nylig lanceringen blev annonceret af den nye version af Linux-distributionen "Bottlerocket 1.7.0", udviklet med deltagelse af Amazon, til at køre isolerede containere effektivt og sikkert.
For dem, der er nye til Bottlerocket, bør du vide, at dette er en distribution, der giver et automatisk atomisk opdateret udeleligt systembillede, der inkluderer Linux-kernen og et minimalt systemmiljø, der kun inkluderer de komponenter, der er nødvendige for at køre containere.
Om Bottlerocket
Miljøet bruger systemd system manager, Glibc bibliotek, Buildroot-byggeværktøjet, GRUB-opstartsindlæseren, container-sandbox-runtime, Kubernetes-containerorkestreringsplatformen, aws-iam-autentificeringsværktøjet og Amazon ECS-agenten.
Beholderorkestreringsværktøjerne kommer i en separat administrationsbeholder, der er aktiveret som standard og administreres gennem AWS SSM-agenten og API. Basisbilledet mangler en kommandoskal, SSH-server og fortolkede sprog (for eksempel Python eller Perl): administrations- og fejlfindingsværktøjer flyttes til en separat servicecontainer, som er deaktiveret som standard.
Den vigtigste forskel fra lignende distributioner såsom Fedora CoreOS, CentOS / Red Hat Atomic Host er hovedfokus på at give maksimal sikkerhed i forbindelse med at styrke beskyttelsen af systemet mod mulige trusler, hvilket komplicerer udnyttelsen af sårbarheder i operativsystemets komponenter og øger isoleringen af containeren.
Containere oprettes ved hjælp af de sædvanlige Linux-kernemekanismer: cgroups, namespaces og seccomp. For yderligere isolation bruger distributionen SELinux i "applikations"-tilstand.
Rodpartitionen er monteret skrivebeskyttet og partitionen med /etc-konfigurationen monteres i tmpfs og gendannes til sin oprindelige tilstand efter genstart. Direkte ændring af filer i mappen /etc, såsom /etc/resolv.conf og /etc/containerd/config.toml, understøttes ikke; for at gemme konfigurationen permanent, skal du enten bruge API'en eller flytte funktionaliteten til separate containere.
Til kryptografisk verifikation af integriteten af rodpartitionen bruges dm-verity-modulet, og hvis der opdages et forsøg på at ændre data på blokenhedsniveauet, genstartes systemet.
De fleste af systemkomponenterne er skrevet i Rust, som giver hukommelsessikre værktøjer til at forhindre sårbarheder forårsaget af adressering af et hukommelsesområde, efter at det er blevet frigivet, dereference nul-pointere og bufferoverløb.
Ved kompilering bruges kompileringstilstandene "–enable-default-pie" og "–enable-default-ssp" som standard til at aktivere randomisering af eksekverbart adresserum (PIE) og stackoverløbsbeskyttelse via canary tag-substitution.
Hvad er nyt i Bottlerocket 1.7.0?
I denne nye version af distributionen, der præsenteres, er en af de ændringer, der skiller sig ud, at når du installerer RPM-pakker, er det forudsat at generere en liste over programmer i JSON-format og monter den til værtscontaineren som filen /var/lib/bottlerocket/inventory/application.json for at få information om tilgængelige pakker.
Også med i Bottlerocket 1.7.0 er opdatering af "admin" og "kontrol" containere, samt pakkeversioner og afhængigheder for Go og Rust.
På den anden side højdepunkter opdaterede versioner af pakker med tredjepartsprogrammer, også rettet tmpfilesd-konfigurationsproblemer for kmod-5.10-nvidia, og ved installation af tuftool er afhængighedsversioner forbundet.
Endelig for dem, der er Interesseret i at lære mere om det om denne distribution, skal du vide, at værktøjssættet og distributionskontrolkomponenterne er skrevet i Rust og distribueres under MIT- og Apache 2.0-licenserne.
Flaskelomme understøtter at køre Amazon ECS, VMware og AWS EKS Kubernetes-klynger, samt at skabe brugerdefinerede builds og udgaver, der muliggør forskellige orkestreringer og runtime-værktøjer til containere.
Du kan tjekke detaljerne, I det følgende link.