LINUX.ORG.RU

Bottlerocket 1.1.0

 , , , ,


0

1

Доступен выпуск Linux-дистрибутива Bottlerocket 1.1.0, в развитии которого принимает участие компания Amazon для более эффективного и безопасного запуска изолированных контейнеров. Дистрибутив предоставляет атомарно и автоматически обновляемый неделимый системный образ, включающий ядро Linux и минимальное системное окружение, включающие только компоненты, необходимые для запуска контейнеров. В окружении задействованы systemd, Glibc, Buildroot, GRUB, конфигуратор сети wicked, runtime для изолированных контейнеров containerd, платформа оркестровки контейнеров Kubernetes, аутентификатор aws-iam-authenticator и агент Amazon ECS.

Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust. Поддерживается запуск Bottlerocket в кластерах Amazon ECS и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров. Распространяется под лицензиями MIT и Apache 2.0.

Инструменты для управления контейнерами поставляются в отдельном контейнере, который включается по умолчанию и управляется через API и AWS SSM Agent. В базовом образе отсутствует шелл, SSH и интерпретируемые языки (Python или Perl и подобные) - средства для администратора и отладочные инструменты вынесены в отдельный служебный контейнер (по умолчанию отключен).

Ключевым отличием от похожих дистрибутивов, является повышенная безопасность в контексте усиления защиты системы от возможных угроз, усложнения эксплуатации уязвимостей в компонентах ОС и повышения изоляции контейнеров. Контейнеры создаются при помощи штатных механизмов ядра Linux - cgroups, пространств имён и seccomp. Также в дистрибутиве применяется SELinux в режиме «enforcing». При сборке по умолчанию применяются режимы компиляции «–enable-default-pie» и «–enable-default-ssp» для включения рандомизации адресного пространства исполняемых файлов (PIE) и защиты от переполнения стека через подстановку канареечных меток. Для пакетов, написанных на языке C/C++, дополнительно включаются флаги «-Wall», «-Werror=format-security», «-Wp,-D_FORTIFY_SOURCE=2», «-Wp,-D_GLIBCXX_ASSERTIONS» и «-fstack-clash-protection».

Корневой раздел монтируется в режиме -ro, а раздел с настройками /etc монтируется в tmpfs и после перезапуска возвращает стандартные настройки. Прямое изменение файлов в каталоге /etc, таких как /etc/resolv.conf и /etc/containerd/config.toml, происходит через API либо при выносе функциональности в отдельные контейнеры. Для проверки целостности корневого раздела задействован модуль dm-verity, а в случае выявления изменений система перезагружается.

В новом выпуске:

  • Предложено два новых варианта дистрибутива aws-k8s-1.20 и vmware-k8s-1.20 c поддержкой Kubernetes 1.20. В данных вариантах, а также в обновлённом варианте aws-ecs-1, задействован новый выпуск ядра Linux 5.10. Режим lockdown по умолчанию переведён в значение «integrity» (блокируются возможности, позволяющие вносить изменения в работающее ядро из пространства пользователя). Прекращена поддержка варианта aws-k8s-1.15 на базе Kubernetes 1.15.
  • Для Amazon ECS реализована поддержка сетевого режима awsvpc, позволяющего выделять отдельные сетевые интерфейсы и внутренние IP-адреса для каждой задачи.
  • Добавлены настройки для управления различными параметрами Kubernetes, включая QPS, лимиты на пулы и возможность подключения к облачным провайдерам, отличным от AWS.
  • В bootstrap-контейнере обеспечено ограничение доступа к данным пользователя при помощи SELinux.
  • Добавлена утилита resize2fs.

>>> Подробности

★★

Проверено: Shaman007 ()

В базовом образе отсутствует шелл, SSH и интерпретируемые языки (Python или Perl и подобные) - средства для администратора и отладочные инструменты вынесены в отдельный служебный контейнер (по умолчанию отключен) Похоже, что они засунули в контейнер свой мозг. И отключили.

anonymous ()

нормальный аналог Google Container-Optimized OS от AWS, не вижу причин не использовать его в EKS

MaZy ★★★★ ()
Ответ на: комментарий от MaZy

Таких систем пруд пруди, например : тот же fcos ставиться вообще на баре железо. А ставиться ли сабж на сырое железо я что то сомневаюсь.

mx__ ★★★★★ ()
Ответ на: комментарий от mx__

понятное дело, зачем ее на железо ставить? она создана для использования на aws и распространяется в виде ami

MaZy ★★★★ ()

Количество дистрибутивов Линукс превысило количество приложений под Линукс.

meliafaro ★★★★★ ()

безопаность

безопастность

Ну давай, попробуй ещё раз. Мы в тебя верим!

Проверено: Shaman007

Неизменно превосходный результат %)

Nervous ★★★★★ ()

тоже такую васянскую сборочку пилил на базе crux, + qemu туда. с минимумом пакетов. весило это чудо всего 100мб в SquashFS образе. 50мб из которых занимала сама qemu. сейчас как раз пишу демона, который бы получал команды из какого-нибудь централизованного контроллера, и управлял виртуалками. а так идея здравая, просто iso'шник загрузил на любой железке и рулишь виртуалками. как proxmox, только на минималках. где кроме qemu и системы в tmpfs, занимающей всего 100мб в памяти, ничего больше не нужно, читай, нету.

а у них контейнеризация, и всё какие-то полумеры, /etc отдельно, контроль за файлами какой-то, чё. есть же виртуалки. зачем контейнеры. :)

Spoofing ★★★★★ ()

На лоре сейчас модно суточные новости с opennet копировать?

piwww ★★★ ()

Bottlerocket

мы такое в детстве делала, лол

anonymous ()

в развитии которого принимает участие компания Amazon

Предусмотрен ли автоматический rm -rf /*, если в трафике обнаружено упоминание Республиканской партии?

Antonova ()

В окружении задействованы

котёл?

anonymous ()
Ответ на: комментарий от anonymous

Разозлённый бизон опасен, хоть и травояден, да.

hobbit ★★★★★ ()
Ответ на: комментарий от anonymous

Похоже, что они засунули в контейнер свой мозг. И отключили.

Зачем им мозг? У них есть SystemD. SystemD - это аналог порта с Матрицей из одноимённого фильма. Только он встроен с другой стороны позвоночника.

Attila ★★ ()
Ответ на: комментарий от Antonova

обнаружено упоминание Республиканской партии?

Тащемто речь про уйгуров США! И внутренних террористов. Естественно, таких удаляют утилитой swat!

AVL2 ★★★★★ ()
Ответ на: комментарий от anonymous

У меня были две любимых опечатки, сейчас помню только одну:

конечный -> конченый

anonymous ()

а в случае выявления изменений система перезагружается.

Это ненормально.

anonymous ()
Ответ на: комментарий от Antonova

Предусмотрен ли автоматический rm -rf /*, если в трафике обнаружено упоминание Республиканской партии?

Сам хотел так пошутить, но лучше уже не придумаю. :D

Gentooshnik ★★★★ ()
Ответ на: комментарий от anonymous

Чудило ватное, ты бы не пыталось шутить про другие страны, а в своей разобралось.

Ну я не ватное чудило, но @Antonova плюсую. При чём тут ватность вообще? Amazon вроде как услуги предоставляет не только на территории США, так что замешанность коммерческой компании в политике - дело всех её пользователей, а не только родной для компании страны.

Gentooshnik ★★★★ ()

для … безопасного запуска изолированных контейнеров

Всё «безопаснее» и «безопаснее»… Безумцы, отключить бы вам все ваши комплюляптеры. Хоть вспомните, кто вы и где.

anonymous ()
Ответ на: комментарий от anonymous

Все правильно, и еще спроси у гугла что такое ос.

mx__ ★★★★★ ()

Отличная новость. Все кто говорит «ненужно» идут лесом. Я собираюсь вкатить в него VirtualBox с божественной десяточкой. Шо думаете, посоны, оно так будет достаточно анонимно безопастно?

anonymous ()
Ответ на: комментарий от mx__

А понятно, вот вам ос которой для работы нужна другая ос. Как это называется ? Паразит ?

чего? какой еще паразит?

эта ос предназначена для запуска контейнера в средах ecs/eks, пользователь напрямую с ней не взаимодействует

MaZy ★★★★ ()
Ответ на: комментарий от MaZy

а у них контейнеризация, и всё какие-то полумеры, /etc отдельно, контроль за файлами какой-то, чё. есть же виртуалки. зачем контейнеры. :)

ruheladev40 ()
Ответ на: комментарий от MaZy

Вообще то это я с самого начала и спросил. Эти екс среды они что в воздухе висят ? Возьми тот же fcos, там есть и вариант для контейнера, есть для Вмвары а есть iso для установки на голое железо. https://getfedora.org/ru/coreos/download?tab=cloud_launchable&stream=stable

mx__ ★★★★★ ()
Последнее исправление: mx__ (всего исправлений: 1)

Аренда спецтехники без посредников

Аренда строительной и дорожной техники https://panrent.ru/

panrent ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.