Shirkadda Amazon ku saabsan sii deynta kama dambaysta ah - qaybin gaar ah oo loogu talagalay socodsiinta weelasha oo si hufan loo maareeyo.
Dhalada (sida, magaca loo bixiyay gantaalada budada madow ee guriga lagu sameeyo) maaha OS-kii ugu horreeyay ee weelasha, laakiin waxay u badan tahay inay noqon doonto mid baahsan iyadoo ay ugu wacan tahay isdhexgalka caadiga ah ee adeegyada AWS. Inkasta oo nidaamku diiradda saarayo daruuraha Amazon, koodhka isha furan wuxuu u oggolaanayaa in lagu dhiso meel kasta: gudaha gudaha server-ka, Raspberry Pi, daruur kasta oo tartan ah, iyo xitaa jawi aan weel lahayn.
Tani waa bedelka gebi ahaanba u qalma qaybinta CoreOS ee Koofiyada Cas lagu aasay.
Dhab ahaantii, qaybta Adeegyada Shabakadda ee Amazon waxay horey u leedahay Amazon Linux, kaas oo dhawaan ku soo baxay nuqulkiisii ββββlabaad: waa qaybin guud oo ujeedo ah oo lagu socodsiin karo weelka Docker ama Linux KVM, Microsoft Hyper-V, iyo VMware ESXi hypervisors. Waxaa la hagaajiyay in lagu shaqeeyo daruuraha AWS, laakiin marka la sii daayo Bottlerocket, qof kasta waxaa lagu dhiirigelinayaa in uu u cusboonaysiiyo nidaam cusub oo ka ammaan badan, casri ah, oo isticmaalaya ilo yar.
AWS ayaa ku dhawaaqday Bottlerocket . Waxay isla markiiba qiratay in kani aanu ahayn "Linux-ka weelasha," iyadoo soo xiganaysa CoreOS, Rancher OS iyo Project Atomic oo ah ilaha waxyiga. Horumariyayaashu waxay qoreen in nidaamka qalliinka uu yahay "natiijada casharradii aan ka barannay ka shaqeynta adeegyada wax soo saarka ee qiyaasta Amazon muddo dheer, iyo waayo-aragnimada aan ka helnay lixdii sano ee la soo dhaafay sida loo socodsiiyo weelasha."
Minimalism xad dhaaf ah
Linux waa laga saaray wax kasta oo aan loo baahnayn in lagu shaqeeyo weelasha. Naqshaddan, sida laga soo xigtay shirkadu, waxay yaraynaysaa dusha weerarka.
Tani waxay ka dhigan tahay in baakado yar lagu rakibay nidaamka asaasiga ah, taas oo sahlaysa in la ilaaliyo oo la cusboonaysiiyo OS, sidoo kale waxay yaraynaysaa suurtagalnimada dhibaatooyinka sababtoo ah ku-tiirsanaanta, yaraynta isticmaalka kheyraadka. Asal ahaan, wax kasta oo halkan ku shaqeeya gudaha weel gaar ah, iyo nidaamka hoose waa ficil ahaan qaawan.
Amazon waxay sidoo kale meesha ka saartay dhammaan qolofkii iyo turjumaanadii, iyadoo meesha ka saartay khatarta ah in la isticmaalo ama isticmaalayaashu si lama filaan ah u kordhiyaan mudnaanta. Sababtoo ah minimalism iyo amniga, sawirka saldhigga kuma jiraan qolof amar, server SSH, ama luqadaha la turjumay sida Python. Aaladaha maamulaha waxa lagu ridayaa weel adeeg oo gaar ah, kaas oo naafo ah.
Nidaamka waxaa loo maareeyaa laba siyaabood: iyada oo loo marayo API iyo orchestration.
Halkii laga heli lahaa maamulaha xirmada ee cusboonaysiiya qaybo gaar ah oo software ah, Bottlerocket waxa ay soo dejisanaysaa sawirka nidaamka faylalka oo dhamaystiran oo dib ayay u gelisaa. Haddii rarku guuldareysto, si toos ah ayuu dib u rogrogaa, iyo fashilka culeyska shaqada ayaa kicin kara dib u soo celinta gacanta (amarka API).
Qaab dhismeedka (Qaabka Cusbooneysii) wuxuu soo dejiyaa cusboonaysiinta ku saleysan sawirka si loo beddelo ama loo "la furo" qaybo. Laba qaybood oo disk ah ayaa loo qoondeeyay nidaamka, mid ka mid ah wuxuu ka kooban yahay nidaamka firfircoon, cusbooneysiintana waxaa lagu koobiyeeyaa labaad. Xaaladdan oo kale, qaybta xididka ayaa lagu dhejiyaa habka akhrinta-kaliya, iyo qaybta /etc ku rakiban nidaamka faylka ee RAM oo dib u soo celisa xaaladdii asalka ahayd ka dib dib u bilow. Wax ka beddelka tooska ah ee faylasha qaabeynta gudaha /etc aan la taageerin: si loo badbaadiyo goobaha waa inaad isticmaashaa API-ga ama aad u dhaqaajiso shaqada weelal kala duwan.
Qorshaha cusboonaysiinta API
Amniga
Weelasha waxaa lagu abuuray hababka caadiga ah ee kernel Linux - kooxo, meelo magacyo iyo seccomp, waxaana loo isticmaalaa habka xakamaynta gelitaanka qasabka ah, taas oo ah, go'doomin dheeraad ah habka "xoojinta".
Sida caadiga ah, siyaasadaha waxaa loo oggolaaday inay wadaagaan agabyada u dhexeeya weelasha iyo kernel-ka. Binaries waxaa lagu ilaaliyaa calammo si looga hortago isticmaalayaasha ama barnaamijyada inay fuliyaan. Iyo haddii mid ka mid ah uu gaaro nidaamka faylka, Bottlerocket wuxuu bixiyaa qalab lagu hubiyo lana socdo isbeddel kasta oo la sameeyo.
Habka "boot la xaqiijiyay" waxaa lagu hirgeliyay shaqada qalabka-mapper-verity (), kaas oo hubinaya daacadnimada qaybta xididka inta lagu jiro boot. AWS waxay ku qeexday dm-verity inay tahay "sifo ka mid ah kernel Linux oo bixisa hubinta daacadnimada si looga hortago malware-ka inuu ku shaqeeyo OS-ka, sida dib u qorista software nidaamka asaasiga ah."
Sido kale waxaa ku jira shaandhada nidaamka (BPF oo la kordhiyay, ), kaas oo u oggolaanaya qaybaha kernel-ka in lagu beddelo barnaamijyo ammaan ah oo BPF ah oo loogu talagalay hawlgallada nidaamka hoose.
Qaabka fulinta
Isticmaalaha ayaa qeexay
Isugeynta
Amniga
Habka fashilka
Helitaanka ilaha
Isticmaale
hawsha
haa
mid kasta
xuquuqda isticmaalaha
joojinta fulinta
nidaamka call, khalad
Muhiim
hawsha
no
taagan
no
kernel argagax
si toos ah
BPF
dhacdo
haa
JIT, CO-RE
xaqiijinta, JIT
fariin qalad ah
caawiye xaddidan
Sidee BPF uga duwan tahay isticmaalaha caadiga ah ama koodka heerka kernel
AWS waxay sheegtay in Bottlerocket "ay shaqaaleysiisay qaab hawleed kaas oo sii wanaajinaya amniga iyadoo ka hortagaysa isku xirka server-yada wax soo saarka leh mudnaanta maamulka" wuxuuna "ku habboon yahay nidaamyada ballaaran ee la qaybiyey halkaas oo xakamaynta qof kasta oo martigeliyaha ahi uu xaddidan yahay."
Weel maamuleed ayaa la siiyay maamulayaasha nidaamka. Laakin AWS uma maleynayo in maamuluhu uu inta badan u baahan doono inuu ka shaqeeyo gudaha Bottlerocket: "Falka gelitaanka tusaale dhalada goonida ah waxaa loogu talagalay hawlgallada aan caadiga ahayn: cillad-dejinta horumarsan iyo cilad-saarka," horumarinta.
Luuqadda miridhku
Qalabka OS ee korkiisa kernel-ka ayaa inta badan ku qoran Rust. Luqadani waa dabeecadeeda Markaasay .
Calannada si toos ah ayaa loo dabaqaa marka la dhisayo --enable-default-pie ΠΈ --enable-default-ssp si loo suurtageliyo randomization ee booska cinwaanka faylasha la fulin karo (, PIE) iyo ilaalinta qulqulka xad dhaafka ah.
Xirmooyinka C/C++, calammo dheeraad ah ayaa lagu daray -Wall, -Werror=format-security, -Wp,-D_FORTIFY_SOURCE=2, -Wp,-D_GLIBCXX_ASSERTIONS ΠΈ -fstack-clash-protection.
Ka sokoow Rust iyo C/C++, xirmooyinka qaar ayaa ku qoran Go.
La qabsiga adeegyada AWS
Farqiga u dhexeeya nidaamyada hawlgalka weelka la midka ah ayaa ah in Amazon ay hagaajisay Bottlerocket si ay ugu shaqeyso AWS oo ay ula mid noqoto adeegyada kale ee AWS.
Qabanqaabiyaha weelka ugu caansan waa Kubernetes, marka AWS waxay soo bandhigtay la shaqaynta Adeegga Kubernetes ee Enterprise (EKS). Aaladaha abaabulku waxay ku yimaadaan weel kantarool oo gooni ah , Kaas oo si caadi ah loo dajiyay oo lagu maareeyo API iyo AWS SSM Agent.
Waxay noqon doontaa mid xiiso leh in la arko haddii dhalada dhalada ay kacdo, marka loo eego fashilka qaar ka mid ah dadaallada la midka ah ee hore. Tusaale ahaan, PhotonOS ee Vmware waxay u noqotay mid aan la sheegan, RedHat waxay iibsatay CoreOS iyo , kaas oo lagu tirin jiray hormood ka ahaa goobta.
Ku darista dhalada ee adeegyada AWS waxay nidaamkan ka dhigaysaa mid u gaar ah sidiisa. Tani waxay u badan tahay inay tahay sababta ugu weyn ee isticmaaleyaasha qaarkood ay uga door bidi karaan Bottlerocket meelaha kale sida CoreOS ama Alpine. Nidaamka waxaa markii hore loogu talagalay inuu la shaqeeyo EKS iyo ECS, laakiin waxaan ku celineynaa in tani aysan muhiim ahayn. Marka hore, dhalada ayaa kara oo u isticmaal, tusaale ahaan, sidii xal la marti galiyay. Marka labaad, EKS iyo isticmaalayaasha ECS wali waxay yeelan doonaan awood ay ku doortaan OS-kooda.
Koodhka isha dhalada waxaa lagu daabacay GitHub oo hoos imaanaya shatiga Apache 2.0. Horumarinta ayaa hore u lahaa .
Iidheh ahaan
VDSina dalabyo . Waa suurtogal in la rakibo nidaamka hawlgalka, oo ay ku jiraan sawirkaaga. Server kastaa waxa uu ku xidhan yahay kanaalka Internetka oo dhan 500 megabits waxana laga ilaaliyaa weerarada DDoS bilaasha ah!
Source: www.habr.com