Shirkadda Amazon
Dhalada (sida, magaca loo bixiyay gantaalada budada madow ee guriga lagu sameeyo) maaha OS-kii ugu horreeyay ee weelasha, laakiin waxay u badan tahay inay noqon doonto mid baahsan iyadoo ay ugu wacan tahay isdhexgalka caadiga ah ee adeegyada AWS. Inkasta oo nidaamku diiradda saarayo daruuraha Amazon, koodhka isha furan wuxuu u oggolaanayaa in lagu dhiso meel kasta: gudaha gudaha server-ka, Raspberry Pi, daruur kasta oo tartan ah, iyo xitaa jawi aan weel lahayn.
Tani waa bedelka gebi ahaanba u qalma qaybinta CoreOS ee Koofiyada Cas lagu aasay.
Dhab ahaantii, qaybta Adeegyada Shabakadda ee Amazon waxay horey u leedahay Amazon Linux, kaas oo dhawaan ku soo baxay nuqulkiisii ββββlabaad: waa qaybin guud oo ujeedo ah oo lagu socodsiin karo weelka Docker ama Linux KVM, Microsoft Hyper-V, iyo VMware ESXi hypervisors. Waxaa la hagaajiyay in lagu shaqeeyo daruuraha AWS, laakiin marka la sii daayo Bottlerocket, qof kasta waxaa lagu dhiirigelinayaa in uu u cusboonaysiiyo nidaam cusub oo ka ammaan badan, casri ah, oo isticmaalaya ilo yar.
AWS ayaa ku dhawaaqday Bottlerocket
Minimalism xad dhaaf ah
Linux waa laga saaray wax kasta oo aan loo baahnayn in lagu shaqeeyo weelasha. Naqshaddan, sida laga soo xigtay shirkadu, waxay yaraynaysaa dusha weerarka.
Tani waxay ka dhigan tahay in baakado yar lagu rakibay nidaamka asaasiga ah, taas oo sahlaysa in la ilaaliyo oo la cusboonaysiiyo OS, sidoo kale waxay yaraynaysaa suurtagalnimada dhibaatooyinka sababtoo ah ku-tiirsanaanta, yaraynta isticmaalka kheyraadka. Asal ahaan, wax kasta oo halkan ku shaqeeya gudaha weel gaar ah, iyo nidaamka hoose waa ficil ahaan qaawan.
Amazon waxay sidoo kale meesha ka saartay dhammaan qolofkii iyo turjumaanadii, iyadoo meesha ka saartay khatarta ah in la isticmaalo ama isticmaalayaashu si lama filaan ah u kordhiyaan mudnaanta. Sababtoo ah minimalism iyo amniga, sawirka saldhigga kuma jiraan qolof amar, server SSH, ama luqadaha la turjumay sida Python. Aaladaha maamulaha waxa lagu ridayaa weel adeeg oo gaar ah, kaas oo naafo ah.
Nidaamka waxaa loo maareeyaa laba siyaabood: iyada oo loo marayo API iyo orchestration.
Halkii laga heli lahaa maamulaha xirmada ee cusboonaysiiya qaybo gaar ah oo software ah, Bottlerocket waxa ay soo dejisanaysaa sawirka nidaamka faylalka oo dhamaystiran oo dib ayay u gelisaa. Haddii rarku guuldareysto, si toos ah ayuu dib u rogrogaa, iyo fashilka culeyska shaqada ayaa kicin kara dib u soo celinta gacanta (amarka API).
Qaab dhismeedka /etc
ku rakiban nidaamka faylka ee RAM /etc
aan la taageerin: si loo badbaadiyo goobaha waa inaad isticmaashaa API-ga ama aad u dhaqaajiso shaqada weelal kala duwan.
Qorshaha cusboonaysiinta API
Amniga
Weelasha waxaa lagu abuuray hababka caadiga ah ee kernel Linux - kooxo, meelo magacyo iyo seccomp, waxaana loo isticmaalaa habka xakamaynta gelitaanka qasabka ah, taas oo ah, go'doomin dheeraad ah
Sida caadiga ah, siyaasadaha waxaa loo oggolaaday inay wadaagaan agabyada u dhexeeya weelasha iyo kernel-ka. Binaries waxaa lagu ilaaliyaa calammo si looga hortago isticmaalayaasha ama barnaamijyada inay fuliyaan. Iyo haddii mid ka mid ah uu gaaro nidaamka faylka, Bottlerocket wuxuu bixiyaa qalab lagu hubiyo lana socdo isbeddel kasta oo la sameeyo.
Habka "boot la xaqiijiyay" waxaa lagu hirgeliyay shaqada qalabka-mapper-verity (
Sido kale waxaa ku jira shaandhada nidaamka
Qaabka fulinta
Isticmaalaha ayaa qeexay
Isugeynta
Amniga
Habka fashilka
Helitaanka ilaha
Isticmaale
hawsha
haa
mid kasta
xuquuqda isticmaalaha
joojinta fulinta
nidaamka call, khalad
Muhiim
hawsha
no
taagan
no
kernel argagax
si toos ah
BPF
dhacdo
haa
JIT, CO-RE
xaqiijinta, JIT
fariin qalad ah
caawiye xaddidan
Sidee BPF uga duwan tahay isticmaalaha caadiga ah ama koodka heerka kernel
AWS waxay sheegtay in Bottlerocket "ay shaqaaleysiisay qaab hawleed kaas oo sii wanaajinaya amniga iyadoo ka hortagaysa isku xirka server-yada wax soo saarka leh mudnaanta maamulka" wuxuuna "ku habboon yahay nidaamyada ballaaran ee la qaybiyey halkaas oo xakamaynta qof kasta oo martigeliyaha ahi uu xaddidan yahay."
Weel maamuleed ayaa la siiyay maamulayaasha nidaamka. Laakin AWS uma maleynayo in maamuluhu uu inta badan u baahan doono inuu ka shaqeeyo gudaha Bottlerocket: "Falka gelitaanka tusaale dhalada goonida ah waxaa loogu talagalay hawlgallada aan caadiga ahayn: cillad-dejinta horumarsan iyo cilad-saarka,"
Luuqadda miridhku
Qalabka OS ee korkiisa kernel-ka ayaa inta badan ku qoran Rust. Luqadani waa dabeecadeeda
Calannada si toos ah ayaa loo dabaqaa marka la dhisayo --enable-default-pie
ΠΈ --enable-default-ssp
si loo suurtageliyo randomization ee booska cinwaanka faylasha la fulin karo (
Xirmooyinka C/C++, calammo dheeraad ah ayaa lagu daray -Wall
, -Werror=format-security
, -Wp,-D_FORTIFY_SOURCE=2
, -Wp,-D_GLIBCXX_ASSERTIONS
ΠΈ -fstack-clash-protection
.
Ka sokoow Rust iyo C/C++, xirmooyinka qaar ayaa ku qoran Go.
La qabsiga adeegyada AWS
Farqiga u dhexeeya nidaamyada hawlgalka weelka la midka ah ayaa ah in Amazon ay hagaajisay Bottlerocket si ay ugu shaqeyso AWS oo ay ula mid noqoto adeegyada kale ee AWS.
Qabanqaabiyaha weelka ugu caansan waa Kubernetes, marka AWS waxay soo bandhigtay la shaqaynta Adeegga Kubernetes ee Enterprise (EKS). Aaladaha abaabulku waxay ku yimaadaan weel kantarool oo gooni ah
Waxay noqon doontaa mid xiiso leh in la arko haddii dhalada dhalada ay kacdo, marka loo eego fashilka qaar ka mid ah dadaallada la midka ah ee hore. Tusaale ahaan, PhotonOS ee Vmware waxay u noqotay mid aan la sheegan, RedHat waxay iibsatay CoreOS iyo
Ku darista dhalada ee adeegyada AWS waxay nidaamkan ka dhigaysaa mid u gaar ah sidiisa. Tani waxay u badan tahay inay tahay sababta ugu weyn ee isticmaaleyaasha qaarkood ay uga door bidi karaan Bottlerocket meelaha kale sida CoreOS ama Alpine. Nidaamka waxaa markii hore loogu talagalay inuu la shaqeeyo EKS iyo ECS, laakiin waxaan ku celineynaa in tani aysan muhiim ahayn. Marka hore, dhalada ayaa kara
Koodhka isha dhalada waxaa lagu daabacay GitHub oo hoos imaanaya shatiga Apache 2.0. Horumarinta ayaa hore u lahaa
Iidheh ahaan
VDSina dalabyo
Source: www.habr.com