Bản phát hành đã có sẵn. LinuxBottlerocket 1.1.0 là một bản phân phối được phát triển cùng với Amazon để khởi chạy các container biệt lập một cách hiệu quả và an toàn. Các công cụ và thành phần điều khiển của bản phân phối được viết bằng Rust và được cấp phép theo giấy phép MIT và Apache 2.0. Bottlerocket chạy trên các cụm Kubernetes Amazon ECS và AWS EKS, cũng như hỗ trợ các bản dựng và phiên bản tùy chỉnh hỗ trợ việc sử dụng nhiều công cụ điều phối và thời gian chạy container khác nhau.
Bản phân phối này cung cấp một ảnh hệ thống không thể chia nhỏ được cập nhật tự động và đồng bộ, bao gồm cả nhân hệ điều hành. Linux và một môi trường hệ thống tối thiểu, chỉ bao gồm các thành phần cần thiết để chạy container. Môi trường này bao gồm trình quản lý hệ thống systemd, thư viện Glibc, chuỗi công cụ xây dựng Buildroot, bộ nạp khởi động GRUB, trình cấu hình mạng wicked, môi trường chạy containerd cho các container biệt lập, nền tảng điều phối container Kubernetes, trình xác thực aws-iam-authenticator và tác nhân Amazon ECS.
Các công cụ điều phối container được cung cấp trong một container quản lý riêng biệt, được kích hoạt theo mặc định và được quản lý thông qua API và AWS SSM Agent. Ảnh nền không bao gồm trình shell lệnh. máy chủ SSH và các ngôn ngữ thông dịch (ví dụ: không hỗ trợ Python hoặc Perl) - các công cụ quản trị và gỡ lỗi được đặt trong một vùng chứa dịch vụ riêng biệt, vốn bị vô hiệu hóa theo mặc định.
Điểm khác biệt chính so với các bản phân phối tương tự như Fedora CoreOS là CentOSRed Hat Atomic Host tập trung chủ yếu vào việc cung cấp bảo mật tối đa bằng cách tăng cường khả năng bảo vệ hệ thống chống lại các mối đe dọa tiềm tàng, làm phức tạp việc khai thác các lỗ hổng trong các thành phần hệ điều hành và tăng cường khả năng cách ly container. Container được tạo bằng cách sử dụng các cơ chế gốc của nhân hệ điều hành. Linux — cgroups, namespaces và seccomp. Để tăng cường khả năng cách ly, bản phân phối sử dụng SE.Linux ở chế độ "thực thi".
Phân vùng gốc được gắn ở chế độ chỉ đọc và phân vùng cài đặt /etc được gắn vào tmpfs và được khôi phục về trạng thái ban đầu sau khi khởi động lại. Không hỗ trợ sửa đổi trực tiếp các tệp trong thư mục /etc, chẳng hạn như /etc/resolv.conf và /etc/containerd/config.toml - để lưu vĩnh viễn cài đặt, bạn phải sử dụng API hoặc di chuyển chức năng này vào các vùng chứa riêng biệt. Mô-đun dm-verity được sử dụng để xác minh bằng mật mã tính toàn vẹn của phân vùng gốc và nếu phát hiện nỗ lực sửa đổi dữ liệu ở cấp thiết bị khối, hệ thống sẽ khởi động lại.
Hầu hết các thành phần hệ thống được viết bằng Rust, cung cấp các tính năng an toàn cho bộ nhớ để tránh các lỗ hổng do truy cập bộ nhớ sau khi rảnh, hủy tham chiếu con trỏ null và lỗi tràn bộ đệm. Khi xây dựng theo mặc định, các chế độ biên dịch "-enable-default-pie" và "-enable-default-ssp" được sử dụng để cho phép ngẫu nhiên hóa không gian địa chỉ tệp thực thi (PIE) và bảo vệ chống tràn ngăn xếp thông qua thay thế canary. Đối với các gói được viết bằng C/C++, các cờ “-Wall”, “-Werror=format-security”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” và “-fstack-clash” cũng được thêm vào đã bật -bảo vệ".
Trong bản phát hành mới:
- Hai phiên bản phân phối mới, aws-k8s-1.20 và vmware-k8s-1.20, đã được phát hành, hỗ trợ Kubernetes 1.20. Các phiên bản này, cũng như phiên bản aws-ecs-1 được cập nhật, đều sử dụng bản phát hành kernel mới. Linux 5.10. Chế độ khóa mặc định đã được thay đổi thành "toàn vẹn" (chặn các sửa đổi từ không gian người dùng đối với nhân hệ điều hành đang chạy). Việc hỗ trợ cho biến thể aws-k8s-1.15 dựa trên Kubernetes 1.15 đã bị ngừng.
- Amazon ECS hiện hỗ trợ chế độ mạng awsvpc, cho phép bạn cấp phát các giao diện mạng riêng lẻ và mạng nội bộ. Các địa chỉ IP cho mỗi nhiệm vụ.
- Đã thêm cài đặt để kiểm soát các tham số Kubernetes khác nhau, bao gồm QPS, giới hạn nhóm và khả năng kết nối với các nhà cung cấp đám mây ngoài AWS.
- Container khởi động cung cấp khả năng hạn chế truy cập dữ liệu người dùng bằng cách sử dụng SE.Linux.
- Đã thêm tiện ích thay đổi kích thước2fs.
Nguồn: opennet.ru
