kohët e fundit u njoftua nisja të versionit të ri të shpërndarjes Linux "Blloku shishesh 1.7.0", i zhvilluar me pjesëmarrjen e Amazon, për të drejtuar kontejnerët e izoluar në mënyrë efikase dhe të sigurt.
Për ata që janë të rinj në Bottlerocket, duhet të dini se kjo është një shpërndarje që ofron një imazh të pandashëm të sistemit të përditësuar automatikisht, i cili përfshin kernelin Linux dhe një mjedis minimal të sistemit që përfshin vetëm komponentët e nevojshëm për të drejtuar kontejnerët.
Rreth Bottlerocket
Mjedisi përdor menaxherin e sistemit systemd, bibliotekën Glibc, mjeti i ndërtimit të Buildroot, ngarkuesi i nisjes GRUB, koha e funksionimit të sandboxit të kontejnerëve, platforma e orkestrimit të kontejnerëve Kubernetes, vërtetuesi aws-iam dhe agjenti ECS i Amazon.
Mjetet e orkestrimit të kontejnerëve vijnë në një enë të veçantë menaxhimi që aktivizohet si parazgjedhje dhe menaxhohet përmes agjentit AWS SSM dhe API-së. Imazhi bazë nuk ka një guaskë komandimi, server SSH dhe gjuhë të interpretuara (për shembull, Python ose Perl): mjetet e administrimit dhe korrigjimit zhvendosen në një kontejner shërbimi të veçantë, i cili është i çaktivizuar si parazgjedhje.
Dallimi kryesor nga shpërndarjet e ngjashme siç janë Fedora CoreOS, CentOS / Red Hat Atomic Host është fokusi kryesor në ofrimin e sigurisë maksimale në kuadër të forcimit të mbrojtjes së sistemit ndaj kërcënimeve të mundshme, gjë që ndërlikon shfrytëzimin e dobësive në komponentët e sistemit operativ dhe rrit izolimin e kontejnerit.
Kontejnerët krijohen duke përdorur mekanizmat e zakonshëm të kernelit Linux: cgroups, hapësirat e emrave dhe seccomp. Për izolim shtesë, shpërndarja përdor SELinux në modalitetin "aplikacion".
Ndarja rrënjësore është montuar vetëm për lexim dhe ndarja me konfigurimin /etc montohet në tmpfs dhe rikthehet në gjendjen e saj origjinale pas rindezjes. Modifikimi i drejtpërdrejtë i skedarëve në drejtorinë /etc, si p.sh. /etc/resolv.conf dhe /etc/containerd/config.toml, nuk mbështetet; për të ruajtur konfigurimin përgjithmonë, ose duhet të përdorni API ose të zhvendosni funksionalitetin në kontejnerë të veçantë.
Për verifikimin kriptografik të integritetit të ndarjes rrënjë, përdoret moduli dm-verity dhe nëse zbulohet një përpjekje për të modifikuar të dhënat në nivelin e pajisjes bllok, sistemi riniset.
Shumica e komponentëve të sistemit janë shkruar në Rust, i cili ofron mjete të sigurta për memorie për të parandaluar dobësitë e shkaktuara nga adresimi i një zone të memories pasi të jetë liruar, çreferencimi i treguesve null dhe tejmbushjet e buferit.
Gjatë përpilimit, mënyrat e kompilimit "–enable-default-pie" dhe "–enable-default-ssp" përdoren si parazgjedhje për të mundësuar randomizimin e hapësirës së adresave të ekzekutueshme (PIE) dhe mbrojtjen e tejmbushjes së stivës nëpërmjet zëvendësimit të etiketës canary.
Çfarë ka të re në Bottlerocket 1.7.0?
Në këtë version të ri të shpërndarjes që prezantohet, një nga ndryshimet që bie në sy është se gjatë instalimit të paketave RPM, ofrohet për të gjeneruar një listë programesh në formatin JSON dhe montojeni atë në kontejnerin pritës si skedari /var/lib/bottlerocket/inventory/application.json për të marrë informacion rreth paketave të disponueshme.
Gjithashtu i paraqitur në Bottlerocket 1.7.0 është përditësimi i kontejnerëve "admin" dhe "kontroll"., si dhe versionet e paketës dhe varësitë për Go dhe Rust.
Nga ana tjetër, pikat kryesore versionet e përditësuara të paketave me programe të palëve të treta, rregulloi gjithashtu çështjet e konfigurimit tmpfilesd për kmod-5.10-nvidia dhe kur instaloni versionet e varësisë së tuftool janë të lidhura.
Më në fund për ata që janë Të interesuar për të mësuar më shumë rreth tij në lidhje me këtë shpërndarje, duhet të dini se grupi i veglave dhe komponentët e kontrollit të shpërndarjes janë shkruar në Rust dhe shpërndahen nën licencat MIT dhe Apache 2.0.
Këllëfi i shisheve mbështet ekzekutimin e grupeve Amazon ECS, VMware dhe AWS EKS Kubernetes, si dhe krijimin e ndërtimeve dhe botimeve të personalizuara që mundësojnë orkestrime të ndryshme dhe vegla të kohës së funksionimit për kontejnerët.
Ju mund të kontrolloni detajet, Në lidhjen vijuese.