Шумора нашр шудааст LinuxBottlerocket 1.7.0, як дистрибутсия, ки бо шарикии Amazon таҳия шудааст, барои самаранок ва бехатар кор кардани контейнерҳои ҷудогона тарҳрезӣ шудааст. Ҷузъҳои асбобҳо ва идоракунии дистрибутсия бо забони Rust навишта шудаанд ва тибқи иҷозатномаҳои MIT ва Apache 2.0 иҷозатнома доранд. Bottlerocket дар кластерҳои Amazon ECS, VMware ва AWS EKS Kubernetes кор мекунад, инчунин сохторҳо ва нашрҳои фармоиширо, ки истифодаи оркестратсияи гуногуни контейнерҳо ва асбобҳои иҷрошавандаро дастгирӣ мекунанд, дастгирӣ мекунад.
Ин тақсимот тасвири системаи тақсимнашавандаи атомӣ ва ба таври худкор навсозишударо, аз ҷумла ядроро, таъмин мекунад. Linux ва муҳити ҳадди ақали система, аз ҷумла танҳо ҷузъҳои зарурӣ барои иҷро кардани контейнерҳо. Ин муҳит мудири системаи systemd, китобхонаи Glibc, занҷири асбобҳои сохтани Buildroot, боркунаки GRUB, конфигуратори шабакаи wicked, вақти иҷрои контейнер барои контейнерҳои ҷудошуда, платформаи оркестратсияи контейнерҳои Kubernetes, аутентификатори aws-iam-authenticator ва агенти Amazon ECS-ро дар бар мегирад.
Асбобҳои оркестратсияи контейнер дар контейнери алоҳидаи идоракунӣ интиқол дода мешаванд, ки бо нобаёнӣ фаъол аст ва тавассути API ва AWS SSM Agent идора карда мешавад. Тасвири асосӣ қабати фармонро дар бар намегирад. сервер SSH ва забонҳои тафсиршуда (масалан, бе Python ё Perl) - абзорҳои администратор ва ислоҳи хатогиҳо дар як контейнери алоҳидаи хидматрасонӣ ҷойгиранд, ки бо нобаёнӣ ғайрифаъол аст.
Фарқи асосии он аз тақсимоти монанд ба монанди Fedora CoreOS аст. CentOSRed Hat Atomic Host асосан ба таъмини амнияти ҳадди аксар тавассути тақвияти ҳифзи система аз таҳдидҳои эҳтимолӣ, мураккаб кардани истифодаи осебпазириҳо дар ҷузъҳои системаи амалиётӣ ва афзоиши изолятсияи контейнер нигаронида шудааст. Контейнерҳо бо истифода аз механизмҳои аслии ядро сохта мешаванд. Linux — cgroups, namespaces ва seccomp. Барои изолятсияи иловагӣ, тақсимот аз SE истифода мебарад.Linux дар ҳолати "иҷро".
Қисмати реша танҳо барои хондан васл карда мешавад ва қисмати танзимоти /etc дар tmpfs насб карда мешавад ва пас аз бозоғозӣ ба ҳолати аслии худ барқарор карда мешавад. Тағироти мустақими файлҳо дар феҳристи /etc, ба монанди /etc/resolv.conf ва /etc/containerd/config.toml дастгирӣ намешавад - барои ба таври доимӣ нигоҳ доштани танзимот, шумо бояд API-ро истифода баред ё функсияро ба контейнерҳои алоҳида интиқол диҳед. Модули dm-verity барои тасдиқи криптографии якпорчагии қисмати реша истифода мешавад ва агар кӯшиши тағир додани маълумот дар сатҳи дастгоҳи блок ошкор карда шавад, система аз нав оғоз мешавад.
Аксари ҷузъҳои система дар Rust навишта шудаанд, ки хусусиятҳои бехатарии хотираро барои пешгирӣ кардани осебпазирӣ дар натиҷаи дастрасии пас аз хотираи хотира, истинодҳои нул нишондиҳанда ва изофаи буфер таъмин мекунад. Ҳангоми сохтан ба таври нобаёнӣ, усулҳои компиляцияи "-enable-default-pie" ва "-enable-default-ssp" барои имкон додани тасодуфии фазои суроғаи файли иҷрошаванда (PIE) ва муҳофизат аз изофабори стек тавассути ивазкунии кана истифода мешаванд. Барои бастаҳое, ки дар C/C++ навишта шудаанд, парчамҳои “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” ва “-fstack-clash” ба таври иловагӣ ҳастанд. фаъол - муҳофизат".
Дар нашри нав:
- Ҳангоми насб кардани бастаҳои RPM, рӯйхати барномаҳо дар формати JSON тавлид мешавад ва дар контейнери хост ҳамчун файли /var/lib/bottlerocket/inventory/application.json барои гирифтани маълумот дар бораи бастаҳои мавҷуда насб карда мешавад.
- Контейнерҳои "admin" ва "control" навсозӣ карда шуданд.
- Версияҳо ва вобастагиҳои бастаҳо барои Go ва Rust навсозӣ шудаанд.
- Версияҳои навшудаи бастаҳо бо барномаҳои тарафи сеюм.
- Масъалаҳои конфигуратсияи tmpfilesd барои kmod-5.10-nvidia ислоҳ карда шуданд.
- Ҳангоми насб кардани tuftool, версияҳои вобастагӣ пайваст карда мешаванд.
Манбаъ: opennet.ru
