关键特性
AI 专项
智能时代,操作系统需要面向 AI 不断演进。一方面,在操作系统开发、部署、运维全流程以 AI 加持,让操作系统更智能;另一方面,openEuler 已支持 ARM、x86、RISC-V 等全部主流通用计算架构,在智能时代,openEuler 也率先支持 NVIDIA、昇腾等主流 AI 处理器,成为使能多样性算力的首选。
openEuler for AI:openEuler 兼容 NVIDIA、Ascend 等主流算力平台的软件栈,为用户提供高效的开发运行环境。通过将不同AI算力平台的软件栈进行容器化封装,即可简化用户部署过程,提供开箱即用的体验。
openEuler 已兼容 CANN、CUDA 等硬件 SDK,以及 TensorFlow、PyTorch 等相应的 AI 框架软件,支持 AI 应用在 openEuler 上高效开发与运行。
openEuler AI 软件栈容器化封装优化环境部署过程,并面向不同场景提供以下三类容器镜像。
SDK 镜像:以 openEuler 为基础镜像,安装相应硬件平台的 SDK,如 Ascend 平台的 CANN 或 NVIDIA 的 CUDA 软件。
AI 框架镜像:以 SDK 镜像为基础,安装 AI 框架软件,如 PyTorch 或 TensorFlow。
模型应用镜像:在 AI 框架镜像的基础上,包含完整的工具链和模型应用。
相关使用方式请参考openEuler AI 容器镜像用户指南。
AI for openEuler:当前,欧拉和 AI 深度结合,一方面使用基础大模型,基于大量欧拉操作系统的代码和数据,训练出 EulerCopilot,初步实现代码辅助生成、智能问题智能分析、系统辅助运维等功能,让 openEuler 更智能。
EulerCopilot-智能问答:EulerCopilot 智能问答平台目前支持 web 和智能 shell 两个入口。
Web入口:操作简单,可咨询操作系统相关基础知识,openEuler 实时数据、openEuler 运维问题解决方案、openEuler 项目介绍与使用指导等等。
智能Shell入口:自然语言和 openEuler 交互,启发式的运维。
相关使用方式请参考EulerCopilot 智能问答服务使用指南。
嵌入式
openEuler 22.03 LTS SP3 Embedded 支持嵌入式虚拟化弹性底座,提供 Jailhouse 虚拟化方案、openAMP 轻量化混合部署方案,用户可以根据自己的使用场景选择最优的部署方案。同时支持 ROS humble 版本,集成 ros-core、ros-base、SLAM 等核心软件包,满足 ROS2 运行时要求。
南向生态:openEuler Embedded Linux 当前主要支持 ARM64、x86-64 两种芯片架构,22.03 LTS SP3 版本新增支持 RK3588 芯片,未来还将支持龙芯、飞腾等芯片。
嵌入式弹性虚拟化底座:openEuler Embedded 的弹性虚拟化底座是为了在多核片上系统(SoC,System On Chip)上实现多个操作系统共同运行的一系列技术的集合,包含了裸金属、嵌入式虚拟化、轻量级容器、LibOS、可信执行环境(TEE)、异构部署等多种实现形态。
混合关键性部署框架:构建在融合弹性底座之上,通过一套统一的框架屏蔽下层弹性虚拟化底座形态的不同,从而实现 Linux 和其他 OS 运行时便捷地混合部署。
北向生态:350+ 嵌入式领域常用软件包的构建;支持 ROS2 humble 版本,集成 ros-core、ros-base、SLAM 等核心包,并提供 ROS SDK,简化嵌入式 ROS 开发;提供软实时能力,软实时中断响应时延微秒级;集成 OpenHarmony 的分布式软总线和 hichain 点对点认证模块,实现欧拉嵌入式设备之间互联互通、欧拉嵌入式设备和 OpenHarmony 设备之间互联互通;支持 iSula 容器,可以实现在嵌入式上部署 openEuler 或其他操作系统容器,简化应用移植和部署。
硬实时系统(UniProton):是一款实时操作系统,具备极致的低时延和灵活的混合关键性部署特性,可以适用于工业控制场景,既支持微控制器 MCU,也支持算力强的多核 CPU。
openEuler 内核中的新特性
openEuler 22.03 LTS SP3 基于 Linux Kernel 5.10 内核构建,在此基础上,同时吸收了社区高版本的有益特性及社区创新特性。
内存动态隔离和释放:提供安全、稳定的内存页面动态隔离与解除隔离的功能,支持隔离时安全迁移原内存。
支持CPU在线巡检:静默数据损坏(SDC)可能导致数据丢失和数据被破坏。通过执行巡检指令,发现存在静默故障的核,提前对故障核进行隔离,避免出现更严重的故障,提高系统可靠性。
负载算力协同:在多核服务器中运行用户体验敏感应用(如云桌面系统)时,通过负载算力协同技术能够保障算力供给的及时性和有效性。
支持功耗感知调度:在面向业务层面收集访存带宽,CPU 负载等数据,确保业务关键线程资源得到满足,同时在面向平台方面,引入物理拓扑调压域感知新的维度,减少单 DIE 调频、单 DIE 调压带来的调频降功耗的局限,保障在低负载下能最小化功耗。
核隔离特性增强:将系统 CPU 分成了 housekeeping 和 non-housekeeping 两部分,non-housekeeping CPU 主要用于执行业务进程,housekeeping CPU 主要运行 OS 周期性的时钟维护等背景进程等噪声;将 OS 背景进程、中断等噪声集中在housekeeping CPU 上,防止这些噪声对业务进程运行产生影响,提升业务性能,多用于 HPC 业务场景。
支持对资源竞争度量及处理性能监控单元指标低负载采集:多业务共享节点资源场景下,通过 PSI 等指标度量系统资源竞争,反映业务进程的吞吐和延时,分析系统资源瓶颈,可以协助了解特定业务进程的资源需求,动态调节业务的部署和资源的分配,以保证在线业务的服务质量和系统的健康程度。
KVM TDP MMU:Linux 5.10 之后,内存虚拟化领域中用于提升 KVM 可扩展性的一个改进方案。相对于传统的 KVM MMU,TDP MMU 提供了更高效的并发 Page Fault 处理机制,从而使得 KVM 对大型虚拟机(多vCPU,大内存)有了更好的支持。于此同时,通过采用新的 EPT/NPT 遍历接口,KVM TDP MMU 摒弃了传统内存虚拟化中对 rmap 数据结构的依赖,使得主机内存有了更好的利用率。
NestOS 容器操作系统
NestOS 是在 openEuler 社区孵化的云底座操作系统,集成了 rpm-ostree 支持、ignition 配置等技术,采用双根文件系统、原子化更新的设计思路,使用 nestos-assembler 快速集成构建。并针对 K8S、OpenStack 等平台进行适配,优化容器运行底噪,使系统具备十分便捷的集群组件能力,可以更安全的运行大规模的容器化工作负载。
开箱即用的容器平台:NestOS 集成适配了 iSulad、Docker、Podman 等主流容器引擎,为用户提供轻量级、定制化的云场景 OS。
简单易用的配置过程:通过 ignition 技术,可以以相同的配置方便地完成大批量集群节点的安装配置工作。
安全可靠的包管理:使用 rpm-ostree 进行软件包管理,搭配 openEuler 软件包源,确保原子化更新的安全稳定状态。
友好可控的更新机制:使用 zincati 提供自动更新服务,可实现节点自动更新与重新引导,实现集群节点有序升级而服务不中断。
紧密配合的双根文件系统:采用双根文件系统的设计实现主备切换,确保 NestOS 运行期间的完整性与安全性。
SysCare 热补丁能力
SysCare 是一个系统级热修复软件,为操作系统提供安全补丁和系统错误热修复能力,主机无需重新启动即可修复该系统问题。SysCare 将内核态热补丁技术与用户态热补丁技术进行融合统一,用户仅需聚焦在自己核心业务中,系统修复问题交予 SysCare 进行处理。包含热补丁制作、热补丁生命周期管理、针对 ELF 文件(程序可执行文件)的用户态热补丁、内核热补丁与用户态热补丁融合等功能。openEuler 22.03 LTS SP3新增特性如下。
支持制作热补丁时配置热补丁软件包依赖关系。
支持用户态补丁多补丁管理。
支持用户态热补丁冲突检测。
支持用户态热补丁强制覆盖冲突。
GCC for openEuler
GCC for openEuler 编译器是面向 openEuler 生态的高性能编译器,基于开源 GCC(GNU Compiler Collection,GNU编译器套装)开发和全场景优化。GCC for openEuler 在继承了开源 GCC 能力的基础上,聚焦于 C、C++、Fortran 语言的优化,增强指令优化、内存优化、自动向量化等特性,并适配国产硬件平台,如鲲鹏、飞腾、龙芯等,充分释放国产硬件算力。GCC for openEuler 新增能力主要包括以下3点。
多版本 GCC 共存支持:提供以 GCC 12.3.0 为基线的 gcc-toolset-12 系列软件包,主要支持 OpenMP 语言规范,其中 fortran 支持 OpenMP 4.5 语言规范,C/C++ 支持部分 OpenMP 5.0 语言规范。
LLC 分配优化特性:通过分析程序中主要的执行路径,对主路径上的循环进行访存的复用分析,计算排序出 TOP 的热数据,并插入预取指令将数据预先分配至 LLC 中,减少 LLC miss。
新增10+个 CPUBench 优化特性:主要通过对特定场景的智能识别并缩减指令,达到性能提升。
A-Ops 智能运维
A-Ops 是一款基于操作系统维度的故障运维平台,提供从数据采集,健康巡检,故障诊断,故障修复到修复任务回退的智能运维解决方案。本次发布的 aops-apollo 项目是智能补丁管理框架,集成了漏洞扫描、CVE 复(冷补丁/热补丁)、热补丁回退等核心功能。系统可以对发布的安全公告实行定时下载同步,可设置定时任务执行漏洞扫描,保证系统平稳运行的同时,运维人员可通过 AOps 工具实现对漏洞的修复和回退。
aops-apollo 内核智能补丁管理:
热补丁源管理:openEuler 的漏洞信息通过安全公告对外发布时,会同时在 update 源中发布修复所用的软件包。默认 openEuler 系统安装后自带对应OS版本的冷补丁 update 源,用户也可以通过设置 repo 来自行配置冷/热补丁的 update 源。
缺陷扫描:通过对集群手动和定时扫描,检查集群是否受 CVE 影响,并提供冷/热补丁修复选择。
冷热补丁混合管理:支持冷补丁、热补丁独立修复,也支持冷热补丁混合修复,实现在网热补丁静默收编,减少热补丁维护成本。
热补丁生命周期管理:热补丁移除,回退,查询等生命周期管理。
Gazelle 特性增强
Gazelle 是一款高性能用户态协议栈。它基于 DPDK 在用户态直接读写网卡报文,共享大页内存传递报文,使用轻量级 LwIP 协议栈。能够大幅提高应用的网络 I/O 吞吐能力。专注于数据库网络性能加速,兼顾高性能与通用性。本次版本新增 UDP 协议及相关接口支持,丰富用户态协议栈。新增特性包含如下几点。
新增支持单 vlan 模式、bond4 与 bond6 模式、网线插拔后网卡自愈功能。
全面支持鲲鹏920虚拟机单实例 redis 应用,最大支持链接数5k+,性能提升约30%+。
支持 netperf TCP_STREAM/TCP_RR(包长1463以下)参数测试。
对 gazelle 的 lstack、lwip、gazellectl 模块日志增强,便于定位。
iSulad 支持 OCI runtime
OCI(Open Container Initiative)是一个轻量级、开放的治理项目,在 Linux 基金会的支持下成立,致力于围绕容器格式和运行时创建开放的行业标准,使得任何符合 OCI 运行时标准的容器运行时都可以使用 OCI 镜像来运行容器,OCI 的出现使得整个容器社区都在朝着标准化的方向发展。iSulad 作为一款轻量级容器引擎,南向支持标准 OCI 接口,能够灵活对接 runc、kata 等多种 OCI 运行时,一步到位兼容容器生态。
随着 OCI 标准规范的日益成熟,符合OCI运行时标准规范的容器运行时能满足各种场景需求。而 runc 是第一个 OCI Runtime 的参考实现,也是业界广泛使用的 OCI runtime。
针对 iSulad 对接 oci runtime 的功能进行了统一排查,修复了原有支持功能的缺陷,并补齐了 isula top 接口与 isula attach 接口。
完善与 OCI runtime 对接的功能之后切换 iSulad 的默认运行时为 runc。
切换默认运行时后,修改与 oci runtime 对接的 isulad-shim 的依赖库为独立且裁剪后的静态工具库。
与切换前相比,能有效防止由于工具库升级导致的已有进程崩溃问题,同时运行的容器具有底噪更低的优势。
基于软总线的分布式数据管理系统
分布式数据管理系统是从 OH 社区迁移而来的在软总线生态之上的一个数据管理能力,其在分布式软总线动态组网的基础上封装了100+的通用接口,为网络上各个设备结点提供可选的强一致或弱一致性等不同的数据同步能力。
功能描述
关系型数据库:是一种基于关系模型来管理数据的数据库,底层使用SQLite作为持久化存储引擎,支持 SQLite 具有的所有数据库特性。
KV数据库:基于 SQLite 实现的 KV 数据库,提供键值管理能力,为应用程序提供设备间数据的分布式协同能力。
分布式数据对象:分布式数据对象管理框架是一款面向对象的内存数据管理框架,让开发者能以使用本地对象的方式在设备间使用相同应用的数据对象。
分布式数据服务:在通过可信认证的设备间,分布式数据服务支持数据相互同步,为用户提供在多种终端设备上一致的设备间数据访问体验。
分布式软总线:网络链路层的发现连接。
SQlite:开源三方件,原生SQLite能力。
软总线容器化支持
当前业务软件迁向容器化的已经是大势所趋,所以在新版本中使能了软总线以及相关依赖软件的容器化部署,以及多客户端的支持,大大简化了服务安装部署测试步骤,可以更方便地与业务软件兼容,便于在社区上推广应用。
内存超分
内存超分面向云原生容器场景,提供高效内存回收机制,实现内存可用空间的提升。
cgroup 内存资源管控与策略扩展
内存主动回收功能:支持直接回收部分内存,支持单独指定回收文件页、匿名页。
基于水线的回收控制功能:支持配置 min、low、high 水线做“被动”回收,支持异步后台回收避免影响业务性能。
内存去重功能:支持方便快捷得使能容器内进程的内存全量计入 KSM 去重,应用无需调用 madvise 来标记参与去重的内存区域。
Swap空间隔离与控制功能:支持容器单独配置 swap 后端设备(例如 zram 设备、存储设备等)、swap 空间使用上限、主动换入功能、swap 启用开关。
基础优化
内存压缩:支持 zram 二次压缩,兼顾不同压缩算法在压缩率、压缩/解压缩速度上的优势。
内存回收:优化回收速度:降低回收流程锁冲突;优化 unmap、migrate 等流程 TLB 刷新,提升回收速度;优化透明大页交换。
业务基于PSI机制最优化决策
cgroup v1/v2 支持 PSI。
基于 PSI 负反馈机制主动回收内存。结合业务负载与集群情况共同决策,避免内存超分对性能/可靠性影响。
动态完整性度量特性
DIM(Dynamic Integrity Measurement)动态完整性度量特性通过在程序运行时对内存中的关键数据(如代码段)进行度量,并将度量结果和基准值进行对比,确定内存数据是否被篡改,从而检测攻击行为,并采取应对措施。
DIM动态完整性度量特性支持如下功能
支持度量用户态进程、内核模块、内核内存代码段数据。
支持将度量结果扩展至 TPM 2.0 芯片 PCR 寄存器,用于对接远程证明。
支持配置度量策略,支持度量策略签名校验。
支持工具生成并导入度量基线数据,支持基线数据签名校验。
支持配置国密 SM3 度量算法。
DIM动态完整性度量特性包含两个软件包 dim_tools 和 dim
dim_tools:提供 dim_gen_baseline 命令行工具,通过解析 ELF 二进制文件生成指定格式的代码段度量基线。
dim:提供 dim_core 和 dim_monitor 内核模块。dim_core 为动态完整性度量核心模块,解析并导入用户配置的度量策略和度量基线,获取内存中的度量目标数据并执行度量功能;dim_monitor对dim_core 的代码段和关键数据执行度量保护,防止由于 dim_core 被篡改而导致度量功能失效。
安全启动
安全启动(Secure Boot)是利用公私钥对启动部件进行签名和验证。在启动过程中,前一个部件验证后一个部件的数字签名,如果能验证通过,则运行后一个部件;如果验证不通过,则停止启动。
功能描述
openEuler 签名平台生成签名公私钥和证书,并进行秘钥证书管理。同时签名平台对 openEuler 内部的 EBS 软件包构建提供签名服务。
在 EBS 软件包构建过程中进行签名,使用 openEuler 签名平台对安全启动的EFI组件(shim/grub/vmlinux)使用 signcode 方式进行签名。
在系统启动过程中进行签名验签,保障系统组件没有被篡改。
约束限制
当前社区签名平台只支持对 openEuler 社区内部构建的组件进行签名,暂不支持对外部工程构建的文件及客户文件进行签名。
当前签名平台提供的签名算法只支持国际 RSA 算法。
OS入侵检测
secDetector 是专为 OS 设计的内构入侵检测系统,旨在为关键信息基础设施提供入侵检测及响应能力,为第三方安全工具减少开发成本同时增强检测和响应能力。
secDetector 由检测特性集、异常检测探针、攻击阻断等响应模块组成,异常检测探针功能是采集由攻击引发的 OS 系统事件,基于权威 MITRE ATT&CK 威胁模式库设计的8类系统异常检测探针(文件操作、进程管理、网络访问、程序行为、内存篡改、资源消耗、账户管理、设备操作),覆盖识别APT的完备信息基础。secDetector 在技术实现架构上分为四个部分:SDK、service、检测特性集合cases、检测框架core。
SDK:是以一个用户态动态链接库lib的形态承载,被部署到需要使用 secDetector 入侵检测系统的安全感知业务中。SDK 用于和 secDetector 入侵检测系统的service通讯,完成所需的工作(例如订阅,去订阅,读取现有消息等功能)。
service:是以一个用户态服务应用的形态承载,向上管理、维护安全感知业务的 case 订阅信息,向下维护 case 的运行情况。
检测特性集合 cases:是一系列异常检测探针,根据异常信息的不同会有不同的形态,比如内核异常信息检测的每个探针会以内核模块 ko 的形态承载。
检测框架 core:是每一个 case 依赖的基础框架,提供 case 的管理和 workflow 所需的通用的基础功能单元。内核异常信息检测框架会以内核模块ko的形态承载。
EulerMaker 特性
EulerMaker 构建系统是一款软件包构建系统,完成源码到二进制软件包的构建,并支持开发者通过搭积木方式,组装 和定制出适合自己需求的场景化 OS。主要提供增量/全量构建,分层定制与镜像定制的能力。
增量/全量构建,基于软件包变化,结合软件包依赖关系,分析影响范围,得到待构建软件包列表,按照依赖顺序下发并行构建任务。
构建依赖关系,提供工程软件包构建依赖表,支持筛选及统计软件包依赖及被依赖的软件包内容。
分层定制,支持在构建工程中,基于 spec 或 yaml,叠加配置层模型,实现针对软件包的版本、patch、构建依赖、安装依赖、编译选项及构建流程等内容的定制。
镜像定制,支持开发者通过配置 repo 源,生成 iso、qcow2、容器等 OS 镜像,并支持对镜像进行软件包列表定制。
支持本地任务复现,通过命令行在本地复现构建任务,方便定位构建问题。
一键工程创建,基于yaml配置实现一键工程创建,支持批量加包,大大简化用户操作。
DPU 直连聚合
直连聚合特性(DPUDirect)旨在为业务提供协同运行环境,允许业务在 HOST 和 DPU 之间灵活卸载及迁移。直连聚合特性在 HOST 和 DPU 的操作系统层面构建了一个跨主机无感协同框架,该框架为卸载到 DPU 侧的管理面进程和 HOST 侧的业务进程提供一致的运行时视图,达到应用对卸载低感知或零感知的效果。用户只需要少量适配管理面业务代码,保证业务的软件兼容性和演进性,降低组件维护成本。
文件系统协同:支持跨主机文件系统的访问,为HOST和DPU进程提供一致的文件系统视图;除通用文件系统外还包括对 proc、sys、dev 等特殊文件系统的支持。
IPC协同:实现跨 HOST 和 DPU 进程间的无感通信,当前支持进程无感使用 fifo 及 unix domain socket 进行跨主机通信。
挂载协同:对特定目录下的挂载操作拉远至 HOST 端,可用于适配容器 overlay 镜像构造场景;支持卸载后的管理面进程为 HOST 侧业务进程构造工作目录,提供跨节点的统一文件系统视图。
epoll协同:支持远程普通文件及 fifo 类文件跨主机访问的 epoll 操作,支持阻塞读写操作。
进程协同:通过 rexec 工具进行远程可执行文件拉起,能够接管远端拉起进程的输入输出流并进行状态监控,保证两端进程生命周期一致性。
vDPA 网卡直通虚机热迁移
内核态 vDPA 框架,为设备虚拟化提供了一种性能与直通持平,且支持跨硬件厂商热迁移的方案,通过通用 vDPA 框架,实现智能网卡/DPU卡等多种硬件形态的架构统一。
通过扩展 vDPA 框架/vhost 框架接口,实现同厂商 vDPA 设备虚拟机的热迁移能力,满足 vDPA 直通虚拟机的热迁移基本能力。同时预埋跨厂商热迁移的功能代码,满足后续跨厂商设备热迁移能力演进诉求。
Lustre server 软件包
Lustre 是一个开源、分布式并行文件系统软件平台,具有高可扩展、高性能、高可用等特点。Lustre 运行于 Linux 系统之上,提供符合 POSIX 标准的 UNIX 文件系统接口。
高可扩展性和高性能:一个 Lustre 系统可在客户端节点数量、磁盘存储量、带宽各方面进行扩展或裁剪。其可扩展性和性能取决于系统中可用的磁盘、网络带宽、以及服务器的处理能力。组件的扩展和性能特性如下所示。
客户端扩展性:支持最大客户端节点数 100000,已知生产环境 5000+ 客户端,许多或在 10000~20000 之间。
客户端性能:单客户端支持 I/O 性能为 90% 网络带宽;聚合 I/O 性能为 50TB/s, 50M IOPS。
OSS扩展性:单 OSS 支持1到32个 OST; 单 OST 支持5亿对象,1024TB 容量。支持最大 1000 个 OSS,4000 个 OST。
SS性能:单 OSS 支持 15GB/s,1.5M IOPS;聚合支持 50TB/s,50M IOPS。
MDS扩展性:单 MDS 支持1到4个 MDT;单 MDT,Ldiskfs 后端下,支持40亿个文件,16TB 容量;单 MDT,ZFS 后端下,支持 640 亿个文件,64TB 容量。
MDS性能:1M/s 的创建性能;2M/s 的 stat 性能。
文件系统扩展性:单个文件,Ldiskf 后端下文件最大大小为 32PB;聚合情况下,512PB 容量,1万亿个文件。
DDE 组件更新支持服务器场景优化
统信桌面环境(DDE)是统信软件为统信操作系统(UniontechOS)开发的一款桌面环境,统信桌面操作系统、统信操作系统服务器版和统信操作系统专用设备版均在使用统信桌面环境。
统信桌面环境专注打磨产品交互、视觉设计,拥有桌面环境的核心技术,主要功能包含:登录锁屏、桌面及文件管理器、 启动器、任务栏(DOCK)、窗口管理器、控制中心等。由于界面美观、交互优雅、安全可靠、尊重隐私,一直是用户首选桌面环境之一。
FangTian 视窗引擎特性合入
FangTian 视窗引擎,基于 openEuler 构建桌面环境基础底座,打造 openEuler 视窗根技术。提供显示服务,窗口管理,图形绘制、合成、送显等。
功能描述
视窗显示:提供 Buffer 分配轮转、Vsync、渲染、合成、显示等能力。通过数据驱动接口及统一渲染架构,达成 FangTian 视窗引擎的高性能、低内存的目标。
视窗管理:提供窗口的创建、销毁、移动、缩放、布局等能力。通过独立的窗口策略模块,适应移动端、PC 端等多种设备的多种场景。
FT显示协议:ArKUI 框架通过FT协议与视窗引擎做交互。它提供统一渲染及数据驱动接口,用于降低渲染负载,减少跨进程数据的交互量,提升应用的动画能力和性能。
ArkUI框架:是一套构建鸿蒙应用界面的声明式 UI 开发框架。通过迁移适配,当前在 openEuler 上也可以使用这套框架。基于ArkUI开发的鸿蒙应用能在 openEuler 运行。
主要特性
支持 Linux 原生 Wayland 应用及鸿蒙应用可同时运行。
支持鸿蒙应用高性能显示:50窗 @60FPS。
约束限制
ArkUI 部分控件功能未使能,仅支持 x86_64 架构。
Wayland 协议的兼容未考虑扩展协议。
sysMaster 支持虚机场景
sysMaster 是一套超轻量、高可靠的服务管理程序集合,是对1号进程的全新实现,旨在改进传统的init守护进程。sysMaster 支持进程、容器和虚拟机的统一管理,并引入了故障监测和自愈技术,从而解决 Linux 系统初始化和服务管理问题,致力于替代现有1号进程,其适用于服务器、云计算和嵌入式等多个场景。
新增特性
支持 devMaster 组件,用于管理设备热插拔。
支持 sysMaster 热升级、热重启功能。
支持在虚机中以1号进程运行。
约束限制
当前仅支持 64 位系统。
当前仅支持 sysMaster 使用的 toml 配置格式。
当前仅支持系统容器和虚拟机两种使用场景。
migration-tools 项目发布
migration-tools 是由统信软件开发的一款操作系统迁移软件,面向已部署业务应用于其他操作系统且具有国产化替换 需求的用户,帮助其快速、平滑、稳定且安全地迁移至 openEuler 系操作系统。迁移软件的系统架构主要分为以下几个模块。
Server 模块:Server 模块为迁移的软件的核心,采用 pythonflaskweb 框架研发,负责接收任务请求,同时处理相关 执行指令并分发至各 Agent。
Agent 模块:Agent 模块安装在待迁移的操作系统中,负责接收 Server 发出的任务请求,执行迁移等功能。
配置模块:为 Server 模块和 Agent 模块提供配置文件的读取功能。
日志模块:提供迁移的全部运行过程记录日志。
迁移评估模块:提供迁移前的基础环境检测、软件包对比分析、ABI 兼容性检测等评估报告,为用户的迁移工作提供依据。
迁移功能模块:提供一键迁移、迁移进度展示、迁移结果判断等功能。
utshell 项目发布
utshell 是一个延续了 bash 使用习惯的全新 shell,它能够与用户进行命令行交互,响应用户的操作去执行命令并给予反馈。并且能执行自动化脚本帮助运维。
命令执行:可以执行部署在用户机器上的命令,并将执行的返回值反馈给用户。
批处理:通过脚本完成自动任务执行。
作业控制:能够将用户命令作为后台作业,从而实现多个命令同时执行。并对并行执行的任务进行管理和控制。
历史记录:记录用户所输入的命令。
别名功能:能够让用户对命令起一个自己喜欢的别名,从而个性化自己的操作功能。
utsudo 项目发布
Sudo 是 Unix 和 Linux 操作系统中常用的工具之一,它允许用户在需要超级用户权限的情况下执行特定命令。然而,传统 Sudo 在安全性和可靠性方面存在一些缺陷,为此 utsudo 项目应运而生。utsudo 是一个采用 Rust 重构 Sudo 的项目,旨在提供一个更加高效、安全、灵活的提权工具,涉及的模块主要有通 用工具、整体框架和功能插件等。
访问控制:可以根据需求,限制用户可以执行的命令,并规定所需的验证方式。
审计日志:可以记录和追踪每个用户使用 utsudo 执行的命令和任务。
临时提权:允许普通用户通过输入自己的密码,临时提升为超级用户执行特定的命令或任务。
灵活配置:可以设置参数如命令别名、环境变量、执行参数等,以满足复杂的系统管理需求。
i3 相关软件包发布
i3wm 简称 i3,是一个平铺式窗口管理器,通过各种键盘操作,就可以管理当前会话中的窗口布局,并支持多显示器。该版本支持在 openEuler 中使用i3wm。更多信息可以参考上游文档。
TPCM 特性
可信平台控制模块(Trusted Platform Control Module,TPCM)是一种可集成在可信计算平台中,用于建立和保障信任源点的基础核心模块。它作为中国可信计算3.0中的创新点之一和主动免疫机制的核心,实现了对整个平台的主动可控。整体系统方案由防护部件、计算部件和可信管理中心软件三部分组成。
整体系统方案组成
可信管理中心:对可信计算节点的防护策略和基准值进行制定、下发、维护、存储等操作的集中管理平台,可信管理中心由第三方厂商提供。
防护部件:独立于计算部件执行,为可信计算平台提供具有主动度量和主动控制特征的可信计算防护功能,实现运算的同时进行安全防护。防护部件包括TPCM主控固件、可信软件基,以及TCM可信密码模块。
计算部件:主要包括硬件、操作系统和应用层软件。
约束限制
适配服务器:TaiShan 200(型号2280)
适配BMC插卡型号:BC83SMMC
支持 safeguard 软件包
针对操作系统、内核安全,safeguard 是一个基于 eBPF 的 Linux 安全防护系统,可以实现安全操作的拦截及审计记录。项目采用 libbpfgo 库,使用 go 语言实现顶层控制。
文件
追踪文件系统的活动,包括文件的打开、关闭、读写、删除等。
修改文件系统的行为,例如拦截某些文件操作,或者实现自定义的安全策略。
安全策略
拦截或重定向某些文件操作,使用 eBPF 来拦截对敏感文件的读写操作,或者重定向对某些文件的访问到其他位置。
实现自定义的访问控制,使用 eBPF 来检查对文件的访问者的身份、权限、环境等信息,然后根据一些规则来允许或拒绝访问。
实现自定义的审计和监控,使用 eBPF 来记录对某些文件的操作的详细信息,如操作者、时间、内容等,并将这些信息输出到日志。
进程
追踪进程的生命周期,例如进程的创建、终止等。
修改进程的行为,例如注入或修改某些系统调用,或者实现自定义的调度策略。
网络
追踪网络的活动,例如网络包的发送、接收、转发、丢弃等。
修改网络的行为,例如过滤或重写某些网络包,或者实现自定义的路由策略。
