Bottlerocket 1.1.0

Понедельник, 10 мая 2021 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Доступен выпуск Linux-дистрибутива Bottlerocket 1.1.0, в развитии которого принимает участие компания Amazon для более эффективного и безопасного запуска изолированных контейнеров. Дистрибутив предоставляет атомарно и автоматически обновляемый неделимый системный образ, включающий ядро Linux и минимальное системное окружение, включающие только компоненты, необходимые для запуска контейнеров. В окружении задействованы systemd, Glibc, Buildroot, GRUB, конфигуратор сети wicked, runtime для изолированных контейнеров containerd, платформа оркестровки контейнеров Kubernetes, аутентификатор aws-iam-authenticator и агент Amazon ECS.

Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust. Поддерживается запуск Bottlerocket в кластерах Amazon ECS и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров. Распространяется под лицензиями MIT и Apache 2.0.

Инструменты для управления контейнерами поставляются в отдельном контейнере, который включается по умолчанию и управляется через API и AWS SSM Agent. В базовом образе отсутствует шелл, SSH и интерпретируемые языки (Python или Perl и подобные) — средства для администратора и отладочные инструменты вынесены в отдельный служебный контейнер (по умолчанию отключен).

Ключевым отличием от похожих дистрибутивов, является повышенная безопастность в контексте усиления защиты системы от возможных угроз, усложнения эксплуатации уязвимостей в компонентах ОС и повышения изоляции контейнеров. Контейнеры создаются при помощи штатных механизмов ядра Linux — cgroups, пространств имён и seccomp. Также в дистрибутиве применяется SELinux в режиме «enforcing». При сборке по умолчанию применяются режимы компиляции »–enable-default-pie» и »–enable-default-ssp» для включения рандомизации адресного пространства исполняемых файлов (PIE) и защиты от переполнения стека через подстановку канареечных меток. Для пакетов, написанных на языке C/C++, дополнительно включаются флаги »-Wall»,»-Werror=format-security»,»-Wp,-D_FORTIFY_SOURCE=2»,»-Wp,-D_GLIBCXX_ASSERTIONS» и »-fstack-clash-protection».

Корневой раздел монтируется в режиме -ro, а раздел с настройками /etc монтируется в tmpfs и после перезапуска возвращает стандартные настройки. Прямое изменение файлов в каталоге /etc, таких как /etc/resolv.conf и /etc/containerd/config.toml, происходит через API либо при выносе функциональности в отдельные контейнеры. Для проверки целостности корневого раздела задействован модуль dm-verity, а в случае выявления изменений система перезагружается.

В новом выпуске:

Предложено два новых варианта дистрибутива aws-k8s-1.20 и vmware-k8s-1.20 c поддержкой Kubernetes 1.20. В данных вариантах, а также в обновлённом варианте aws-ecs-1, задействован новый выпуск ядра Linux 5.10. Режим lockdown по умолчанию переведён в значение «integrity» (блокируются возможности, позволяющие вносить изменения в работающее ядро из пространства пользователя). Прекращена поддержка варианта aws-k8s-1.15 на базе Kubernetes 1.15.
Для Amazon ECS реализована поддержка сетевого режима awsvpc, позволяющего выделять отдельные сетевые интерфейсы и внутренние IP-адреса для каждой задачи.
Добавлены настройки для управления различными параметрами Kubernetes, включая QPS, лимиты на пулы и возможность подключения к облачным провайдерам, отличным от AWS.
В bootstrap-контейнере обеспечено ограничение доступа к данным пользователя при помощи SELinux.
Добавлена утилита resize2fs.



>>> Подробности

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 163
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003