Bottlerocket 1.0.0, διανομή Amazon με βάση μονωμένα δοχεία

Μπουκάλι

πριν ΛΙΓΕΣ μερες Η Amazon κυκλοφόρησε την κυκλοφορία του η πρώτη σημαντική έκδοση του Μπουκαλιέρα 1.0.0, η οποία είναι μια εξειδικευμένη διανομή Linux σχεδιασμένη να λειτουργεί μεμονωμένα δοχεία αποτελεσματικά και με ασφάλεια.

Το λειτουργικό σύστημα Είναι προσαρμοσμένο να λειτουργεί σε συμπλέγματα Amazon ECS και AWS EKS Kubernetes. Παρέχονται εργαλεία για τη δημιουργία των δικών σας συγκροτημάτων και ενημερώσεων κώδικα, τα οποία μπορούν να χρησιμοποιηθούν από άλλα εργαλεία εκτέλεσης κοντέινερ, πυρήνα και εργαλεία ενορχήστρωσης.

Η διανομή παρέχει πυρήνα Linux και ελάχιστο περιβάλλον συστήματος, ότι περιλαμβάνει μόνο τα στοιχεία που απαιτούνται για την εκτέλεση κοντέινερ.

Μεταξύ των πακέτων που συμμετείχαν στο έργο ήταν ο διαχειριστής συστήματος systemd, η βιβλιοθήκη Glibc to, τα εργαλεία συναρμολόγησης Buildroot, ο διαμορφωτής κακόβουλου φορτωτή δικτύου GRUB, ο χρόνος εκτέλεσης για μεμονωμένα κοντέινερ σε κοντέινερ, η πλατφόρμα ενορχήστρωσης Kubernetes Container Authenticator aws-iam-otententator agent και Amazon ECS.

Η διάταξη ενημερώνεται ατομικά και παρουσιάζεται με τη μορφή μιας αδιαίρετης εικόνας συστήματος. Ανατίθενται δύο διαμερίσματα δίσκου για το σύστημα, ένα από τα οποία περιέχει το ενεργό σύστημα και η ενημέρωση αντιγράφεται στο δεύτερο.

Μόλις εφαρμοστεί η ενημέρωση, ενεργοποιείται η δεύτερη ενότητα και στην πρώτη, μέχρι την επόμενη ενημέρωση, αποθηκεύεται η προηγούμενη έκδοση του συστήματος, στην οποία μπορεί να επαναφερθεί σε περίπτωση προβλημάτων. Οι ενημερώσεις εγκαθίστανται αυτόματα χωρίς παρέμβαση διαχειριστή.

Η βασική διαφορά από παρόμοιες διανομές όπως Fedora CoreOS, CentOS / Red Hat Atomic Host είναι η κύρια εστίαση στη διασφάλιση της μέγιστης ασφάλειας στο πλαίσιο της ενίσχυσης της προστασίας ενάντια σε πιθανές απειλές, περιπλέκοντας την εκμετάλλευση τρωτών σημείων σε λειτουργικά συστήματα και αυξάνοντας την απομόνωση κοντέινερ

Τα κοντέινερ δημιουργούνται χρησιμοποιώντας τυπικούς μηχανισμούς πυρήνα Linux: cgroups, namespaces και seccomp. Για πρόσθετη απομόνωση, η διανομή χρησιμοποιεί SELinux σε λειτουργία "εφαρμογή" και η μονάδα dm-verity χρησιμοποιείται για κρυπτογραφική επαλήθευση της ακεραιότητας του ριζικού διαμερίσματος.

Εάν εντοπιστεί μια προσπάθεια τροποποίησης δεδομένων σε επίπεδο συσκευής αποκλεισμού, το σύστημα επανεκκινεί.

Το ριζικό διαμέρισμα είναι τοποθετημένο μόνο για ανάγνωση και το διαμέρισμα διαμόρφωσης / etc είναι τοποθετημένο σε tmpfs και επαναφέρεται στην αρχική του κατάσταση κατά την επανεκκίνηση.

Δεν υποστηρίζεται άμεση τροποποίηση αρχείων στον κατάλογο / etc, όπως /etc/resolv.conf και /etc/containerd/config.toml, για να αποθηκεύσετε μόνιμα τη διαμόρφωση, να χρησιμοποιήσετε το API ή να μετακινήσετε τη λειτουργικότητα σε ξεχωριστά κοντέινερ.

Τα περισσότερα στοιχεία του συστήματος είναι γραμμένα στη γλώσσα Rust, το οποίο παρέχει ένα μέσο για ασφαλή χειρισμό μνήμης για την αποφυγή ευπαθειών που προκαλούνται από την πρόσβαση σε μια περιοχή μνήμης μετά την απελευθέρωσή της, αποπροσανατολισμό των μηδενικών δεικτών και υπερχείλιση των ορίων buffer

Κατά τη μεταγλώττιση, οι λειτουργίες σύνταξης "–able-default-pie" και "-able-default-ssp" χρησιμοποιούνται από προεπιλογή για να επιτρέψουν την τυχαιοποίηση του εκτελέσιμου χώρου διευθύνσεων (PIE) και για την προστασία από υπερχείλιση στοίβας χρησιμοποιώντας την αντικατάσταση ετικετών Canary .

Για πακέτα γραμμένα σε C / C ++, οι σημαίες "-Wall", "-Werror = format-security", "-Wp, -D_FORTIFY_SOURCE = 2", "-Wp, -D_GLIBCXX_ASSERTIONS" και "-fstack-clash - ΠΡΟΣΤΑΣΙΑ".

Εργαλεία ενορχήστρωσης Από εμπορευματοκιβώτια αποστέλλονται σε ξεχωριστό κοντέινερ διαχείρισης η οποία ενεργοποιείται από προεπιλογή και διαχειρίζεται μέσω του παράγοντα AWS SSM και του API.

Η βασική εικόνα δεν διαθέτει κέλυφος εντολών, διακομιστή SSH και γλώσσες που ερμηνεύονται (για παράδειγμα, χωρίς Python ή Perl) - τα εργαλεία διαχειριστή και τα εργαλεία εντοπισμού σφαλμάτων μεταφέρονται σε ξεχωριστό κοντέινερ υπηρεσιών, το οποίο είναι απενεργοποιημένο από προεπιλογή.

Αποκτήστε το Bottlerocket 1.0.0

Τόσο η διανομή όσο και τα στοιχεία ελέγχου διανομής είναι γραμμένα στο Rust και διανέμονται με τις άδειες MIT και Apache 2.0. Το έργο αναπτύσσεται στο GitHub και είναι διαθέσιμο για συμμετοχή στην κοινότητα.

Η εικόνα ανάπτυξης συστήματος δημιουργείται για τις αρχιτεκτονικές x86_64 και Aarch64.

Για περισσότερες πληροφορίες, μπορείτε να συμβουλευτείτε τον ακόλουθο σύνδεσμο. 


Γίνε ο πρώτος που θα σχολιάσει

Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: AB Internet Networks 2008 SL
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.