AWS Bottlerocket容器操纵体系全面上市
|
AWS本日公布Bottlerocket全面上市,这是一款专门为了运行软件容器而开拓的开源Linux刊行版。 主流的Linux刊行版不只计划可以运行容器(容器让应用可以运行在多个计较情形中),并且还可以运行一系列其他事变负载,由于支持大量用例,以是有大量难以打点的组件。 在开拓Bottlerocket时,AWS去掉了许多尺度Linux组件,只保存了运行容器事变负载所需的组件,从而打造了一个易于打点且更为安详的操纵体系,之以是安详性更高,是由于Bottlerocket较小的代码库镌汰了黑客可以操作的隐藏裂痕。 另外,AWS采纳了很多其他防护法子来防备威胁,譬喻工程师操作Rust说话编写了Bottlerocket的大部门内容,这与首要用C说话编写的Linux内查对比低落了缓冲区溢出的也许性。 另外AWS还进步了Bottlerocket的安详性以应对所谓的耐久性威胁。耐久性威胁(也称为耐久性恶意软件)是一种恶意措施,可以获取对操纵体系要害组件的会见权,并操作这些组件潜匿其踪迹。 Bottlerocket通过称为dm-verity的Linux内核成果来低落此类进攻的风险,该成果会检测未经容许被改动的操纵体系,而这也是发明潜匿耐久性恶意软件的一个靠得住要领。 AWS产物司理Samartha Chandrashekar在博客文章中暗示:“Bottlerocket还可以通过阻止与出产处事器的打点毗连来逼迫实验一种操纵模子,进一步进步安详性。”打点员帐户凡是可以普及会见云实例,这使其成为黑客的方针。“登录到单个Bottlerocket实例,对付高级调试和妨碍解除来说是一种不常见的操纵举动。” Bottlerocket简化容器运行的另一种要领,是简化操纵体系更新。将操纵体系改观陈设到运行要害使命应用的容器情形,这种举动是存在风险的,由于陈设题目也许会导致停机。思量到这一点,AWS在Bottlerocket中开拓了一项名为原子更新的成果,让打点员可以在导致错误的环境下安详地除掉操纵体系改观。 “可以以原子方法应用和回滚Bottlerocket的更新,使其更轻易实现自动化,镌汰打点开销,低落运营本钱,”Chandrashekar说道。 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
