Доступно је издање Линук дистрибуције Боттлероцкет 1.2.0, развијене уз учешће Амазона за ефикасно и безбедно покретање изолованих контејнера. Алати и контролне компоненте дистрибуције су написане на Русту и дистрибуирају се под лиценцама МИТ и Апацхе 2.0. Подржава покретање Боттлероцкет-а на Амазон ЕЦС, ВМваре и АВС ЕКС Кубернетес кластерима, као и креирање прилагођених верзија и издања која омогућавају употребу различитих алата за оркестрацију и време извођења за контејнере.
Дистрибуција обезбеђује атомски и аутоматски ажурирану недељиву слику система која укључује Линук кернел и минимално системско окружење, укључујући само компоненте неопходне за покретање контејнера. Окружење укључује системски менаџер система, Глибц библиотеку, алатку за прављење Буилдроот, ГРУБ покретач, конфигуратор опаке мреже, време извођења контејнера за изоловане контејнере, платформу за оркестрацију Кубернетес контејнера, авс-иам-аутхентицатор и Амазон ЕЦС агент.
Алати за оркестрацију контејнера долазе у засебном контејнеру за управљање који је подразумевано омогућен и којим се управља преко АПИ-ја и АВС ССМ агента. Основној слици недостају командна шкољка, ССХ сервер и интерпретирани језици (на пример, нема Питхон или Перл) - административни алати и алати за отклањање грешака смештени су у посебан контејнер услуге, који је подразумевано онемогућен.
Кључна разлика од сличних дистрибуција као што су Федора ЦореОС, ЦентОС/Ред Хат Атомиц Хост је примарни фокус на обезбеђивању максималне безбедности у контексту јачања заштите система од могућих претњи, што отежава искоришћавање рањивости у компонентама ОС-а и повећава изолацију контејнера. . Контејнери се креирају коришћењем стандардних механизама Линук кернела - цгроупс, намеспацес и сеццомп. За додатну изолацију, дистрибуција користи СЕЛинук у „присилном“ режиму.
Основна партиција се монтира само за читање, а партиција за подешавања /етц се монтира у тмпфс и враћа у првобитно стање након поновног покретања. Директна модификација датотека у /етц директоријуму, као што су /етц/ресолв.цонф и /етц/цонтаинерд/цонфиг.томл, није подржана – да бисте трајно сачували подешавања, морате да користите АПИ или да преместите функционалност у засебне контејнере. Модул дм-верити се користи за криптографску проверу интегритета роот партиције, а ако се открије покушај измене података на нивоу блок уређаја, систем се поново покреће.
Већина системских компоненти је написана у Руст-у, који пружа функције безбедне за меморију да би се избегле рањивости узроковане приступима меморији након ослобађања, нултим дереференцијама показивача и прекорачењем бафера. Када се подразумевано гради, режими компилације "-енабле-дефаулт-пие" и "-енабле-дефаулт-ссп" се користе да би се омогућила насумична употреба адресног простора извршне датотеке (ПИЕ) и заштита од прекорачења стека кроз канарску замену. За пакете написане у Ц/Ц++, заставице „-Валл“, „-Веррор=формат-сецурити“, „-Вп,-Д_ФОРТИФИ_СОУРЦЕ=2“, „-Вп,-Д_ГЛИБЦКСКС_АССЕРТИОНС“ и „-фстацк-цласх“ су додатно омогућена -заштита“.
У новом издању:
- Додата подршка за огледала регистра слика контејнера.
- Додата могућност коришћења самопотписаних сертификата.
- Додата опција за конфигурисање имена хоста.
- Подразумевана верзија административног контејнера је ажурирана.
- Додате поставке топологиМанагерПолици и топологиМанагерСцопе за кубелет.
- Додата подршка за компресију кернела помоћу зстд алгоритма.
- Обезбеђена је могућност учитавања виртуелних машина у ВМваре у формату ОВА (Опен Виртуализатион Формат).
- Верзија дистрибуције авс-к8с-1.21 је ажурирана уз подршку за Кубернетес 1.21. Подршка за авс-к8с-1.16 је укинута.
- Ажуриране верзије пакета и зависности за Руст језик.
Извор: опеннет.ру