د لینوکس توزیع Bottlerocket 1.8.0 خپور شوی، د ایمیزون په ګډون د جلا شوي کانټینرونو اغیزمن او خوندي لانچ لپاره رامینځته شوی. د توزیع وسیلې او د کنټرول برخې په زنګ کې لیکل شوي او د MIT او Apache 2.0 جوازونو لاندې ویشل شوي. دا په ایمیزون ECS، VMware او AWS EKS Kubernetes کلسترونو کې د Bottlerocket چلولو ملاتړ کوي، په بیله بیا د دودیز جوړښتونو او نسخو رامینځته کول چې د کانټینرونو لپاره د مختلف آرکیسټریشن او د چلولو وسیلو کارولو ته اجازه ورکوي.
توزیع یو اټومي او په اتوماتيک ډول د نه ویشل شوي سیسټم عکس چمتو کوي چې پکې د لینکس کرنل او لږترلږه سیسټم چاپیریال شامل دي ، پشمول یوازې د کانټینرونو چلولو لپاره اړین برخې. په چاپیریال کې د سیسټمډ سیسټم مدیر، د ګلیبیک کتابتون، د بلډروټ جوړونې وسیله، د GRUB بوټ لوډر، د خراب شبکې ترتیب کوونکی، د جلا شوي کانټینرونو لپاره د کانټینرډ چلولو وخت، د Kubernetes کانټینر آرکیسټریشن پلیټ فارم، aws-iam-authenticator، او Amazon شامل دي. د ECS ایجنټ.
د کانټینر آرکیسټریشن اوزار په جلا مدیریت کانټینر کې راځي چې د ډیفالټ لخوا فعال شوي او د API او AWS SSM اجنټ له لارې اداره کیږي. د بیس عکس د کمانډ شیل ، SSH سرور او تشریح شوي ژبې نلري (د مثال په توګه ، نه Python یا Perl) - اداري اوزار او د ډیبګ کولو وسیلې په جلا خدمت کانټینر کې ځای په ځای شوي ، کوم چې په ډیفالټ غیر فعال دی.
د ورته توزیعونو څخه کلیدي توپیر لکه Fedora CoreOS، CentOS/Red Hat Atomic Host د احتمالي ګواښونو څخه د سیسټم محافظت پیاوړي کولو په شرایطو کې د اعظمي امنیت چمتو کولو باندې لومړني تمرکز دی چې د OS اجزاو کې د زیانونو څخه ګټه پورته کول خورا ستونزمن کوي او د کانټینر انزوا زیاتوالی. . کانټینرونه د معیاري لینکس کرنل میکانیزمونو په کارولو سره رامینځته شوي - cgroups، namespaces او seccomp. د اضافي انزوا لپاره، توزیع SELinux په "تطبيق" حالت کې کاروي.
د روټ ویش یوازې د لوستلو لپاره نصب شوی، او د /etc ترتیباتو ویش په tmpfs کې نصب شوی او د بیا پیل کولو وروسته خپل اصلي حالت ته راستانه کیږي. په /etc ډایرکټر کې د فایلونو مستقیم بدلون، لکه /etc/resolv.conf او /etc/containerd/config.toml، ملاتړ نه کوي - د تل لپاره د ترتیباتو خوندي کولو لپاره، تاسو باید API وکاروئ یا فعالیت په جلا کانټینرونو کې حرکت وکړئ. د dm-verity ماډل په کریپټوګرافیک ډول د روټ برخې بشپړتیا تصدیق کولو لپاره کارول کیږي ، او که چیرې د بلاک وسیلې په کچه د ډیټا بدلولو هڅه وموندل شي ، سیسټم ریبوټ کیږي.
د سیسټم ډیری برخې په Rust کې لیکل شوي، کوم چې د حافظې خوندي ځانګړتیاوې وړاندې کوي ترڅو د وړیا حافظې لاسرسي، نول پوینټر ډیریفرنس، او بفر اوورونونو له امله رامینځته شوي زیانونو مخه ونیسي. کله چې د ډیفالټ لخوا رامینځته کیږي ، د تالیف حالتونه "-enable-default-pie" او "-enable-default-ssp" کارول کیږي ترڅو د اجرا وړ فایل پته ځای (PIE) تصادفي وړ کړي او د کانري بدیل له لارې د سټیک اوور فلو پروړاندې محافظت وکړي. په C/C++ کې لیکل شوي کڅوړو لپاره، بیرغونه "-Wall"، "-Werror=format-security"، "-Wp،-D_FORTIFY_SOURCE=2"، "-Wp،-D_GLIBCXX_ASSERTIONS" او "-fstack-clash" اضافي دي. فعال شوی - محافظت".
په نوې خپرونه کې:
- د اداري او کنټرول کانټینرونو مینځپانګې تازه شوي.
- د جلا شوي کانټینرونو لپاره د چلولو وخت د کانټینرډ 1.6.x څانګې ته تازه شوی.
- ډاډ ترلاسه کوي چې د شالید پروسې چې د کانټینرونو عملیات همغږي کوي د سند پلورنځي کې بدلونونو وروسته بیا پیل کیږي.
- دا ممکنه ده چې د بوټ ترتیب کولو برخې له لارې د کرنل بوټ پیرامیټونه تنظیم کړئ.
- د dm-verity په کارولو سره د روټ برخې بشپړتیا څارلو پرمهال د خالي بلاکونو سترګې پټول فعال شوي.
- په /etc/hosts کې په ثابت ډول د کوربه نومونو تړلو وړتیا چمتو شوې.
- د netdog افادیت په کارولو سره د شبکې ترتیب کولو وړتیا چمتو شوې (د generate-net-config کمانډ اضافه شوی).
- د Kubernetes 1.23 لپاره د ملاتړ سره د توزیع نوي اختیارونه وړاندیز شوي. په Kubernetes کې د پوډونو لپاره د پیل وخت د configMapAndSecretChangeDetectionStrategy حالت غیر فعال کولو سره کم شوی. د کوبیلیټ نوي تنظیمات اضافه شوي: چمتو کونکي id او پوډ پیډس لیمیټ.
- د ایمیزون لچک لرونکي کانټینر خدمت (ایمیزون ECS) لپاره د توزیع کټ "aws-ecs-1-nvidia" نوې نسخه وړاندیز شوې چې د NVIDIA ډرایورانو سره چمتو شوي.
- د مایکروچپ سمارټ ذخیره او MegaRAID SAS ذخیره کولو وسیلو لپاره ملاتړ اضافه شوی. په براډکام چپس کې د ایترنیټ کارتونو ملاتړ پراخ شوی.
- د Go او Rust ژبو لپاره د بسته بندۍ نسخې او انحصار تازه شوي، په بیله بیا د دریمې ډلې برنامو سره د کڅوړو نسخې. Bottlerocket SDK نسخه 0.26.0 ته تازه شوی.
سرچینه: opennet.ru