Vor kurzem der Start wurde angekündigt der neuen Version der Linux-Distribution "Bottlerocket 1.7.0", das unter Beteiligung von Amazon entwickelt wurde, um isolierte Container effizient und sicher zu betreiben.
Für diejenigen, die neu bei Bottlerocket sind, sollten Sie wissen, dass dies eine Distribution ist, die ein automatisch atomar aktuelles, unteilbares System-Image bereitstellt, das den Linux-Kernel und eine minimale Systemumgebung enthält, die nur die Komponenten enthält, die zum Ausführen von Containern benötigt werden.
Über Bottlerocket
Die Umwelt verwendet den systemd-Systemmanager, die Glibc-Bibliothek, das Buildroot-Build-Tool, der GRUB-Bootloader, die Container-Sandbox-Laufzeit, die Kubernetes-Container-Orchestrierungsplattform, der aws-iam-Authentifikator und der Amazon ECS-Agent.
Die Container-Orchestrierungstools befinden sich in einem separaten Verwaltungscontainer, der standardmäßig aktiviert ist und über den AWS SSM-Agenten und die API verwaltet wird. Dem Basis-Image fehlen eine Befehlsshell, ein SSH-Server und interpretierte Sprachen (z. B. Python oder Perl): Verwaltungs- und Debugging-Tools werden in einen separaten Dienstcontainer verschoben, der standardmäßig deaktiviert ist.
Der entscheidende Unterschied zu ähnlichen Distributionen wie Fedora CoreOS, CentOS / Red Hat Atomic Host Im Vordergrund steht die maximale Sicherheit im Rahmen des verstärkten Schutzes des Systems vor möglichen Bedrohungen, was das Ausnutzen von Schwachstellen in den Komponenten des Betriebssystems erschwert und die Isolation des Containers erhöht.
Container werden mit den üblichen Linux-Kernel-Mechanismen erstellt: Cgroups, Namespaces und seccomp. Zur zusätzlichen Isolierung verwendet die Distribution SELinux im „Anwendungs“-Modus.
Die Root-Partition wird schreibgeschützt gemountet und die Partition mit der /etc-Konfiguration wird in tmpfs gemountet und nach dem Neustart in ihren ursprünglichen Zustand zurückversetzt. Die direkte Änderung von Dateien im /etc-Verzeichnis, wie etwa /etc/resolv.conf und /etc/containerd/config.toml, wird nicht unterstützt; Um die Konfiguration dauerhaft zu speichern, müssen Sie entweder die API verwenden oder die Funktionalität in separate Container verschieben.
Zur kryptografischen Überprüfung der Integrität der Root-Partition wird das Modul dm-verity verwendet, und wenn ein Versuch erkannt wird, Daten auf Blockgeräteebene zu ändern, wird das System neu gestartet.
Die meisten Systemkomponenten sind in Rust geschrieben, das speichersichere Tools bereitstellt, um Schwachstellen zu verhindern, die durch Adressieren eines Speicherbereichs nach dessen Freigabe, Dereferenzieren von Nullzeigern und Pufferüberläufen verursacht werden.
Beim Kompilieren werden standardmäßig die Kompilierungsmodi "–enable-default-pie" und "–enable-default-ssp" verwendet, um die Randomisierung des ausführbaren Adressraums ( PIE ) und den Stapelüberlaufschutz durch Canary-Tag-Ersetzung zu aktivieren.
Was ist neu in Bottlerocket 1.7.0?
In dieser neuen Version der vorgestellten Distribution ist eine der auffälligen Änderungen die Bei der Installation von RPM-Paketen wird bereitgestellt, um eine Liste von Programmen im JSON-Format zu generieren und mounten Sie es als Datei /var/lib/bottlerocket/inventory/application.json im Host-Container, um Informationen zu verfügbaren Paketen zu erhalten.
Ebenfalls in Bottlerocket 1.7.0 enthalten ist die Aktualisierung der Container „admin“ und „control“., sowie Paketversionen und Abhängigkeiten für Go und Rust.
Auf der anderen Seite Höhepunkte aktualisierte Versionen von Paketen mit Programmen von Drittanbietern, Außerdem wurden Probleme mit der tmpfilesd-Konfiguration für kmod-5.10-nvidia und bei der Installation von Tuftool-Abhängigkeitsversionen behoben.
Endlich für die, die es sind Interessiert, mehr darüber zu erfahren Zu dieser Distribution sollten Sie wissen, dass das Toolkit und die Komponenten zur Distributionskontrolle in Rust geschrieben sind und unter den Lizenzen MIT und Apache 2.0 vertrieben werden.
Flaschenrakete unterstützt die Ausführung von Amazon ECS-, VMware- und AWS EKS-Kubernetes-Clustern, sowie das Erstellen benutzerdefinierter Builds und Editionen, die verschiedene Orchestrierungen und Laufzeittools für Container ermöglichen.
Sie können die Details überprüfen, im folgenden Link.