Kamakailan lamang inihayag ang paglulunsad ng bagong bersyon ng pamamahagi ng Linux "Bottlerocket 1.7.0", na binuo kasama ang partisipasyon ng Amazon, upang magpatakbo ng mga nakahiwalay na lalagyan nang mahusay at secure.
Para sa mga bago sa Bottlerocket, dapat mong malaman na ito ay isang pamamahagi na nagbibigay ng awtomatikong atomically up-to-date na hindi mahahati na imahe ng system na kinabibilangan ng Linux kernel at isang minimal na kapaligiran ng system na kinabibilangan lamang ng mga sangkap na kailangan para magpatakbo ng mga container.
Tungkol sa Bottlerocket
Ang kapaligiran gumagamit ng systemd system manager, Glibc library, ang Buildroot build tool, ang GRUB boot loader, ang container sandbox runtime, ang Kubernetes container orchestration platform, ang aws-iam authenticator, at ang Amazon ECS agent.
Ang mga tool sa pag-orkestra ng container ay nasa isang hiwalay na lalagyan ng pamamahala na naka-enable bilang default at pinamamahalaan sa pamamagitan ng ahente at API ng AWS SSM. Ang batayang imahe ay walang command shell, SSH server, at mga na-interpret na wika (halimbawa, Python o Perl): ang mga tool sa pangangasiwa at pag-debug ay inililipat sa isang hiwalay na lalagyan ng serbisyo, na hindi pinagana bilang default.
Ang pangunahing pagkakaiba mula sa mga katulad na distribusyon tulad ng Fedora CoreOS, CentOS / Red Hat Atomic Host ay ang pangunahing pokus sa pagbibigay ng pinakamataas na seguridad sa konteksto ng pagpapalakas ng proteksyon ng system laban sa mga posibleng banta, na nagpapalubha sa pagsasamantala ng mga kahinaan sa mga bahagi ng operating system at pinatataas ang paghihiwalay ng lalagyan.
Nilikha ang mga container gamit ang karaniwang mga mekanismo ng kernel ng Linux: mga cgroup, namespace, at seccomp. Para sa karagdagang paghihiwalay, ang pamamahagi ay gumagamit ng SELinux sa "application" mode.
Ang root partition ay naka-mount read-only at ang partition na may configuration na /etc ay naka-mount sa tmpfs at naibalik sa orihinal nitong estado pagkatapos ng reboot. Ang direktang pagbabago ng mga file sa /etc na direktoryo, tulad ng /etc/resolv.conf at /etc/containerd/config.toml, ay hindi suportado; para permanenteng i-save ang configuration, dapat mong gamitin ang API o ilipat ang functionality sa hiwalay na mga container.
Para sa cryptographic na pag-verify ng integridad ng root partition, ang dm-verity module ay ginagamit, at kung ang pagtatangkang baguhin ang data sa block device level ay nakita, ang system ay ire-reboot.
Karamihan sa mga bahagi ng system ay nakasulat sa Rust, na nagbibigay ng mga tool na ligtas sa memorya upang maiwasan ang mga kahinaan na dulot ng pagtugon sa isang lugar ng memorya pagkatapos na ito ay mapalaya, i-dereference ang mga null pointer, at mga buffer overflow.
Kapag nagko-compile, ang "--enable-default-pie" at "--enable-default-ssp" compile mode ay ginagamit bilang default para paganahin ang executable address space ( PIE ) randomization at stack overflow protection sa pamamagitan ng canary tag substitution.
Ano ang bago sa Bottlerocket 1.7.0?
Sa bagong bersyon na ito ng pamamahagi na ipinakita, ang isa sa mga pagbabago na namumukod-tangi ay iyon kapag nag-i-install ng mga RPM package, ibinibigay ito upang bumuo ng isang listahan ng mga program sa JSON na format at i-mount ito sa host container bilang /var/lib/bottlerocket/inventory/application.json file para makakuha ng impormasyon tungkol sa mga available na package.
Itinampok din sa Bottlerocket 1.7.0 ang pag-update ng mga lalagyan ng "admin" at "kontrol"., pati na rin ang mga bersyon ng package at dependency para sa Go at Rust.
Sa kabilang banda, mga highlight na-update na mga bersyon ng mga pakete na may mga third-party na programa, inayos din ang mga isyu sa pagsasaayos ng tmpfilesd para sa kmod-5.10-nvidia at kapag naka-link ang pag-install ng mga bersyon ng dependency ng tuftool.
Sa wakas para sa mga na Interesado na matuto pa tungkol dito tungkol sa pamamahagi na ito, dapat mong malaman na ang toolkit at mga bahagi ng kontrol sa pamamahagi ay nakasulat sa Rust at ipinamamahagi sa ilalim ng mga lisensya ng MIT at Apache 2.0.
bottlerocket sumusuporta sa pagpapatakbo ng Amazon ECS, VMware, at AWS EKS Kubernetes clusters, pati na rin ang paglikha ng mga custom na build at edisyon na nagbibigay-daan sa iba't ibang mga orkestrasyon at mga tool sa runtime para sa mga container.
Maaari mong suriin ang mga detalye, Sa sumusunod na link.