Доступен выпуск Linux-дистрибутива Bottlerocket 1.1.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров.
די פאַרשפּרייטונג גיט אַן אַטאָמישע און אויטאָמאַטיש דערהייַנטיקט ינדיוויסיבאַל סיסטעם בילד וואָס כולל די לינוקס קערן און אַ מינימאַל סיסטעם סוויווע, אַרייַנגערעכנט בלויז די קאַמפּאָונאַנץ נייטיק צו לויפן קאַנטיינערז. די סוויווע ינקלודז די סיסטעם פאַרוואַלטער, די Glibc ביבליאָטעק, די Buildroot בויען געצייַג, די GRUB שטיוול לאָודער, די שלעכט נעץ קאַנפיגיערייטער, די קאַנטיינד רונטימע פֿאַר אפגעזונדערט קאַנטיינערז, די Kubernetes קאַנטיינער אָרטשעסטראַטיאָן פּלאַטפאָרמע, די aws-iam-authenticator און דער אַמאַזאָן. ECS אַגענט.
קאַנטיינער אָרקעסטראַטיאָן מכשירים קומען אין אַ באַזונדער פאַרוואַלטונג קאַנטיינער וואָס איז ענייבאַלד דורך פעליקייַט און געראטן דורך די API און AWS SSM אַגענט. די באַזע בילד פעלן אַ באַפֿעל שאָל, SSH סערווער און ינטערפּראַטאַד שפּראַכן (פֿאַר בייַשפּיל, קיין פּיטהאָן אָדער פּערל) - אַדמיניסטראַטיווע מכשירים און דיבאַגינג מכשירים זענען געשטעלט אין אַ באַזונדער דינסט קאַנטיינער, וואָס איז פאַרקריפּלט דורך פעליקייַט.
דער שליסל חילוק פון ענלעך דיסטריביושאַנז אַזאַ ווי Fedora CoreOS, CentOS / Red Hat Atomic Host איז די ערשטיק פאָקוס אויף פּראַוויידינג מאַקסימום זיכערהייט אין דעם קאָנטעקסט פון פֿאַרשטאַרקונג סיסטעם שוץ פון מעגלעך טרעץ, מאכן עס מער שווער צו גווורע וואַלנעראַביליטיז אין אַס קאַמפּאָונאַנץ און ינקריסינג קאַנטיינער אפגעזונדערטקייט. . קאַנטיינערז זענען באשאפן מיט נאָרמאַל לינוקס קערן מעקאַניזאַמז - cgroups, namespaces און seccomp. פֿאַר נאָך אפגעזונדערטקייט, די פאַרשפּרייטונג ניצט SELinux אין "ענפאָרסינג" מאָדע.
דער וואָרצל צעטיילונג איז מאָונטעד בלויז צו לייענען, און די / עטק סעטטינגס צעטיילונג איז מאָונטעד אין tmpfs און געזונט צו זיין אָריגינעל שטאַט נאָך ריסטאַרט. דירעקט מאָדיפיקאַטיאָן פון טעקעס אין די /etc וועגווייַזער, אַזאַ ווי /etc/resolv.conf און /etc/containerd/config.toml, איז נישט געשטיצט - צו פּערמאַנאַנטלי ראַטעווען סעטטינגס, איר מוזן נוצן די אַפּי אָדער אַריבערפירן די פאַנגקשאַנאַליטי אין באַזונדער קאַנטיינערז. די DM-verity מאָדולע איז געניצט צו קריפּטאָגראַפיקלי באַשטעטיקן די אָרנטלעכקייַט פון דער וואָרצל צעטיילונג, און אויב אַ פּרווון צו מאָדיפיצירן דאַטן אויף די בלאָק מיטל מדרגה איז דיטעקטאַד, די סיסטעם רעבאָאָץ.
רובֿ סיסטעם קאַמפּאָונאַנץ זענען געשריבן אין Rust, וואָס גיט זיקאָרן-זיכער פֿעיִקייטן צו ויסמיידן וואַלנעראַביליטיז געפֿירט דורך נאָך-פריי זכּרון אַקסעס, נאַל טייַטל דיפעראַנסיז און באַפער אָוווערראַנז. ווען בנין דורך פעליקייַט, די זאַמלונג מאָדעס "-enable-default-pie" און "-enable-default-ssp" זענען געניצט צו געבן ראַנדאַמיזיישאַן פון די עקסעקוטאַבלע טעקע אַדרעס פּלאַץ (PIE) און שוץ קעגן סטאַק אָוווערפלאָוז דורך קאַנאַרי סאַבסטיטושאַן. פֿאַר פּאַקידזשיז געשריבן אין C / C ++, די פלאַגס "-Wall", "-Werror = פֿאָרמאַט-זיכערהייַט", "-Wp,-D_FORTIFY_SOURCE = 2", "-Wp,-D_GLIBCXX_ASSERTIONS" און "-fstack-clash" זענען אַדישנאַלי. ענייבאַלד -שוץ".
אין די נייַע מעלדונג:
- Предложено два новых варианта дистрибутива aws-k8s-1.20 и vmware-k8s-1.20 c поддержкой Kubernetes 1.20. В данных вариантах, а также в обновлённом варианте aws-ecs-1, задействован новый выпуск ядра Linux 5.10. Режим lockdown по умолчанию переведён в значение «integrity» (блокируются возможности, позволяющие вносить изменения в работающее ядро из пространства пользователя). Прекращена поддержка варианта aws-k8s-1.15 на базе Kubernetes 1.15.
- Для Amazon ECS реализована поддержка сетевого режима awsvpc, позволяющего выделять отдельные сетевых интерфейсы и внутренние IP-адреса для каждой задачи.
- Добавлены настройки для управления различными параметрами Kubernetes, включая QPS, лимиты на пулы и возможность подключения к облачным провайдерам, отличным от AWS.
- В bootstrap-контейнере обеспечено ограничение доступа к данным пользователя при помощи SELinux.
- Добавлена утилита resize2fs.
מקור: opennet.ru