Pelepasan distribusi Linux Bottlerocket 1.2.0 sayogi, dikembangkeun sareng partisipasi Amazon pikeun peluncuran wadah terasing anu efisien sareng aman. Alat distribusi sareng komponen kontrol ditulis dina Rust sareng disebarkeun dina lisensi MIT sareng Apache 2.0. Ieu ngarojong ngajalankeun Bottlerocket on Amazon ECS, VMware na AWS EKS Kubernetes klaster, kitu ogé nyieun custom ngawangun sarta édisi nu ngidinan pamakéan rupa orchestration sarta parabot runtime pikeun peti.
Distribusi nyayogikeun gambar sistem anu teu tiasa dibagi sacara atom sareng otomatis anu kalebet kernel Linux sareng lingkungan sistem minimal anu kalebet ngan ukur komponén anu diperyogikeun pikeun ngajalankeun wadah. Lingkungan kalebet manajer sistem systemd, perpustakaan Glibc, alat ngawangun Buildroot, bootloader GRUB, konfigurator jaringan jahat, waktos wadah wadah terasing wadahna, platform orkestrasi wadah Kubernetes, aws-iam-authenticator, sareng agén Amazon ECS. .
Alat orkestrasi wadahna aya dina wadah manajemén anu misah anu diaktipkeun sacara standar sareng diurus ngaliwatan Agen API sareng AWS SSM. Gambar dasarna henteu gaduh cangkang paréntah, server SSH, sareng basa anu diinterpretasi (contona, henteu aya Python atanapi Perl) - alat administratif sareng debugging dipindahkeun ka wadah jasa anu kapisah, anu ditumpurkeun sacara standar.
Beda konci tina distribusi anu sami sapertos Fedora CoreOS, CentOS / Red Hat Atomic Host mangrupikeun fokus utami pikeun nyayogikeun kaamanan maksimal dina kontéks nguatkeun panyalindungan sistem ngalawan kamungkinan ancaman, ngahesekeun eksploitasi kerentanan dina komponén OS sareng ningkatkeun isolasi wadahna. Wadahna didamel nganggo mékanisme biasa tina kernel Linux - cgroups, namespaces sareng seccomp. Pikeun isolasi tambahan, distribusi ngagunakeun SELinux dina mode "enforcing".
Partisi akar dipasang dina modeu baca wungkul, sareng partisi sareng /etc setélan dipasang dina tmpfs sareng disimpen deui ka kaayaan aslina saatos balikan deui. modifikasi langsung file dina /etc diréktori, kayaning /etc/resolv.conf na /etc/containerd/config.toml, teu dirojong - pikeun nyimpen setelan permanén, anjeun kudu make API atawa mindahkeun fungsionalitas ka wadahna misah. Pikeun verifikasi kriptografi integritas partisi akar, modul dm-verity dianggo, sareng upami usaha pikeun ngarobih data dina tingkat alat blok dideteksi, sistem reboots.
Kaseueuran komponén sistem ditulis dina Rust, anu nyayogikeun alat anu aman-memori pikeun ngahindarkeun kerentanan anu disababkeun ku alamat daérah mémori saatos dibébaskeun, ngarujuk kana pointer nol, sareng overruns panyangga. Nalika ngawangun, mode kompilasi standar "--enable-default-pie" sareng "--enable-default-ssp" dianggo pikeun ngaktifkeun randomization rohangan alamat anu tiasa dieksekusi (PIE) sareng panyalindungan ngalawan tumpukan tumpukan ngaliwatan substitusi labél kanaria. Pikeun bungkusan anu ditulis dina C/C ++, "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" sareng "-fstack-clash" umbul ogé. kaasup - panyalindungan.
Dina rilis anyar:
- Ditambahkeun dukungan pikeun kaca spion pendaptaran gambar wadahna.
- Ditambahkeun kamampuan ngagunakeun sertipikat anu ditandatanganan diri.
- Ditambahkeun pilihan pikeun ngonpigurasikeun hostname.
- Versi standar tina wadah administrasi parantos diropéa.
- Ditambahkeun topologyManagerPolicy sareng topologyManagerScope setélan pikeun kubelet.
- Ditambahkeun dukungan pikeun komprési kernel nganggo algoritma zstd.
- Kamampuhan pikeun ngamuat mesin virtual kana VMware dina format OVA (Open Virtualization Format) disayogikeun.
- Versi distribusi aws-k8s-1.21 parantos diropéa kalayan dukungan pikeun Kubernetes 1.21. Rojongan pikeun aws-k8s-1.16 parantos dileungitkeun.
- Vérsi pakét diropéa sarta kagumantungan pikeun basa Rust.
sumber: opennet.ru