Bottlerocket 1.8 دستیاب ہے، الگ تھلگ کنٹینرز پر مبنی تقسیم

Bottlerocket 1.8.0 Linux ڈسٹری بیوشن کا اجراء شائع کیا گیا ہے، جسے ایمیزون کی شراکت سے تیار کیا گیا ہے تاکہ الگ تھلگ کنٹینرز کو مؤثر طریقے سے اور محفوظ طریقے سے چلایا جا سکے۔ تقسیم کے ٹول کٹ اور کنٹرول اجزاء زنگ میں لکھے گئے ہیں اور MIT اور Apache 2.0 لائسنس کے تحت تقسیم کیے گئے ہیں۔ یہ Amazon ECS، VMware، اور AWS EKS Kubernetes کلسٹرز پر Bottlerocket چلانے کے ساتھ ساتھ اپنی مرضی کے مطابق تعمیرات اور ایڈیشنز بنانے کی حمایت کرتا ہے جو کنٹینرز کے لیے مختلف آرکیسٹریشن اور رن ٹائم ٹولز کی اجازت دیتے ہیں۔

تقسیم ایک ایٹمی اور خود بخود اپڈیٹ شدہ ناقابل تقسیم نظام کی تصویر فراہم کرتی ہے جس میں لینکس کرنل اور کم سے کم سسٹم ماحول شامل ہوتا ہے جس میں کنٹینرز کو چلانے کے لیے ضروری اجزاء شامل ہوتے ہیں۔ ماحول میں سسٹمڈ سسٹم مینیجر، Glibc لائبریری، Buildroot بلڈ ٹول، GRUB بوٹ لوڈر، ویکڈ نیٹ ورک کنفیگریٹر، کنٹینرڈ الگ تھلگ کنٹینر رن ٹائم، Kubernetes کنٹینر آرکیسٹریشن پلیٹ فارم، aws-iam-authenticator، اور Amazon ECS ایجنٹ شامل ہیں۔ .

کنٹینر آرکیسٹریشن ٹولز ایک علیحدہ مینجمنٹ کنٹینر میں آتے ہیں جو بطور ڈیفالٹ فعال ہوتا ہے اور API اور AWS SSM ایجنٹ کے ذریعے منظم ہوتا ہے۔ بیس امیج میں کمانڈ شیل، ایک SSH سرور، اور تشریح شدہ زبانوں کا فقدان ہے (مثال کے طور پر، کوئی ازگر یا پرل نہیں) - انتظامی اور ڈیبگنگ ٹولز کو ایک علیحدہ سروس کنٹینر میں منتقل کیا جاتا ہے، جو بطور ڈیفالٹ غیر فعال ہوتا ہے۔

Fedora CoreOS، CentOS/Red Hat Atomic Host جیسی تقسیم سے اہم فرق ممکنہ خطرات کے خلاف نظام کے تحفظ کو مضبوط بنانے، OS اجزاء میں کمزوریوں کے استحصال کو پیچیدہ بنانے اور کنٹینر کی تنہائی کو بڑھانے کے تناظر میں زیادہ سے زیادہ تحفظ فراہم کرنے پر بنیادی توجہ ہے۔ کنٹینرز لینکس کرنل کے باقاعدہ میکانزم - cgroups، namespaces اور seccomp کا استعمال کرتے ہوئے بنائے جاتے ہیں۔ اضافی تنہائی کے لیے، تقسیم SELinux کو "انفورسنگ" موڈ میں استعمال کرتی ہے۔

روٹ پارٹیشن کو صرف پڑھنے کے موڈ میں نصب کیا جاتا ہے، اور /etc ترتیبات کے ساتھ پارٹیشن کو tmpfs میں نصب کیا جاتا ہے اور دوبارہ شروع کرنے کے بعد اس کی اصل حالت میں بحال کیا جاتا ہے۔ /etc ڈائریکٹری میں فائلوں کی براہ راست ترمیم، جیسے /etc/resolv.conf اور /etc/containerd/config.toml، تعاون یافتہ نہیں ہے - ترتیبات کو مستقل طور پر محفوظ کرنے کے لیے، آپ کو API کا استعمال کرنا چاہیے یا فعالیت کو الگ کنٹینرز میں منتقل کرنا چاہیے۔ روٹ پارٹیشن کی سالمیت کی کرپٹوگرافک تصدیق کے لیے، dm-verity ماڈیول استعمال کیا جاتا ہے، اور اگر بلاک ڈیوائس کی سطح پر ڈیٹا میں ترمیم کرنے کی کوشش کا پتہ چلا، تو سسٹم دوبارہ شروع ہو جاتا ہے۔

سسٹم کے زیادہ تر اجزاء رسٹ میں لکھے گئے ہیں، جو میموری کے لیے محفوظ ٹولز فراہم کرتا ہے تاکہ میموری کے علاقے کو آزاد ہونے کے بعد اس کو ایڈریس کرنے کی وجہ سے پیدا ہونے والی کمزوریوں سے بچا جا سکے، نال پوائنٹرز کا حوالہ دینا، اور بفر اووررنز۔ تعمیر کرتے وقت، کمپائلیشن موڈز "--enable-default-pie" اور "-enable-default-ssp" بطور ڈیفالٹ استعمال کیے جاتے ہیں تاکہ ایگزیکیوٹیبل ایڈریس اسپیس رینڈمائزیشن (PIE) اور کینری لیبل متبادل کے ذریعے اسٹیک اوور فلو سے تحفظ کو فعال کیا جاسکے۔ C/C++ میں لکھے ہوئے پیکجز کے لیے، "-Wall"، "-Werror=format-security"، "-Wp،-D_FORTIFY_SOURCE=2"، "-Wp،-D_GLIBCXX_ASSERTIONS" اور "-fstack-clash" جھنڈے اضافی ہیں۔ شامل - تحفظ.

نئی ریلیز میں:

  • انتظامی اور کنٹرول کنٹینرز کے مواد کو اپ ڈیٹ کر دیا گیا ہے۔
  • الگ تھلگ کنٹینرز کے رن ٹائم کو کنٹینرڈ 1.6.x برانچ میں اپ ڈیٹ کر دیا گیا ہے۔
  • کنٹینرز کے کام کو مربوط کرنے والے پس منظر کے عمل سرٹیفکیٹ اسٹور میں تبدیلیوں کے بعد دوبارہ شروع ہوتے ہیں۔
  • بوٹ کنفیگریشن سیکشن کے ذریعے کرنل کے بوٹ پیرامیٹرز کو سیٹ کرنے کی صلاحیت فراہم کی گئی ہے۔
  • dm-verity کا استعمال کرتے ہوئے روٹ پارٹیشن کی سالمیت کی جانچ کرتے وقت خالی بلاکس کو نظر انداز کرنے کو فعال کیا گیا۔
  • /etc/hosts میں میزبان ناموں کو مستحکم طور پر باندھنے کی صلاحیت فراہم کی۔
  • نیٹ ڈاگ یوٹیلیٹی کا استعمال کرتے ہوئے نیٹ ورک کنفیگریشن تیار کرنے کی صلاحیت فراہم کی گئی ہے (generate-net-config کمانڈ شامل کر دی گئی ہے)۔
  • Kubernetes 1.23 کی حمایت کے ساتھ تقسیم کے نئے اختیارات تجویز کیے گئے ہیں۔ configMapAndSecretChangeDetectionStrategy وضع کو غیر فعال کر کے Kubernetes میں پوڈز کے لیے شروع ہونے کا وقت کم کر دیا گیا۔ کوبیلیٹ کی نئی ترتیبات شامل کی گئیں: فراہم کنندہ-id اور podPidsLimit۔
  • Amazon Elastic Container Service (Amazon ECS) کے لیے ایک نئی 'aws-ecs-1-nvidia' تقسیم تجویز کی گئی ہے اور NVIDIA ڈرائیورز کے ساتھ آتی ہے۔
  • Microchip Smart Storage اور MegaRAID SAS سٹوریج ڈیوائسز کے لیے شامل کردہ تعاون۔ براڈ کام چپس پر مبنی ایتھرنیٹ کارڈز کے لیے توسیعی تعاون۔
  • Go اور Rust زبانوں کے لیے پیکجز اور انحصار کے اپ ڈیٹ کردہ ورژن، نیز تھرڈ پارٹی پروگرام والے پیکجز کے ورژن۔ Bottlerocket SDK کو ورژن 0.26.0 میں اپ ڈیٹ کر دیا گیا ہے۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں