Доступен выпуск Linux-дистрибутива Bottlerocket 1.1.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров.
تقسيم هڪ ايٽمي طور تي ۽ خودڪار طور تي اپڊيٽ ٿيل ناقابل تقسيم سسٽم تصوير مهيا ڪري ٿي جنهن ۾ لينڪس ڪنييل ۽ گهٽ ۾ گهٽ سسٽم ماحول شامل آهي، جنهن ۾ صرف ڪنٽينرز کي هلائڻ لاء ضروري اجزاء شامل آهن. ماحول ۾ شامل آهي سسٽمڊ سسٽم مئنيجر، Glibc لائبريري، بلڊروٽ بلڊ ٽول، GRUB بوٽ لوڊر، خراب نيٽ ورڪ ترتيب ڏيڻ وارو، ڪنٽينرڊ رن ٽائم لاءِ الڳ ٿيل ڪنٽينرز، ڪبرنيٽس ڪنٽينر آرڪيسٽريشن پليٽ فارم، aws-iam-authenticator، ۽ Amazon اي سي ايس ايجنٽ.
ڪنٽينر آرڪيسٽريشن ٽولز هڪ الڳ مئنيجمينٽ ڪنٽينر ۾ اچن ٿا جيڪي ڊفالٽ طور فعال ٿيل آهن ۽ API ۽ AWS SSM ايجنٽ ذريعي منظم ٿيل آهن. بنيادي تصوير ۾ ڪمانڊ شيل، SSH سرور ۽ تشريح ڪيل ٻوليون نه آھن (مثال طور، ڪو پٿون يا پرل) - انتظامي اوزار ۽ ڊيبگنگ ٽولز ھڪ الڳ سروس ڪنٽينر ۾ رکيل آھن، جيڪو ڊفالٽ طور بند ٿيل آھي.
ساڳئي تقسيم کان اهم فرق جهڙوڪ Fedora CoreOS، CentOS/Red Hat Atomic Host بنيادي طور تي وڌ کان وڌ سيڪيورٽي فراهم ڪرڻ تي آهي ممڪن خطرن کان سسٽم جي حفاظت کي مضبوط ڪرڻ جي حوالي سان، OS اجزاء ۾ ڪمزورين جو استحصال ڪرڻ ۽ ڪنٽينر جي اڪيلائي کي وڌائڻ وڌيڪ ڏکيو بڻائي ٿو. . ڪنٽينر ٺاهيا ويا آهن معياري لينڪس ڪنيل ميڪانيزم استعمال ڪندي - cgroups، namespaces ۽ seccomp. اضافي علحدگيءَ لاءِ، ورڇ استعمال ڪري ٿو SELinux کي ”نافذ ڪرڻ“ موڊ ۾.
روٽ ورهاڱي کي صرف پڙهڻ لاء نصب ڪيو ويو آهي، ۽ /etc سيٽنگون ورهاڱي کي tmpfs ۾ نصب ڪيو ويو آهي ۽ ٻيهر شروع ٿيڻ کان پوء ان جي اصل حالت ۾ بحال ٿيو. /etc ڊاريڪٽري ۾ فائلن جي سڌي تبديلي، جهڙوڪ /etc/resolv.conf ۽ /etc/containerd/config.toml، سپورٽ نه آهي - سيٽنگون مستقل طور تي محفوظ ڪرڻ لاء، توهان کي API استعمال ڪرڻ يا ڪارڪردگي کي الڳ ڪنٽينرز ۾ منتقل ڪرڻ گهرجي. dm-verity ماڊل استعمال ڪيو ويندو آهي cryptographicly جي روٽ ورهاڱي جي سالميت جي تصديق ڪرڻ لاء، ۽ جيڪڏهن بلاڪ ڊيوائس جي سطح تي ڊيٽا کي تبديل ڪرڻ جي ڪوشش ڪئي وئي آهي، سسٽم ريبوٽ.
سسٽم جا اڪثر حصا Rust ۾ لکيل آهن، جيڪي ميموري-محفوظ خاصيتون مهيا ڪن ٿيون ته جيئن نقصان کان بچڻ لاءِ مفت ميموري رسائي، null pointer dereferences، ۽ buffer overruns. جڏهن ڊفالٽ طور تي تعمير ڪيو وڃي، تاليف جا طريقا "-enable-default-pie" ۽ "-enable-default-ssp" استعمال ڪيا ويندا آھن ايگزيڪيوٽوبل فائل ايڊريس اسپيس (PIE) جي بي ترتيب ڪرڻ ۽ ڪينري متبادل ذريعي اسٽيڪ اوور فلوز جي خلاف تحفظ لاءِ. C/C++ ۾ لکيل پيڪيجز لاءِ، جھنڊا “-Wall”، “-Werror=format-security”، “-Wp،-D_FORTIFY_SOURCE=2”، “-Wp،-D_GLIBCXX_ASSERTIONS” ۽ “-fstack-clash” اضافي آهن. فعال - تحفظ".
نئين رليز ۾:
- Предложено два новых варианта дистрибутива aws-k8s-1.20 и vmware-k8s-1.20 c поддержкой Kubernetes 1.20. В данных вариантах, а также в обновлённом варианте aws-ecs-1, задействован новый выпуск ядра Linux 5.10. Режим lockdown по умолчанию переведён в значение «integrity» (блокируются возможности, позволяющие вносить изменения в работающее ядро из пространства пользователя). Прекращена поддержка варианта aws-k8s-1.15 на базе Kubernetes 1.15.
- Для Amazon ECS реализована поддержка сетевого режима awsvpc, позволяющего выделять отдельные сетевых интерфейсы и внутренние IP-адреса для каждой задачи.
- Добавлены настройки для управления различными параметрами Kubernetes, включая QPS, лимиты на пулы и возможность подключения к облачным провайдерам, отличным от AWS.
- В bootstrap-контейнере обеспечено ограничение доступа к данным пользователя при помощи SELinux.
- Добавлена утилита resize2fs.
جو ذريعو: opennet.ru