Microsoft hat in update útbrocht foar har Azure-distribúsje. Linux 3.0.20241203. De distribúsje wurdt ûntwikkele as in universeel basisplatfoarm foar Linux- omjouwings dy't brûkt wurde yn wolkynfrastruktuer, rânsystemen en ferskate Microsoft-tsjinsten. De proprietêre ûntwikkelingen fan it projekt wurde ferspraat ûnder de MIT-lisinsje. Pakketbuilds wurde generearre foar de aarch64- en x86_64-arsjitektueren. De grutte fan 'e ynstallaasjeôfbylding is 750 MB.
Under de feroarings yn 'e nije ferzje:
- It iptables-pakketfilter is oerskeakele nei it ferwurkjen fan kommando's troch regels oer te setten yn nftables-bytekoade (standert wurdt it iptables-nft-pakket brûkt ynstee fan iptables-legacy).
- Foar Aarch64-systemen wurdt in ekstra pakket mei de kernel-64k-kernel foarsteld, dy't grutte ûnthâldsiden fan 64 KB yn grutte brûkt (de kernel is kompilearre mei de CONFIG_ARM64_64K_PAGES-opsje).
- De tdnf-pakketbehearder (analooch fan dnf basearre op C libs) hat stipe tafoege foar de ynstelling "installonlypkgs", dy't brûkt wurdt om de ynstallaasje fan 'e kernel-64k kernel te organisearjen.
- By it brûken fan systemd-networkd is ferwurking fan livenet rootfs fan Dracut ynskeakele.
- Tafoege stjoerprogramma foar Intel Ethernet Connection E800 netwurk adapters.
- Lua-taalstipe is tafoege oan de floeiende-bit-logprosessor.
- Ferifikaasje ynskeakele fan 'e digitale hantekening fan kernels laden fia it kexec-meganisme.
- Om kontenerbou te detektearjen, ynstee fan it "/.dockerenv"-bestân te kontrolearjen, wurdt it hulpprogramma systemd-detect-virt brûkt.
- Bywurke ferzjes fan pakketten, ynklusyf de kernel Linux 6.6.57, shim 15.8, SymCrypt 103.6.0, Valkey (форк Redis) 8.0.1, Go 1.23.3, MariaDB 10.11.10, PostgreSQL 16.5.
Azure Distribúsje Linux Biedet in lytse, standert set kearnpakketten dy't tsjinje as in universele basis foar it bouwen fan kontenerframeworks, hostomjouwings en tsjinsten dy't rinne op wolkynfrastruktueren en edge-apparaten. Mear komplekse en spesjalisearre oplossingen kinne makke wurde troch ekstra pakketten ta te foegjen boppe op Azure. Linux, mar de basis foar al sokke systemen bliuwt net feroare, wat it ûnderhâld en de tarieding fan updates ferienfâldiget.
Azure Linux It wurdt brûkt as basis foar de WSLg mini-distribúsje, dy't grafyske stackkomponinten leveret foar it útfieren fan GUI-applikaasjes. Linux yn omjouwings basearre op it WSL2-subsysteem (Windows Subsysteem foar Linux). Útwreide funksjonaliteit yn WSLg wurdt ymplementearre troch it opnimmen fan ekstra pakketten mei gearstalde tsjinner Weston, XWayland, PulseAudio en FreeRDP.
De systemd systeembehearder wurdt brûkt om tsjinsten te behearjen en te booten. Pakketbehearders RPM en DNF wurde levere foar pakketbehear. De SSH-tsjinner is standert net ynskeakele. Om de distribúsje te ynstallearjen, wurdt in ynstallearder levere dat kin wurkje yn sawol tekst as grafyske modus. De ynstallearder biedt de mooglikheid om te ynstallearjen mei in folsleine as basis set fan pakketten, biedt in ynterface foar it selektearjen fan in skiifpartition, it kiezen fan in hostnamme en it meitsjen fan brûkers.
Azure Build-systeem Linux Lit jo sawol yndividuele RPM-pakketten generearje op basis fan SPEC-bestannen en boarnekoade, as monolityske systeemôfbyldings dy't boud binne mei de rpm-ostree-toolkit en atomysk bywurke binne sûnder se yn yndividuele pakketten op te dielen. Dêrom wurde twa updateleveringsmodellen stipe: it bywurkjen fan yndividuele pakketten en it opnij opbouwen en bywurkjen fan 'e heule systeemôfbylding. In repository mei sawat 3000 foarboude RPM-pakketten is beskikber, dy't brûkt wurde kin om oanpaste ôfbyldings te bouwen op basis fan in konfiguraasjebestân.
It basisplatfoarm omfettet allinich de essensjele komponinten en is optimalisearre foar minimale konsumpsje fan ûnthâld en skiifromte, lykas hege ladensnelheden. It projekt brûkt in "maksimale feiligens by standert" oanpak, dy't it opnimmen fan ferskate ekstra meganismen omfettet om feiligens te ferheegjen:
- Filtersysteem ropt mei it seccomp-meganisme.
- Fersifering fan skiif partysjes.
- Ferifikaasje fan pakketten troch digitale hantekening.
- Randomisaasje fan adresromte.
- Beskerming tsjin symlink oanfallen, mmap, /dev/mem en /dev/kmem.
- Allinnich-lêzen modus en it ferbieden fan koade-útfiering yn ûnthâldgebieten dy't segminten befetsje mei kernel- en modulegegevens.
- Opsje om it laden fan kernelmodules út te skeakeljen nei systeeminisjalisaasje.
- It brûken fan iptables om netwurkpakketten te filterjen.
- Skeakelje beskermingsmodi yn tsjin stackoverflows, bufferoverflows, en stringformateringsproblemen by build (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Boarne: opennet.ru
