Siideynta qaybinta Linux Bottlerocket 1.2.0 waa la heli karaa, oo lagu sameeyay ka qayb qaadashada Amazon si hufan oo ammaan ah u bilaabista weelasha go'doonsan. Qalabka qaybinta iyo qaybaha xakamaynta waxay ku qoran yihiin Rust waxaana lagu qaybiyaa shatiga MIT iyo Apache 2.0. Waxay taageertaa ku socodsiinta Bottlerocket-ka Amazon ECS, VMware iyo AWS EKS Kubernetes clusters, iyo sidoo kale abuurista dhismayaal gaar ah iyo daabacado u oggolaanaya isticmaalka qalabyada kala duwan ee orchestration iyo qalabka runtime ee weelasha.
Qaybinta ayaa bixisa qaab atomically iyo si toos ah loo cusboonaysiiyay sawirka nidaamka aan la qaybsan karin oo ay ku jiraan kernel Linux iyo jawi nidaam yar, oo ay ku jiraan kaliya qaybaha lagama maarmaanka u ah socodsiinta weelasha. Deegaanka waxaa ka mid ah maamulaha nidaamka habaysan, maktabadda Glibc, qalabka dhismaha ee Buildroot, bootloader GRUB, isku xidhka shabakada sharka leh, wakhtiga weelka weel ee weelasha go'doonsan, goobta wax lagu farsameeyo weelka Kubernetes, aws-iam-authenticator, iyo Amazon Amazon Wakiilka ECS.
Aaladaha abaabulka weelku waxay ku yimaadaan weel maamul oo gooni ah kaas oo si caadi ah u kartiyeeyay oo lagu maareeyo API iyo AWS SSM Agent. Sawirka salku wuxuu ka maqan yahay qolof amar, server SSH iyo luqadaha la turjumay (tusaale, Python ama Perl ma jiro) - qalabyada maamulka iyo qalabka wax-ka-hortagga waxaa lagu meeleeyaa weel adeeg oo gaar ah, kaas oo naafo ah.
Farqiga ugu muhiimsan ee u dhexeeya qaybinta la midka ah sida Fedora CoreOS, CentOS/Koofiyadda Cas ee Atomic Host waa diiradda koowaad ee bixinta amniga ugu sarreeya marka la eego xoojinta nidaamka ilaalinta khataraha suurtagalka ah, taas oo adkeynaysa in laga faa'iidaysto nuglaanta qaybaha OS iyo kordhinta go'doominta weelka . Weelasha waxaa lagu abuuraa iyadoo la adeegsanayo hababka kernel-ka caadiga ah ee Linux - kooxo-koox, goobo magacyo iyo seccomp. Go'doomin dheeri ah, qaybintu waxay isticmaashaa SELinux qaabka "xoojinta".
Qaybta xididka waxa lagu rakibay akhris-kaliya, iyo qaybta /iwm ee qaybta dejinta ayaa lagu rakibay tmpfs waxaana lagu soo celiyaa sidii ay ahayd markii dib loo bilaabo. Wax ka beddelka tooska ah ee faylasha ku jira tusaha /etc, sida /etc/resolv.conf iyo /etc/containerd/config.toml, lama taageero - si aad si joogto ah u kaydiso goobaha, waa inaad isticmaashaa API-ga ama aad u wareejisaa shaqada weelal kala duwan. Module dm-verity waxa loo isticmaalaa si qarsoodi ah loo xaqiijiyo daacadnimada qaybta xididka, iyo haddii la ogaado isku dayga lagu bedelayo xogta heerka qalabka xannibaadda, nidaamku dib buu u bilaabayaa.
Inta badan qaybaha nidaamka waxay ku qoran yihiin Rust, kaas oo bixiya sifooyin xusuusta-ammaan ah si looga fogaado dayacanka ay sababto gelitaanka xusuusta bilaashka ah ka dib, tilmaameyaal aan waxba lahayn, iyo xad-dhaaf ah. Marka la dhisayo qaab caadi ah, qaababka isku-dubbaridka "-enable-default-pie" iyo "-enable-default-ssp" ayaa loo adeegsadaa si ay awood ugu yeeshaan kala soocida booska cinwaanka faylka la fulin karo (PIE) iyo ka hortagga qulqulka qulqulka iyada oo loo marayo beddelka canary. Xirmooyinka ku qoran C/C++, calamada "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" iyo "-fstack-clash" ayaa sidoo kale ah karti-ilaalin".
Siideynta cusub:
- Taageero lagu daray muraayadaha diiwaanka sawirka weelka
- Lagu daray awoodda isticmaalka shahaadooyinka iskiis u saxeexay.
- Doorashada lagu daray si loo habeeyo magaca martida loo yahay.
- Nooca caadiga ah ee weelka maamulka waa la cusboonaysiiyay.
- TopologyManagerPolicy iyo topologyManagerScope settings ee kubelet.
- Taageero lagu daray isku-buufinta kernel-ka iyadoo la adeegsanayo algorithmamka zstd.
- Awoodda lagu shubo mishiinnada farsamada VMware ee qaabka OVA
- Nooca qaybinta aws-k8s-1.21 waa la cusboonaysiiyay iyadoo la taageerayo Kubernetes 1.21. Taageerada aws-k8s-1.16 waa la joojiyay.
- Noocyada xirmada oo la cusboonaysiiyay iyo ku tiirsanaanta luqadda Rust
Source: opennet.ru