Bottlerocket 1.0.0, дистрози Амазонка дар асоси зарфҳои изолятсияшуда

Шиша

Чанд рӯз пеш Amazon озод кардани аввалин версияи назарраси Ботлерокет 1.0.0, ки як тақсимоти махсуси Linux мебошад ки контейнердои алодида-ро самаранок ва беталаф кор фармоянд.

Системаи оператсионӣ Он барои кор дар кластерҳои Amazon ECS ва AWS EKS Kubernetes мутобиқ карда шудааст. Воситаҳо барои сохтани маҷмӯаҳо ва часбҳои шахсии шумо пешниҳод карда мешаванд, ки метавонанд онҳоро дигар вақти кории контейнер, ядро ​​ва асбобҳои оркестрӣ истифода баранд.

Тақсимот ядрои Linux ва муҳити ҳадди ақали системаро таъмин мекунад, que танҳо ҷузъҳои барои коркарди контейнерҳо заруриро дар бар мегирад.

Дар байни бастаҳое, ки ба лоиҳа ҷалб шудаанд, менеҷери системавии systemd, Glibc ба китобхона, асбобҳои васлкунии Buildroot, шабакаи GRUB конфигуратори пурборкунандаи боркунанда, вақти корӣ барои контейнерҳои ҷудогона дар контейнер, платформаи оркестр Kubernetes Container Authenticator aws-iam-authenticator agent буданд. ва Amazon ECS.

Тарҳбандии атомӣ таҷдид ва ҳамчун тасвири тақсимнашавандаи система пешниҳод карда мешавад. Барои система ду қисмати диск ҷудо карда шудааст, ки яке аз онҳо системаи фаъолро дар бар мегирад ва навсозӣ ба қисми дуюм нусхабардорӣ карда мешавад.

Пас аз татбиқи навсозӣ, бахши дуввум фаъол мешавад ва дар қисми аввал, то омадани навсозии нав, версияи қаблии система сабт карда мешавад, ки дар сурати пайдо шудани мушкилот, ба он баргардонидан мумкин аст. Навсозӣ бидуни дахолати маъмур ба таври худкор насб карда мешавад.

Фарқи асосӣ аз тақсимоти шабеҳ ба монанди Fedora CoreOS, CentOS / Red Hat Atomic Host диққати асосӣ ба таъмини амнияти ҳадди аксар дар заминаи тақвияти ҳифз мебошад системаи зидди хатарҳои эҳтимолӣ, истифодаи осебпазирӣ дар ҷузъҳои системаи амалиётӣ ва афзоиши изолятсияи контейнерҳоро душвор месозад.

Зарфҳо бо истифода аз механизмҳои ядроии стандартии Linux сохта мешаванд: гурӯҳҳо, ҷойҳои ном ва секкомп. Барои ҷудокунии иловагӣ, тақсимот SELinux -ро дар режими "application" истифода мебарад ва модули dm-verity барои тафтиши криптографии беайбии қисмати реша истифода мешавад.

Агар кӯшиши тағир додани маълумот дар сатҳи дастгоҳи блок ошкор карда шуда бошад, система аз нав оғоз меёбад.

Қисми реша танҳо барои хондан насб карда шудааст ва қисмати конфигуратсияи / etc дар tmpfs насб карда шудааст ва дар ҳолати барқароркунӣ ба ҳолати аввалааш барқарор карда мешавад.

Тағироти мустақими файлҳо дар каталоги / etc пуштибонӣ намешавад, ба монанди /etc/resolv.conf ва /etc/containerd/config.toml, ба таври доимӣ конфигуратсияро сабт кунед, API -ро истифода баред ё функсияро барои ҷудо кардани контейнерҳо гузаронед.

Аксари ҷузъҳои система бо забони Rust навишта шудаанд, ки василаеро барои идораи бехатарии хотира барои пешгирӣ аз осебпазирӣ, ки дар натиҷаи дастрасӣ ба минтақаи хотира пас аз озодшавӣ, фарқияти ишоракунакҳои ночиз ва фарогирии ҳудуди буферӣ фароҳам меорад.

Ҳангоми тартиб додани режими "-enable-default-pie" ва "–enable-default-ssp" ба тариқи пешфарз истифода бурда мешавад, то тасодуфии фазои суроғаҳои иҷрошаванда (PIE) ва муҳофизат аз пур шудани стекҳо бо истифодаи ҷойивазкунии нишонаҳои Canary .

Барои бастаҳое, ки бо C / C ++ навишта шудаанд, парчамҳои "-Wall", "-Werror = format-security", "-Wp, -D_FORTIFY_SOURCE = 2", "-Wp, -D_GLIBCXX_ASSERTIONS" ва "-fstack-clash - муҳофизат ".

Воситаҳои оркестрӣ Аз контейнерҳо дар контейнери идораи алоҳида фиристода мешаванд ки бо нобаёнӣ фаъол аст ва тавассути агент AWS SSM ва API идора карда мешавад.

Дар тасвири пойгоҳ ниҳони фармон, сервери SSH ва забонҳои тафсиршуда намерасад (масалан, нест Python ё Perl) - асбобҳои администратор ва асбобҳои ислоҳкунӣ ба контейнери хидматҳои алоҳида интиқол дода мешаванд, ки бо тарзи пешфарзӣ хомӯш карда шудаанд.

Оғози Bottlerocket 1.0.0

Ҳам тақсимот ва ҳам ҷузъҳои назорати тақсимот бо Rust навишта шудаанд ва дар доираи иҷозатномаҳои MIT ва Apache 2.0 тақсим карда мешаванд. Лоиҳа дар GitHub таҳия карда мешавад ва барои иштироки ҷомеа дастрас аст.

Тасвири ҷойгиркунии система барои меъмории x86_64 ва Aarch64 сохта мешавад.

Барои маълумоти иловагӣ, шумо метавонед машварат кунед истиноди зерин. 


Аваллин эзоҳро диҳед

Назари худро бинависед

Суроғаи почтаи электронии шумо нест, нашр карда мешавад. Майдонҳои талаб карда мешавад, бо ишора *

*

*

  1. Масъул барои маълумот: AB Internet Networks 2008 SL
  2. Мақсади маълумот: Назорати СПАМ, идоракунии шарҳҳо.
  3. Қонунӣ: Розигии шумо
  4. Иртиботи маълумот: Маълумот ба шахсони сеюм расонида намешавад, ба истиснои ӯҳдадориҳои қонунӣ.
  5. Нигоҳдории маълумот: Пойгоҳи додаҳо аз ҷониби Occentus Networks (ИА) ҷойгир карда шудааст
  6. Ҳуқуқҳо: Ҳар лаҳза шумо метавонед маълумоти худро маҳдуд, барқарор ва нест кунед.