అమెజాన్ అంకితమైన Linux పంపిణీ యొక్క మొదటి ముఖ్యమైన విడుదల , వివిక్త కంటైనర్లను సమర్థవంతంగా మరియు సురక్షితంగా అమలు చేయడానికి రూపొందించబడింది. పంపిణీ సాధనాలు మరియు నియంత్రణ భాగాలు రస్ట్ మరియు లో వ్రాయబడ్డాయి MIT మరియు Apache 2.0 లైసెన్స్ల క్రింద. ప్రాజెక్ట్ GitHubలో అభివృద్ధి చేయబడుతోంది మరియు సంఘం సభ్యుల భాగస్వామ్యం కోసం అందుబాటులో ఉంది. సిస్టమ్ డిప్లాయ్మెంట్ ఇమేజ్ x86_64 మరియు Aarch64 ఆర్కిటెక్చర్ల కోసం రూపొందించబడింది. OS అమెజాన్ ECS మరియు AWS EKS కుబెర్నెటెస్ క్లస్టర్లలో రన్ అయ్యేలా మార్చబడింది. ఇతర ఆర్కెస్ట్రేషన్ సాధనాలు, కెర్నలు మరియు కంటైనర్ల కోసం రన్టైమ్లను ఉపయోగించే మీ స్వంత అసెంబ్లీలు మరియు ఎడిషన్లను రూపొందించడానికి సాధనాలు.
పంపిణీ Linux కెర్నల్ను మరియు కంటెయినర్లను అమలు చేయడానికి అవసరమైన భాగాలతో సహా కనీస సిస్టమ్ వాతావరణాన్ని అందిస్తుంది. ప్రాజెక్ట్లో పాల్గొన్న ప్యాకేజీలలో సిస్టమ్ మేనేజర్ systemd, Glibc లైబ్రరీ మరియు అసెంబ్లీ సాధనాలు ఉన్నాయి.
బిల్డ్రూట్, GRUB బూట్లోడర్, నెట్వర్క్ కాన్ఫిగరేటర్ , వివిక్త కంటైనర్ల కోసం రన్టైమ్ , Kubernetes కంటైనర్ ఆర్కెస్ట్రేషన్ ప్లాట్ఫారమ్, aws-iam-authenticator మరియు Amazon ECS ఏజెంట్.
పంపిణీ పరమాణుపరంగా నవీకరించబడింది మరియు అవిభాజ్య సిస్టమ్ ఇమేజ్ రూపంలో పంపిణీ చేయబడుతుంది. సిస్టమ్ కోసం రెండు డిస్క్ విభజనలు కేటాయించబడ్డాయి, వాటిలో ఒకటి క్రియాశీల వ్యవస్థను కలిగి ఉంటుంది మరియు నవీకరణ రెండవదానికి కాపీ చేయబడుతుంది. నవీకరణ అమలు చేయబడిన తర్వాత, రెండవ విభజన సక్రియం అవుతుంది మరియు మొదటిది, తదుపరి నవీకరణ వచ్చే వరకు, సిస్టమ్ యొక్క మునుపటి సంస్కరణ సేవ్ చేయబడుతుంది, సమస్యలు తలెత్తితే మీరు వెనక్కి వెళ్లవచ్చు. అడ్మినిస్ట్రేటర్ జోక్యం లేకుండా అప్డేట్లు స్వయంచాలకంగా ఇన్స్టాల్ చేయబడతాయి.
Fedora CoreOS, CentOS/Red Hat అటామిక్ హోస్ట్ వంటి సారూప్య పంపిణీల నుండి ప్రధాన వ్యత్యాసం అందించడంపై ప్రాథమిక దృష్టి. సాధ్యమయ్యే బెదిరింపుల నుండి సిస్టమ్ రక్షణను బలోపేతం చేసే సందర్భంలో, OS భాగాలలో దుర్బలత్వాలను ఉపయోగించడం మరియు కంటైనర్ల ఐసోలేషన్ను మరింత కష్టతరం చేయడం. Cgroups, namespaces మరియు seccomp - ప్రామాణిక Linux కెర్నల్ మెకానిజమ్స్ ఉపయోగించి కంటైనర్లు సృష్టించబడతాయి. అదనపు ఐసోలేషన్ కోసం, పంపిణీ SELinux ను "అమలు చేసే" మోడ్లో ఉపయోగిస్తుంది మరియు మాడ్యూల్ రూట్ విభజన యొక్క సమగ్రత యొక్క క్రిప్టోగ్రాఫిక్ ధృవీకరణ కోసం ఉపయోగించబడుతుంది. . బ్లాక్ పరికర స్థాయిలో డేటాను సవరించే ప్రయత్నం కనుగొనబడితే, సిస్టమ్ రీబూట్ అవుతుంది.
రూట్ విభజన చదవడానికి మాత్రమే మౌంట్ చేయబడింది, మరియు /etc సెట్టింగ్ల విభజన tmpfsలో మౌంట్ చేయబడుతుంది మరియు పునఃప్రారంభించిన తర్వాత దాని అసలు స్థితికి పునరుద్ధరించబడుతుంది. /etc/resolv.conf మరియు /etc/containerd/config.toml వంటి /etc డైరెక్టరీలోని ఫైల్ల ప్రత్యక్ష సవరణకు మద్దతు లేదు - సెట్టింగ్లను శాశ్వతంగా సేవ్ చేయడానికి, మీరు తప్పనిసరిగా APIని ఉపయోగించాలి లేదా కార్యాచరణను ప్రత్యేక కంటైనర్లలోకి తరలించాలి.
చాలా సిస్టమ్ భాగాలు రస్ట్లో వ్రాయబడ్డాయి, ఇది ఫ్రీ-ఫ్రీ మెమరీ యాక్సెస్లు, శూన్య పాయింటర్ డెరిఫరెన్స్లు మరియు బఫర్ ఓవర్రన్ల వల్ల కలిగే హానిని నివారించడానికి మెమరీ-సేఫ్ ఫీచర్లను అందిస్తుంది. డిఫాల్ట్గా నిర్మించేటప్పుడు, ఎక్జిక్యూటబుల్ ఫైల్ల చిరునామా స్థలం యొక్క యాదృచ్ఛికీకరణను ప్రారంభించడానికి “--enable-default-pie” మరియు “--enable-default-ssp” కంపైలేషన్ మోడ్లు ఉపయోగించబడతాయి () మరియు కానరీ ప్రత్యామ్నాయం ద్వారా ఓవర్ఫ్లో రక్షణను స్టాక్ చేయండి.
C/C++లో వ్రాసిన ప్యాకేజీల కోసం, అదనపు ఫ్లాగ్లు చేర్చబడ్డాయి
"-వాల్", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" మరియు "-fstack-clash-protection".
కంటైనర్ ఆర్కెస్ట్రేషన్ సాధనాలు విడిగా సరఫరా చేయబడతాయి , ఇది డిఫాల్ట్గా ప్రారంభించబడుతుంది మరియు ద్వారా నియంత్రించబడుతుంది మరియు AWS SSM ఏజెంట్. బేస్ ఇమేజ్లో కమాండ్ షెల్, SSH సర్వర్ మరియు అన్వయించబడిన భాషలు లేవు (ఉదాహరణకు, పైథాన్ లేదా పెర్ల్ లేదు) - అడ్మినిస్ట్రేటివ్ టూల్స్ మరియు డీబగ్గింగ్ టూల్స్ ఉన్నాయి , ఇది డిఫాల్ట్గా నిలిపివేయబడింది.
మూలం: opennet.ru