A ti tẹjade atejade naa LinuxBottlerocket 1.3.0, ìpínkiri kan tí a ṣe ní ajọṣepọ̀ pẹ̀lú Amazon, ni a ṣe láti ṣiṣẹ́ àwọn àpótí tí a yà sọ́tọ̀ dáadáa àti láìléwu. Àwọn ohun èlò ìdarí àti àwọn ohun èlò ìpínkiri náà ni a kọ ní Rust àti ìwé àṣẹ lábẹ́ ìwé àṣẹ MIT àti Apache 2.0. Bottlerocket ń ṣiṣẹ́ lórí àwọn ẹgbẹ́ Amazon ECS, VMware, àti AWS EKS Kubernetes, ó sì ń ṣe àtìlẹ́yìn fún àwọn ìkọ́lé àti àtúnṣe àṣà tí ó ń ṣe àtìlẹ́yìn fún lílo onírúurú irinṣẹ́ ìṣètò àpótí àti ìgbà ìṣiṣẹ́.
Pínpín náà ń pèsè àwòrán ètò tí a kò lè pín sí méjì tàbí tí a ṣe àtúnṣe láìsí ìpínyà, títí kan kernel náà Linux àti àyíká ètò tó kéré jùlọ, títí kan àwọn èròjà tó yẹ fún ṣíṣiṣẹ́ àwọn àpótí. Àyíká yìí ní olùṣàkóso ètò systemd, ìkàwé Glibc, ẹ̀rọ ìkọ́lé Buildroot, bootloader GRUB, olùṣètò nẹ́tíwọ́ọ̀kì búburú, àkókò ìṣiṣẹ́ tí a fi sínú àpótí fún àwọn àpótí tí a yà sọ́tọ̀, platform orchestration container Kubernetes, aws-iam-authenticator authenticator, àti aṣojú Amazon ECS.
Àwọn irinṣẹ́ ìṣètò àpótí ni a fi ránṣẹ́ sí inú àpótí ìṣàkóso ọ̀tọ̀, èyí tí a lè ṣiṣẹ́ nípasẹ̀ àìyípadà àti ìṣàkóso nípasẹ̀ API àti AWS SSM Agent. Àwòrán ìpìlẹ̀ kò ní ìkọ̀kọ̀ àṣẹ nínú. olupin Àwọn èdè SSH àti tí a túmọ̀ (fún àpẹẹrẹ, kò sí Python tàbí Perl) - àwọn irinṣẹ́ ìṣàkóso àti àṣìṣe wà nínú àpótí iṣẹ́ mìíràn, èyí tí a ti parẹ́ nípasẹ̀ àìṣeéṣe.
Iyatọ pataki lati awọn pinpin ti o jọra gẹgẹbi Fedora CoreOS ni CentOSRed Hat Atomic Host fojú sí pàápà láti pèsè ààbò tó ga jùlọ nípa mímú ààbò ètò pọ̀ sí i lòdì sí àwọn ewu tó lè ṣẹlẹ̀, mímú kí lílo àwọn àìlera nínú àwọn ẹ̀yà ara OS díjú, àti mímú kí ìyàsọ́tọ̀ inú àpótí pọ̀ sí i. A ń ṣẹ̀dá àwọn àpótí nípa lílo àwọn ẹ̀rọ ìbílẹ̀ kernel. Linux — àwọn ẹgbẹ́ cgroups, àwọn orúkọ spaces, àti seccomp. Fún ìyàsọ́tọ̀ afikún, ìpínkiri náà lo SELinux ní ipò "ìmúṣẹ".
Awọn ipin root ti wa ni gbigbe kika-nikan, ati / ati be be lo ti gbe awọn eto ni tmpfs ati mu pada si ipo atilẹba rẹ lẹhin atunbere. Iyipada taara ti awọn faili ni /etc directory, gẹgẹ bi awọn /etc/resolv.conf ati /etc/containerd/config.toml, ko ni atilẹyin - lati fi awọn eto pamọ patapata, o gbọdọ lo API tabi gbe iṣẹ naa sinu awọn apoti lọtọ. module dm-verity ti wa ni lilo lati cryptographicly mọ daju awọn iyege ti awọn root ipin, ati ti o ba ohun igbiyanju lati yipada data ni awọn Àkọsílẹ ẹrọ ipele ti wa ni ri, awọn eto atunbere.
Pupọ julọ awọn paati eto ni a kọ sinu Rust, eyiti o pese awọn ẹya ailewu-iranti lati yago fun awọn ailagbara ti o ṣẹlẹ nipasẹ awọn iraye si iranti ọfẹ, awọn ifisilẹ itọka asan, ati awọn ifasilẹ ifipamọ. Nigbati o ba n kọle nipasẹ aiyipada, awọn ipo iṣakojọpọ “-enable-default-pie” ati “-enable-default-ssp” ni a lo lati jẹki aileto ti aaye adirẹsi faili ti o ṣiṣẹ (PIE) ati aabo lodi si ṣiṣan ṣiṣan nipasẹ iyipada canary. Fun awọn idii ti a kọ sinu C/C++, awọn asia “-Odi”, “-Werror=aabo-kika”, “-Wp,-D_FORTIFY_SOURCE=2”, “-Wp,-D_GLIBCXX_ASSERTIONS” ati “-fstack-clash” jẹ afikun. sise -idaabobo".
Ninu itusilẹ tuntun:
- Awọn ailagbara ti o wa titi ni docker ati awọn irinṣẹ igbasẹ akoko (CVE-2021-41089, CVE-2021-41091, CVE-2021-41092, CVE-2021-41103) ti o ni ibatan si eto ti ko tọ ti awọn ẹtọ iwọle, eyiti o fun laaye awọn olumulo ti ko ni anfani lati lọ kọja awọn ẹtọ ipilẹ. liana ati ṣiṣẹ awọn eto ita.
- A fi kun kubelet ati pluto Àtìlẹ́yìn IPv6.
- O ṣee ṣe lati tun eiyan bẹrẹ lẹhin iyipada awọn eto rẹ.
- Atilẹyin fun awọn apẹẹrẹ Amazon EC2 M6i ti ṣafikun si package eni-max-pods.
- Awọn irinṣẹ Open-vm ti ṣafikun atilẹyin fun awọn asẹ ẹrọ, da lori ohun elo irinṣẹ Cilium.
- Fun pẹpẹ x86_64, ipo bata arabara kan ti ṣe imuse (pẹlu atilẹyin fun EFI ati BIOS).
- Awọn ẹya akojọpọ imudojuiwọn ati awọn igbẹkẹle fun ede Rust.
- Atilẹyin fun iyatọ pinpin aws-k8s-1.17 ti o da lori Kubernetes 1.17 ti dawọ duro. A ṣe iṣeduro lati lo ẹya aws-k8s-1.21 pẹlu atilẹyin fun Kubernetes 1.21. Awọn iyatọ k8s lo cgroup runtime.slice ati system.slice eto.
orisun: opennet.ru
