Pred kratkim lansiranje je bilo napovedano nove različice distribucije Linuxa "Steklenica 1.7.0", razvit s sodelovanjem Amazona, za učinkovito in varno vodenje izoliranih zabojnikov.
Za tiste, ki so novi v Bottlerocketu, morate vedeti, da je to distribucija, ki zagotavlja samodejno atomsko posodobljeno nedeljivo sistemsko sliko, ki vključuje jedro Linuxa in minimalno sistemsko okolje, ki vključuje samo komponente, potrebne za zagon vsebnikov.
O Bottlerocket
Okolje uporablja sistemski upravitelj sistemd, knjižnico Glibc, orodje za gradnjo Buildroot, zagonski nalagalnik GRUB, izvajalni čas peskovnika vsebnika, platformo za orkestracijo vsebnikov Kubernetes, overovalnik aws-iam in agent Amazon ECS.
Orodja za orkestracijo vsebnikov so na voljo v ločenem vsebniku za upravljanje, ki je privzeto omogočen in se upravlja prek agenta AWS SSM in API-ja. Osnovna slika nima ukazne lupine, strežnika SSH in interpretiranih jezikov (na primer Python ali Perl): orodja za upravljanje in odpravljanje napak se premaknejo v ločen vsebnik storitev, ki je privzeto onemogočen.
Ključna razlika od podobnih distribucij kot so Fedora CoreOS, CentOS / Red Hat Atomic Host je glavni poudarek na zagotavljanju največje varnosti v okviru krepitve zaščite sistema pred morebitnimi grožnjami, kar otežuje izkoriščanje ranljivosti v komponentah operacijskega sistema in povečuje izolacijo vsebnika.
Vsebniki so ustvarjeni z uporabo običajnih mehanizmov jedra Linuxa: cgroups, imenskih prostorov in seccomp. Za dodatno izolacijo distribucija uporablja SELinux v načinu "aplikacija".
Korenska particija je nameščena samo za branje in particija s konfiguracijo /etc je nameščena v tmpfs in po ponovnem zagonu obnovljena v prvotno stanje. Neposredno spreminjanje datotek v imeniku /etc, kot sta /etc/resolv.conf in /etc/containerd/config.toml, ni podprto; če želite konfiguracijo trajno shraniti, morate uporabiti API ali premakniti funkcionalnost v ločene vsebnike.
Za kriptografsko preverjanje celovitosti korenske particije se uporablja modul dm-verity, in če je zaznan poskus spreminjanja podatkov na ravni blokovne naprave, se sistem ponovno zažene.
Večina sistemskih komponent je napisana v Rustu, ki zagotavlja pomnilniško varna orodja za preprečevanje ranljivosti, ki nastanejo zaradi naslavljanja pomnilniškega območja po tem, ko je bilo to osvobojeno, ničelnih kazalcev za dereferenciranje in prelivanja medpomnilnika.
Pri prevajanju se privzeto uporabljata načina prevajanja »–enable-default-pie« in »–enable-default-ssp«, ki omogočata naključno naključno izvajanje izvršljivega naslovnega prostora (PIE) in zaščito pred prelivanjem sklada s pomočjo zamenjave oznake kanarčka.
Kaj je novega v Bottlerocket 1.7.0?
V tej novi različici distribucije, ki je predstavljena, je ena od sprememb, ki izstopa, ta pri nameščanju paketov RPM je na voljo generiranje seznama programov v formatu JSON in ga namestite v gostiteljski vsebnik kot datoteko /var/lib/bottlerocket/inventory/application.json, da dobite informacije o razpoložljivih paketih.
V Bottlerocket 1.7.0 je tudi posodabljanje "admin" in "control" vsebnikov, pa tudi različice paketov in odvisnosti za Go in Rust.
Po drugi strani pa poudarki posodobljene različice paketov s programi tretjih oseb, odpravljene so tudi težave s konfiguracijo tmpfilesd za kmod-5.10-nvidia in pri namestitvi so povezane različice odvisnosti tuftool.
Končno za tiste, ki so Zanima me, da bi izvedeli več o tem o tej distribuciji morate vedeti, da so komplet orodij in komponente za nadzor distribucije napisane v Rustu in se distribuirajo pod licencama MIT in Apache 2.0.
Steklenica podpira izvajanje grozdov Amazon ECS, VMware in AWS EKS Kubernetes, kot tudi ustvarjanje gradenj in izdaj po meri, ki omogočajo različne orkestracije in orodja za izvajanje za vsebnike.
Lahko preverite podrobnosti, V naslednji povezavi.