Muutama päivä sitten Amazon julkaisi ensimmäinen merkittävä versio Pullotaskun 1.0.0, joka on suunniteltu erikoistunut Linux-jakelu käyttää erillisiä kontteja tehokkaasti ja turvallisesti.
Käyttöjärjestelmä Se on räätälöity toimimaan Amazon ECS- ja AWS EKS Kubernetes -klustereissa. Mukana on työkaluja omien kokoonpanojen ja korjaustiedostojen luomiseen, joita muut konttin ajonaikaiset, ytimet ja orkestrointityökalut voivat käyttää.
Jakelu tarjoaa Linux-ytimen ja minimaalisen järjestelmäympäristön, että sisältää vain komponentit, joita tarvitaan konttien kuljettamiseen.
Projektissa mukana olleiden pakettien joukossa olivat systemd-järjestelmänhallinta, Glibc to library, Buildroot-kokoonpanotyökalut, GRUB-verkon paha käynnistyslataimen konfiguroija, eristettyjen konttien konttien ajonaika, orkesterointialusta Kubernetes Container Authenticator aws-iam-authentator agent ja Amazon ECS.
Asettelua päivitetään atomisesti ja se esitetään jakamattomana järjestelmäkuvana. Järjestelmälle on määritetty kaksi levyosiota, joista toinen sisältää aktiivisen järjestelmän ja päivitys kopioidaan toiseen.
Kun päivitys on toteutettu, toinen osa aktivoidaan ja ensimmäisessä, kunnes seuraava päivitys saapuu, järjestelmän edellinen versio tallennetaan, johon se voidaan palauttaa ongelmatilanteissa. Päivitykset asennetaan automaattisesti ilman järjestelmänvalvojan toimia.
Tärkein ero vastaaviin jakeluihin kuten Fedora CoreOS, CentOS / Red Hat Atomic Host on pääpaino maksimaalisen turvallisuuden varmistamisessa suojelun vahvistamisen yhteydessä järjestelmän monimutkaistaminen käyttöjärjestelmän komponenttien haavoittuvuuksien kanssa ja lisäämällä konttien eristämistä.
Säiliöt luodaan käyttämällä tavallisia Linux-ytimen mekanismeja: c-ryhmät, nimitilat ja seccomp. Lisäeristystä varten jakelu käyttää SELinuxia "sovellustilassa" ja dm-verity-moduulia käytetään juuriosion eheyden salaustarkastukseen.
Jos lohkolaitetasolla havaitaan yritys muokata tietoja, järjestelmä käynnistyy uudelleen.
Juuriosio on asennettu vain luku -tilaan ja / etc kokoonpano-osio asennetaan tmpfs: ään ja palautetaan alkuperäiseen tilaansa uudelleenkäynnistyksen yhteydessä.
Tiedostojen suoraa muokkaamista hakemistossa / etc ei tueta, kuten /etc/resolv.conf ja /etc/containerd/config.toml, voit tallentaa kokoonpanon pysyvästi, käyttää sovellusliittymää tai siirtää toiminnot erillisiin säilöihin.
Suurin osa järjestelmän komponenteista on kirjoitettu Rust-kielellä, joka tarjoaa keinon turvalliseen muistin manipulointiin, jotta vältetään haavoittuvuudet, jotka aiheutuvat pääsystä muistialueelle sen vapauttamisen jälkeen, poissuljetaan nollaosoittimet ja ylitetään puskurirajat.
Käännettäessä "-enable-default-pie" ja "-enable-default-ssp" kääntötiloja käytetään oletusarvoisesti suoritettavan osoitetilan (PIE) satunnaistamisen mahdollistamiseksi ja suojaamiseksi pinon ylivuodolta Kanariansaarten tunnisteiden korvaamisen avulla .
C / C ++: lla kirjoitettujen pakettien kohdalla liput "-Wall", "-Werror = format-security", "-Wp, -D_FORTIFY_SOURCE = 2", "-Wp, -D_GLIBCXX_ASSERTIONS" ja "-fstack-clash - suojaus ".
Orkestrointityökalut Säiliöistä toimitetaan erillisessä hallintakontissa joka on oletusarvoisesti käytössä ja jota hallitaan AWS SSM -agentin ja API: n kautta.
Peruskuvasta puuttuu komentokuori, SSH-palvelin ja tulkitut kielet (esimerkiksi ei Python tai Perl) - järjestelmänvalvojan työkalut ja virheenkorjaustyökalut siirretään erilliseen palvelusäiliöön, joka on oletusarvoisesti poissa käytöstä.
Hanki Bottlerocket 1.0.0
Sekä jakelu että jakelunohjauskomponentit on kirjoitettu Rustiin ja jaettu MIT- ja Apache 2.0 -lisensseillä. Hanketta kehitetään GitHubissa ja on käytettävissä yhteisön osallistumiseen.
Järjestelmän käyttöönoton kuva luodaan arkkitehtuureille x86_64 ja Aarch64.
Lisätietoja saat ottamalla yhteyttä seuraava linkki.