Linux விநியோகம் Bottlerocket 1.1.0 இன் வெளியீடு கிடைக்கிறது, தனிமைப்படுத்தப்பட்ட கொள்கலன்களின் திறமையான மற்றும் பாதுகாப்பான வெளியீட்டிற்காக Amazon பங்கேற்புடன் உருவாக்கப்பட்டது. விநியோகத்தின் கருவிகள் மற்றும் கட்டுப்பாட்டு கூறுகள் ரஸ்டில் எழுதப்பட்டு MIT மற்றும் Apache 2.0 உரிமங்களின் கீழ் விநியோகிக்கப்படுகின்றன. இது Amazon ECS மற்றும் AWS EKS Kubernetes க்ளஸ்டர்களில் Bottlerocket இயங்குவதை ஆதரிக்கிறது, அத்துடன் கன்டெய்னர்களுக்கான பல்வேறு ஆர்கெஸ்ட்ரேஷன் மற்றும் இயக்க நேரக் கருவிகளைப் பயன்படுத்த அனுமதிக்கும் தனிப்பயன் உருவாக்கங்கள் மற்றும் பதிப்புகளை உருவாக்குகிறது.
விநியோகமானது அணு மற்றும் தானாக புதுப்பிக்கப்பட்ட பிரிக்க முடியாத கணினி படத்தை வழங்குகிறது, இதில் லினக்ஸ் கர்னல் மற்றும் குறைந்தபட்ச கணினி சூழல், கொள்கலன்களை இயக்க தேவையான கூறுகள் மட்டுமே அடங்கும். சுற்றுச்சூழலில் systemd சிஸ்டம் மேனேஜர், Glibc லைப்ரரி, பில்ட்ரூட் பில்ட் டூல், GRUB பூட் லோடர், தீய நெட்வொர்க் கன்ஃபிகரேட்டர், தனிமைப்படுத்தப்பட்ட கொள்கலன்களுக்கான கொள்கலன் இயக்க நேரம், Kubernetes கொள்கலன் ஆர்கெஸ்ட்ரேஷன் தளம், aws-iam-authenticator மற்றும் Amazon ஆகியவை அடங்கும். ECS முகவர்.
கொள்கலன் ஆர்கெஸ்ட்ரேஷன் கருவிகள் ஒரு தனி மேலாண்மை கொள்கலனில் வருகின்றன, அவை இயல்பாகவே இயக்கப்பட்டு API மற்றும் AWS SSM முகவர் மூலம் நிர்வகிக்கப்படும். அடிப்படை படத்தில் கட்டளை ஷெல், SSH சேவையகம் மற்றும் விளக்கப்பட்ட மொழிகள் இல்லை (எடுத்துக்காட்டாக, பைதான் அல்லது பெர்ல் இல்லை) - நிர்வாக கருவிகள் மற்றும் பிழைத்திருத்த கருவிகள் ஒரு தனி சேவை கொள்கலனில் வைக்கப்படுகின்றன, இது இயல்பாகவே முடக்கப்பட்டுள்ளது.
Fedora CoreOS, CentOS/Red Hat Atomic Host போன்ற ஒத்த விநியோகங்களில் இருந்து முக்கிய வேறுபாடு சாத்தியமான அச்சுறுத்தல்களிலிருந்து கணினி பாதுகாப்பை வலுப்படுத்தும் சூழலில் அதிகபட்ச பாதுகாப்பை வழங்குவதில் முதன்மை கவனம் செலுத்துகிறது, இது OS கூறுகளில் உள்ள பாதிப்புகளை சுரண்டுவது கடினமாகிறது மற்றும் கொள்கலன் தனிமைப்படுத்தலை அதிகரிக்கிறது. . நிலையான லினக்ஸ் கர்னல் வழிமுறைகளைப் பயன்படுத்தி கொள்கலன்கள் உருவாக்கப்படுகின்றன - cgroups, namespaces மற்றும் seccomp. கூடுதல் தனிமைப்படுத்தலுக்கு, விநியோகமானது "செயல்படுத்துதல்" முறையில் SELinux ஐப் பயன்படுத்துகிறது.
ரூட் பகிர்வு படிக்க-மட்டும் ஏற்றப்பட்டுள்ளது, மேலும் /etc அமைப்புகள் பகிர்வு tmpfs இல் ஏற்றப்பட்டு மறுதொடக்கத்திற்குப் பிறகு அதன் அசல் நிலைக்கு மீட்டமைக்கப்படும். /etc/resolv.conf மற்றும் /etc/containerd/config.toml போன்ற /etc கோப்பகத்தில் உள்ள கோப்புகளை நேரடியாக மாற்றுவது ஆதரிக்கப்படவில்லை - அமைப்புகளை நிரந்தரமாகச் சேமிக்க, நீங்கள் API ஐப் பயன்படுத்த வேண்டும் அல்லது தனித்தனி கொள்கலன்களுக்கு செயல்பாட்டை நகர்த்த வேண்டும். ரூட் பகிர்வின் ஒருமைப்பாட்டை குறியாக்கவியல் முறையில் சரிபார்க்க dm-verity தொகுதி பயன்படுத்தப்படுகிறது, மேலும் தொகுதி சாதன மட்டத்தில் தரவை மாற்றும் முயற்சி கண்டறியப்பட்டால், கணினி மறுதொடக்கம் செய்யப்படுகிறது.
பெரும்பாலான கணினி கூறுகள் ரஸ்டில் எழுதப்பட்டுள்ளன, இது இலவச நினைவக அணுகல்கள், பூஜ்ய சுட்டிக்காட்டி குறைபாடுகள் மற்றும் இடையக மீறல்களால் ஏற்படும் பாதிப்புகளைத் தவிர்க்க நினைவக-பாதுகாப்பான அம்சங்களை வழங்குகிறது. முன்னிருப்பாக உருவாக்கும்போது, "-enable-default-pie" மற்றும் "-enable-default-ssp" ஆகிய தொகுத்தல் முறைகள் இயங்கக்கூடிய கோப்பு முகவரி இடத்தின் (PIE) சீரற்றமயமாக்கலை இயக்கவும் மற்றும் கேனரி மாற்றீடு மூலம் ஸ்டாக் வழிதல்களுக்கு எதிராகப் பாதுகாப்பை இயக்கவும் பயன்படுத்தப்படுகின்றன. C/C++ இல் எழுதப்பட்ட தொகுப்புகளுக்கு, “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” மற்றும் “-fstack-clash” ஆகிய கொடிகள் கூடுதலாக இருக்கும். செயல்படுத்தப்பட்ட -பாதுகாப்பு".
புதிய வெளியீட்டில்:
- Kubernetes 8க்கான ஆதரவுடன் aws-k1.20s-8 மற்றும் vmware-k1.20s-1.20 ஆகிய இரண்டு புதிய விநியோக விருப்பங்கள் முன்மொழியப்பட்டுள்ளன. இந்த மாறுபாடுகளும், புதுப்பிக்கப்பட்ட பதிப்பு aws-ecs-1, புதிய லினக்ஸ் கர்னல் 5.10 வெளியீட்டைப் பயன்படுத்துகின்றன. லாக்டவுன் பயன்முறை முன்னிருப்பாக "ஒருமைப்பாடு" என அமைக்கப்பட்டுள்ளது (பயனர் இடத்திலிருந்து இயங்கும் கர்னலில் மாற்றங்களைச் செய்ய அனுமதிக்கும் திறன்கள் தடுக்கப்பட்டுள்ளன). Kubernetes 8 அடிப்படையிலான aws-k1.15s-1.15 மாறுபாட்டிற்கான ஆதரவு நிறுத்தப்பட்டது.
- Amazon ECS awsvpc நெட்வொர்க் பயன்முறையை ஆதரிக்கிறது, இது ஒவ்வொரு பணிக்கும் தனித்தனி நெட்வொர்க் இடைமுகங்கள் மற்றும் உள் IP முகவரிகளை ஒதுக்க அனுமதிக்கிறது.
- QPS, பூல் வரம்புகள் மற்றும் AWS தவிர பிற கிளவுட் வழங்குநர்களுடன் இணைக்கும் திறன் உள்ளிட்ட பல்வேறு குபெர்னெட்ஸ் அளவுருக்களைக் கட்டுப்படுத்த அமைப்புகள் சேர்க்கப்பட்டது.
- பூட்ஸ்ட்ராப் கொள்கலன் SELinux ஐப் பயன்படுத்தி பயனர் தரவை அணுகுவதற்கான கட்டுப்பாட்டை வழங்குகிறது.
- resize2fs பயன்பாடு சேர்க்கப்பட்டது.
ஆதாரம்: opennet.ru