Hiljuti käivitamisest teatati Linuxi distributsiooni uuest versioonist "Pudelipesa 1.7.0", mis töötati välja Amazoni osalusel, et isoleeritud konteinereid tõhusalt ja turvaliselt käitada.
Need, kes on Bottlerocketiga uued, peaksid teadma, et see on distributsioon, mis pakub automaatselt aatomiliselt ajakohastatud jagamatut süsteemipilti, mis sisaldab Linuxi tuuma ja minimaalset süsteemikeskkonda, mis sisaldab ainult konteinerite käitamiseks vajalikke komponente.
Bottlerocketist
Keskkond kasutab systemd süsteemihaldurit, Glibc teeki, Buildrooti ehitustööriist, GRUB alglaadur, konteineri liivakasti käitusaeg, Kubernetese konteineri orkestreerimisplatvorm, aws-iam autentija ja Amazon ECS agent.
Konteinerite orkestreerimistööriistad on eraldi halduskonteineris, mis on vaikimisi lubatud ja mida hallatakse AWS SSM agendi ja API kaudu. Põhipildil puuduvad käsukest, SSH-server ja tõlgendatavad keeled (näiteks Python või Perl): haldus- ja silumistööriistad viiakse eraldi teeninduskonteinerisse, mis on vaikimisi keelatud.
Peamine erinevus sarnastest distributsioonidest nagu Fedora CoreOS, CentOS / Red Hat Atomic Host on põhirõhk maksimaalse turvalisuse tagamisel süsteemi kaitse tugevdamise kontekstis võimalike ohtude eest, mis raskendab operatsioonisüsteemi komponentide haavatavuste ärakasutamist ja suurendab konteineri isoleeritust.
Konteinerid luuakse tavaliste Linuxi tuumamehhanismide abil: cgroups, namespaces ja seccomp. Täiendavaks isoleerimiseks kasutab distributsioon SELinuxi "rakenduse" režiimis.
Juursektsioon on ühendatud kirjutuskaitstud kujul ja /etc konfiguratsiooniga partitsioon paigaldatakse tmpfs-i ja taastatakse pärast taaskäivitamist algsesse olekusse. Kataloogis /etc olevate failide (nt /etc/resolv.conf ja /etc/containerd/config.toml) otsest muutmist ei toetata; konfiguratsiooni püsivaks salvestamiseks peate kasutama API-d või teisaldama funktsioonid eraldi konteineritesse.
Juursektsiooni terviklikkuse krüptograafiliseks kontrollimiseks kasutatakse dm-verity moodulit ja kui tuvastatakse katse muuta andmeid plokkseadme tasemel, taaskäivitatakse süsteem.
Enamik süsteemi komponente on kirjutatud roostes, mis pakub mälule ohutuid tööriistu, et vältida haavatavusi, mis on põhjustatud mäluala adresseerimisest pärast selle vabastamist, nullviidate eemaldamisest ja puhvri ületäitumisest.
Kompileerimisel kasutatakse kompileerimisrežiime „–enable-default-pie” ja „–enable-default-ssp” vaikimisi, et lubada käivitatava aadressiruumi (PIE) randomiseerimist ja virna ületäitumise kaitset kanaari sildi asendamise kaudu.
Mis on Bottlerocket 1.7.0-s uut?
Selles esitatud distributsiooni uues versioonis on üks silmapaistvamaid muudatusi see RPM-pakettide installimisel luuakse JSON-vormingus programmide loend ja ühendage see saadaolevate pakettide kohta teabe saamiseks hosti konteinerisse failina /var/lib/bottlerocket/inventory/application.json.
Bottlerocket 1.7.0 sisaldab ka "admin" ja "control" konteinerite värskendamine, samuti Go and Rusti paketiversioonid ja sõltuvused.
Teisest küljest esiletõstmised pakettide värskendatud versioonid kolmanda osapoole programmidega, parandas ka kmod-5.10-nvidia tmpfilesd konfiguratsiooniprobleemid ja tuftool'i installimisel lingitakse sõltuvusversioonid.
Lõpuks neile, kes on Huvi selle kohta rohkem teada saada selle distributsiooni kohta peaksite teadma, et tööriistakomplekt ja distributsioonijuhtimise komponendid on kirjutatud Rusti keeles ning neid levitatakse MIT ja Apache 2.0 litsentside all.
Pudeliratas toetab Amazon ECS, VMware ja AWS EKS Kubernetes klastrite käitamist, samuti kohandatud järge ja väljaannete loomine, mis võimaldavad konteinerite jaoks erinevaid orkestreerimisi ja käitusaegseid tööriistu.
Saate üksikasju kontrollida, Järgmisel lingil.