Neseniai buvo paskelbtas startas naujos „Linux“ platinimo versijos „Bottlerocket 1.7.0“, sukurtas dalyvaujant „Amazon“, kad būtų galima efektyviai ir saugiai valdyti izoliuotus konteinerius.
Tiems, kurie pradeda naudotis „Bottlerocket“, turėtumėte žinoti, kad tai yra platinimas, suteikiantis automatiškai atomiškai atnaujintą nedalomą sistemos vaizdą, apimantį „Linux“ branduolį ir minimalią sistemos aplinką, apimančią tik konteineriams paleisti būtinus komponentus.
Apie „Bottlerocket“
Aplinka naudoja systemd sistemos tvarkyklę, Glibc biblioteką, Buildroot kūrimo įrankis, GRUB įkrovos įkroviklis, konteinerio smėlio dėžės vykdymo laikas, Kubernetes konteinerių orkestravimo platforma, aws-iam autentifikavimo priemonė ir Amazon ECS agentas.
Sudėtinio rodinio orkestravimo įrankiai yra atskirame valdymo konteineryje, kuris įgalintas pagal numatytuosius nustatymus ir valdomas per AWS SSM agentą ir API. Baziniame paveikslėlyje trūksta komandų apvalkalo, SSH serverio ir interpretuojamų kalbų (pavyzdžiui, Python arba Perl): administravimo ir derinimo įrankiai perkeliami į atskirą paslaugų konteinerį, kuris pagal numatytuosius nustatymus yra išjungtas.
Pagrindinis skirtumas nuo panašių paskirstymų pvz., „Fedora CoreOS“, „CentOS“ / „Red Hat Atomic Host“ yra pagrindinis dėmesys siekiant užtikrinti maksimalų saugumą sistemos apsaugos nuo galimų grėsmių stiprinimo kontekste, o tai apsunkina operacinės sistemos komponentų pažeidžiamumų išnaudojimą ir padidina konteinerio izoliaciją.
Konteineriai kuriami naudojant įprastus Linux branduolio mechanizmus: cgroups, namespaces ir seccomp. Siekiant papildomos izoliacijos, platinimas naudoja SELinux "programos" režimu.
Šakninis skaidinys yra prijungtas tik skaitymui ir skaidinys su /etc konfigūracija yra sujungiamas tmpfs ir atkuriamas į pradinę būseną po perkrovimo. Tiesioginis failų keitimas /etc kataloge, pvz., /etc/resolv.conf ir /etc/containerd/config.toml, nepalaikomas; norėdami visam laikui išsaugoti konfigūraciją, turite naudoti API arba perkelti funkciją į atskirus konteinerius.
Kriptografiniam šakninio skaidinio vientisumo patikrinimui naudojamas dm-verity modulis, o jei aptinkamas bandymas modifikuoti duomenis blokinio įrenginio lygiu, sistema paleidžiama iš naujo.
Dauguma sistemos komponentų parašyti Rust, kuri suteikia atmintį saugaus įrankius, skirtus užkirsti kelią pažeidžiamumui, atsirandančiam dėl atminties srities adreso ją atlaisvinus, nulio rodyklių panaikinimo ir buferio perpildymo.
Kompiliuojant kompiliavimo režimai „–enable-default-pie“ ir „–enable-default-ssp“ naudojami pagal numatytuosius nustatymus, kad būtų galima įjungti vykdomojo adreso erdvės (PIE) atsitiktinių atskyrimą ir dėklo apsaugą nuo perpildymo naudojant canary tag.
Kas naujo Bottlerocket 1.7.0?
Šioje naujoje pateiktoje platinimo versijoje vienas iš pakeitimų, kuris išsiskiria, yra tas diegiant RPM paketus, yra numatyta sugeneruoti programų sąrašą JSON formatu ir prijunkite jį prie pagrindinio konteinerio kaip failą /var/lib/bottlerocket/inventory/application.json, kad gautumėte informacijos apie galimus paketus.
Taip pat Bottlerocket 1.7.0 yra „admin“ ir „control“ konteinerių atnaujinimas, taip pat „Go and Rust“ paketų versijos ir priklausomybės.
Kita vertus, akcentai atnaujintos paketų versijos su trečiųjų šalių programomis, taip pat ištaisytos tmpfilesd konfigūracijos problemos, skirtos kmod-5.10-nvidia, o diegiant tuftool priklausomybės versijos yra susietos.
Pagaliau tiems, kurie yra Norite sužinoti daugiau apie tai Apie šį platinimą turėtumėte žinoti, kad įrankių rinkinys ir platinimo valdymo komponentai yra parašyti Rust ir platinami pagal MIT ir Apache 2.0 licencijas.
Buteliuke palaiko Amazon ECS, VMware ir AWS EKS Kubernetes klasterius, taip pat kurti pasirinktines versijas ir leidimus, kurie įgalina skirtingus sudėtinių rodinių orkestravimus ir vykdymo įrankius.
Galite patikrinti detales, Šioje nuorodoje.