Gần đây sự ra mắt đã được công bố của phiên bản mới của bản phân phối Linux "Giá đỡ 1.7.0", được phát triển với sự tham gia của Amazon, để chạy các thùng chứa biệt lập một cách hiệu quả và an toàn.
Đối với những người mới sử dụng Bottlerocket, bạn nên biết rằng đây là bản phân phối cung cấp hình ảnh hệ thống không thể phân chia được cập nhật nguyên tử tự động bao gồm nhân Linux và môi trường hệ thống tối thiểu chỉ bao gồm các thành phần cần thiết để chạy vùng chứa.
Giới thiệu về Bottlerocket
Môi trường sử dụng trình quản lý hệ thống systemd, thư viện Glibc, công cụ tạo Buildroot, bộ tải khởi động GRUB, thời gian chạy hộp cát vùng chứa, nền tảng điều phối vùng chứa Kubernetes, trình xác thực aws-iam và tác nhân Amazon ECS.
Các công cụ điều phối vùng chứa có trong một vùng chứa quản lý riêng biệt được bật theo mặc định và được quản lý thông qua API và tác nhân AWS SSM. Hình ảnh cơ sở thiếu vỏ lệnh, máy chủ SSH và các ngôn ngữ được thông dịch (ví dụ: Python hoặc Perl): các công cụ quản trị và gỡ lỗi được chuyển đến một vùng chứa dịch vụ riêng biệt, bị tắt theo mặc định.
Sự khác biệt chính so với các bản phân phối tương tự chẳng hạn như Fedora CoreOS, CentOS / Red Hat Atomic Host là trọng tâm chính để cung cấp bảo mật tối đa trong bối cảnh tăng cường bảo vệ hệ thống trước các mối đe dọa có thể xảy ra, điều này làm phức tạp thêm việc khai thác các lỗ hổng trong các thành phần của hệ điều hành và tăng khả năng cô lập của vùng chứa.
Vùng chứa được tạo bằng cách sử dụng các cơ chế nhân Linux thông thường: cgroups, namespace và seccomp. Để cách ly bổ sung, bản phân phối sử dụng SELinux ở chế độ "ứng dụng".
Phân vùng gốc được gắn kết chỉ đọc và phân vùng có cấu hình / etc được gắn trong tmpfs và được khôi phục về trạng thái ban đầu sau khi khởi động lại. Sửa đổi trực tiếp các tệp trong thư mục / etc, chẳng hạn như /etc/resolv.conf và /etc/containerd/config.toml, không được hỗ trợ; để lưu cấu hình vĩnh viễn, bạn phải sử dụng API hoặc di chuyển chức năng sang các vùng chứa riêng biệt.
Để xác minh mật mã về tính toàn vẹn của phân vùng gốc, mô-đun dm-verity được sử dụng và nếu phát hiện thấy nỗ lực sửa đổi dữ liệu ở cấp thiết bị khối, hệ thống sẽ được khởi động lại.
Hầu hết các thành phần hệ thống được viết bằng Rust, cung cấp các công cụ an toàn cho bộ nhớ để ngăn chặn các lỗ hổng do giải phóng vùng bộ nhớ sau khi nó đã được giải phóng, con trỏ null dereference và tràn bộ đệm.
Khi biên dịch, chế độ biên dịch "–enable-default-pie" và "–enable-default-ssp" được sử dụng theo mặc định để kích hoạt ngẫu nhiên không gian địa chỉ thực thi (PIE) và bảo vệ chống tràn ngăn xếp thông qua thay thế thẻ canary.
Có gì mới trong Bottlerocket 1.7.0?
Trong phiên bản phân phối mới này được trình bày, một trong những thay đổi nổi bật là khi cài đặt các gói RPM, nó được cung cấp để tạo danh sách các chương trình ở định dạng JSON và gắn nó vào vùng chứa máy chủ dưới dạng tệp /var/lib/bottlerocket/inventory/application.json để nhận thông tin về các gói có sẵn.
Cũng đặc trưng trong Bottlerocket 1.7.0 là cập nhật các vùng chứa "quản trị viên" và "điều khiển", cũng như các phiên bản gói và phụ thuộc cho Go và Rust.
Mặt khác, điểm nổi bật phiên bản cập nhật của các gói với các chương trình của bên thứ ba, cũng đã khắc phục sự cố cấu hình tmpfilesd cho kmod-5.10-nvidia và khi cài đặt các phiên bản phụ thuộc tuftool được liên kết.
Cuối cùng cho những ai Quan tâm đến việc tìm hiểu thêm về nó về bản phân phối này, bạn nên biết rằng bộ công cụ và các thành phần điều khiển phân phối được viết bằng Rust và được phân phối theo giấy phép MIT và Apache 2.0.
Chai tên lửa hỗ trợ chạy các cụm Amazon ECS, VMware và AWS EKS Kubernetes, cũng như tạo các bản dựng và phiên bản tùy chỉnh cho phép các công cụ điều phối và thời gian chạy khác nhau cho vùng chứa.
Bạn có thể kiểm tra các chi tiết, Trong liên kết sau đây.