geçenlerde lansman açıklandı Linux dağıtımının yeni sürümünün "Bottlerocket 1.7.0", izole kapsayıcıları verimli ve güvenli bir şekilde çalıştırmak için Amazon'un katılımıyla geliştirildi.
Bottlerocket'e yeni başlayanlar için bunun, Linux çekirdeğini ve yalnızca kapsayıcıları çalıştırmak için gerekli bileşenleri içeren minimum bir sistem ortamını içeren otomatik olarak güncel, bölünmez bir sistem görüntüsü sağlayan bir dağıtım olduğunu bilmelisiniz.
Şişe Roketi Hakkında
Çevre systemd sistem yöneticisini, Glibc kitaplığını kullanır, Buildroot derleme aracı, GRUB önyükleme yükleyicisi, kapsayıcı korumalı alan çalışma zamanı, Kubernetes kapsayıcı düzenleme platformu, aws-iam kimlik doğrulayıcısı ve Amazon ECS aracısı.
Kapsayıcı düzenleme araçları, varsayılan olarak etkinleştirilen ve AWS SSM aracısı ve API'si aracılığıyla yönetilen ayrı bir yönetim kapsayıcısında gelir. Temel görüntüde bir komut kabuğu, SSH sunucusu ve yorumlanmış diller (örneğin, Python veya Perl) yoktur: yönetim ve hata ayıklama araçları, varsayılan olarak devre dışı bırakılan ayrı bir hizmet kapsayıcısına taşınır.
Benzer dağıtımlardan temel fark Fedora CoreOS, CentOS / Red Hat Atomic Host gibi maksimum güvenlik sağlamaya odaklanan ana odak noktasıdır İşletim sisteminin bileşenlerindeki güvenlik açıklarından yararlanılmasını zorlaştıran ve kapsayıcının izolasyonunu artıran olası tehditlere karşı sistemin korunmasının güçlendirilmesi bağlamında.
Kapsayıcılar, olağan Linux çekirdek mekanizmaları kullanılarak oluşturulur: gruplar, ad alanları ve seccomp. Ek izolasyon için dağıtım, "uygulama" modunda SELinux kullanır.
Kök bölüm salt okunur olarak monte edilmiştir ve /etc konfigürasyonuna sahip bölüm tmpfs'ye monte edilir ve yeniden başlatmanın ardından orijinal durumuna geri yüklenir. /etc/resolv.conf ve /etc/containerd/config.toml gibi /etc dizinindeki dosyaların doğrudan değiştirilmesi desteklenmez; yapılandırmayı kalıcı olarak kaydetmek için API'yi kullanmanız veya işlevselliği ayrı kaplara taşımanız gerekir.
Kök bölümünün bütünlüğünün kriptografik doğrulaması için dm-verity modülü kullanılır ve blok cihaz düzeyinde bir veri değiştirme girişimi algılanırsa sistem yeniden başlatılır.
Sistem bileşenlerinin çoğu Rust ile yazılmıştır, Bu, serbest bırakıldıktan sonra bir bellek alanının adreslenmesinin neden olduğu güvenlik açıklarını önlemek için bellek açısından güvenli araçlar sağlar, boş göstericileri iptal eder ve arabellek taşmaları.
Derlerken, "--enable-default-pie" ve "--enable-default-ssp" derleme modları, varsayılan olarak yürütülebilir adres alanı ( PIE ) rastgeleleştirmesini ve kanarya etiketi değiştirme yoluyla yığın taşması korumasını etkinleştirmek için kullanılır.
Bottlerocket 1.7.0'daki yenilikler neler?
Sunulan dağıtımın bu yeni versiyonunda öne çıkan değişikliklerden biri de şudur: RPM paketleri kurulurken, JSON formatında programların bir listesinin oluşturulması sağlanır. ve mevcut paketler hakkında bilgi almak için /var/lib/bottlerocket/inventory/application.json dosyası olarak ana bilgisayar kabına monte edin.
Ayrıca Bottlerocket 1.7.0'da yer alan "yönetici" ve "kontrol" kapsayıcılarını güncelleme, ayrıca Go ve Rust için paket sürümleri ve bağımlılıkları.
Öte yandan, öne çıkanlar üçüncü taraf programlarla paketlerin güncellenmiş sürümleri, ayrıca kmod-5.10-nvidia için tmpfilesd yapılandırma sorunları düzeltildi ve tuftool bağımlılık sürümleri kurulurken bağlantı kuruldu.
Sonunda olanlar için Bu konuda daha fazla bilgi edinmekle ilgileniyor Bu dağıtım hakkında, araç takımı ve dağıtım kontrol bileşenlerinin Rust ile yazıldığını ve MIT ve Apache 2.0 lisansları altında dağıtıldığını bilmelisiniz.
Şişe roketi Amazon ECS, VMware ve AWS EKS Kubernetes kümelerinin çalıştırılmasını destekler, kapsayıcılar için farklı düzenlemeleri ve çalışma zamanı araçlarını etkinleştiren özel derlemeler ve sürümler oluşturmanın yanı sıra.
Ayrıntıları kontrol edebilirsiniz, Aşağıdaki bağlantıda.