Објављено је издање Линук дистрибуције Боттлероцкет 1.8.0, развијене уз учешће Амазона за ефикасно и безбедно покретање изолованих контејнера. Алати и контролне компоненте дистрибуције су написани на Русту и дистрибуирају се под лиценцама МИТ и Апацхе 2.0. Подржава покретање Боттлероцкет-а на Амазон ЕЦС, ВМваре и АВС ЕКС Кубернетес кластерима, као и креирање прилагођених верзија и издања која омогућавају употребу различитих алата за оркестрацију и време извођења за контејнере.
Дистрибуција обезбеђује атомски и аутоматски ажурирану недељиву слику система која укључује Линук кернел и минимално системско окружење, укључујући само компоненте неопходне за покретање контејнера. Окружење укључује системски менаџер система, Глибц библиотеку, алатку за прављење Буилдроот, ГРУБ покретач, конфигуратор опаке мреже, време извођења контејнера за изоловане контејнере, платформу за оркестрацију Кубернетес контејнера, авс-иам-аутхентицатор и Амазон ЕЦС агент.
Алати за оркестрацију контејнера долазе у засебном контејнеру за управљање који је подразумевано омогућен и којим се управља преко АПИ-ја и АВС ССМ агента. Основној слици недостају командна шкољка, ССХ сервер и интерпретирани језици (на пример, нема Питхон или Перл) - административни алати и алати за отклањање грешака смештени су у посебан контејнер услуге, који је подразумевано онемогућен.
Кључна разлика од сличних дистрибуција као што су Федора ЦореОС, ЦентОС/Ред Хат Атомиц Хост је примарни фокус на обезбеђивању максималне безбедности у контексту јачања заштите система од могућих претњи, што отежава искоришћавање рањивости у компонентама ОС-а и повећава изолацију контејнера. . Контејнери се креирају коришћењем стандардних механизама Линук кернела - цгроупс, намеспацес и сеццомп. За додатну изолацију, дистрибуција користи СЕЛинук у „присилном“ режиму.
Основна партиција се монтира само за читање, а партиција за подешавања /етц се монтира у тмпфс и враћа у првобитно стање након поновног покретања. Директна модификација датотека у /етц директоријуму, као што су /етц/ресолв.цонф и /етц/цонтаинерд/цонфиг.томл, није подржана – да бисте трајно сачували подешавања, морате да користите АПИ или да преместите функционалност у засебне контејнере. Модул дм-верити се користи за криптографску проверу интегритета роот партиције, а ако се открије покушај измене података на нивоу блок уређаја, систем се поново покреће.
Већина системских компоненти је написана у Руст-у, који пружа функције безбедне за меморију да би се избегле рањивости узроковане приступима меморији након ослобађања, нултим дереференцијама показивача и прекорачењем бафера. Када се подразумевано гради, режими компилације "-енабле-дефаулт-пие" и "-енабле-дефаулт-ссп" се користе да би се омогућила насумична употреба адресног простора извршне датотеке (ПИЕ) и заштита од прекорачења стека кроз канарску замену. За пакете написане у Ц/Ц++, заставице „-Валл“, „-Веррор=формат-сецурити“, „-Вп,-Д_ФОРТИФИ_СОУРЦЕ=2“, „-Вп,-Д_ГЛИБЦКСКС_АССЕРТИОНС“ и „-фстацк-цласх“ су додатно омогућена -заштита“.
У новом издању:
- Обновлено содержимое административного и управляющего контейнеров.
- Runtime для изолированных контейнеров обновлён до ветки containerd 1.6.x.
- Обеспечен перезапуск фоновых процессов, координирующих работу контейнеров, после изменений в хранилище сертификатов.
- Предоставлена возможность выставления загрузочных параметров ядра через секцию Boot Configuration.
- Включено игнорирование пустых блоков при контроле целостности корневого раздела при помощи dm-verity.
- Предоставлена возможность статической привязки имён хостов в /etc/hosts.
- Предоставлена возможность генерации сетевой конфигурации при помощи утилиты netdog (добавлена команда generate-net-config).
- Предложены новые варианты дистрибутива c поддержкой Kubernetes 1.23. Сокращено время запуска pod-ов в Kubernetes за счёт отключения режима configMapAndSecretChangeDetectionStrategy. Добавлены новые настройки kubelet-ов: provider-id и podPidsLimit.
- Предложен новый вариант дистрибутива «aws-ecs-1-nvidia» для Amazon Elastic Container Service (Amazon ECS), поставляемый с драйверами NVIDIA.
- Добавлена поддержка устройств хранения Microchip Smart Storage и MegaRAID SAS. Расширена поддержка Ethernet-карт на чипах Broadcom.
- Обновлены версии пакетов и зависимости для языков Go и Rust, а также версии пакетов со сторонними программами. Bottlerocket SDK обновлён до версии 0.26.0.
Извор: опеннет.ру