Inkampani yeAmazon первый значительный выпуск специализированного Linux-ukusasazwa , eyenzelwe ukuqhuba izikhongozeli ezizimeleyo ngokufanelekileyo nangokukhuselekileyo. Izixhobo zokusasaza kunye namacandelo olawulo abhalwe kwiRust kunye phantsi kwe-MIT kunye neelayisensi ze-Apache 2.0. Iprojekthi iyaphuhliswa kwi-GitHub kwaye iyafumaneka ukuze kuthathwe inxaxheba ngamalungu oluntu. Umfanekiso wokusasazwa kwenkqubo uvelelwe i-x86_64 kunye ne-Aarch64 yezakhiwo. I-OS iguqulelwe ukuba iqhube kwi-Amazon ECS kunye ne-AWS EKS Kubernetes amaqela. izixhobo zokuyila ezakho iindibano kunye nokuhlelwa, ezinokusebenzisa ezinye izixhobo ze orchestration, iikernels kunye nexesha lokuqhuba kwizikhongozeli.
Дистрибутив предоставляет ядро Linux и минимальное системное окружение, включающие только компоненты, необходимые для запуска контейнеров. Среди задействованных в проекте пакетов отмечаются системный менеджер systemd, библиотека Glibc, сборочный инструментарий
I-Buildroot, i-GRUB i-bootloader, i-configurator yenethiwekhi , ixesha lokusebenza kwizikhongozeli ezizimeleyo , Iqonga le-orchestration ye-container ye-Kubernetes, i-aws-iam-authenticator, kunye ne-agent ye-Amazon ECS.
Ulwabiwo luhlaziywa nge-atom kwaye luhanjiswa ngendlela yomfanekiso wenkqubo engabonakaliyo. Izahlulo ezimbini zediski zabelwe isistim, enye yazo iqulethe inkqubo esebenzayo, kwaye uhlaziyo lukhutshelwa okwesibini. Emva kokuba uhlaziyo lusetyenzisiwe, isahlulelo sesibini sisebenza, kwaye okokuqala, de kufike uhlaziyo olulandelayo, inguqu yangaphambili yenkqubo igcinwa, apho unokubuyisela khona ukuba iingxaki zivela. Uhlaziyo lufakwe ngokuzenzekelayo ngaphandle kokungenelela komlawuli.
Umahluko ophambili kulwabiwo olufanayo olufana neFedora CoreOS ngu CentOS/Red Hat Atomic Host является первичная ориентация на обеспечение в контексте усиления защиты системы от возможных угроз, усложнения эксплуатации уязвимостей в компонентах ОС и повышения изоляции контейнеров. Контейнеры создаются при помощи штатных механизмов ядра Linux — ii-cgroups, izithuba zamagama, kunye ne-seccomp. Ukwahlulahlula okongezelelweyo, usasazo lusebenzisa i-SELinux в режиме «enforcing», а для криптографической верификации целостности корневого раздела задействован модуль . Ukuba umzamo wokuguqula idatha kwinqanaba lesixhobo sebhlokhi uchongiwe, inkqubo iphinda iqalise.
Ulwahlulo lweengcambu lunyuswe kukufunda-kuphela, kwaye i/etc izahlulelo zeseto zifakwe kwi-tmpfs kwaye zibuyiselwe kwindawo yayo yokuqala emva kokuphinda kuqalwe. Ukuguqulwa ngokuthe ngqo kweefayile kwi-directory / etc, njenge /etc/resolv.conf kunye /etc/containerd/config.toml, ayixhaswanga - ukugcina ngokusisigxina izicwangciso, kufuneka usebenzise i-API okanye uhambise ukusebenza kwiibhokisi ezahlukeneyo.
Uninzi lwamalungu enkqubo abhalwe kwiRust, ebonelela ngeempawu ezikhuselekileyo kwimemori ukunqanda ubuthathaka obubangelwa kukufikelela kwimemori yasemva kwasimahla, ukuchaswa kwesalathi esingenanto, kunye nokugqithiswa kwe-buffer. Xa usakha ngokungagqibekanga, iindlela zokuhlanganisa "--enable-default-pie" kunye ne "-enable-default-ssp" zisetyenziselwa ukwenza i-randomization yendawo yeedilesi zeefayile eziphunyezwayo () kunye nokhuseleko lokuphuphuma kwemfumba ngokusebenzisa indawo ye-canary.
Kwiiphakheji ezibhalwe kwiC / C ++, iiflegi ezongezelelweyo zibandakanyiwe
"-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" kunye "-fstack-clash-protection".
Izixhobo ze-orchestration zesikhongozeli zibonelelwa ngokwahlukeneyo , eyenziwe ngokungagqibekanga kwaye ilawulwa nge kunye ne-AWS SSM Agent. Umfanekiso wesiseko awunalo iqokobhe lomyalelo, iseva ye-SSH kunye neelwimi ezitolikwayo (umzekelo, akukho Python okanye iPerl) - izixhobo zolawulo kunye nezixhobo zokucoca zibekwe , ekhubaziweyo ngokungagqibekanga.
umthombo: opennet.ru
