Amazon प्रकाशित गर्दछ Bottlerocket 1.0.0, एक लिनक्स वितरण अलग कन्टेनरहरूमा आधारित

अमेजन कम्पनी प्रस्तुत समर्पित लिनक्स वितरणको पहिलो महत्त्वपूर्ण रिलीज बोतरोकेट १.०.०, पृथक कन्टेनरहरू कुशलतापूर्वक र सुरक्षित रूपमा चलाउन डिजाइन गरिएको। वितरणको उपकरण र नियन्त्रण घटकहरू Rust र मा लेखिएका छन् फैलने MIT र Apache 2.0 लाइसेन्स अन्तर्गत। परियोजना GitHub मा विकसित भइरहेको छ र समुदाय सदस्यहरूको सहभागिताको लागि उपलब्ध छ। प्रणाली डिप्लोइमेन्ट छवि x86_64 र Aarch64 आर्किटेक्चरहरूको लागि उत्पन्न गरिएको छ। OS लाई Amazon ECS र AWS EKS Kubernetes क्लस्टरहरूमा चलाउनको लागि अनुकूलित गरिएको छ। प्रदान गरिन्छ तपाइँको आफ्नै सम्मेलन र संस्करणहरू सिर्जना गर्नका लागि उपकरणहरू, जसले अन्य अर्केस्ट्रेशन उपकरणहरू, कर्नेलहरू र कन्टेनरहरूको लागि रनटाइम प्रयोग गर्न सक्छ।

वितरणले लिनक्स कर्नेल र कन्टेनरहरू चलाउन आवश्यक घटकहरू सहित न्यूनतम प्रणाली वातावरण प्रदान गर्दछ। परियोजनामा ​​संलग्न प्याकेजहरू मध्ये प्रणाली प्रबन्धक systemd, Glibc पुस्तकालय, र असेंबली उपकरणहरू छन्।
Buildroot, GRUB बुटलोडर, नेटवर्क कन्फिगरेटर दुष्ट, अलग कन्टेनरहरूको लागि रनटाइम कन्टेनर गरिएको, Kubernetes कन्टेनर अर्केस्ट्रेशन प्लेटफर्म, aws-iam-authenticator, र Amazon ECS एजेन्ट।

वितरण परमाणु रूपमा अद्यावधिक गरिएको छ र एक अविभाज्य प्रणाली छविको रूपमा डेलिभर गरिएको छ। प्रणालीको लागि दुईवटा डिस्क विभाजनहरू आवंटित गरिएका छन्, जसमध्ये एउटा सक्रिय प्रणाली समावेश गर्दछ, र अद्यावधिक दोस्रोमा प्रतिलिपि गरिएको छ। अद्यावधिक डिप्लोय गरिसकेपछि, दोस्रो विभाजन सक्रिय हुन्छ, र पहिलोमा, अर्को अद्यावधिक नआउन्जेल, प्रणालीको अघिल्लो संस्करण बचत हुन्छ, जसमा समस्या उत्पन्न भएमा तपाईंले रोल ब्याक गर्न सक्नुहुन्छ। अपडेटहरू प्रशासक हस्तक्षेप बिना स्वचालित रूपमा स्थापित हुन्छन्।

Fedora CoreOS, CentOS/Red Hat Atomic Host जस्ता समान वितरणहरूबाट मुख्य भिन्नता प्रदान गर्ने प्राथमिक फोकस हो। अधिकतम सुरक्षा सम्भावित खतराहरूबाट प्रणाली सुरक्षालाई सुदृढ गर्ने सन्दर्भमा, OS कम्पोनेन्टहरूमा कमजोरीहरूको शोषण गर्न र कन्टेनरहरूको अलगाव बढाउन गाह्रो बनाउँदै। कन्टेनरहरू मानक लिनक्स कर्नेल मेकानिजमहरू - cgroups, नेमस्पेस र seccomp प्रयोग गरेर सिर्जना गरिन्छ। थप अलगावको लागि, वितरणले "लागू गर्ने" मोडमा SELinux प्रयोग गर्दछ, र मोड्युल रूट विभाजनको अखण्डताको क्रिप्टोग्राफिक प्रमाणीकरणको लागि प्रयोग गरिन्छ। dm-verity। यदि ब्लक यन्त्र स्तरमा डाटा परिमार्जन गर्ने प्रयास पत्ता लाग्यो भने, प्रणाली रिबुट हुन्छ।

मूल विभाजन पढ्न-मात्र माउन्ट गरिएको छ, र /etc सेटिङ विभाजन tmpfs मा माउन्ट गरिएको छ र पुन: सुरु पछि यसको मूल स्थितिमा पुनर्स्थापित हुन्छ। /etc डाइरेक्टरीमा फाइलहरूको प्रत्यक्ष परिमार्जन, जस्तै /etc/resolv.conf र /etc/containerd/config.toml, समर्थित छैन - सेटिङ्हरू स्थायी रूपमा बचत गर्न, तपाईंले API प्रयोग गर्नुपर्छ वा कार्यक्षमतालाई छुट्टै कन्टेनरहरूमा सार्नु पर्छ।

धेरैजसो प्रणाली कम्पोनेन्टहरू Rust मा लेखिएका छन्, जसले मेमोरी-सुरक्षित सुविधाहरू प्रदान गर्दछ जसले गर्दा नि:शुल्क मेमोरी पहुँचहरू, नल पोइन्टर डिरेरेन्सेसहरू, र बफर ओभररनहरूबाट हुने जोखिमहरूबाट बच्न। पूर्वनिर्धारित रूपमा निर्माण गर्दा, "--enable-default-pie" र "--enable-default-ssp" कम्पाइलेशन मोडहरू कार्यान्वयनयोग्य फाइलहरूको ठेगाना स्पेसको अनियमितता सक्षम गर्न प्रयोग गरिन्छ (पाइ) र क्यानरी प्रतिस्थापन मार्फत ओभरफ्लो सुरक्षा स्ट्याक।
C/C++ मा लेखिएका प्याकेजहरूको लागि, अतिरिक्त झण्डाहरू समावेश छन्
"-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" र "-fstack-clash-protection"।

कन्टेनर अर्केस्ट्रेशन उपकरणहरू अलग रूपमा आपूर्ति गरिन्छ कन्टेनर नियन्त्रण, जुन पूर्वनिर्धारित रूपमा सक्षम छ र मार्फत नियन्त्रण गरिन्छ एपीआई र AWS SSM एजेन्ट। आधार छविमा कमाण्ड शेल, SSH सर्भर र व्याख्या गरिएका भाषाहरू छैनन् (उदाहरणका लागि, पाइथन वा पर्ल छैन) - प्रशासनिक उपकरणहरू र डिबगिङ उपकरणहरू अवस्थित छन्। अलग सेवा कन्टेनर, जुन पूर्वनिर्धारित रूपमा असक्षम गरिएको छ।

स्रोत: opennet.ru