Linux බෙදාහැරීමේ Bottlerocket 1.2.0 නිකුතුව ලබා ගත හැකි අතර, හුදකලා බහාලුම් කාර්යක්ෂමව සහ ආරක්ෂිතව දියත් කිරීම සඳහා Amazon සහභාගීත්වයෙන් සංවර්ධනය කර ඇත. බෙදා හැරීමේ මෙවලම් සහ පාලන සංරචක රස්ට් වලින් ලියා MIT සහ Apache 2.0 බලපත්ර යටතේ බෙදා හරිනු ලැබේ. එය Amazon ECS, VMware සහ AWS EKS Kubernetes පොකුරු මත Bottlerocket ධාවනය කිරීමට සහය දක්වයි, එසේම බහාලුම් සඳහා විවිධ වාද්ය වෘන්ද සහ ධාවන කාල මෙවලම් භාවිතා කිරීමට ඉඩ සලසන අභිරුචි ගොඩනැගීම් සහ සංස්කරණ නිර්මාණය කරයි.
බෙදාහැරීම මඟින් ලිනක්ස් කර්නලය සහ බහාලුම් ක්රියාත්මක කිරීමට අවශ්ය සංරචක පමණක් ඇතුළුව අවම පද්ධති පරිසරයක් ඇතුළත් පරමාණුකව සහ ස්වයංක්රීයව යාවත්කාලීන කළ බෙදිය නොහැකි පද්ධති රූපයක් සපයයි. පරිසරයට systemd පද්ධති කළමනාකරු, Glibc පුස්තකාලය, Buildroot ගොඩනැගීමේ මෙවලම, GRUB ඇරඹුම් කාරකය, දුෂ්ට ජාල වින්යාසකය, හුදකලා බහාලුම් සඳහා බහාලුම් ධාවන කාලය, Kubernetes බහාලුම් වාදක වේදිකාව, aws-iam-authenticator සහ Amazon ඇතුළත් වේ. ECS නියෝජිතයා.
බහාලුම් වාද්ය වෘන්ද මෙවලම් පෙරනිමියෙන් සක්රීය කර API සහ AWS SSM නියෝජිතයා හරහා කළමනාකරණය කරන වෙනම කළමනාකරණ බහාලුමක් තුළ පැමිණේ. මූලික රූපයේ විධාන කවචයක්, SSH සේවාදායකයක් සහ පරිවර්ථනය කළ භාෂා නොමැත (උදාහරණයක් ලෙස, පයිතන් හෝ පර්ල් නැත) - පරිපාලන මෙවලම් සහ නිදොස් කිරීමේ මෙවලම් වෙනම සේවා බහාලුමක් තුළ තබා ඇති අතර එය පෙරනිමියෙන් අක්රීය වේ.
Fedora CoreOS, CentOS/Red Hat Atomic Host වැනි සමාන බෙදාහැරීම් වලින් ඇති ප්රධාන වෙනස නම් විය හැකි තර්ජන වලින් පද්ධති ආරක්ෂාව ශක්තිමත් කිරීමේ සන්දර්භය තුළ උපරිම ආරක්ෂාව සැපයීම කෙරෙහි මූලික අවධානය යොමු කරයි, OS සංරචකවල ඇති අවදානම් ප්රයෝජනයට ගැනීම වඩාත් අපහසු කරයි සහ බහාලුම් හුදකලා කිරීම වැඩි කරයි. . බහාලුම් සාදනු ලබන්නේ සම්මත ලිනක්ස් කර්නල් යාන්ත්රණයන් භාවිතා කරමිනි - cgroups, namespaces සහ seccomp. අතිරේක හුදකලා කිරීම සඳහා, බෙදාහැරීම "බලාත්මක කිරීමේ" ආකාරයෙන් SELinux භාවිතා කරයි.
මූල කොටස කියවීමට පමණක් සවි කර ඇති අතර / etc සැකසුම් කොටස tmpfs හි සවි කර නැවත ආරම්භ කිරීමෙන් පසු එහි මුල් තත්වයට පත් වේ. /etc/resolv.conf සහ /etc/containerd/config.toml වැනි /etc බහලුම තුළ ඇති ගොනු සෘජුව වෙනස් කිරීම සඳහා සහය නොදක්වයි - ස්ථිරවම සිටුවම් සුරැකීමට, ඔබ API භාවිතා කළ යුතුය හෝ ක්රියාකාරීත්වය වෙනම බහාලුම්වලට ගෙන යා යුතුය. dm-verity මොඩියුලය root කොටසෙහි අඛණ්ඩතාව ගුප්ත ලේඛනගතව සත්යාපනය කිරීමට භාවිතා කරයි, සහ බ්ලොක් උපාංග මට්ටමේ දත්ත වෙනස් කිරීමට උත්සාහයක් අනාවරණය වුවහොත්, පද්ධතිය නැවත ආරම්භ වේ.
බොහෝ පද්ධති සංරචක රස්ට් වලින් ලියා ඇත, නිදහස් පසු මතක ප්රවේශයන්, null pointer dereferences සහ buffer overruns නිසා ඇති වන දුර්වලතා මඟහරවා ගැනීමට මතක ආරක්ෂිත විශේෂාංග සපයයි. පෙරනිමියෙන් ගොඩනඟන විට, ක්රියාත්මක කළ හැකි ගොනු ලිපින අවකාශය (PIE) සසම්භාවී කිරීම සහ කැනරි ආදේශනය හරහා තොග පිටාර ගැලීම් වලින් ආරක්ෂා වීම සඳහා "-enable-default-pie" සහ "-enable-default-ssp" යන සම්පාදන ක්රම භාවිතා වේ. C/C++ හි ලියා ඇති පැකේජ සඳහා, “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” සහ “-fstack-clash” යන ධජ අතිරේක වේ. සක්රීය -ආරක්ෂාව".
නව නිකුතුවේ:
- බහාලුම් රූප රෙජිස්ට්රි දර්පණ සඳහා සහය එක් කරන ලදී.
- ස්වයං අත්සන් කළ සහතික භාවිතා කිරීමේ හැකියාව එක් කරන ලදී.
- සත්කාරක නාමය වින්යාස කිරීමට විකල්පයක් එක් කරන ලදී.
- පරිපාලන බහාලුම්වල පෙරනිමි අනුවාදය යාවත්කාලීන කර ඇත.
- kubelet සඳහා topologyManagerPolicy සහ topologyManagerScope සැකසුම් එකතු කරන ලදී.
- zstd ඇල්ගොරිතම භාවිතයෙන් කර්නල් සම්පීඩනය සඳහා සහය එක් කරන ලදී.
- OVA (විවෘත අථත්යකරණ ආකෘතිය) ආකෘතියෙන් VMware වෙත අථත්ය යන්ත්ර පැටවීමේ හැකියාව සපයා ඇත.
- බෙදාහැරීමේ අනුවාදය aws-k8s-1.21 Kubernetes 1.21 සඳහා සහය ඇතිව යාවත්කාලීන කර ඇත. aws-k8s-1.16 සඳහා සහය අත්හිටුවා ඇත.
- රස්ට් භාෂාව සඳහා යාවත්කාලීන කළ පැකේජ අනුවාද සහ පරායත්ත.
මූලාශ්රය: opennet.ru