Доступно је издање Линук дистрибуције Боттлероцкет 1.1.0, развијене уз учешће Амазона за ефикасно и безбедно покретање изолованих контејнера. Алати и контролне компоненте дистрибуције су написане на Русту и дистрибуирају се под лиценцама МИТ и Апацхе 2.0. Подржава покретање Боттлероцкет-а у Амазон ЕЦС и АВС ЕКС Кубернетес кластерима, као и креирање прилагођених верзија и издања која омогућавају употребу различитих алата за оркестрацију и време извршавања за контејнере.
Дистрибуција обезбеђује атомски и аутоматски ажурирану недељиву слику система која укључује Линук кернел и минимално системско окружење, укључујући само компоненте неопходне за покретање контејнера. Окружење укључује системски менаџер система, Глибц библиотеку, алатку за прављење Буилдроот, ГРУБ покретач, конфигуратор опаке мреже, време извођења контејнера за изоловане контејнере, платформу за оркестрацију Кубернетес контејнера, авс-иам-аутхентицатор и Амазон ЕЦС агент.
Алати за оркестрацију контејнера долазе у засебном контејнеру за управљање који је подразумевано омогућен и којим се управља преко АПИ-ја и АВС ССМ агента. Основној слици недостају командна шкољка, ССХ сервер и интерпретирани језици (на пример, нема Питхон или Перл) - административни алати и алати за отклањање грешака смештени су у посебан контејнер услуге, који је подразумевано онемогућен.
Кључна разлика од сличних дистрибуција као што су Федора ЦореОС, ЦентОС/Ред Хат Атомиц Хост је примарни фокус на обезбеђивању максималне безбедности у контексту јачања заштите система од могућих претњи, што отежава искоришћавање рањивости у компонентама ОС-а и повећава изолацију контејнера. . Контејнери се креирају коришћењем стандардних механизама Линук кернела - цгроупс, намеспацес и сеццомп. За додатну изолацију, дистрибуција користи СЕЛинук у „присилном“ режиму.
Основна партиција се монтира само за читање, а партиција за подешавања /етц се монтира у тмпфс и враћа у првобитно стање након поновног покретања. Директна модификација датотека у /етц директоријуму, као што су /етц/ресолв.цонф и /етц/цонтаинерд/цонфиг.томл, није подржана – да бисте трајно сачували подешавања, морате да користите АПИ или да преместите функционалност у засебне контејнере. Модул дм-верити се користи за криптографску проверу интегритета роот партиције, а ако се открије покушај измене података на нивоу блок уређаја, систем се поново покреће.
Већина системских компоненти је написана у Руст-у, који пружа функције безбедне за меморију да би се избегле рањивости узроковане приступима меморији након ослобађања, нултим дереференцијама показивача и прекорачењем бафера. Када се подразумевано гради, режими компилације "-енабле-дефаулт-пие" и "-енабле-дефаулт-ссп" се користе да би се омогућила насумична употреба адресног простора извршне датотеке (ПИЕ) и заштита од прекорачења стека кроз канарску замену. За пакете написане у Ц/Ц++, заставице „-Валл“, „-Веррор=формат-сецурити“, „-Вп,-Д_ФОРТИФИ_СОУРЦЕ=2“, „-Вп,-Д_ГЛИБЦКСКС_АССЕРТИОНС“ и „-фстацк-цласх“ су додатно омогућена -заштита“.
У новом издању:
- Предложене су две нове опције дистрибуције авс-к8с-1.20 и вмваре-к8с-1.20 са подршком за Кубернетес 1.20. Ове варијанте, као и ажурирана верзија авс-ецс-1, користе ново издање Линук кернела 5.10. Режим закључавања је подразумевано подешен на „интегритет“ (могућности које омогућавају да се изврше промене у језгру које ради из корисничког простора су блокиране). Подршка за варијанту авс-к8с-1.15 засновану на Кубернетес 1.15 је укинута.
- Амазон ЕЦС подржава авсвпц мрежни режим, који вам омогућава да доделите засебне мрежне интерфејсе и интерне ИП адресе за сваки задатак.
- Додата подешавања за контролу различитих Кубернетес параметара, укључујући КПС, ограничења скупова и могућност повезивања са добављачима у облаку који нису АВС.
- Боотстрап контејнер обезбеђује ограничење приступа корисничким подацима помоћу СЕЛинук-а.
- Додан услужни програм ресизе2фс.
Извор: опеннет.ру