מעלדונג פון Bottlerocket 1.2, אַ פאַרשפּרייטונג באזירט אויף אפגעזונדערט קאַנטיינערז

די מעלדונג פון די לינוקס פאַרשפּרייטונג Bottlerocket 1.2.0 איז בנימצא, דעוועלאָפּעד מיט דער אָנטייל פון אַמאַזאָן פֿאַר די עפעקטיוו און זיכער קאַטער פון אפגעזונדערט קאַנטיינערז. די מכשירים און קאָנטראָל קאַמפּאָונאַנץ פון די פאַרשפּרייטונג זענען געשריבן אין רוסט און פונאנדערגעטיילט אונטער די MIT און Apache 2.0 לייסאַנסיז. עס שטיצט פליסנדיק באָטטלעראָקקעט אויף Amazon ECS, VMware און AWS EKS Kubernetes קלאַסטערז, ווי געזונט ווי קריייטינג מנהג בויען און אַדישאַנז וואָס לאָזן די נוצן פון פאַרשידן אָרקעסטראַטיאָן און רונטימע מכשירים פֿאַר קאַנטיינערז.

די פאַרשפּרייטונג גיט אַן אַטאָמישע און אויטאָמאַטיש דערהייַנטיקט ינדיוויסיבאַל סיסטעם בילד וואָס כולל די לינוקס קערן און אַ מינימאַל סיסטעם סוויווע, אַרייַנגערעכנט בלויז די קאַמפּאָונאַנץ נייטיק צו לויפן קאַנטיינערז. די סוויווע ינקלודז די סיסטעם פאַרוואַלטער, די Glibc ביבליאָטעק, די Buildroot בויען געצייַג, די GRUB שטיוול לאָודער, די שלעכט נעץ קאַנפיגיערייטער, די קאַנטיינד רונטימע פֿאַר אפגעזונדערט קאַנטיינערז, די Kubernetes קאַנטיינער אָרטשעסטראַטיאָן פּלאַטפאָרמע, די aws-iam-authenticator און דער אַמאַזאָן. ECS אַגענט.

קאַנטיינער אָרקעסטראַטיאָן מכשירים קומען אין אַ באַזונדער פאַרוואַלטונג קאַנטיינער וואָס איז ענייבאַלד דורך פעליקייַט און געראטן דורך די API און AWS SSM אַגענט. די באַזע בילד פעלן אַ באַפֿעל שאָל, SSH סערווער און ינטערפּראַטאַד שפּראַכן (פֿאַר בייַשפּיל, קיין פּיטהאָן אָדער פּערל) - אַדמיניסטראַטיווע מכשירים און דיבאַגינג מכשירים זענען געשטעלט אין אַ באַזונדער דינסט קאַנטיינער, וואָס איז פאַרקריפּלט דורך פעליקייַט.

דער שליסל חילוק פון ענלעך דיסטריביושאַנז אַזאַ ווי Fedora CoreOS, CentOS / Red Hat Atomic Host איז די ערשטיק פאָקוס אויף פּראַוויידינג מאַקסימום זיכערהייט אין דעם קאָנטעקסט פון פֿאַרשטאַרקונג סיסטעם שוץ פון מעגלעך טרעץ, מאכן עס מער שווער צו גווורע וואַלנעראַביליטיז אין אַס קאַמפּאָונאַנץ און ינקריסינג קאַנטיינער אפגעזונדערטקייט. . קאַנטיינערז זענען באשאפן מיט נאָרמאַל לינוקס קערן מעקאַניזאַמז - cgroups, namespaces און seccomp. פֿאַר נאָך אפגעזונדערטקייט, די פאַרשפּרייטונג ניצט SELinux אין "ענפאָרסינג" מאָדע.

דער וואָרצל צעטיילונג איז מאָונטעד בלויז צו לייענען, און די / עטק סעטטינגס צעטיילונג איז מאָונטעד אין tmpfs און געזונט צו זיין אָריגינעל שטאַט נאָך ריסטאַרט. דירעקט מאָדיפיקאַטיאָן פון טעקעס אין די /etc וועגווייַזער, אַזאַ ווי /etc/resolv.conf און /etc/containerd/config.toml, איז נישט געשטיצט - צו פּערמאַנאַנטלי ראַטעווען סעטטינגס, איר מוזן נוצן די אַפּי אָדער אַריבערפירן די פאַנגקשאַנאַליטי אין באַזונדער קאַנטיינערז. די DM-verity מאָדולע איז געניצט צו קריפּטאָגראַפיקלי באַשטעטיקן די אָרנטלעכקייַט פון דער וואָרצל צעטיילונג, און אויב אַ פּרווון צו מאָדיפיצירן דאַטן אויף די בלאָק מיטל מדרגה איז דיטעקטאַד, די סיסטעם רעבאָאָץ.

רובֿ סיסטעם קאַמפּאָונאַנץ זענען געשריבן אין Rust, וואָס גיט זיקאָרן-זיכער פֿעיִקייטן צו ויסמיידן וואַלנעראַביליטיז געפֿירט דורך נאָך-פריי זכּרון אַקסעס, נאַל טייַטל דיפעראַנסיז און באַפער אָוווערראַנז. ווען בנין דורך פעליקייַט, די זאַמלונג מאָדעס "-enable-default-pie" און "-enable-default-ssp" זענען געניצט צו געבן ראַנדאַמיזיישאַן פון די עקסעקוטאַבלע טעקע אַדרעס פּלאַץ (PIE) און שוץ קעגן סטאַק אָוווערפלאָוז דורך קאַנאַרי סאַבסטיטושאַן. פֿאַר פּאַקידזשיז געשריבן אין C / C ++, די פלאַגס "-Wall", "-Werror = פֿאָרמאַט-זיכערהייַט", "-Wp,-D_FORTIFY_SOURCE = 2", "-Wp,-D_GLIBCXX_ASSERTIONS" און "-fstack-clash" זענען אַדישנאַלי. ענייבאַלד -שוץ".

אין די נייַע מעלדונג:

• צוגעלייגט שטיצן פֿאַר קאַנטיינער בילד רעגיסטרי מירערז.
• צוגעגעבן די פיייקייט צו נוצן זיך-געחתמעט סערטיפיקאַץ.
• צוגעגעבן אָפּציע צו קאַנפיגיער האָסטנאַמע.
• די פעליקייַט ווערסיע פון ​​די אַדמיניסטראַטיווע קאַנטיינער איז דערהייַנטיקט.
• צוגעלייגט טאָפּאָלאָגי מאַנאַגער פּאָליטיק און טאָפּאָלאָגי מאַנאַגער סקאָפּע סעטטינגס פֿאַר קובעלעט.
• צוגעלייגט שטיצן פֿאַר קערן קאַמפּרעשאַן ניצן די zstd אַלגערידאַם.
• די פיייקייט צו לאָדן ווירטואַל מאשינען אין VMware אין די OVA (Open Virtualization Format) פֿאָרמאַט איז צוגעשטעלט.
• די פאַרשפּרייטונג ווערסיע aws-k8s-1.21 איז דערהייַנטיקט מיט שטיצן פֿאַר Kubernetes 1.21. שטיצן פֿאַר aws-k8s-1.16 איז אָפּגעשטעלט.
• דערהייַנטיקט פּעקל ווערסיעס און דיפּענדאַנסיז פֿאַר די רוסט שפּראַך.

מקור: opennet.ru