Доступен выпуск Linux-дистрибутива Bottlerocket 1.1.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров.
تقسیم ایک ایٹمی اور خود بخود اپڈیٹ شدہ ناقابل تقسیم نظام کی تصویر فراہم کرتی ہے جس میں لینکس کرنل اور کم سے کم سسٹم ماحول شامل ہوتا ہے جس میں کنٹینرز کو چلانے کے لیے ضروری اجزاء شامل ہوتے ہیں۔ ماحول میں سسٹمڈ سسٹم مینیجر، Glibc لائبریری، Buildroot بلڈ ٹول، GRUB بوٹ لوڈر، ویکڈ نیٹ ورک کنفیگریٹر، کنٹینرڈ الگ تھلگ کنٹینر رن ٹائم، Kubernetes کنٹینر آرکیسٹریشن پلیٹ فارم، aws-iam-authenticator، اور Amazon ECS ایجنٹ شامل ہیں۔ .
کنٹینر آرکیسٹریشن ٹولز ایک علیحدہ مینجمنٹ کنٹینر میں آتے ہیں جو بطور ڈیفالٹ فعال ہوتا ہے اور API اور AWS SSM ایجنٹ کے ذریعے منظم ہوتا ہے۔ بیس امیج میں کمانڈ شیل، ایک SSH سرور، اور تشریح شدہ زبانوں کا فقدان ہے (مثال کے طور پر، کوئی ازگر یا پرل نہیں) - انتظامی اور ڈیبگنگ ٹولز کو ایک علیحدہ سروس کنٹینر میں منتقل کیا جاتا ہے، جو بطور ڈیفالٹ غیر فعال ہوتا ہے۔
Fedora CoreOS، CentOS/Red Hat Atomic Host جیسی تقسیم سے اہم فرق ممکنہ خطرات کے خلاف نظام کے تحفظ کو مضبوط بنانے، OS اجزاء میں کمزوریوں کے استحصال کو پیچیدہ بنانے اور کنٹینر کی تنہائی کو بڑھانے کے تناظر میں زیادہ سے زیادہ تحفظ فراہم کرنے پر بنیادی توجہ ہے۔ کنٹینرز لینکس کرنل کے باقاعدہ میکانزم - cgroups، namespaces اور seccomp کا استعمال کرتے ہوئے بنائے جاتے ہیں۔ اضافی تنہائی کے لیے، تقسیم SELinux کو "انفورسنگ" موڈ میں استعمال کرتی ہے۔
روٹ پارٹیشن کو صرف پڑھنے کے موڈ میں نصب کیا جاتا ہے، اور /etc ترتیبات کے ساتھ پارٹیشن کو tmpfs میں نصب کیا جاتا ہے اور دوبارہ شروع کرنے کے بعد اس کی اصل حالت میں بحال کیا جاتا ہے۔ /etc ڈائریکٹری میں فائلوں کی براہ راست ترمیم، جیسے /etc/resolv.conf اور /etc/containerd/config.toml، تعاون یافتہ نہیں ہے - ترتیبات کو مستقل طور پر محفوظ کرنے کے لیے، آپ کو API کا استعمال کرنا چاہیے یا فعالیت کو الگ کنٹینرز میں منتقل کرنا چاہیے۔ روٹ پارٹیشن کی سالمیت کی کرپٹوگرافک تصدیق کے لیے، dm-verity ماڈیول استعمال کیا جاتا ہے، اور اگر بلاک ڈیوائس کی سطح پر ڈیٹا میں ترمیم کرنے کی کوشش کا پتہ چلا، تو سسٹم دوبارہ شروع ہو جاتا ہے۔
سسٹم کے زیادہ تر اجزاء رسٹ میں لکھے گئے ہیں، جو میموری کے لیے محفوظ ٹولز فراہم کرتا ہے تاکہ میموری کے علاقے کو آزاد ہونے کے بعد اس کو ایڈریس کرنے کی وجہ سے پیدا ہونے والی کمزوریوں سے بچا جا سکے، نال پوائنٹرز کا حوالہ دینا، اور بفر اووررنز۔ تعمیر کرتے وقت، کمپائلیشن موڈز "--enable-default-pie" اور "-enable-default-ssp" بطور ڈیفالٹ استعمال کیے جاتے ہیں تاکہ ایگزیکیوٹیبل ایڈریس اسپیس رینڈمائزیشن (PIE) اور کینری لیبل متبادل کے ذریعے اسٹیک اوور فلو سے تحفظ کو فعال کیا جاسکے۔ C/C++ میں لکھے ہوئے پیکجز کے لیے، "-Wall"، "-Werror=format-security"، "-Wp،-D_FORTIFY_SOURCE=2"، "-Wp،-D_GLIBCXX_ASSERTIONS" اور "-fstack-clash" جھنڈے اضافی ہیں۔ شامل - تحفظ.
نئی ریلیز میں:
- Предложено два новых варианта дистрибутива aws-k8s-1.20 и vmware-k8s-1.20 c поддержкой Kubernetes 1.20. В данных вариантах, а также в обновлённом варианте aws-ecs-1, задействован новый выпуск ядра Linux 5.10. Режим lockdown по умолчанию переведён в значение «integrity» (блокируются возможности, позволяющие вносить изменения в работающее ядро из пространства пользователя). Прекращена поддержка варианта aws-k8s-1.15 на базе Kubernetes 1.15.
- Для Amazon ECS реализована поддержка сетевого режима awsvpc, позволяющего выделять отдельные сетевых интерфейсы и внутренние IP-адреса для каждой задачи.
- Добавлены настройки для управления различными параметрами Kubernetes, включая QPS, лимиты на пулы и возможность подключения к облачным провайдерам, отличным от AWS.
- В bootstrap-контейнере обеспечено ограничение доступа к данным пользователя при помощи SELinux.
- Добавлена утилита resize2fs.
ماخذ: opennet.ru