Nesen tika paziņots par palaišanu par jauno Linux izplatīšanas versiju "Bottlerocket 1.7.0", kas izstrādāta ar Amazon līdzdalību, lai efektīvi un droši darbinātu izolētus konteinerus.
Tiem, kas sākuši izmantot Bottlerocket, jums jāzina, ka šis ir sadalījums, kas nodrošina automātiski atomiski atjauninātu nedalāmu sistēmas attēlu, kas ietver Linux kodolu un minimālu sistēmas vidi, kurā ir iekļauti tikai konteineru palaišanai nepieciešamie komponenti.
Par Bottlerocket
Vide izmanto systemd sistēmas pārvaldnieku, Glibc bibliotēku, Buildroot veidošanas rīks, GRUB sāknēšanas ielādētājs, konteinera smilškastes izpildlaiks, Kubernetes konteineru orķestrēšanas platforma, aws-iam autentifikators un Amazon ECS aģents.
Konteinera orķestrēšanas rīki ir iekļauti atsevišķā pārvaldības konteinerā, kas ir iespējots pēc noklusējuma un tiek pārvaldīts, izmantojot AWS SSM aģentu un API. Bāzes attēlam trūkst komandu čaulas, SSH servera un interpretētās valodas (piemēram, Python vai Perl): administrēšanas un atkļūdošanas rīki tiek pārvietoti uz atsevišķu pakalpojuma konteineru, kas pēc noklusējuma ir atspējots.
Galvenā atšķirība no līdzīgiem sadalījumiem piemēram, Fedora CoreOS, CentOS / Red Hat Atomic Host ir galvenais uzsvars uz maksimālas drošības nodrošināšanu kontekstā ar sistēmas aizsardzības stiprināšanu pret iespējamiem draudiem, kas apgrūtina operētājsistēmas komponentu ievainojamību izmantošanu un palielina konteinera izolāciju.
Konteineri tiek veidoti, izmantojot parastos Linux kodola mehānismus: cgroups, namespaces un seccomp. Papildu izolācijai izplatīšana izmanto SELinux "lietojumprogrammas" režīmā.
Saknes nodalījums ir uzstādīts tikai lasāms un nodalījums ar /etc konfigurāciju tiek uzstādīts tmpfs un pēc pārstartēšanas tiek atjaunots tā sākotnējā stāvoklī. Tieša failu modifikācija direktorijā /etc, piemēram, /etc/resolv.conf un /etc/containerd/config.toml, netiek atbalstīta; lai neatgriezeniski saglabātu konfigurāciju, ir jāizmanto API vai jāpārvieto funkcionalitāte uz atsevišķiem konteineriem.
Saknes nodalījuma integritātes kriptogrāfiskai pārbaudei tiek izmantots dm-verity modulis, un, ja tiek atklāts mēģinājums modificēt datus blokierīces līmenī, sistēma tiek pārstartēta.
Lielākā daļa sistēmas komponentu ir rakstīti Rust, kas nodrošina atmiņai drošus rīkus, lai novērstu ievainojamības, ko izraisa atmiņas apgabala adresēšana pēc tā atbrīvošanas, nulles norādes atcelšana un bufera pārpildes.
Kompilēšanas laikā kompilēšanas režīmi “–enable-default-pie” un “–enable-default-ssp” tiek izmantoti pēc noklusējuma, lai iespējotu izpildāmās adrešu telpas (PIE) randomizāciju un steka pārpildes aizsardzību, izmantojot canary tagu aizstāšanu.
Kas jauns Bottlerocket 1.7.0?
Šajā jaunajā izplatīšanas versijā, kas tiek prezentēta, viena no izmaiņām, kas izceļas, ir tā instalējot RPM pakotnes, tiek nodrošināts programmu saraksta ģenerēšana JSON formātā un pievienojiet to resursdatora konteineram kā /var/lib/bottlerocket/inventory/application.json failu, lai iegūtu informāciju par pieejamajām pakotnēm.
Bottlerocket 1.7.0 ir pieejams arī “admin” un “control” konteineru atjaunināšana, kā arī Go and Rust pakotņu versijas un atkarības.
No otras puses, izceļ atjauninātas pakotņu versijas ar trešo pušu programmām, arī novērstas tmpfilesd konfigurācijas problēmas kmod-5.10-nvidia un instalējot tuftool atkarības versijas ir saistītas.
Beidzot tiem, kas ir Interesē uzzināt vairāk par to Par šo izplatīšanu jums jāzina, ka rīkkopa un izplatīšanas kontroles komponenti ir rakstīti Rust un tiek izplatīti saskaņā ar MIT un Apache 2.0 licencēm.
Pudeles raķete atbalsta Amazon ECS, VMware un AWS EKS Kubernetes klasteru darbību, kā arī izveidot pielāgotus būvējumus un izdevumus, kas nodrošina dažādu orķestrāciju un izpildlaika rīkus konteineriem.
Jūs varat pārbaudīt detaļas, Šajā saitē.