مؤخرا تم الإعلان عن الإطلاق من الإصدار الجديد من توزيع Linux "Bottlerocket 1.7.0"تم تطويره بمشاركة أمازون لتشغيل الحاويات المعزولة بكفاءة وأمان.
بالنسبة لأولئك الجدد في Bottlerocket ، يجب أن تعلم أن هذا هو التوزيع الذي يوفر صورة نظام محدثة تلقائيًا غير قابلة للتجزئة تشتمل على Linux kernel وبيئة نظام بسيطة تتضمن فقط المكونات اللازمة لتشغيل الحاويات.
حول بوتليركيت
البيئة يستخدم مدير نظام systemd ، مكتبة Glibcوأداة Buildroot ومحمل التمهيد GRUB ووقت تشغيل صندوق الحماية للحاوية ومنصة تنسيق حاوية Kubernetes ومصدق aws-iam ووكيل Amazon ECS.
تأتي أدوات تنظيم الحاوية في حاوية إدارة منفصلة يتم تمكينها افتراضيًا وتتم إدارتها من خلال وكيل AWS SSM وواجهة برمجة التطبيقات. تفتقر الصورة الأساسية إلى غلاف أوامر وخادم SSH واللغات المفسرة (على سبيل المثال ، Python أو Perl): يتم نقل أدوات الإدارة وتصحيح الأخطاء إلى حاوية خدمة منفصلة ، والتي يتم تعطيلها افتراضيًا.
الفرق الرئيسي من التوزيعات المتشابهة مثل Fedora CoreOS و CentOS / Red Hat Atomic Host هو التركيز الرئيسي على توفير أقصى درجات الأمان في سياق تعزيز حماية النظام ضد التهديدات المحتملة ، مما يعقد استغلال الثغرات الأمنية في مكونات نظام التشغيل ويزيد من عزل الحاوية.
يتم إنشاء الحاويات باستخدام آليات Linux kernel المعتادة: cgroups ومساحات الأسماء و seccomp. لمزيد من العزلة ، يستخدم التوزيع SELinux في وضع "التطبيق".
يتم تحميل قسم الجذر للقراءة فقط ويتم تثبيت القسم الذي يحتوي على التكوين / etc في tmpfs واستعادته إلى حالته الأصلية بعد إعادة التشغيل. التعديل المباشر للملفات في الدليل / etc ، مثل /etc/resolv.conf و /etc/containerd/config.toml ، غير مدعوم ؛ لحفظ التكوين بشكل دائم ، يجب عليك إما استخدام API أو نقل الوظيفة إلى حاويات منفصلة.
للتحقق المشفر من سلامة قسم الجذر ، يتم استخدام وحدة dm-verity ، وإذا تم الكشف عن محاولة لتعديل البيانات على مستوى جهاز الحظر ، فسيتم إعادة تشغيل النظام.
تمت كتابة معظم مكونات النظام بلغة Rust ، الذي يوفر أدوات آمنة للذاكرة لمنع الثغرات الأمنية الناتجة عن معالجة منطقة الذاكرة بعد تحريرها ، وإشارة مرجعية للمؤشرات الفارغة ، وتفيض المخزن المؤقت.
عند التجميع ، يتم استخدام وضعي الترجمة "--enable-default-pie" و "--enable-default-ssp" افتراضيًا لتمكين التوزيع العشوائي لمساحة العنوان القابلة للتنفيذ (PIE) وحماية تجاوز سعة المكدس عبر استبدال علامة الكناري.
ما الجديد في Bottlerocket 1.7.0؟
في هذا الإصدار الجديد من التوزيع المقدم ، أحد التغييرات البارزة هو ذلك عند تثبيت حزم RPM ، يتم توفيرها لإنشاء قائمة بالبرامج بتنسيق JSON وقم بتثبيته على الحاوية المضيفة كملف /var/lib/bottlerocket/inventory/application.json للحصول على معلومات حول الحزم المتاحة.
ظهر أيضًا في Bottlerocket 1.7.0 هو إصدار تحديث حاويات "admin" و "control"، بالإضافة إلى إصدارات الحزمة والتبعيات لـ Go and Rust.
من ناحية أخرى ، يسلط الضوء إصدارات محدثة من الحزم مع برامج الجهات الخارجية ، تم أيضًا إصلاح مشكلات تكوين tmpfilesd لـ kmod-5.10-nvidia وعند تثبيت إصدارات تبعية tuftool مرتبطة.
أخيرا لمن هم مهتم بمعرفة المزيد عنها حول هذا التوزيع ، يجب أن تعلم أن مجموعة الأدوات ومكونات التحكم في التوزيع مكتوبة بلغة Rust ويتم توزيعها بموجب تراخيص MIT و Apache 2.0.
صاروخ زجاجة يدعم تشغيل مجموعات Amazon ECS و VMware و AWS EKS Kubernetes ، بالإضافة إلى إنشاء تصميمات وإصدارات مخصصة تتيح تنظيمات مختلفة وأدوات وقت تشغيل للحاويات.
يمكنك التحقق من التفاصيل ، في الرابط التالي.