Нашри тақсимоти Linux Bottlerocket 1.2.0 дастрас аст, ки бо иштироки Amazon барои ба кор андохтани самаранок ва бехатари контейнерҳои ҷудошуда таҳия шудааст. Асбобҳо ва ҷузъҳои назорати тақсимот дар Rust навишта шудаанд ва таҳти иҷозатномаҳои MIT ва Apache 2.0 паҳн карда мешаванд. Он идора кардани Bottlerocket-ро дар кластерҳои Amazon ECS, VMware ва AWS EKS Kubernetes дастгирӣ мекунад, инчунин сохтани биноҳо ва нашрҳои фармоишӣ, ки ба истифодаи асбобҳои гуногуни оркестрсозӣ ва вақти корӣ барои контейнерҳо имкон медиҳанд, дастгирӣ мекунад.
Тақсим тасвири системаи тақсимнашавандаи ба таври атомӣ ва ба таври худкор навшавандаро таъмин мекунад, ки ядрои Linux ва муҳити ҳадди ақали системаро дар бар мегирад, аз ҷумла танҳо ҷузъҳои зарурӣ барои идора кардани контейнерҳо. Муҳит менеҷери системаи системавӣ, китобхонаи Glibc, асбоби сохтани Buildroot, боркунаки пурборкунандаи GRUB, конфигуратори шабакаи бад, вақти кори контейнер барои контейнерҳои ҷудошуда, платформаи оркестри контейнерии Kubernetes, aws-iam-authenticator ва Amazon -ро дар бар мегирад. Агенти ECS.
Воситаҳои оркестрсозии контейнерҳо дар як контейнери идоракунии алоҳида мавҷуданд, ки бо нобаёнӣ фаъол карда мешаванд ва тавассути API ва AWS SSM Agent идора карда мешаванд. Дар тасвири асосӣ қабати фармонӣ, сервери SSH ва забонҳои тафсиршуда мавҷуд нест (масалан, Python ё Perl нест) - абзорҳои маъмурӣ ва абзорҳои ислоҳкунӣ дар як контейнери хидматрасонии алоҳида ҷойгир карда мешаванд, ки бо нобаёнӣ хомӯш карда мешаванд.
Тафовути калидӣ аз тақсимоти шабеҳ ба монанди Fedora CoreOS, CentOS/Red Hat Atomic Host тамаркузи аввалиндараҷа ба таъмини амнияти ҳадди аксар дар заминаи таҳкими ҳифзи система аз таҳдидҳои эҳтимолӣ мебошад, ки истифодаи осебпазириро дар ҷузъҳои ОС ва афзоиши изолятсияи контейнерро душвортар мекунад. . Контейнерҳо бо истифода аз механизмҳои стандартии ядрои Linux - cgroups, namespaces ва seccomp сохта мешаванд. Барои изолятсияи иловагӣ, тақсимот SELinux-ро дар реҷаи "маҷбуркунӣ" истифода мебарад.
Қисмати реша танҳо барои хондан васл карда мешавад ва қисмати танзимоти /etc дар tmpfs насб карда мешавад ва пас аз бозоғозӣ ба ҳолати аслии худ барқарор карда мешавад. Тағироти мустақими файлҳо дар феҳристи /etc, ба монанди /etc/resolv.conf ва /etc/containerd/config.toml дастгирӣ намешавад - барои ба таври доимӣ нигоҳ доштани танзимот, шумо бояд API-ро истифода баред ё функсияро ба контейнерҳои алоҳида интиқол диҳед. Модули dm-verity барои тасдиқи криптографии якпорчагии қисмати реша истифода мешавад ва агар кӯшиши тағир додани маълумот дар сатҳи дастгоҳи блок ошкор карда шавад, система аз нав оғоз мешавад.
Аксари ҷузъҳои система дар Rust навишта шудаанд, ки хусусиятҳои бехатарии хотираро барои пешгирӣ кардани осебпазирӣ дар натиҷаи дастрасии пас аз хотираи хотира, истинодҳои нул нишондиҳанда ва изофаи буфер таъмин мекунад. Ҳангоми сохтан ба таври нобаёнӣ, усулҳои компиляцияи "-enable-default-pie" ва "-enable-default-ssp" барои имкон додани тасодуфии фазои суроғаи файли иҷрошаванда (PIE) ва муҳофизат аз изофабори стек тавассути ивазкунии кана истифода мешаванд. Барои бастаҳое, ки дар C/C++ навишта шудаанд, парчамҳои “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” ва “-fstack-clash” ба таври иловагӣ ҳастанд. фаъол - муҳофизат".
Дар нашри нав:
- Дастгирии иловашуда барои оинаҳои феҳристи тасвирҳои контейнерӣ.
- Имконияти истифодаи сертификатҳои худ имзошуда илова карда шуд.
- Имконият барои танзими номи мизбон илова карда шудааст.
- Версияи пешфарзии контейнери маъмурӣ нав карда шуд.
- Танзимоти topologyManagerPolicy ва topologyManagerScope барои kubelet илова карда шуд.
- Дастгирии иловашуда барои фишурдани ядро бо истифода аз алгоритми zstd.
- Имконияти бор кардани мошинҳои виртуалӣ ба VMware дар формати OVA (Open Virtualization Format) пешбинӣ шудааст.
- Версияи тақсимоти aws-k8s-1.21 бо дастгирии Kubernetes 1.21 навсозӣ шудааст. Дастгирии aws-k8s-1.16 қатъ карда шуд.
- Версияҳои навшудаи бастаҳо ва вобастагӣ барои забони Rust.
Манбаъ: opennet.ru