🥇 Bottlerocket 1.1 को रिलीज, पृथक कन्टेनरहरूमा आधारित वितरण

लिनक्स वितरण Bottlerocket 1.1.0 को रिलीज उपलब्ध छ, पृथक कन्टेनरहरूको कुशल र सुरक्षित सुरुवातको लागि Amazon को सहभागितामा विकसित। वितरणको उपकरण र नियन्त्रण कम्पोनेन्टहरू Rust मा लेखिएका छन् र MIT र Apache 2.0 लाइसेन्स अन्तर्गत वितरित छन्। यसले Amazon ECS र AWS EKS Kubernetes क्लस्टरहरूमा चलिरहेको Bottlerocket लाई समर्थन गर्दछ, साथै अनुकूलन निर्माण र संस्करणहरू सिर्जना गर्दछ जसले कन्टेनरहरूको लागि विभिन्न आर्केस्ट्रेशन र रनटाइम उपकरणहरूको प्रयोगलाई अनुमति दिन्छ।

वितरणले एक परमाणु र स्वचालित रूपमा अद्यावधिक गरिएको अविभाज्य प्रणाली छवि प्रदान गर्दछ जसले लिनक्स कर्नेल र कन्टेनरहरू चलाउन आवश्यक घटकहरू सहित न्यूनतम प्रणाली वातावरण समावेश गर्दछ। वातावरणमा systemd प्रणाली प्रबन्धक, Glibc पुस्तकालय, Buildroot निर्माण उपकरण, GRUB बुट लोडर, दुष्ट नेटवर्क कन्फिगरेटर, पृथक कन्टेनरहरूको लागि कन्टेनर रनटाइम, Kubernetes कन्टेनर अर्केस्ट्रेशन प्लेटफर्म, aws-iam-प्रमाणीकरणकर्ता, र Amazon समावेश छन्। ECS एजेन्ट।

कन्टेनर अर्केस्ट्रेशन उपकरणहरू छुट्टै व्यवस्थापन कन्टेनरमा आउँछन् जुन पूर्वनिर्धारित रूपमा सक्षम हुन्छ र API र AWS SSM एजेन्ट मार्फत व्यवस्थित हुन्छ। आधार छविमा कमाण्ड शेल, SSH सर्भर र व्याख्या गरिएका भाषाहरू छैनन् (उदाहरणका लागि, कुनै पाइथन वा पर्ल) - प्रशासनिक उपकरणहरू र डिबगिङ उपकरणहरू छुट्टै सेवा कन्टेनरमा राखिन्छन्, जुन पूर्वनिर्धारित रूपमा असक्षम हुन्छ।

Fedora CoreOS, CentOS/Red Hat Atomic Host जस्ता समान वितरणहरूबाट मुख्य भिन्नता भनेको सम्भावित खतराहरूबाट प्रणाली सुरक्षालाई सुदृढ गर्ने सन्दर्भमा अधिकतम सुरक्षा प्रदान गर्नमा प्राथमिक फोकस हो, यसले OS कम्पोनेन्टहरूमा कमजोरीहरूको शोषण गर्न र कन्टेनर पृथकता बढाउन गाह्रो बनाउँछ। । कन्टेनरहरू मानक लिनक्स कर्नेल मेकानिजमहरू - cgroups, नेमस्पेस र seccomp प्रयोग गरेर सिर्जना गरिन्छ। थप अलगावको लागि, वितरणले "लागू गर्ने" मोडमा SELinux प्रयोग गर्दछ।

मूल विभाजन पढ्न-मात्र माउन्ट गरिएको छ, र /etc सेटिङ विभाजन tmpfs मा माउन्ट गरिएको छ र पुन: सुरु पछि यसको मूल स्थितिमा पुनर्स्थापित हुन्छ। /etc डाइरेक्टरीमा फाइलहरूको प्रत्यक्ष परिमार्जन, जस्तै /etc/resolv.conf र /etc/containerd/config.toml, समर्थित छैन - सेटिङ्हरू स्थायी रूपमा बचत गर्न, तपाईंले API प्रयोग गर्नुपर्छ वा कार्यक्षमतालाई छुट्टै कन्टेनरहरूमा सार्नु पर्छ। dm-verity मोड्युल क्रिप्टोग्राफिक रूपमा रूट विभाजनको अखण्डता प्रमाणित गर्न प्रयोग गरिन्छ, र यदि ब्लक उपकरण स्तरमा डाटा परिमार्जन गर्ने प्रयास पत्ता लाग्यो भने, प्रणाली रिबुट हुन्छ।

धेरैजसो प्रणाली कम्पोनेन्टहरू Rust मा लेखिएका छन्, जसले मेमोरी-सुरक्षित सुविधाहरू प्रदान गर्दछ जसले गर्दा नि:शुल्क मेमोरी पहुँचहरू, नल पोइन्टर डिरेरेन्सेसहरू, र बफर ओभररनहरूबाट हुने जोखिमहरूबाट बच्न। पूर्वनिर्धारित रूपमा निर्माण गर्दा, संकलन मोडहरू "-enable-default-pie" र "-enable-default-ssp" लाई कार्यान्वयनयोग्य फाइल ठेगाना स्पेस (PIE) को अनियमितता र क्यानरी प्रतिस्थापन मार्फत स्ट्याक ओभरफ्लोहरू विरुद्ध सुरक्षा सक्षम गर्न प्रयोग गरिन्छ। C/C++ मा लेखिएका प्याकेजहरूको लागि, "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" र "-fstack-clash" थप रूपमा छन्। सक्षम - सुरक्षा"।

नयाँ रिलीज मा:

Kubernetes 8 को लागि समर्थन सहित aws-k1.20s-8 र vmware-k1.20s-1.20 दुई नयाँ वितरण विकल्पहरू प्रस्ताव गरिएको छ। यी भेरियन्टहरू, साथै अद्यावधिक संस्करण aws-ecs-1, नयाँ लिनक्स कर्नेल 5.10 रिलीज प्रयोग गर्नुहोस्। लकडाउन मोड पूर्वनिर्धारित रूपमा "अखंडता" मा सेट गरिएको छ (प्रयोगकर्ता स्पेसबाट चलिरहेको कर्नेलमा परिवर्तन गर्न अनुमति दिने क्षमताहरू अवरुद्ध छन्)। Kubernetes 8 मा आधारित aws-k1.15s-1.15 संस्करणको लागि समर्थन बन्द गरिएको छ।
Amazon ECS ले awsvpc नेटवर्क मोडलाई समर्थन गर्दछ, जसले तपाईंलाई प्रत्येक कार्यको लागि छुट्टै नेटवर्क इन्टरफेसहरू र आन्तरिक IP ठेगानाहरू आवंटित गर्न अनुमति दिन्छ।
QPS, पूल सीमाहरू, र AWS बाहेक अन्य क्लाउड प्रदायकहरूमा जडान गर्ने क्षमता सहित विभिन्न Kubernetes प्यारामिटरहरू नियन्त्रण गर्न सेटिङहरू थपियो।
बुटस्ट्र्याप कन्टेनरले SELinux प्रयोग गरेर प्रयोगकर्ता डेटामा पहुँचको प्रतिबन्ध प्रदान गर्दछ।
resize2fs उपयोगिता थपियो।

स्रोत: opennet.ru

Bottlerocket 1.1 को रिलीज, पृथक कन्टेनरहरूमा आधारित वितरण

एक टिप्पणी थप्न Отменить ответ