Нашри Bottlerocket 1.1, тақсимот дар асоси контейнерҳои ҷудошуда

Нашри тақсимоти Linux Bottlerocket 1.1.0 дастрас аст, ки бо иштироки Amazon барои ба кор андохтани самаранок ва бехатари контейнерҳои ҷудошуда таҳия шудааст. Асбобҳо ва ҷузъҳои назорати тақсимот дар Rust навишта шудаанд ва таҳти иҷозатномаҳои MIT ва Apache 2.0 паҳн карда мешаванд. Он идора кардани Bottlerocket-ро дар кластерҳои Amazon ECS ва AWS EKS Kubernetes, инчунин эҷоди сохтмонҳо ва нашрҳои фармоишӣ, ки имкон медиҳад абзорҳои гуногуни оркестрсозӣ ва вақти корӣ барои контейнерҳоро эҷод кунанд, дастгирӣ мекунад.

Тақсим тасвири системаи тақсимнашавандаи ба таври атомӣ ва ба таври худкор навшавандаро таъмин мекунад, ки ядрои Linux ва муҳити ҳадди ақали системаро дар бар мегирад, аз ҷумла танҳо ҷузъҳои зарурӣ барои идора кардани контейнерҳо. Муҳит менеҷери системаи системавӣ, китобхонаи Glibc, асбоби сохтани Buildroot, боркунаки пурборкунандаи GRUB, конфигуратори шабакаи бад, вақти кори контейнер барои контейнерҳои ҷудошуда, платформаи оркестри контейнерии Kubernetes, aws-iam-authenticator ва Amazon -ро дар бар мегирад. Агенти ECS.

Воситаҳои оркестрсозии контейнерҳо дар як контейнери идоракунии алоҳида мавҷуданд, ки бо нобаёнӣ фаъол карда мешаванд ва тавассути API ва AWS SSM Agent идора карда мешаванд. Дар тасвири асосӣ қабати фармонӣ, сервери SSH ва забонҳои тафсиршуда мавҷуд нест (масалан, Python ё Perl нест) - абзорҳои маъмурӣ ва абзорҳои ислоҳкунӣ дар як контейнери хидматрасонии алоҳида ҷойгир карда мешаванд, ки бо нобаёнӣ хомӯш карда мешаванд.

Тафовути калидӣ аз тақсимоти шабеҳ ба монанди Fedora CoreOS, CentOS/Red Hat Atomic Host тамаркузи аввалиндараҷа ба таъмини амнияти ҳадди аксар дар заминаи таҳкими ҳифзи система аз таҳдидҳои эҳтимолӣ мебошад, ки истифодаи осебпазириро дар ҷузъҳои ОС ва афзоиши изолятсияи контейнерро душвортар мекунад. . Контейнерҳо бо истифода аз механизмҳои стандартии ядрои Linux - cgroups, namespaces ва seccomp сохта мешаванд. Барои изолятсияи иловагӣ, тақсимот SELinux-ро дар реҷаи "маҷбуркунӣ" истифода мебарад.

Қисмати реша танҳо барои хондан васл карда мешавад ва қисмати танзимоти /etc дар tmpfs насб карда мешавад ва пас аз бозоғозӣ ба ҳолати аслии худ барқарор карда мешавад. Тағироти мустақими файлҳо дар феҳристи /etc, ба монанди /etc/resolv.conf ва /etc/containerd/config.toml дастгирӣ намешавад - барои ба таври доимӣ нигоҳ доштани танзимот, шумо бояд API-ро истифода баред ё функсияро ба контейнерҳои алоҳида интиқол диҳед. Модули dm-verity барои тасдиқи криптографии якпорчагии қисмати реша истифода мешавад ва агар кӯшиши тағир додани маълумот дар сатҳи дастгоҳи блок ошкор карда шавад, система аз нав оғоз мешавад.

Аксари ҷузъҳои система дар Rust навишта шудаанд, ки хусусиятҳои бехатарии хотираро барои пешгирӣ кардани осебпазирӣ дар натиҷаи дастрасии пас аз хотираи хотира, истинодҳои нул нишондиҳанда ва изофаи буфер таъмин мекунад. Ҳангоми сохтан ба таври нобаёнӣ, усулҳои компиляцияи "-enable-default-pie" ва "-enable-default-ssp" барои имкон додани тасодуфии фазои суроғаи файли иҷрошаванда (PIE) ва муҳофизат аз изофабори стек тавассути ивазкунии кана истифода мешаванд. Барои бастаҳое, ки дар C/C++ навишта шудаанд, парчамҳои “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” ва “-fstack-clash” ба таври иловагӣ ҳастанд. фаъол - муҳофизат".

Дар нашри нав:

  • Ду варианти нави паҳнкунии aws-k8s-1.20 ва vmware-k8s-1.20 бо дастгирии Kubernetes 1.20 пешниҳод карда шуданд. Ин вариантҳо, инчунин версияи навшудаи aws-ecs-1, версияи нави Linux ядрои 5.10-ро истифода мебаранд. Ҳолати басташавӣ ба таври нобаёнӣ ба "беайбии" муқаррар карда шудааст (имкониятҳое, ки имкон медиҳанд, ки ба ядрои корбар аз фазои корбар тағирот ворид карда шаванд, баста мешаванд). Дастгирии варианти aws-k8s-1.15 дар асоси Kubernetes 1.15 қатъ карда шуд.
  • Amazon ECS режими шабакаи awsvpc -ро дастгирӣ мекунад, ки ба шумо имкон медиҳад интерфейсҳои алоҳидаи шабакавӣ ва суроғаҳои IP-и дохилиро барои ҳар як вазифа ҷудо кунед.
  • Танзимоти иловашуда барои назорати параметрҳои гуногуни Kubernetes, аз ҷумла QPS, маҳдудиятҳои ҳавз ва қобилияти пайвастшавӣ ба провайдерҳои абрии ғайр аз AWS.
  • Контейнери bootstrap маҳдудкунии дастрасӣ ба маълумоти корбарро бо истифода аз SELinux таъмин мекунад.
  • Утилитаи resize2fs илова карда шуд.

Манбаъ: opennet.ru

Илова Эзоҳ