá·áºá
Container orchestration tools áá»á¬ážááẠAPI ááŸáá·áº AWS SSM Agent ááŸáááá·áº default á¡áá±ááŒáá·áº ááœáá·áºáá¬ážááá·áº áá®ážááŒá¬ážá á®áá¶ááá·áºááœá²ááŸá¯ ááœááºááááºáá¬ááœáẠáá¬áá«áááºá á¡ááŒá±áá¶áá¯á¶ááœáẠcommand shellá SSH áá¬áá¬ááŸáá·áº áá¬áá¬ááŒááºáá¬ážáá±á¬ áá¬áá¬á áá¬ážáá»á¬áž áááŸááá« (á¥ááá¬á Python ááá¯á·ááá¯áẠPerl ááá«) - á á®áá¶ááá·áºááœá²áá±ážáááááá¬áá»á¬ážááŸáá·áº á¡ááŸá¬ážááŸá¬ááŒááºááá·áºáááááá¬áá»á¬ážááᯠáá°áááºážá¡ááá¯ááºáž ááááºáá¬ážááá·áº áá®ážááŒá¬ážáááºáá±á¬ááºááŸá¯ááœááºááááºáá¬ááœáẠáá¬ážááŸááá¬ážáááºá
Fedora CoreOSá CentOS/Red Hat Atomic Host áá²á·ááá¯á·áá±á¬ á¡áá¬ážáá° ááŒáá·áºááŒá°ážááŸá¯áá»á¬ážá០á¡ááá ááœá¬ááŒá¬ážáá»ááºááŸá¬ ááŒá áºááá¯ááºáá»á±ááŸááá±á¬ ááŒáááºážááŒá±á¬ááºááŸá¯áá»á¬ážá០á áá áºáá¬ááœááºááŸá¯ááᯠá¡á¬ážáá±á¬ááºážá á±ááá·áº á¡ááŒá±á¡áá±ááœáẠá¡ááŒáá·áºáá¯á¶ážáá¯á¶ááŒá¯á¶áá±ážááᯠáá±ážáá±á¬ááºááẠá¡ááá á¡á¬áá¯á¶á áá¯ááºáá¬ážááŒá®áž OS á¡á áááºá¡ááá¯ááºážáá»á¬ážááœáẠá¡á¬ážáááºážáá»ááºáá»á¬ážááᯠá¡áá¯á¶ážáá»áááºááŸáá·áº ááœááºááááºáᬠáá®ážááŒá¬ážááœá²áá¬ážááŸá¯ááᯠááá¯ážááŒáŸáá·áºááẠááá¯ááá¯áááºáá²á á±áááºá . ááœááºááááºáá¬áá»á¬ážááᯠáá¯á¶ááŸáẠLinux kernel ááá¹ááá¬ážáá»á¬áž - cgroupsá namespaces ááŸáá·áº seccomp ááá¯á·ááᯠá¡áá¯á¶ážááŒá¯á áááºáá®ážáá¬ážáááºá áá±á¬ááºááẠáá®ážááŒá¬ážááœá²ááœááºááŒááºážá¡ááœááºá ááŒáá·áºááŒá°ážááŸá¯ááẠ"ááá¯ááºáá¬ááŸá¯" áá¯ááºááœáẠSELinux ááᯠá¡áá¯á¶ážááŒá¯áááºá
root partition ááᯠread-only ááœááºáááºáááºáá¬ážááŒá®áž /etc settings partition ááᯠtmpfs ááœááºáááºáááºáá¬ážááŒá®áž ááŒááºáááºá áááºááŒá®ážáá±á¬áẠáááºážááá°áá¡ááŒá±á¡áá±ááá¯á· ááŒááºáááºáá±á¬ááºááŸáááœá¬ážáá«áááºá /etc/resolv.conf ááŸáá·áº /etc/containerd/config.toml áá²á·ááá¯á·áá±á¬ /etc directory ááŸá ááá¯ááºáá»á¬ážá ááá¯ááºááá¯ááºááœááºážáá¶ááŸá¯ááᯠáá¶á·ááá¯ážááá¬ážáá«á - áááºáááºáá»á¬ážááᯠá¡ááŒá®ážááá¯ááºááááºážáááºážáááºá áááºááẠAPI ááᯠá¡áá¯á¶ážááŒá¯áááẠááá¯á·ááá¯áẠáá¯ááºáá±á¬ááºááá¯ááºá áœááºážááᯠáá®ážááŒá¬áž ááœááºááááºáá¬áá»á¬ážááá¯á· ááœáŸá±á·ááá«áááºá dm-verity module ááᯠroot partition á ááŸááºáááºááŸá¯ááᯠáá¯ááºááŸááºáá¬ážááẠá¡áá¯á¶ážááŒá¯ááŒá®áž ááááºááá¯á·ááá·áº á ááºáá á¹á ááºážá¡ááá·áºááœáẠá¡áá»ááºá¡áááºááœááºážáá¶ááẠááŒáá¯ážáááºážááŸá¯á¡á¬áž ááœá±á·ááŸááá«áá á áá áºááẠááŒááºáááºá áááºáááºááŒá áºáááºá
á áá áºá¡á áááºá¡ááá¯ááºážá¡áá»á¬ážá á¯ááᯠRust ááœááºáá±ážáá¬ážáá«áááºá áááºážááẠá¡ááá²á·ááŸááºáá¬ááºáááºáá±á¬ááºááŸá¯áá»á¬ážá null pointer dereferences ááŸáá·áº buffer overruns áá»á¬ážááŒá±á¬áá·áºááŒá áºáááá·áº á¡á¬ážáááºážáá»ááºáá»á¬ážááá¯ááŸá±á¬ááºááŸá¬ážááẠmemory-safe á¡ááºá¹áá«áááºáá»á¬ážááá¯áá±ážáá±á¬ááºáááºá áá¯á¶áá±ááŒáá·áºáááºáá±á¬ááºááá·áºá¡áá«á á á¯á ááºážááŸá¯áá¯áẠ"-enable-default-pie" ááŸáá·áº "-enable-default-ssp" ááᯠexecutable file address space (PIE) á áá»áááºážááŒá¯áá¯ááºááŒááºážááá¯ááœáá·áºáááºááŸáá·áº canary á¡á á¬ážááá¯ážááŒááºážááŒáá·áº stack overflows ááá¯áá¬ááœááºáááºá¡ááœááºá¡áá¯á¶ážááŒá¯áá«áááºá C/C++ ááŒáá·áº áá±ážáá¬ážáá¬ážáá±á¬ áááºáá±á·áá»áºáá»á¬ážá¡ááœááºá â-Wallâá â-Werror=format-securityâá â-Wpá-D_FORTIFY_SOURCE=2âá â-Wpá-D_GLIBCXX_ASSERTIONSâ ááŸáá·áº â-fstack-clashâ á¡áá¶áá»á¬ážá¡ááŒááºá enabled -protection"á
áá¯ááºáá±ááŸá¯á¡áá áºááœááº-
- Kubernetes 8 á¡ááœáẠáá¶á·ááá¯ážááŸá¯ááŒáá·áº ááŒáá·áºááŒá°ážááŸá¯ááœá±ážáá»ááºá áá¬á¡áá áºááŸá áºáᯠaws-k1.20s-8 ááŸáá·áº vmware-k1.20s-1.20 ááᯠá¡ááá¯ááŒá¯áá¬ážáááºá á€áá»áá¯ážááœá²áá»á¬ážá¡ááŒáẠá¡ááºááááºáá¬ážááŸááºáž aws-ecs-1 ááẠLinux kernel 5.10 ááœááºááŸáááŸá¯á¡áá áºááᯠá¡áá¯á¶ážááŒá¯áá«áááºá áá±á¬á·ááºáá±á«ááºážáá¯ááºááᯠáá¯á¶áá±á¡á¬ážááŒáá·áº "ááá¬áá" áᯠáááºááŸááºáá¬ážááẠ(á¡áá¯á¶ážááŒá¯áá°áá±áá¬á០áááºáááºáá±áá±á¬ kernel ááá¯á· ááŒá±á¬ááºážáá²ááŸá¯áá»á¬ážááᯠááŒá¯áá¯ááºááœáá·áºááŒá¯ááá·áº á áœááºážáááºáá»á¬ážááᯠááááºááá¯á·áá¬ážáááº)á Kubernetes 8 ááá¯á¡ááŒá±áá¶ááá·áº aws-k1.15s-1.15 áá»áá¯ážááœá²á¡ááœáẠáá¶á·ááá¯ážááŸá¯ááᯠáááºááá¯ááºážááá¯ááºáá«ááŒá®á
- Amazon ECS ááẠáá¯ááºáá±á¬ááºá áá¬áá áºáá¯á á®á¡ááœáẠáá®ážááŒá¬áž network interfaces áá»á¬ážááŸáá·áº internal IP ááááºá á¬áá»á¬ážááᯠááœá²áá±áááºááŸááºááá¯ááºá á±ááá·áº awsvpc ááœááºáááºáá¯ááºááᯠáá¶á·ááá¯ážáá±ážáá«áááºá
- QPSá pool ááá·áºáááºáá»ááºáá»á¬ážááŸáá·áº AWS ááŸááœá²á á¡ááŒá¬áž cloud áááºáá±á¬ááºááŸá¯áá±ážáá°áá»á¬ážáá¶ááá¯á· áá»áááºáááºááá¯ááºááŸá¯á¡áá«á¡ááẠá¡áá»áá¯ážáá»áá¯ážáá±á¬ Kubernetes ááá·áºáááºáá±á¬ááºáá»á¬ážááᯠááááºážáá»á¯ááºááẠáááºáááºáá»á¬ážááá·áºáá¬ážáááºá
- bootstrap ááœááºááááºáá¬ááẠSELinux ááᯠá¡áá¯á¶ážááŒá¯á á¡áá¯á¶ážááŒá¯áá°áá±áá¬á¡á¬áž áááºáá±á¬ááºááœáá·áºááᯠááá·áºáááºáá¬ážáááºá
- resize2fs utility ááá¯áááºááá·áºáááºá
source: opennet.ru