لينڪس جي تقسيم Bottlerocket 1.8.0 جو رليز شايع ڪيو ويو آهي، Amazon جي شموليت سان ترقي يافته ڪنٽينرز جي موثر ۽ محفوظ لانچ لاءِ. تقسيم جا اوزار ۽ ڪنٽرول اجزاء مورچا ۾ لکيل آهن ۽ MIT ۽ Apache 2.0 لائسنس جي تحت ورهايل آهن. اهو Amazon ECS، VMware ۽ AWS EKS Kubernetes ڪلسٽرن تي هلندڙ Bottlerocket کي سپورٽ ڪري ٿو، انهي سان گڏ ڪسٽم بلڊز ۽ ايڊيشن ٺاهڻ جيڪي ڪنٽينرز لاءِ مختلف آرڪيسٽريشن ۽ رن ٽائم ٽولز جي استعمال جي اجازت ڏين ٿا.
تقسيم هڪ ايٽمي طور تي ۽ خودڪار طور تي اپڊيٽ ٿيل ناقابل تقسيم سسٽم تصوير مهيا ڪري ٿي جنهن ۾ لينڪس ڪنييل ۽ گهٽ ۾ گهٽ سسٽم ماحول شامل آهي، جنهن ۾ صرف ڪنٽينرز کي هلائڻ لاء ضروري اجزاء شامل آهن. ماحول ۾ شامل آهي سسٽمڊ سسٽم مئنيجر، Glibc لائبريري، بلڊروٽ بلڊ ٽول، GRUB بوٽ لوڊر، خراب نيٽ ورڪ ترتيب ڏيڻ وارو، ڪنٽينرڊ رن ٽائم لاءِ الڳ ٿيل ڪنٽينرز، ڪبرنيٽس ڪنٽينر آرڪيسٽريشن پليٽ فارم، aws-iam-authenticator، ۽ Amazon اي سي ايس ايجنٽ.
ڪنٽينر آرڪيسٽريشن ٽولز هڪ الڳ مئنيجمينٽ ڪنٽينر ۾ اچن ٿا جيڪي ڊفالٽ طور فعال ٿيل آهن ۽ API ۽ AWS SSM ايجنٽ ذريعي منظم ٿيل آهن. بنيادي تصوير ۾ ڪمانڊ شيل، SSH سرور ۽ تشريح ڪيل ٻوليون نه آھن (مثال طور، ڪو پٿون يا پرل) - انتظامي اوزار ۽ ڊيبگنگ ٽولز ھڪ الڳ سروس ڪنٽينر ۾ رکيل آھن، جيڪو ڊفالٽ طور بند ٿيل آھي.
ساڳئي تقسيم کان اهم فرق جهڙوڪ Fedora CoreOS، CentOS/Red Hat Atomic Host بنيادي طور تي وڌ کان وڌ سيڪيورٽي فراهم ڪرڻ تي آهي ممڪن خطرن کان سسٽم جي حفاظت کي مضبوط ڪرڻ جي حوالي سان، OS اجزاء ۾ ڪمزورين جو استحصال ڪرڻ ۽ ڪنٽينر جي اڪيلائي کي وڌائڻ وڌيڪ ڏکيو بڻائي ٿو. . ڪنٽينر ٺاهيا ويا آهن معياري لينڪس ڪنيل ميڪانيزم استعمال ڪندي - cgroups، namespaces ۽ seccomp. اضافي علحدگيءَ لاءِ، ورڇ استعمال ڪري ٿو SELinux کي ”نافذ ڪرڻ“ موڊ ۾.
روٽ ورهاڱي کي صرف پڙهڻ لاء نصب ڪيو ويو آهي، ۽ /etc سيٽنگون ورهاڱي کي tmpfs ۾ نصب ڪيو ويو آهي ۽ ٻيهر شروع ٿيڻ کان پوء ان جي اصل حالت ۾ بحال ٿيو. /etc ڊاريڪٽري ۾ فائلن جي سڌي تبديلي، جهڙوڪ /etc/resolv.conf ۽ /etc/containerd/config.toml، سپورٽ نه آهي - سيٽنگون مستقل طور تي محفوظ ڪرڻ لاء، توهان کي API استعمال ڪرڻ يا ڪارڪردگي کي الڳ ڪنٽينرز ۾ منتقل ڪرڻ گهرجي. dm-verity ماڊل استعمال ڪيو ويندو آهي cryptographicly جي روٽ ورهاڱي جي سالميت جي تصديق ڪرڻ لاء، ۽ جيڪڏهن بلاڪ ڊيوائس جي سطح تي ڊيٽا کي تبديل ڪرڻ جي ڪوشش ڪئي وئي آهي، سسٽم ريبوٽ.
سسٽم جا اڪثر حصا Rust ۾ لکيل آهن، جيڪي ميموري-محفوظ خاصيتون مهيا ڪن ٿيون ته جيئن نقصان کان بچڻ لاءِ مفت ميموري رسائي، null pointer dereferences، ۽ buffer overruns. جڏهن ڊفالٽ طور تي تعمير ڪيو وڃي، تاليف جا طريقا "-enable-default-pie" ۽ "-enable-default-ssp" استعمال ڪيا ويندا آھن ايگزيڪيوٽوبل فائل ايڊريس اسپيس (PIE) جي بي ترتيب ڪرڻ ۽ ڪينري متبادل ذريعي اسٽيڪ اوور فلوز جي خلاف تحفظ لاءِ. C/C++ ۾ لکيل پيڪيجز لاءِ، جھنڊا “-Wall”، “-Werror=format-security”، “-Wp،-D_FORTIFY_SOURCE=2”، “-Wp،-D_GLIBCXX_ASSERTIONS” ۽ “-fstack-clash” اضافي آهن. فعال - تحفظ".
نئين رليز ۾:
- انتظامي ۽ ڪنٽرول ڪنٽينرز جي مواد کي اپڊيٽ ڪيو ويو آهي.
- الڳ ٿيل ڪنٽينرز لاءِ رن ٽائيم ڪنٽينر 1.6.x برانچ ۾ اپڊيٽ ڪيو ويو آهي.
- انهي کي يقيني بڻائي ٿو ته پس منظر وارا عمل جيڪي ڪنٽينرز جي آپريشن کي منظم ڪن ٿا سرٽيفڪيٽ اسٽور ۾ تبديلين کان پوء ٻيهر شروع ڪيا ويا آهن.
- بوٽ ڪنفيگريشن سيڪشن ذريعي ڪرنل بوٽ پيرا ميٽر مقرر ڪرڻ ممڪن آهي.
- dm-verity استعمال ڪندي روٽ ورهاڱي جي سالميت جي نگراني ڪرڻ دوران خالي بلاڪ کي نظر انداز ڪرڻ کي فعال ڪيو ويو.
- /etc/hosts ۾ ميزبان نالن کي مستحڪم طور تي پابند ڪرڻ جي صلاحيت ڏني وئي آهي.
- netdog افاديت استعمال ڪندي نيٽ ورڪ ترتيب ڏيڻ جي صلاحيت مهيا ڪئي وئي آهي (generate-net-config حڪم شامل ڪيو ويو آهي).
- Kubernetes 1.23 لاءِ سپورٽ سان نئين تقسيم جا اختيار تجويز ڪيا ويا آهن. configMapAndSecretChangeDetectionStrategy موڊ کي غير فعال ڪرڻ سان Kubernetes ۾ پوڊس لاءِ شروعاتي وقت گھٽجي ويو آھي. نئين ڪوبيليٽ سيٽنگون شامل ڪيون ويون: فراهم ڪندڙ-id ۽ podPidsLimit.
- Amazon لچڪدار ڪنٽينر سروس (Amazon ECS) لاءِ ڊسٽريبيوشن ڪٽ جو هڪ نئون ورزن ”aws-ecs-1-nvidia“، NVIDIA ڊرائيورن سان فراهم ڪيل، تجويز ڪيو ويو آهي.
- شامل ڪيل سپورٽ مائڪروچپ اسمارٽ اسٽوريج ۽ MegaRAID SAS اسٽوريج ڊوائيسز لاءِ. Broadcom چپس تي Ethernet ڪارڊ لاءِ سپورٽ کي وڌايو ويو آهي.
- اپڊيٽ ٿيل پيڪيج ورزن ۽ انحصار Go and Rust ٻولين لاءِ، گڏوگڏ ٽئين پارٽي پروگرامن سان گڏ پيڪيجز جا ورجن. Bottlerocket SDK ورزن 0.26.0 ڏانهن اپڊيٽ ڪيو ويو آهي.
جو ذريعو: opennet.ru