Nedávno spuštění bylo oznámeno nové verze linuxové distribuce „Bottlerocket 1.7.0“, vyvinuté za účasti společnosti Amazon, aby bylo možné efektivně a bezpečně provozovat izolované kontejnery.
Pro nové uživatele Bottlerocket byste měli vědět, že se jedná o distribuci, která poskytuje automaticky atomicky aktuální nedělitelný obraz systému, který zahrnuje linuxové jádro a minimální systémové prostředí, které obsahuje pouze komponenty potřebné ke spuštění kontejnerů.
O Bottlerocket
Prostředí používá správce systému systemd, knihovnu Glibc, nástroj pro sestavení Buildroot, zavaděč GRUB, runtime kontejneru sandbox, platforma pro orchestraci kontejnerů Kubernetes, aws-iam autentizátor a agent Amazon ECS.
Nástroje pro orchestraci kontejnerů se dodávají v samostatném kontejneru pro správu, který je ve výchozím nastavení povolen a spravován prostřednictvím agenta AWS SSM a rozhraní API. Základní image postrádá příkazový shell, SSH server a interpretované jazyky (například Python nebo Perl): nástroje pro správu a ladění jsou přesunuty do samostatného kontejneru služeb, který je ve výchozím nastavení zakázán.
Klíčový rozdíl od podobných distribucí jako je Fedora CoreOS, CentOS / Red Hat Atomic Host je hlavním zaměřením na poskytování maximální bezpečnosti v rámci posílení ochrany systému před možnými hrozbami, což komplikuje zneužití zranitelností v komponentách operačního systému a zvyšuje izolaci kontejneru.
Kontejnery jsou vytvářeny pomocí obvyklých mechanismů linuxového jádra: cgroups, jmenné prostory a seccomp. Pro další izolaci používá distribuce SELinux v "aplikačním" režimu.
Kořenový oddíl je připojen pouze pro čtení a oddíl s konfigurací /etc je připojen do tmpfs a po restartu obnoven do původního stavu. Přímé úpravy souborů v adresáři /etc, jako jsou /etc/resolv.conf a /etc/containerd/config.toml, nejsou podporovány; Chcete-li konfiguraci uložit trvale, musíte buď použít rozhraní API, nebo přesunout funkci do samostatných kontejnerů.
Pro kryptografické ověření integrity kořenového oddílu se používá modul dm-verity a pokud je detekován pokus o úpravu dat na úrovni blokového zařízení, systém se restartuje.
Většina systémových komponent je napsána v Rustu, který poskytuje nástroje bezpečné pro paměť, které zabraňují zranitelnostem způsobeným adresováním oblasti paměti po jejím uvolnění, dereferencí nulových ukazatelů a přetečením vyrovnávací paměti.
Při kompilaci se ve výchozím nastavení používají režimy kompilace „–enable-default-pie“ a „–enable-default-ssp“, aby umožnily randomizaci spustitelného adresního prostoru (PIE) a ochranu před přetečením zásobníku prostřednictvím nahrazení tagů canary.
Co je nového v Bottlerocket 1.7.0?
V této nové verzi distribuce, která je prezentována, je jedna ze změn, která vyniká, tato při instalaci balíčků RPM je k dispozici generování seznamu programů ve formátu JSON a připojte jej k hostitelskému kontejneru jako soubor /var/lib/bottlerocket/inventory/application.json, abyste získali informace o dostupných balíčcích.
V Bottlerocket 1.7.0 je také uveden aktualizace kontejnerů „admin“ a „control“., stejně jako verze balíčků a závislosti pro Go a Rust.
Na druhou stranu zvýrazní aktualizované verze balíčků s programy třetích stran, také opraveny problémy s konfigurací tmpfilesd pro kmod-5.10-nvidia a při instalaci tuftool jsou propojeny závislé verze.
Konečně pro ty, kteří jsou Máte zájem dozvědět se o tom více o této distribuci byste měli vědět, že sada nástrojů a komponenty pro řízení distribuce jsou napsány v Rustu a jsou distribuovány pod licencemi MIT a Apache 2.0.
lahvová raketa podporuje provozování clusterů Amazon ECS, VMware a AWS EKS Kubernetes, stejně jako vytváření vlastních sestavení a edic, které umožňují různé orchestrace a runtime nástroje pro kontejnery.
Můžete zkontrolovat podrobnosti, Na následujícím odkazu.