写点什么

自用 Linux 容器即将发行一周年,微软再对版本更新

  • 2021-08-19
  • 本文字数:1492 字

    阅读完需:约 5 分钟

自用 Linux容器即将发行一周年,微软再对版本更新

近期,微软已经更新了其内部开源容器 CBL-Mariner。此次更新将内核升级到了 5.10.52.1 版本,并启用/dev/mcelog。除了大量的安全修复外,cronie 和 logrotate 已添加到图像中,就像 Microsoft 的存储库一样。Moby-containerd 已更新至 1.4.4 版,swig 已更新至 4.0.2。

 

微软的 CBL-Mariner Linux 在 GitHub 上发布即将一周年,开发人员在此期间一直保持维护和更新,并在今年 7 月将其开源。不过,CBL-Mariner 目前还是以微软内部自用为主。

 

CBL-Mariner 是由微软的 Linux 系统组创建,也就是 WindowsSubsystem for Linux 2 背后的技术团队。作为微软云基础设施和边缘产品和服务的内部 Linux 发行版,CBL-Mariner 旨在为设备和服务提供统一平台,但主要用于服务器端而非桌面端。

 

据官方介绍,CBL-Mariner 项目是微软对各种 Linux 技术不断增加投资的一部分,例如 SONiC、Azure Sphere OS 和 Windows Subsystem for Linux (WSL)。此外,CBL-Mariner 不会改变他们对任何现有第三方 Linux 发行版的态度或承诺。

 

CBL-Mariner 是一款非常轻量级的 Linux,可以将其用作容器或容器主机。CBL-Mariner 的设计理念是,一组小的通用核心包可以满足第一方云和边缘服务的普遍需求,同时允许各个团队在通用核心之上分层附加包,为他们的工作负载生成镜像。这可以通过一个简单的构建系统实现,该系统支持:

 

  • 包生成:从 SPEC 文件和源文件中生成所需的一组 RPM 包。

  • 镜像生成:从给定的一组包中生成所需的镜像,如 ISO 或 VHD。

 

CBL-Mariner 软件包系统基于 RPM,软件包更新系统同时使用 dnf 和 tdnf,后者全称 Tiny DNF,是一个基于 dnf 的软件包管理器,来自 VMware 的 Photon OS。CBL-Mariner 还支持基于镜像的更新机制,其使用 RPM-OSTree 来实现,rpm-ostree 是一个基于 OSTree 的开源工具,用于管理可启动的、不可变的、版本化的文件系统树。rpm-ostree 背后的想法是使用一个客户-服务器架构,以可靠的方式保持 Linux 主机的更新和与最新的软件包同步。

 

微软认为,操作系统的精简特性有助于提高安全性:通过将核心映像功能集中到内部云客户所需功能上,加载的服务会更少,攻击媒介也更少。

 

CBL-Mariner 遵循 "默认安全"原则,操作系统的大部分方面都是以安全为重点的。它有一个加固的内核、签名更新、ASLR、基于编译器的加固和防篡改日志等许多功能。由于大小有限、攻击面很小,用户很容易通过 RPM 向其部署安全补丁。

 

一旦出现安全漏洞,CBL-Mariner 可以支持基于包的更新模型和基于镜像的更新模型。利用通用的 RPM 包管理器系统,CBL-Mariner 提供最新的安全补丁和修复程序,以实现快速周转时间的目标。

 

微软没有给出 CBL-Mariner 的 ISO 镜像,不过微软 Azure 工程师 Juan Manuel Rey 发布了详细教程:

 

https://blog.jreypo.io/2021/07/09/a-look-into-cbl-mariner-microsoft-internal-linux-distribution/

 

在过去,红帽的 CoreOS 曾经是 Linux 容器的首选主机,但最近被废弃了,所以用户亟需一个替代方案。CBL 的代表的则是“Common Base Linux”,也被外界解读为 CoreOS 的替代。通过为其云服务创建自己的发行版,微软可以根据自己的时间表来更新和管理主机和容器实例。

 

微软方面已经成立了一个正式的 Linux Systems Group 来处理公司的大部分 Linux 相关工作,CBL-Mariner 就是其推出的项目之一。此外,Linux Systems Group 开发的与 Linux 相关的可交付成果还包括有:

 

  • WSL2 随附的 WSL2 Linux 内核;

  • 一个 Azure-tuned Linux 内核,可作为许多常见 Linux 发行版的补丁程序进行使用,对其进行优化以与微软的 Hyper-V 虚拟机管理程序配合使用;

  • 以及企业和安全团队提出的 Linux 安全模块(LSM)Integrity Policy Enforcement(IPE)。

 

2021-08-19 13:002735

评论 1 条评论

发布
用户头像
我干,InfoQ 机翻大队骗稿费来了? 都读不通顺了也发上来?
2021-08-23 14:36
回复
没有更多了
发现更多内容

在 React 中获取数据的6种方法

互联网工科生

JavaScript React Promise

深入探索智能未来:文本生成与问答模型的创新融合

汀丶人工智能

自然语言处理 文本生成

Python案例|Pandas正则表达式

TiAmo

Python pandas 数据清洗

生成式AI掀起创意革命

百度开发者中心

人工智能 文心一言

生成式AI:游戏研发的新革命

百度开发者中心

人工智能 文心一言

软件测试 |web测试—截获和修改POST请求

测吧(北京)科技有限公司

软件测试/测试开发丨Python 常用第三方库 urllib3

测试人

Python 程序员 软件测试 测试开发 urllib

中小企业数字化转型系列研究——CLM测评报告

向量智库

三分钟上手!一文看懂 Git 的底层工作原理

高端章鱼哥

git

软件测试 | 以编程方式对时间值进行编码

测吧(北京)科技有限公司

测试

【墨菲安全实验室】jeecg-boot/积木报表基于SSTI的任意代码执行漏洞

墨菲安全

漏洞 jeecg-boot MPS-4hzd-mb73

生成式AI:企业创新与效率的新引擎

百度开发者中心

人工智能 文心一言

生成式AI助力开发者创新

百度开发者中心

人工智能 百度文心一言

生成式AI:内容创作的新革命

百度开发者中心

StoneData 2.0 正式上线阿里云市场,高性能、低成本一站式实时数仓,满足用户全场景分析需求

StoneDB

MySQL 数据库 HTAP StoneDB

异常追踪频道与 IM 双向互动

观测云

可观测性用观测云 异常追踪

华为云零代码新手教学-体验通过Astro Zero快速搭建微信小程序

华为云PaaS服务小智

开发者 低代码 华为云

JVM关闭前做点什么

FunTester

【墨菲安全实验室】jeecg-boot/积木报表基于H2驱动的任意代码执行漏洞

墨菲安全

网络安全 安全 漏洞 JeecgBoot MPS-bjs4-n6dm

「你说,PC做」AIGC智能体产品化时代到来

ToB行业头条

解锁数据潜力:信息抽取、数据增强与UIE的完美融合

汀丶人工智能

人工智能 自然语言处理 信息抽取

生成式AI:改变生活与工作的未来力量

百度开发者中心

人工智能 文心一言

软件测试 | web测试-辨别时间格式

测吧(北京)科技有限公司

测试

生成式AI引领视频制作创新

百度开发者中心

人工智能 视频 文心一言

【墨菲安全实验室】企业微信私有化2.5-2.6.93版本后台API未授权访问漏洞

墨菲安全

网络安全 安全 企业微信 漏洞分析

跨国视频传输速度太慢?那是因为没有好的跨国文件传输工具

镭速

跨国传输大文件 跨国传输

龙举云兴|顶级项目 Apache InLong 核心技术探秘

腾讯云大数据

Apache

生成式AI的数据需求与保障

百度开发者中心

人工智能 文心一言

九科信息成功中标中国核动力研究设计院安全自动化应用开发项目

九科Ninetech

生成式AI助力中国汽车产业发展

百度开发者中心

人工智能 汽车 文心一言

什么文件传输协议才能保障跨国文件传输安全又稳定

镭速

文件传输协议 跨国文件传输

自用 Linux容器即将发行一周年,微软再对版本更新_云原生_褚杏娟_InfoQ精选文章