Bottlerocket 1.7.0 Linux పంపిణీ యొక్క విడుదల ప్రచురించబడింది, వివిక్త కంటైనర్లను సమర్థవంతంగా మరియు సురక్షితంగా అమలు చేయడానికి Amazon భాగస్వామ్యంతో అభివృద్ధి చేయబడింది. పంపిణీ యొక్క టూల్కిట్ మరియు నియంత్రణ భాగాలు రస్ట్లో వ్రాయబడ్డాయి మరియు MIT మరియు Apache 2.0 లైసెన్స్ల క్రింద పంపిణీ చేయబడ్డాయి. ఇది Amazon ECS, VMware మరియు AWS EKS కుబెర్నెటెస్ క్లస్టర్లలో బాటిల్రాకెట్ను అమలు చేయడానికి మద్దతు ఇస్తుంది, అలాగే కంటైనర్ల కోసం విభిన్న ఆర్కెస్ట్రేషన్ మరియు రన్టైమ్ సాధనాలను అనుమతించే అనుకూల బిల్డ్లు మరియు ఎడిషన్లను సృష్టిస్తుంది.
పంపిణీ Linux కెర్నల్ను కలిగి ఉన్న పరమాణుపరంగా మరియు స్వయంచాలకంగా నవీకరించబడిన అవిభాజ్య సిస్టమ్ ఇమేజ్ను అందిస్తుంది మరియు కంటైనర్లను అమలు చేయడానికి అవసరమైన భాగాలను మాత్రమే కలిగి ఉండే కనిష్ట సిస్టమ్ వాతావరణాన్ని అందిస్తుంది. పర్యావరణంలో systemd సిస్టమ్ మేనేజర్, Glibc లైబ్రరీ, బిల్డ్రూట్ బిల్డ్ టూల్, GRUB బూట్లోడర్, వికెడ్ నెట్వర్క్ కాన్ఫిగరేటర్, కంటైనర్ ఐసోలేటెడ్ కంటైనర్ రన్టైమ్, కుబెర్నెట్స్ కంటైనర్ ఆర్కెస్ట్రేషన్ ప్లాట్ఫాం, aws-iam-authenticator మరియు Amazon ECS ఏజెంట్ ఉన్నాయి. .
కంటైనర్ ఆర్కెస్ట్రేషన్ సాధనాలు డిఫాల్ట్గా ప్రారంభించబడిన ప్రత్యేక నిర్వహణ కంటైనర్లో వస్తాయి మరియు API మరియు AWS SSM ఏజెంట్ ద్వారా నిర్వహించబడతాయి. బేస్ ఇమేజ్లో కమాండ్ షెల్, SSH సర్వర్ మరియు అన్వయించబడిన భాషలు లేవు (ఉదాహరణకు, పైథాన్ లేదా పెర్ల్ లేవు) - అడ్మినిస్ట్రేటివ్ మరియు డీబగ్గింగ్ సాధనాలు ప్రత్యేక సేవా కంటైనర్కు తరలించబడతాయి, ఇది డిఫాల్ట్గా నిలిపివేయబడుతుంది.
Fedora CoreOS, CentOS/Red Hat అటామిక్ హోస్ట్ వంటి సారూప్య పంపిణీల నుండి కీలకమైన తేడా ఏమిటంటే, సాధ్యమయ్యే బెదిరింపుల నుండి సిస్టమ్ రక్షణను బలోపేతం చేయడం, OS భాగాలలో దుర్బలత్వాల దోపిడీని క్లిష్టతరం చేయడం మరియు కంటైనర్ ఐసోలేషన్ను పెంచే సందర్భంలో గరిష్ట భద్రతను అందించడంపై ప్రాథమిక దృష్టి. Linux కెర్నల్ యొక్క సాధారణ మెకానిజమ్స్ ఉపయోగించి కంటైనర్లు సృష్టించబడతాయి - cgroups, namespaces మరియు seccomp. అదనపు ఐసోలేషన్ కోసం, పంపిణీ SELinuxని "అమలు" మోడ్లో ఉపయోగిస్తుంది.
రూట్ విభజన రీడ్-ఓన్లీ మోడ్లో మౌంట్ చేయబడింది మరియు /etc సెట్టింగ్లతో విభజన tmpfsలో మౌంట్ చేయబడుతుంది మరియు పునఃప్రారంభించిన తర్వాత దాని అసలు స్థితికి పునరుద్ధరించబడుతుంది. /etc/resolv.conf మరియు /etc/containerd/config.toml వంటి /etc డైరెక్టరీలోని ఫైల్ల ప్రత్యక్ష సవరణకు మద్దతు లేదు - సెట్టింగ్లను శాశ్వతంగా సేవ్ చేయడానికి, మీరు APIని ఉపయోగించాలి లేదా ప్రత్యేక కంటైనర్లకు కార్యాచరణను తరలించాలి. రూట్ విభజన యొక్క సమగ్రత యొక్క క్రిప్టోగ్రాఫిక్ ధృవీకరణ కోసం, dm-వెరిటీ మాడ్యూల్ ఉపయోగించబడుతుంది మరియు బ్లాక్ పరికర స్థాయిలో డేటాను సవరించే ప్రయత్నం కనుగొనబడితే, సిస్టమ్ రీబూట్ అవుతుంది.
చాలా సిస్టమ్ భాగాలు రస్ట్లో వ్రాయబడ్డాయి, ఇది మెమరీ ప్రాంతాన్ని విముక్తి పొందిన తర్వాత పరిష్కరించడం, శూన్య పాయింటర్లను తొలగించడం మరియు బఫర్ ఓవర్రన్ల వల్ల కలిగే హానిని నివారించడానికి మెమరీ-సురక్షిత సాధనాలను అందిస్తుంది. నిర్మించేటప్పుడు, ఎక్జిక్యూటబుల్ ఫైల్స్ (PIE) యొక్క అడ్రస్ స్పేస్ రాండమైజేషన్ మరియు కానరీ లేబుల్ ప్రత్యామ్నాయం ద్వారా స్టాక్ ఓవర్ఫ్లోల నుండి రక్షణను ప్రారంభించడానికి "--enable-default-pie" మరియు "--enable-default-ssp" కంపైలేషన్ మోడ్లు డిఫాల్ట్గా ఉపయోగించబడతాయి. C/C++లో వ్రాసిన ప్యాకేజీల కోసం, "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" మరియు "-fstack-clash" ఫ్లాగ్లు అదనంగా ఉంటాయి. చేర్చబడింది - రక్షణ.
కొత్త విడుదలలో:
- При установке RPM-пакетов обеспечена генерации списка программ в формате JSON и монтирование его в host-контейнер как файл /var/lib/bottlerocket/inventory/application.json для получения информации о доступных пакетах.
- Обновлены контейнеры «admin» и «control».
- Обновлены версии пакетов и зависимости для языков Go и Rust.
- Обновлены версии пакетов со сторонними программами.
- Решены проблемы с конфигурацией tmpfilesd для kmod-5.10-nvidia.
- При установке tuftool обеспечена привязка версий зависимостей.
మూలం: opennet.ru