Πρόσφατα ανακοινώθηκε η εκτόξευση της νέας έκδοσης της διανομής Linux "Bottlerocket 1.7.0", που αναπτύχθηκε με τη συμμετοχή της Amazon, για τη λειτουργία απομονωμένων εμπορευματοκιβωτίων αποτελεσματικά και με ασφάλεια.
Για όσους είναι νέοι στο Bottlerocket, θα πρέπει να γνωρίζετε ότι αυτή είναι μια διανομή που παρέχει μια αυτόματα ενημερωμένη αδιαίρετη εικόνα συστήματος που περιλαμβάνει τον πυρήνα του Linux και ένα ελάχιστο περιβάλλον συστήματος που περιλαμβάνει μόνο τα στοιχεία που είναι απαραίτητα για την εκτέλεση κοντέινερ.
Σχετικά με το Bottlerocket
Το περιβάλλον χρησιμοποιεί systemd system manager, βιβλιοθήκη Glibc, το εργαλείο δημιουργίας Buildroot, τον φορτωτή εκκίνησης GRUB, τον χρόνο εκτέλεσης του sandbox κοντέινερ, την πλατφόρμα ενορχήστρωσης κοντέινερ Kubernetes, τον έλεγχο ταυτότητας aws-iam και τον πράκτορα ECS της Amazon.
Τα εργαλεία ενορχήστρωσης κοντέινερ διατίθενται σε ξεχωριστό κοντέινερ διαχείρισης που είναι ενεργοποιημένο από προεπιλογή και διαχειρίζεται μέσω του πράκτορα AWS SSM και του API. Η βασική εικόνα δεν διαθέτει κέλυφος εντολών, διακομιστή SSH και γλώσσες ερμηνείας (για παράδειγμα, Python ή Perl): τα εργαλεία διαχείρισης και εντοπισμού σφαλμάτων μετακινούνται σε ξεχωριστό κοντέινερ υπηρεσίας, το οποίο είναι απενεργοποιημένο από προεπιλογή.
Η βασική διαφορά από παρόμοιες διανομές όπως το Fedora CoreOS, το CentOS / Red Hat Atomic Host είναι η κύρια εστίαση στην παροχή μέγιστης ασφάλειας στο πλαίσιο της ενίσχυσης της προστασίας του συστήματος από πιθανές απειλές, γεγονός που περιπλέκει την εκμετάλλευση των τρωτών σημείων στα στοιχεία του λειτουργικού συστήματος και αυξάνει την απομόνωση του κοντέινερ.
Τα κοντέινερ δημιουργούνται χρησιμοποιώντας τους συνηθισμένους μηχανισμούς πυρήνα Linux: cgroups, namespaces και seccomp. Για πρόσθετη απομόνωση, η διανομή χρησιμοποιεί το SELinux σε λειτουργία "εφαρμογής".
Το ριζικό διαμέρισμα είναι προσαρτημένο μόνο για ανάγνωση και το διαμέρισμα με τη διαμόρφωση /etc προσαρτάται σε tmpfs και επαναφέρεται στην αρχική του κατάσταση μετά την επανεκκίνηση. Η άμεση τροποποίηση αρχείων στον κατάλογο /etc, όπως τα /etc/resolv.conf και /etc/containerd/config.toml, δεν υποστηρίζεται. για να αποθηκεύσετε μόνιμα τη διαμόρφωση, πρέπει είτε να χρησιμοποιήσετε το API είτε να μετακινήσετε τη λειτουργικότητα σε ξεχωριστά κοντέινερ.
Για την κρυπτογραφική επαλήθευση της ακεραιότητας του ριζικού διαμερίσματος, χρησιμοποιείται η μονάδα dm-verity και εάν εντοπιστεί προσπάθεια τροποποίησης δεδομένων σε επίπεδο συσκευής μπλοκ, το σύστημα επανεκκινείται.
Τα περισσότερα από τα στοιχεία του συστήματος είναι γραμμένα σε Rust, το οποίο παρέχει εργαλεία ασφαλή για τη μνήμη για την αποτροπή τρωτών σημείων που προκαλούνται από την αντιμετώπιση μιας περιοχής μνήμης μετά την απελευθέρωσή της, την κατάργηση αναφοράς μηδενικών δεικτών και τις υπερχειλίσεις buffer.
Κατά τη μεταγλώττιση, οι λειτουργίες μεταγλώττισης «–enable-default-pie» και «–enable-default-ssp» χρησιμοποιούνται από προεπιλογή για την ενεργοποίηση της τυχαιοποίησης του εκτελέσιμου χώρου διευθύνσεων (PIE ) και της προστασίας υπερχείλισης στοίβας μέσω αντικατάστασης ετικέτας καναρίνι.
Τι νέο υπάρχει στο Bottlerocket 1.7.0;
Σε αυτή τη νέα έκδοση της διανομής που παρουσιάζεται, μια από τις αλλαγές που ξεχωρίζει είναι αυτή κατά την εγκατάσταση πακέτων RPM, παρέχεται για τη δημιουργία λίστας προγραμμάτων σε μορφή JSON και προσαρτήστε το στο κοντέινερ κεντρικού υπολογιστή ως αρχείο /var/lib/bottlerocket/inventory/application.json για να λάβετε πληροφορίες σχετικά με τα διαθέσιμα πακέτα.
Επίσης στο Bottlerocket 1.7.0 εμφανίζεται το ενημέρωση των κοντέινερ "admin" και "control"., καθώς και εκδόσεις πακέτων και εξαρτήσεις για το Go and Rust.
Από την άλλη, επισημάνσεις ενημερωμένες εκδόσεις πακέτων με προγράμματα τρίτων, Διορθώθηκαν επίσης ζητήματα διαμόρφωσης tmpfilesd για kmod-5.10-nvidia και κατά την εγκατάσταση των εκδόσεων εξάρτησης tuftool συνδέονται.
Τέλος για όσους είναι Ενδιαφέρεστε να μάθετε περισσότερα για αυτό σχετικά με αυτήν τη διανομή, θα πρέπει να γνωρίζετε ότι η εργαλειοθήκη και τα στοιχεία ελέγχου διανομής είναι γραμμένα σε Rust και διανέμονται υπό τις άδειες MIT και Apache 2.0.
Μπουκάλι υποστηρίζει την εκτέλεση συμπλεγμάτων Amazon ECS, VMware και AWS EKS Kubernetes, καθώς και τη δημιουργία προσαρμοσμένων δομών και εκδόσεων που επιτρέπουν διαφορετικές ενορχηστρώσεις και εργαλεία χρόνου εκτέλεσης για κοντέινερ.
Μπορείτε να ελέγξετε τις λεπτομέρειες, Στον ακόλουθο σύνδεσμο.