Linux விநியோகம் Bottlerocket 1.8.0 வெளியீடு வெளியிடப்பட்டது, தனிமைப்படுத்தப்பட்ட கொள்கலன்களின் திறமையான மற்றும் பாதுகாப்பான வெளியீட்டிற்காக Amazon பங்கேற்புடன் உருவாக்கப்பட்டது. விநியோகத்தின் கருவிகள் மற்றும் கட்டுப்பாட்டு கூறுகள் ரஸ்டில் எழுதப்பட்டு MIT மற்றும் Apache 2.0 உரிமங்களின் கீழ் விநியோகிக்கப்படுகின்றன. இது Amazon ECS, VMware மற்றும் AWS EKS Kubernetes க்ளஸ்டர்களில் Bottlerocket இயங்குவதை ஆதரிக்கிறது, அத்துடன் கன்டெய்னர்களுக்கான பல்வேறு ஆர்கெஸ்ட்ரேஷன் மற்றும் ரன்டைம் கருவிகளைப் பயன்படுத்த அனுமதிக்கும் தனிப்பயன் உருவாக்கங்கள் மற்றும் பதிப்புகளை உருவாக்குகிறது.
விநியோகமானது அணு மற்றும் தானாக புதுப்பிக்கப்பட்ட பிரிக்க முடியாத கணினி படத்தை வழங்குகிறது, இதில் லினக்ஸ் கர்னல் மற்றும் குறைந்தபட்ச கணினி சூழல், கொள்கலன்களை இயக்க தேவையான கூறுகள் மட்டுமே அடங்கும். சுற்றுச்சூழலில் systemd சிஸ்டம் மேனேஜர், Glibc லைப்ரரி, பில்ட்ரூட் பில்ட் டூல், GRUB பூட் லோடர், தீய நெட்வொர்க் கன்ஃபிகரேட்டர், தனிமைப்படுத்தப்பட்ட கொள்கலன்களுக்கான கொள்கலன் இயக்க நேரம், Kubernetes கொள்கலன் ஆர்கெஸ்ட்ரேஷன் தளம், aws-iam-authenticator மற்றும் Amazon ஆகியவை அடங்கும். ECS முகவர்.
கொள்கலன் ஆர்கெஸ்ட்ரேஷன் கருவிகள் ஒரு தனி மேலாண்மை கொள்கலனில் வருகின்றன, அவை இயல்பாகவே இயக்கப்பட்டு API மற்றும் AWS SSM முகவர் மூலம் நிர்வகிக்கப்படும். அடிப்படை படத்தில் கட்டளை ஷெல், SSH சேவையகம் மற்றும் விளக்கப்பட்ட மொழிகள் இல்லை (எடுத்துக்காட்டாக, பைதான் அல்லது பெர்ல் இல்லை) - நிர்வாக கருவிகள் மற்றும் பிழைத்திருத்த கருவிகள் ஒரு தனி சேவை கொள்கலனில் வைக்கப்படுகின்றன, இது இயல்பாகவே முடக்கப்பட்டுள்ளது.
Fedora CoreOS, CentOS/Red Hat Atomic Host போன்ற ஒத்த விநியோகங்களில் இருந்து முக்கிய வேறுபாடு சாத்தியமான அச்சுறுத்தல்களிலிருந்து கணினி பாதுகாப்பை வலுப்படுத்தும் சூழலில் அதிகபட்ச பாதுகாப்பை வழங்குவதில் முதன்மை கவனம் செலுத்துகிறது, இது OS கூறுகளில் உள்ள பாதிப்புகளை சுரண்டுவது கடினமாகிறது மற்றும் கொள்கலன் தனிமைப்படுத்தலை அதிகரிக்கிறது. . நிலையான லினக்ஸ் கர்னல் வழிமுறைகளைப் பயன்படுத்தி கொள்கலன்கள் உருவாக்கப்படுகின்றன - cgroups, namespaces மற்றும் seccomp. கூடுதல் தனிமைப்படுத்தலுக்கு, விநியோகமானது "செயல்படுத்துதல்" முறையில் SELinux ஐப் பயன்படுத்துகிறது.
ரூட் பகிர்வு படிக்க-மட்டும் ஏற்றப்பட்டுள்ளது, மேலும் /etc அமைப்புகள் பகிர்வு tmpfs இல் ஏற்றப்பட்டு மறுதொடக்கத்திற்குப் பிறகு அதன் அசல் நிலைக்கு மீட்டமைக்கப்படும். /etc/resolv.conf மற்றும் /etc/containerd/config.toml போன்ற /etc கோப்பகத்தில் உள்ள கோப்புகளை நேரடியாக மாற்றுவது ஆதரிக்கப்படவில்லை - அமைப்புகளை நிரந்தரமாகச் சேமிக்க, நீங்கள் API ஐப் பயன்படுத்த வேண்டும் அல்லது தனித்தனி கொள்கலன்களுக்கு செயல்பாட்டை நகர்த்த வேண்டும். ரூட் பகிர்வின் ஒருமைப்பாட்டை குறியாக்கவியல் முறையில் சரிபார்க்க dm-verity தொகுதி பயன்படுத்தப்படுகிறது, மேலும் தொகுதி சாதன மட்டத்தில் தரவை மாற்றும் முயற்சி கண்டறியப்பட்டால், கணினி மறுதொடக்கம் செய்யப்படுகிறது.
பெரும்பாலான கணினி கூறுகள் ரஸ்டில் எழுதப்பட்டுள்ளன, இது இலவச நினைவக அணுகல்கள், பூஜ்ய சுட்டிக்காட்டி குறைபாடுகள் மற்றும் இடையக மீறல்களால் ஏற்படும் பாதிப்புகளைத் தவிர்க்க நினைவக-பாதுகாப்பான அம்சங்களை வழங்குகிறது. முன்னிருப்பாக உருவாக்கும்போது, "-enable-default-pie" மற்றும் "-enable-default-ssp" ஆகிய தொகுத்தல் முறைகள் இயங்கக்கூடிய கோப்பு முகவரி இடத்தின் (PIE) சீரற்றமயமாக்கலை இயக்கவும் மற்றும் கேனரி மாற்றீடு மூலம் ஸ்டாக் வழிதல்களுக்கு எதிராகப் பாதுகாப்பை இயக்கவும் பயன்படுத்தப்படுகின்றன. C/C++ இல் எழுதப்பட்ட தொகுப்புகளுக்கு, “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” மற்றும் “-fstack-clash” ஆகிய கொடிகள் கூடுதலாக இருக்கும். செயல்படுத்தப்பட்ட -பாதுகாப்பு".
புதிய வெளியீட்டில்:
- Обновлено содержимое административного и управляющего контейнеров.
- Runtime для изолированных контейнеров обновлён до ветки containerd 1.6.x.
- Обеспечен перезапуск фоновых процессов, координирующих работу контейнеров, после изменений в хранилище сертификатов.
- Предоставлена возможность выставления загрузочных параметров ядра через секцию Boot Configuration.
- Включено игнорирование пустых блоков при контроле целостности корневого раздела при помощи dm-verity.
- Предоставлена возможность статической привязки имён хостов в /etc/hosts.
- Предоставлена возможность генерации сетевой конфигурации при помощи утилиты netdog (добавлена команда generate-net-config).
- Предложены новые варианты дистрибутива c поддержкой Kubernetes 1.23. Сокращено время запуска pod-ов в Kubernetes за счёт отключения режима configMapAndSecretChangeDetectionStrategy. Добавлены новые настройки kubelet-ов: provider-id и podPidsLimit.
- Предложен новый вариант дистрибутива «aws-ecs-1-nvidia» для Amazon Elastic Container Service (Amazon ECS), поставляемый с драйверами NVIDIA.
- Добавлена поддержка устройств хранения Microchip Smart Storage и MegaRAID SAS. Расширена поддержка Ethernet-карт на чипах Broadcom.
- Обновлены версии пакетов и зависимости для языков Go и Rust, а также версии пакетов со сторонними программами. Bottlerocket SDK обновлён до версии 0.26.0.
ஆதாரம்: opennet.ru