Доступен выпуск Linux-дистрибутива Bottlerocket 1.1.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров.
توزیع یو اټومي او په اتوماتيک ډول د نه ویشل شوي سیسټم عکس چمتو کوي چې پکې د لینکس کرنل او لږترلږه سیسټم چاپیریال شامل دي ، پشمول یوازې د کانټینرونو چلولو لپاره اړین برخې. په چاپیریال کې د سیسټمډ سیسټم مدیر، د ګلیبیک کتابتون، د بلډروټ جوړونې وسیله، د GRUB بوټ لوډر، د خراب شبکې ترتیب کوونکی، د جلا شوي کانټینرونو لپاره د کانټینرډ چلولو وخت، د Kubernetes کانټینر آرکیسټریشن پلیټ فارم، aws-iam-authenticator، او Amazon شامل دي. د ECS ایجنټ.
د کانټینر آرکیسټریشن اوزار په جلا مدیریت کانټینر کې راځي چې د ډیفالټ لخوا فعال شوي او د API او AWS SSM اجنټ له لارې اداره کیږي. د بیس عکس د کمانډ شیل ، SSH سرور او تشریح شوي ژبې نلري (د مثال په توګه ، نه Python یا Perl) - اداري اوزار او د ډیبګ کولو وسیلې په جلا خدمت کانټینر کې ځای په ځای شوي ، کوم چې په ډیفالټ غیر فعال دی.
د ورته توزیعونو څخه کلیدي توپیر لکه Fedora CoreOS، CentOS/Red Hat Atomic Host د احتمالي ګواښونو څخه د سیسټم محافظت پیاوړي کولو په شرایطو کې د اعظمي امنیت چمتو کولو باندې لومړني تمرکز دی چې د OS اجزاو کې د زیانونو څخه ګټه پورته کول خورا ستونزمن کوي او د کانټینر انزوا زیاتوالی. . کانټینرونه د معیاري لینکس کرنل میکانیزمونو په کارولو سره رامینځته شوي - cgroups، namespaces او seccomp. د اضافي انزوا لپاره، توزیع SELinux په "تطبيق" حالت کې کاروي.
د روټ ویش یوازې د لوستلو لپاره نصب شوی، او د /etc ترتیباتو ویش په tmpfs کې نصب شوی او د بیا پیل کولو وروسته خپل اصلي حالت ته راستانه کیږي. په /etc ډایرکټر کې د فایلونو مستقیم بدلون، لکه /etc/resolv.conf او /etc/containerd/config.toml، ملاتړ نه کوي - د تل لپاره د ترتیباتو خوندي کولو لپاره، تاسو باید API وکاروئ یا فعالیت په جلا کانټینرونو کې حرکت وکړئ. د dm-verity ماډل په کریپټوګرافیک ډول د روټ برخې بشپړتیا تصدیق کولو لپاره کارول کیږي ، او که چیرې د بلاک وسیلې په کچه د ډیټا بدلولو هڅه وموندل شي ، سیسټم ریبوټ کیږي.
د سیسټم ډیری برخې په Rust کې لیکل شوي، کوم چې د حافظې خوندي ځانګړتیاوې وړاندې کوي ترڅو د وړیا حافظې لاسرسي، نول پوینټر ډیریفرنس، او بفر اوورونونو له امله رامینځته شوي زیانونو مخه ونیسي. کله چې د ډیفالټ لخوا رامینځته کیږي ، د تالیف حالتونه "-enable-default-pie" او "-enable-default-ssp" کارول کیږي ترڅو د اجرا وړ فایل پته ځای (PIE) تصادفي وړ کړي او د کانري بدیل له لارې د سټیک اوور فلو پروړاندې محافظت وکړي. په C/C++ کې لیکل شوي کڅوړو لپاره، بیرغونه "-Wall"، "-Werror=format-security"، "-Wp،-D_FORTIFY_SOURCE=2"، "-Wp،-D_GLIBCXX_ASSERTIONS" او "-fstack-clash" اضافي دي. فعال شوی - محافظت".
په نوې خپرونه کې:
- Предложено два новых варианта дистрибутива aws-k8s-1.20 и vmware-k8s-1.20 c поддержкой Kubernetes 1.20. В данных вариантах, а также в обновлённом варианте aws-ecs-1, задействован новый выпуск ядра Linux 5.10. Режим lockdown по умолчанию переведён в значение «integrity» (блокируются возможности, позволяющие вносить изменения в работающее ядро из пространства пользователя). Прекращена поддержка варианта aws-k8s-1.15 на базе Kubernetes 1.15.
- Для Amazon ECS реализована поддержка сетевого режима awsvpc, позволяющего выделять отдельные сетевых интерфейсы и внутренние IP-адреса для каждой задачи.
- Добавлены настройки для управления различными параметрами Kubernetes, включая QPS, лимиты на пулы и возможность подключения к облачным провайдерам, отличным от AWS.
- В bootstrap-контейнере обеспечено ограничение доступа к данным пользователя при помощи SELinux.
- Добавлена утилита resize2fs.
سرچینه: opennet.ru