अलीकडे लाँच करण्याची घोषणा करण्यात आली लिनक्स वितरणाच्या नवीन आवृत्तीचे "बाटली रॉकेट 1.7.0", वेगळे कंटेनर कार्यक्षमतेने आणि सुरक्षितपणे चालवण्यासाठी Amazon च्या सहभागाने विकसित केले आहे.
Bottlerocket वर नवीन असलेल्यांसाठी, तुम्हाला हे माहित असले पाहिजे की हे एक वितरण आहे जे स्वयंचलितपणे अद्ययावत अविभाज्य प्रणाली प्रतिमा प्रदान करते ज्यामध्ये Linux कर्नल आणि किमान सिस्टम वातावरण समाविष्ट असते ज्यामध्ये कंटेनर चालविण्यासाठी आवश्यक घटक समाविष्ट असतात.
बॉटलरोकेट बद्दल
पर्यावरण systemd सिस्टम मॅनेजर, Glibc लायब्ररी वापरते, Buildroot बिल्ड टूल, GRUB बूट लोडर, कंटेनर सँडबॉक्स रनटाइम, Kubernetes कंटेनर ऑर्केस्ट्रेशन प्लॅटफॉर्म, aws-iam ऑथेंटिकेटर आणि Amazon ECS एजंट.
कंटेनर ऑर्केस्ट्रेशन टूल्स वेगळ्या व्यवस्थापन कंटेनरमध्ये येतात जे डीफॉल्टनुसार सक्षम केले जातात आणि AWS SSM एजंट आणि API द्वारे व्यवस्थापित केले जातात. बेस इमेजमध्ये कमांड शेल, एसएसएच सर्व्हर आणि व्याख्या केलेल्या भाषांचा अभाव आहे (उदाहरणार्थ, पायथन किंवा पर्ल): प्रशासन आणि डीबगिंग साधने वेगळ्या सेवा कंटेनरवर हलवली जातात, जी डीफॉल्टनुसार अक्षम केली जाते.
समान वितरणांमधील मुख्य फरक जसे कि फेडोरा कोरोस, सेन्टॉस / रेड हॅट omicटोमिक होस्ट जास्तीत जास्त सुरक्षा प्रदान करण्यावर मुख्य भर आहे संभाव्य धोक्यांपासून सिस्टमचे संरक्षण मजबूत करण्याच्या संदर्भात, जे ऑपरेटिंग सिस्टमच्या घटकांमधील असुरक्षिततेचे शोषण जटिल करते आणि कंटेनरचे अलगाव वाढवते.
नेहमीच्या लिनक्स कर्नल यंत्रणा वापरून कंटेनर तयार केले जातात: cgroups, नेमस्पेसेस, आणि seccomp. अतिरिक्त अलगावसाठी, वितरण "अनुप्रयोग" मोडमध्ये SELinux वापरते.
रूट विभाजन केवळ-वाचनीय माउंट केले आहे आणि /etc कॉन्फिगरेशनसह विभाजन tmpfs मध्ये आरोहित केले जाते आणि रीबूट केल्यानंतर मूळ स्थितीत पुनर्संचयित केले जाते. /etc डिरेक्ट्रीमधील फाइल्सचे थेट बदल, जसे की /etc/resolv.conf आणि /etc/containerd/config.toml, समर्थित नाही; कॉन्फिगरेशन कायमचे सेव्ह करण्यासाठी, तुम्ही एकतर API वापरणे आवश्यक आहे किंवा कार्यक्षमता वेगळ्या कंटेनरमध्ये हलवणे आवश्यक आहे.
रूट विभाजनाच्या अखंडतेच्या क्रिप्टोग्राफिक पडताळणीसाठी, dm-verity मॉड्यूल वापरला जातो आणि ब्लॉक डिव्हाइस स्तरावर डेटा सुधारण्याचा प्रयत्न आढळल्यास, सिस्टम रीबूट केली जाते.
सिस्टमचे बहुतेक घटक रस्टमध्ये लिहिलेले आहेत, जे मेमरी क्षेत्र मोकळे केल्यावर संबोधित केल्यामुळे होणारी असुरक्षा टाळण्यासाठी मेमरी-सुरक्षित साधने पुरवते, नल पॉइंटर्स, आणि बफर ओव्हरफ्लो.
संकलित करताना, "-enable-default-pie" आणि "-enable-default-ssp" कंपाइल मोड डिफॉल्टनुसार एक्झिक्यूटेबल अॅड्रेस स्पेस (पीआयई) यादृच्छिकीकरण आणि कॅनरी टॅग प्रतिस्थापनाद्वारे स्टॅक ओव्हरफ्लो संरक्षण सक्षम करण्यासाठी वापरले जातात.
Bottlerocket 1.7.0 मध्ये नवीन काय आहे?
सादर केलेल्या वितरणाच्या या नवीन आवृत्तीमध्ये, एक बदल दिसून येतो तो म्हणजे RPM पॅकेजेस इन्स्टॉल करताना, JSON फॉरमॅटमध्ये प्रोग्राम्सची सूची तयार करण्यासाठी ते दिले जाते आणि उपलब्ध पॅकेजेसबद्दल माहिती मिळवण्यासाठी /var/lib/bottlerocket/inventory/application.json फाइल म्हणून होस्ट कंटेनरवर माउंट करा.
Bottlerocket 1.7.0 मध्ये देखील वैशिष्ट्यीकृत आहे "प्रशासक" आणि "नियंत्रण" कंटेनर अद्यतनित करत आहे, तसेच Go आणि Rust साठी पॅकेज आवृत्त्या आणि अवलंबित्व.
दुसरीकडे, हायलाइट्स तृतीय-पक्ष प्रोग्रामसह पॅकेजेसच्या अद्ययावत आवृत्त्या, तसेच kmod-5.10-nvidia साठी tmpfilesd कॉन्फिगरेशन समस्यांचे निराकरण केले आणि tuftool अवलंबित्व आवृत्त्या स्थापित करताना जोडलेले आहेत.
शेवटी जे आहेत त्यांच्यासाठी याबद्दल अधिक जाणून घेण्यात स्वारस्य आहे या वितरणाविषयी, तुम्हाला माहित असले पाहिजे की टूलकिट आणि वितरण नियंत्रण घटक रस्टमध्ये लिहिलेले आहेत आणि MIT आणि Apache 2.0 लायसन्स अंतर्गत वितरित केले आहेत.
बाटली रॉकेट Amazon ECS, VMware आणि AWS EKS Kubernetes क्लस्टर चालवण्यास समर्थन देते, तसेच सानुकूल बिल्ड आणि आवृत्त्या तयार करणे जे कंटेनरसाठी भिन्न ऑर्केस्ट्रेशन आणि रनटाइम साधने सक्षम करतात.
आपण तपशील तपासू शकता, पुढील लिंकवर