Siideynta qaybinta Linux Bottlerocket 1.7.0 waa la daabacay, oo la sameeyay iyada oo ka qaybqaadashada Amazon si hufan oo ammaan ah u bilaabista weelasha go'doonsan. Qalabka qaybinta iyo qaybaha xakamaynta waxay ku qoran yihiin Rust waxaana lagu qaybiyaa shatiga MIT iyo Apache 2.0. Waxay taageertaa ku socodsiinta Bottlerocket-ka Amazon ECS, VMware iyo AWS EKS Kubernetes clusters, iyo sidoo kale abuurista dhismayaal gaar ah iyo daabacado u oggolaanaya isticmaalka qalabyada kala duwan ee orchestration iyo qalabka runtime ee weelasha.
Qaybinta ayaa bixisa qaab atomically iyo si toos ah loo cusboonaysiiyay sawirka nidaamka aan la qaybsan karin oo ay ku jiraan kernel Linux iyo jawi nidaam yar, oo ay ku jiraan kaliya qaybaha lagama maarmaanka u ah socodsiinta weelasha. Deegaanka waxaa ka mid ah maamulaha nidaamka habaysan, maktabadda Glibc, qalabka dhismaha ee Buildroot, bootloader GRUB, isku xidhka shabakada sharka leh, wakhtiga weelka weel ee weelasha go'doonsan, goobta wax lagu farsameeyo weelka Kubernetes, aws-iam-authenticator, iyo Amazon Amazon Wakiilka ECS.
Aaladaha abaabulka weelku waxay ku yimaadaan weel maamul oo gooni ah kaas oo si caadi ah u kartiyeeyay oo lagu maareeyo API iyo AWS SSM Agent. Sawirka salku wuxuu ka maqan yahay qolof amar, server SSH iyo luqadaha la turjumay (tusaale, Python ama Perl ma jiro) - qalabyada maamulka iyo qalabka wax-ka-hortagga waxaa lagu meeleeyaa weel adeeg oo gaar ah, kaas oo naafo ah.
Farqiga ugu muhiimsan ee u dhexeeya qaybinta la midka ah sida Fedora CoreOS, CentOS/Koofiyadda Cas ee Atomic Host waa diiradda koowaad ee bixinta amniga ugu sarreeya marka la eego xoojinta nidaamka ilaalinta khataraha suurtagalka ah, taas oo adkeynaysa in laga faa'iidaysto nuglaanta qaybaha OS iyo kordhinta go'doominta weelka . Weelasha waxaa lagu abuuraa iyadoo la adeegsanayo hababka kernel-ka caadiga ah ee Linux - kooxo-koox, goobo magacyo iyo seccomp. Go'doomin dheeri ah, qaybintu waxay isticmaashaa SELinux qaabka "xoojinta".
Qaybta xididka waxa lagu rakibay akhris-kaliya, iyo qaybta /iwm ee qaybta dejinta ayaa lagu rakibay tmpfs waxaana lagu soo celiyaa sidii ay ahayd markii dib loo bilaabo. Wax ka beddelka tooska ah ee faylasha ku jira tusaha /etc, sida /etc/resolv.conf iyo /etc/containerd/config.toml, lama taageero - si aad si joogto ah u kaydiso goobaha, waa inaad isticmaashaa API-ga ama aad u wareejisaa shaqada weelal kala duwan. Module dm-verity waxa loo isticmaalaa si qarsoodi ah loo xaqiijiyo daacadnimada qaybta xididka, iyo haddii la ogaado isku dayga lagu bedelayo xogta heerka qalabka xannibaadda, nidaamku dib buu u bilaabayaa.
Inta badan qaybaha nidaamka waxay ku qoran yihiin Rust, kaas oo bixiya sifooyin xusuusta-ammaan ah si looga fogaado dayacanka ay sababto gelitaanka xusuusta bilaashka ah ka dib, tilmaameyaal aan waxba lahayn, iyo xad-dhaaf ah. Marka la dhisayo qaab caadi ah, qaababka isku-dubbaridka "-enable-default-pie" iyo "-enable-default-ssp" ayaa loo adeegsadaa si ay awood ugu yeeshaan kala soocida booska cinwaanka faylka la fulin karo (PIE) iyo ka hortagga qulqulka qulqulka iyada oo loo marayo beddelka canary. Xirmooyinka ku qoran C/C++, calamada "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" iyo "-fstack-clash" ayaa sidoo kale ah karti-ilaalin".
Siideynta cusub:
- Marka la rakibayo xirmooyinka RPM, waxaa suurtagal ah in la soo saaro liiska barnaamijyada qaabka JSON oo lagu dhejiyo weelka martida loo yahay sida faylka /var/lib/bottlerocket/inventory/application.json si loo helo macluumaadka ku saabsan xirmooyinka la heli karo.
- Koonteenarada "maamulka" iyo "kontoroolka" waa la cusboonaysiiyay.
- Noocyada xirmada oo la cusboonaysiiyay iyo ku tiirsanaanta luqadaha Go iyo Rust
- Noocyada la cusboonaysiiyay ee xirmooyinka leh barnaamijyada qolo saddexaad.
- Waxaa la xalliyay arrimaha qaabeynta tmpfilesd ee kmod-5.10-nvidia.
- Marka la rakibayo tuftool, noocyada ku-tiirsanaanta ayaa ku xiran.
Source: opennet.ru