Linux விநியோகம் Bottlerocket 1.2.0 வெளியீடு கிடைக்கிறது, தனிமைப்படுத்தப்பட்ட கொள்கலன்களின் திறமையான மற்றும் பாதுகாப்பான வெளியீட்டிற்காக Amazon பங்கேற்புடன் உருவாக்கப்பட்டது. விநியோகத்தின் கருவிகள் மற்றும் கட்டுப்பாட்டு கூறுகள் ரஸ்டில் எழுதப்பட்டு MIT மற்றும் Apache 2.0 உரிமங்களின் கீழ் விநியோகிக்கப்படுகின்றன. இது Amazon ECS, VMware மற்றும் AWS EKS குபெர்னெட்ஸ் கிளஸ்டர்களில் Bottlerocket இயங்குவதை ஆதரிக்கிறது, அத்துடன் கன்டெய்னர்களுக்கான பல்வேறு ஆர்கெஸ்ட்ரேஷன் மற்றும் ரன்டைம் கருவிகளைப் பயன்படுத்த அனுமதிக்கும் தனிப்பயன் உருவாக்கங்கள் மற்றும் பதிப்புகளை உருவாக்குகிறது.
விநியோகமானது அணு மற்றும் தானாக புதுப்பிக்கப்பட்ட பிரிக்க முடியாத கணினி படத்தை வழங்குகிறது, இதில் லினக்ஸ் கர்னல் மற்றும் குறைந்தபட்ச கணினி சூழல், கொள்கலன்களை இயக்க தேவையான கூறுகள் மட்டுமே அடங்கும். சுற்றுச்சூழலில் systemd சிஸ்டம் மேனேஜர், Glibc லைப்ரரி, பில்ட்ரூட் பில்ட் டூல், GRUB பூட் லோடர், தீய நெட்வொர்க் கன்ஃபிகரேட்டர், தனிமைப்படுத்தப்பட்ட கொள்கலன்களுக்கான கொள்கலன் இயக்க நேரம், Kubernetes கொள்கலன் ஆர்கெஸ்ட்ரேஷன் தளம், aws-iam-authenticator மற்றும் Amazon ஆகியவை அடங்கும். ECS முகவர்.
கொள்கலன் ஆர்கெஸ்ட்ரேஷன் கருவிகள் ஒரு தனி மேலாண்மை கொள்கலனில் வருகின்றன, அவை இயல்பாகவே இயக்கப்பட்டு API மற்றும் AWS SSM முகவர் மூலம் நிர்வகிக்கப்படும். அடிப்படை படத்தில் கட்டளை ஷெல், SSH சேவையகம் மற்றும் விளக்கப்பட்ட மொழிகள் இல்லை (எடுத்துக்காட்டாக, பைதான் அல்லது பெர்ல் இல்லை) - நிர்வாக கருவிகள் மற்றும் பிழைத்திருத்த கருவிகள் ஒரு தனி சேவை கொள்கலனில் வைக்கப்படுகின்றன, இது இயல்பாகவே முடக்கப்பட்டுள்ளது.
Fedora CoreOS, CentOS/Red Hat Atomic Host போன்ற ஒத்த விநியோகங்களில் இருந்து முக்கிய வேறுபாடு சாத்தியமான அச்சுறுத்தல்களிலிருந்து கணினி பாதுகாப்பை வலுப்படுத்தும் சூழலில் அதிகபட்ச பாதுகாப்பை வழங்குவதில் முதன்மை கவனம் செலுத்துகிறது, இது OS கூறுகளில் உள்ள பாதிப்புகளை சுரண்டுவது கடினமாகிறது மற்றும் கொள்கலன் தனிமைப்படுத்தலை அதிகரிக்கிறது. . நிலையான லினக்ஸ் கர்னல் வழிமுறைகளைப் பயன்படுத்தி கொள்கலன்கள் உருவாக்கப்படுகின்றன - cgroups, namespaces மற்றும் seccomp. கூடுதல் தனிமைப்படுத்தலுக்கு, விநியோகமானது "செயல்படுத்துதல்" முறையில் SELinux ஐப் பயன்படுத்துகிறது.
ரூட் பகிர்வு படிக்க-மட்டும் ஏற்றப்பட்டுள்ளது, மேலும் /etc அமைப்புகள் பகிர்வு tmpfs இல் ஏற்றப்பட்டு மறுதொடக்கத்திற்குப் பிறகு அதன் அசல் நிலைக்கு மீட்டமைக்கப்படும். /etc/resolv.conf மற்றும் /etc/containerd/config.toml போன்ற /etc கோப்பகத்தில் உள்ள கோப்புகளை நேரடியாக மாற்றுவது ஆதரிக்கப்படவில்லை - அமைப்புகளை நிரந்தரமாகச் சேமிக்க, நீங்கள் API ஐப் பயன்படுத்த வேண்டும் அல்லது தனித்தனி கொள்கலன்களுக்கு செயல்பாட்டை நகர்த்த வேண்டும். ரூட் பகிர்வின் ஒருமைப்பாட்டை குறியாக்கவியல் முறையில் சரிபார்க்க dm-verity தொகுதி பயன்படுத்தப்படுகிறது, மேலும் தொகுதி சாதன மட்டத்தில் தரவை மாற்றும் முயற்சி கண்டறியப்பட்டால், கணினி மறுதொடக்கம் செய்யப்படுகிறது.
பெரும்பாலான கணினி கூறுகள் ரஸ்டில் எழுதப்பட்டுள்ளன, இது இலவச நினைவக அணுகல்கள், பூஜ்ய சுட்டிக்காட்டி குறைபாடுகள் மற்றும் இடையக மீறல்களால் ஏற்படும் பாதிப்புகளைத் தவிர்க்க நினைவக-பாதுகாப்பான அம்சங்களை வழங்குகிறது. முன்னிருப்பாக உருவாக்கும்போது, "-enable-default-pie" மற்றும் "-enable-default-ssp" ஆகிய தொகுத்தல் முறைகள் இயங்கக்கூடிய கோப்பு முகவரி இடத்தின் (PIE) சீரற்றமயமாக்கலை இயக்கவும் மற்றும் கேனரி மாற்றீடு மூலம் ஸ்டாக் வழிதல்களுக்கு எதிராகப் பாதுகாப்பை இயக்கவும் பயன்படுத்தப்படுகின்றன. C/C++ இல் எழுதப்பட்ட தொகுப்புகளுக்கு, “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” மற்றும் “-fstack-clash” ஆகிய கொடிகள் கூடுதலாக இருக்கும். செயல்படுத்தப்பட்ட -பாதுகாப்பு".
புதிய வெளியீட்டில்:
- கொள்கலன் பட பதிவேடு கண்ணாடிகளுக்கான ஆதரவு சேர்க்கப்பட்டது.
- சுய கையொப்பமிடப்பட்ட சான்றிதழ்களைப் பயன்படுத்தும் திறன் சேர்க்கப்பட்டது.
- ஹோஸ்ட்பெயரை உள்ளமைக்க விருப்பம் சேர்க்கப்பட்டது.
- நிர்வாக கொள்கலனின் இயல்புநிலை பதிப்பு புதுப்பிக்கப்பட்டது.
- குபெலெட்டிற்கான இடவியல் மேலாளர் கொள்கை மற்றும் இடவியல் மேலாளர் ஸ்கோப் அமைப்புகள் சேர்க்கப்பட்டது.
- zstd அல்காரிதத்தைப் பயன்படுத்தி கர்னல் சுருக்கத்திற்கான ஆதரவு சேர்க்கப்பட்டது.
- OVA (திறந்த மெய்நிகராக்க வடிவமைப்பு) வடிவத்தில் மெய்நிகர் இயந்திரங்களை VMware இல் ஏற்றும் திறன் வழங்கப்படுகிறது.
- விநியோகப் பதிப்பு aws-k8s-1.21 ஆனது Kubernetes 1.21க்கான ஆதரவுடன் புதுப்பிக்கப்பட்டது. aws-k8s-1.16க்கான ஆதரவு நிறுத்தப்பட்டது.
- ரஸ்ட் மொழிக்கான புதுப்பிக்கப்பட்ட தொகுப்பு பதிப்புகள் மற்றும் சார்புகள்.
ஆதாரம்: opennet.ru