Останнім часом було оголошено про запуск нової версії дистрибутива Linux "Пляшка 1.7.0", розроблений за участю Amazon, щоб ефективно та безпечно запускати ізольовані контейнери.
Для тих, хто тільки починає працювати з Bottlerocket, ви повинні знати, що це дистрибутив, який надає автоматично оновлений нерозривний образ системи, що включає ядро Linux і мінімальне системне середовище, яке включає лише компоненти, необхідні для запуску контейнерів.
Про пляшку
Середовище використовує системний менеджер systemd, бібліотеку Glibc, інструмент складання Buildroot, завантажувач GRUB, пісочниця контейнера, платформа для оркестрування контейнерів Kubernetes, аутентифікатор aws-iam і агент Amazon ECS.
Інструменти оркестрування контейнерів поставляються в окремому контейнері керування, який увімкнено за замовчуванням і керується через агент AWS SSM та API. У базовому образі відсутні командна оболонка, SSH-сервер і мови інтерпретації (наприклад, Python або Perl): інструменти адміністрування та налагодження переміщуються в окремий сервісний контейнер, який за замовчуванням вимкнено.
Ключова відмінність від подібних дистрибутивів такі як Fedora CoreOS, CentOS / Red Hat Atomic Host є основним акцентом на забезпеченні максимальної безпеки в контексті посилення захисту системи від можливих загроз, що ускладнює експлуатацію вразливостей компонентів операційної системи та підвищує ізоляцію контейнера.
Контейнери створюються за допомогою звичайних механізмів ядра Linux: cgroups, просторів імен і seccomp. Для додаткової ізоляції дистрибутив використовує SELinux в режимі «застосунок».
Кореневий розділ монтується лише для читання а розділ з конфігурацією /etc монтується в tmpfs і відновлюється до початкового стану після перезавантаження. Пряма зміна файлів у каталозі /etc, наприклад /etc/resolv.conf та /etc/containerd/config.toml, не підтримується; щоб зберегти конфігурацію назавжди, ви повинні або використовувати API, або перемістити функціональні можливості в окремі контейнери.
Для криптографічної перевірки цілісності кореневого розділу використовується модуль dm-verity, і при виявленні спроби зміни даних на рівні блочного пристрою система перезавантажується.
Більшість компонентів системи написані на Rust, який забезпечує безпечні інструменти для запобігання вразливостям, викликаним адресацією області пам’яті після її звільнення, розіменуванням нульових покажчиків і переповненням буфера.
Під час компіляції за замовчуванням використовуються режими компіляції "--enable-default-pie" і "--enable-default-ssp", щоб увімкнути рандомізацію виконуваного адресного простору (PIE) і захист від переповнення стека через заміну тегів canary.
Що нового в Bottlerocket 1.7.0?
У цій новій версії дистрибутива, яка представлена, одна із змін, яка виділяється, полягає в тому під час встановлення пакетів RPM передбачено формування списку програм у форматі JSON і підключіть його до контейнера хоста як файл /var/lib/bottlerocket/inventory/application.json, щоб отримати інформацію про доступні пакунки.
Також у Bottlerocket 1.7.0 є оновлення контейнерів «admin» і «control»., а також версії пакетів і залежності для Go і Rust.
З іншого боку, основні моменти оновлені версії пакетів із сторонніми програмами, також виправлені проблеми з конфігурацією tmpfilesd для kmod-5.10-nvidia та під час встановлення пов’язуються версії залежностей tuftool.
Нарешті для тих, хто є Цікаво дізнатися більше про це щодо цього дистрибутива, ви повинні знати, що інструментарій та компоненти керування розповсюдженням написані на Rust і поширюються під ліцензіями MIT і Apache 2.0.
Пляшка підтримує запуск кластерів Amazon ECS, VMware та AWS EKS Kubernetes, а також створення користувацьких збірок і випусків, які дозволяють використовувати різні інструменти оркестровки та виконання для контейнерів.
Ви можете перевірити деталі, У наступному посиланні.