🥇 Bottlerocket 1.2 को रिलीज, पृथक कन्टेनरहरूमा आधारित वितरण

लिनक्स वितरण Bottlerocket 1.2.0 को रिलीज उपलब्ध छ, पृथक कन्टेनरहरूको कुशल र सुरक्षित सुरुवातको लागि Amazon को सहभागितामा विकसित। वितरणको उपकरण र नियन्त्रण कम्पोनेन्टहरू Rust मा लेखिएका छन् र MIT र Apache 2.0 लाइसेन्स अन्तर्गत वितरित छन्। यसले Amazon ECS, VMware र AWS EKS Kubernetes क्लस्टरहरूमा चलिरहेको Bottlerocket समर्थन गर्दछ, साथै कन्टेनरहरूको लागि विभिन्न अर्केस्ट्रेसन र रनटाइम उपकरणहरूको प्रयोगलाई अनुमति दिने अनुकूलन निर्माण र संस्करणहरू सिर्जना गर्दछ।

वितरणले एक परमाणु र स्वचालित रूपमा अद्यावधिक गरिएको अविभाज्य प्रणाली छवि प्रदान गर्दछ जसले लिनक्स कर्नेल र कन्टेनरहरू चलाउन आवश्यक घटकहरू सहित न्यूनतम प्रणाली वातावरण समावेश गर्दछ। वातावरणमा systemd प्रणाली प्रबन्धक, Glibc पुस्तकालय, Buildroot निर्माण उपकरण, GRUB बुट लोडर, दुष्ट नेटवर्क कन्फिगरेटर, पृथक कन्टेनरहरूको लागि कन्टेनर रनटाइम, Kubernetes कन्टेनर अर्केस्ट्रेशन प्लेटफर्म, aws-iam-प्रमाणीकरणकर्ता, र Amazon समावेश छन्। ECS एजेन्ट।

कन्टेनर अर्केस्ट्रेशन उपकरणहरू छुट्टै व्यवस्थापन कन्टेनरमा आउँछन् जुन पूर्वनिर्धारित रूपमा सक्षम हुन्छ र API र AWS SSM एजेन्ट मार्फत व्यवस्थित हुन्छ। आधार छविमा कमाण्ड शेल, SSH सर्भर र व्याख्या गरिएका भाषाहरू छैनन् (उदाहरणका लागि, कुनै पाइथन वा पर्ल) - प्रशासनिक उपकरणहरू र डिबगिङ उपकरणहरू छुट्टै सेवा कन्टेनरमा राखिन्छन्, जुन पूर्वनिर्धारित रूपमा असक्षम हुन्छ।

Fedora CoreOS, CentOS/Red Hat Atomic Host जस्ता समान वितरणहरूबाट मुख्य भिन्नता भनेको सम्भावित खतराहरूबाट प्रणाली सुरक्षालाई सुदृढ गर्ने सन्दर्भमा अधिकतम सुरक्षा प्रदान गर्नमा प्राथमिक फोकस हो, यसले OS कम्पोनेन्टहरूमा कमजोरीहरूको शोषण गर्न र कन्टेनर पृथकता बढाउन गाह्रो बनाउँछ। । कन्टेनरहरू मानक लिनक्स कर्नेल मेकानिजमहरू - cgroups, नेमस्पेस र seccomp प्रयोग गरेर सिर्जना गरिन्छ। थप अलगावको लागि, वितरणले "लागू गर्ने" मोडमा SELinux प्रयोग गर्दछ।

मूल विभाजन पढ्न-मात्र माउन्ट गरिएको छ, र /etc सेटिङ विभाजन tmpfs मा माउन्ट गरिएको छ र पुन: सुरु पछि यसको मूल स्थितिमा पुनर्स्थापित हुन्छ। /etc डाइरेक्टरीमा फाइलहरूको प्रत्यक्ष परिमार्जन, जस्तै /etc/resolv.conf र /etc/containerd/config.toml, समर्थित छैन - सेटिङ्हरू स्थायी रूपमा बचत गर्न, तपाईंले API प्रयोग गर्नुपर्छ वा कार्यक्षमतालाई छुट्टै कन्टेनरहरूमा सार्नु पर्छ। dm-verity मोड्युल क्रिप्टोग्राफिक रूपमा रूट विभाजनको अखण्डता प्रमाणित गर्न प्रयोग गरिन्छ, र यदि ब्लक उपकरण स्तरमा डाटा परिमार्जन गर्ने प्रयास पत्ता लाग्यो भने, प्रणाली रिबुट हुन्छ।

धेरैजसो प्रणाली कम्पोनेन्टहरू Rust मा लेखिएका छन्, जसले मेमोरी-सुरक्षित सुविधाहरू प्रदान गर्दछ जसले गर्दा नि:शुल्क मेमोरी पहुँचहरू, नल पोइन्टर डिरेरेन्सेसहरू, र बफर ओभररनहरूबाट हुने जोखिमहरूबाट बच्न। पूर्वनिर्धारित रूपमा निर्माण गर्दा, संकलन मोडहरू "-enable-default-pie" र "-enable-default-ssp" लाई कार्यान्वयनयोग्य फाइल ठेगाना स्पेस (PIE) को अनियमितता र क्यानरी प्रतिस्थापन मार्फत स्ट्याक ओभरफ्लोहरू विरुद्ध सुरक्षा सक्षम गर्न प्रयोग गरिन्छ। C/C++ मा लेखिएका प्याकेजहरूको लागि, "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" र "-fstack-clash" थप रूपमा छन्। सक्षम - सुरक्षा"।

नयाँ रिलीज मा:

कन्टेनर छवि रजिस्ट्री मिररहरूको लागि समर्थन थपियो।
स्व-हस्ताक्षरित प्रमाणपत्रहरू प्रयोग गर्ने क्षमता थपियो।
होस्टनाम कन्फिगर गर्न विकल्प थपियो।
प्रशासनिक कन्टेनरको पूर्वनिर्धारित संस्करण अद्यावधिक गरिएको छ।
kubelet को लागि टोपोलोजी प्रबन्धक नीति र टोपोलोजी प्रबन्धक स्कोप सेटिङहरू थपियो।
zstd एल्गोरिथ्म प्रयोग गरेर कर्नेल कम्प्रेसनको लागि समर्थन थपियो।
OVA (ओपन भर्चुअलाइजेसन ढाँचा) ढाँचामा VMware मा भर्चुअल मेसिनहरू लोड गर्ने क्षमता प्रदान गरिएको छ।
वितरण संस्करण aws-k8s-1.21 Kubernetes 1.21 को लागि समर्थनको साथ अद्यावधिक गरिएको छ। aws-k8s-1.16 को लागि समर्थन बन्द गरिएको छ।
रस्ट भाषाको लागि प्याकेज संस्करणहरू र निर्भरताहरू अद्यावधिक गरियो।

स्रोत: opennet.ru

Bottlerocket 1.2 को रिलीज, पृथक कन्टेनरहरूमा आधारित वितरण

एक टिप्पणी थप्न Отменить ответ