Pelepasan distribusi Linux Bottlerocket 1.8.0 parantos diterbitkeun, dikembangkeun ku partisipasi Amazon pikeun ngajalankeun peti terasing sacara efektif sareng aman. Komponén alat sareng kontrol distribusi ditulis dina Rust sareng disebarkeun dina lisensi MIT sareng Apache 2.0. Éta ngadukung ngajalankeun Bottlerocket dina Amazon ECS, VMware, sareng AWS EKS Kubernetes klaster, ogé nyiptakeun gedong sareng édisi khusus anu ngamungkinkeun para alat orkestrasi sareng runtime anu béda pikeun wadah.
Distribusi nyayogikeun gambar sistem anu teu tiasa dibagi sacara atom sareng otomatis anu kalebet kernel Linux sareng lingkungan sistem minimal anu kalebet ngan ukur komponén anu diperyogikeun pikeun ngajalankeun wadah. Lingkungan kalebet manajer sistem systemd, perpustakaan Glibc, alat ngawangun Buildroot, bootloader GRUB, konfigurator jaringan jahat, waktos wadah wadah terasing wadahna, platform orkestrasi wadah Kubernetes, aws-iam-authenticator, sareng agén Amazon ECS. .
Alat orkestrasi wadahna aya dina wadah manajemén anu misah anu diaktipkeun sacara standar sareng diurus ngaliwatan Agen API sareng AWS SSM. Gambar dasarna henteu gaduh cangkang paréntah, server SSH, sareng basa anu diinterpretasi (contona, henteu aya Python atanapi Perl) - alat administratif sareng debugging dipindahkeun ka wadah jasa anu kapisah, anu ditumpurkeun sacara standar.
Beda konci tina distribusi anu sami sapertos Fedora CoreOS, CentOS / Red Hat Atomic Host mangrupikeun fokus utami pikeun nyayogikeun kaamanan maksimal dina kontéks nguatkeun panyalindungan sistem ngalawan kamungkinan ancaman, ngahesekeun eksploitasi kerentanan dina komponén OS sareng ningkatkeun isolasi wadahna. Wadahna didamel nganggo mékanisme biasa tina kernel Linux - cgroups, namespaces sareng seccomp. Pikeun isolasi tambahan, distribusi ngagunakeun SELinux dina mode "enforcing".
Partisi akar dipasang dina modeu baca wungkul, sareng partisi sareng /etc setélan dipasang dina tmpfs sareng disimpen deui ka kaayaan aslina saatos balikan deui. modifikasi langsung file dina /etc diréktori, kayaning /etc/resolv.conf na /etc/containerd/config.toml, teu dirojong - pikeun nyimpen setelan permanén, anjeun kudu make API atawa mindahkeun fungsionalitas ka wadahna misah. Pikeun verifikasi kriptografi integritas partisi akar, modul dm-verity dianggo, sareng upami usaha pikeun ngarobih data dina tingkat alat blok dideteksi, sistem reboots.
Kaseueuran komponén sistem ditulis dina Rust, anu nyayogikeun alat anu aman-memori pikeun ngahindarkeun kerentanan anu disababkeun ku alamat daérah mémori saatos dibébaskeun, ngarujuk kana pointer nol, sareng overruns panyangga. Nalika ngawangun, mode kompilasi standar "--enable-default-pie" sareng "--enable-default-ssp" dianggo pikeun ngaktifkeun randomization rohangan alamat anu tiasa dieksekusi (PIE) sareng panyalindungan ngalawan tumpukan tumpukan ngaliwatan substitusi labél kanaria. Pikeun bungkusan anu ditulis dina C/C ++, "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" sareng "-fstack-clash" umbul ogé. kaasup - panyalindungan.
Dina rilis anyar:
- Обновлено содержимое административного и управляющего контейнеров.
- Runtime для изолированных контейнеров обновлён до ветки containerd 1.6.x.
- Обеспечен перезапуск фоновых процессов, координирующих работу контейнеров, после изменений в хранилище сертификатов.
- Предоставлена возможность выставления загрузочных параметров ядра через секцию Boot Configuration.
- Включено игнорирование пустых блоков при контроле целостности корневого раздела при помощи dm-verity.
- Предоставлена возможность статической привязки имён хостов в /etc/hosts.
- Предоставлена возможность генерации сетевой конфигурации при помощи утилиты netdog (добавлена команда generate-net-config).
- Предложены новые варианты дистрибутива c поддержкой Kubernetes 1.23. Сокращено время запуска pod-ов в Kubernetes за счёт отключения режима configMapAndSecretChangeDetectionStrategy. Добавлены новые настройки kubelet-ов: provider-id и podPidsLimit.
- Предложен новый вариант дистрибутива «aws-ecs-1-nvidia» для Amazon Elastic Container Service (Amazon ECS), поставляемый с драйверами NVIDIA.
- Добавлена поддержка устройств хранения Microchip Smart Storage и MegaRAID SAS. Расширена поддержка Ethernet-карт на чипах Broadcom.
- Обновлены версии пакетов и зависимости для языков Go и Rust, а также версии пакетов со сторонними программами. Bottlerocket SDK обновлён до версии 0.26.0.
sumber: opennet.ru