Microsoft-ը թողարկել է իր Azure բաշխման թարմացումը։ Linux 3.0.20241203. Բաշխումը մշակվում է որպես համընդհանուր բազային հարթակ Linux- ամպային ենթակառուցվածքներում, եզրային համակարգերում և Microsoft-ի տարբեր ծառայություններում օգտագործվող միջավայրեր: Նախագծի սեփական մշակումները տարածվում են MIT լիցենզիայի ներքո: Փաթեթների կառուցվածքները ստեղծվում են aarch64 և x86_64 ճարտարապետությունների համար: Տեղադրման պատկերի չափը 750 ՄԲ է:
Նոր տարբերակի փոփոխություններից.
- iptables փաթեթային ֆիլտրը փոխվել է կանոնները nftables բայթկոդի թարգմանելու միջոցով հրամանների մշակման վրա (ըստ լռելյայնի, iptables-legacy-ի փոխարեն օգտագործվում է iptables-nft փաթեթը):
- Aarch64 համակարգերի համար առաջարկվում է լրացուցիչ փաթեթ kernel-64k միջուկով, որն օգտագործում է մեծ հիշողության էջեր՝ 64 ԿԲ չափսով (միջուկը կառուցված է CONFIG_ARM64_64K_PAGES տարբերակով)։
- tdnf փաթեթների կառավարիչը (C libs-ի վրա հիմնված dnf-ի նման) թարմացվել է՝ աջակցելու «installonlypkgs» կարգավորմանը, որն օգտագործվում է kernel-64k միջուկի տեղադրումը կազմակերպելու համար։
- Systemd-networkd-ն օգտագործելիս Dracut-ից livenet rootfs մշակումը միացված է։
- Ավելացվեց վարորդ Intel Ethernet Connection E800 ցանցային ադապտերների համար:
- Lua լեզվի աջակցությունը ավելացվել է fluent-bit log handler-ին:
- Միացված է kexec մեխանիզմի միջոցով բեռնված միջուկների թվային ստորագրության ստուգումը:
- Կոնտեյներների կառուցումը հայտնաբերելու համար «/.dockerenv» ֆայլը ստուգելու փոխարեն օգտագործվում է systemd-detect-virt կոմունալ ծրագիրը:
- Փաթեթների թարմացված տարբերակները, ներառյալ միջուկը Linux 6.6.57, shim 15.8, SymCrypt 103.6.0, Valkey (Redis fork) 8.0.1, Go 1.23.3, MariaDB 10.11.10, PostgreSQL 16.5:
Azure բաշխում Linux Ապահովում է հիմնական փաթեթների փոքր, ստանդարտ հավաքածու, որը ծառայում է որպես համընդհանուր հիմք կոնտեյներային շրջանակների, հոսթինգային միջավայրերի և ամպային ենթակառուցվածքների և եզրային սարքերի վրա աշխատող ծառայությունների կառուցման համար: Ավելի բարդ և մասնագիտացված լուծումներ կարող են ստեղծվել՝ Azure-ի վրա լրացուցիչ փաթեթներ ավելացնելով: Linux, սակայն բոլոր նման համակարգերի հիմքը մնում է անփոփոխ, ինչը պարզեցնում է թարմացումների պահպանումը և պատրաստումը։
Երկնագույն Linux Այն օգտագործվում է որպես WSLg մինի-բաշխման հիմք, որը տրամադրում է գրաֆիկական կույտի բաղադրիչներ GUI հավելվածներ գործարկելու համար։ Linux WSL2 ենթահամակարգի վրա հիմնված միջավայրերում (Windows Ենթահամակարգի համար Linux)։ WSLg-ում ընդլայնված ֆունկցիոնալությունը իրականացվում է լրացուցիչ փաթեթների ներառման միջոցով՝ կոմպոզիտային փաթեթներով։ սերվեր Ուեսթոն, XWayland, PulseAudio և FreeRDP:
Systemd-ի կառավարիչն օգտագործվում է ծառայությունները կառավարելու և բեռնաթափելու համար: Փաթեթների կառավարման համար տրամադրվում են RPM և DNF փաթեթների կառավարիչներ: SSH սերվերը լռելյայն միացված չէ: Բաշխումը տեղադրելու համար տրամադրվում է տեղադրող, որը կարող է աշխատել ինչպես տեքստային, այնպես էլ գրաֆիկական ռեժիմներով: Տեղադրողն ապահովում է փաթեթների ամբողջական կամ հիմնական փաթեթի հետ տեղադրման հնարավորությունը և առաջարկում է ինտերֆեյս սկավառակի բաժանման ընտրության, հյուրընկալողի անունը ընտրելու և օգտվողներ ստեղծելու համար:
Azure Build System Linux Թույլ է տալիս ստեղծել ինչպես առանձին RPM փաթեթներ՝ հիմնվելով SPEC ֆայլերի և սկզբնական կոդի վրա, այնպես էլ մոնոլիտ համակարգային պատկերներ, որոնք կառուցվել են rpm-ostree գործիքակազմի միջոցով և թարմացվել են ատոմիկորեն՝ առանց դրանք առանձին փաթեթների բաժանելու: Համապատասխանաբար, աջակցվում են թարմացումների մատուցման երկու մոդել՝ առանձին փաթեթների թարմացում և ամբողջ համակարգի պատկերի վերակառուցում և թարմացում: Հասանելի է մոտ 3000 նախապես կառուցված RPM փաթեթ պարունակող պահոց, որը կարող է օգտագործվել կարգավորման ֆայլի հիման վրա հատուկ պատկերներ կառուցելու համար:
Հիմնական հարթակը ներառում է միայն հիմնական բաղադրիչները և օպտիմիզացված է հիշողության և սկավառակի տարածքի նվազագույն սպառման, ինչպես նաև բեռնման բարձր արագության համար: Նախագիծը օգտագործում է «առավելագույն անվտանգություն ըստ լռելյայն» մոտեցումը, որը ներառում է անվտանգության բարձրացման տարբեր լրացուցիչ մեխանիզմներ.
- Զտել համակարգի զանգերը՝ օգտագործելով seccomp մեխանիզմը:
- Սկավառակի միջնորմների գաղտնագրում:
- Փաթեթների ստուգում թվային ստորագրությամբ:
- Հասցեների տարածության պատահականացում:
- Պաշտպանություն symlink հարձակումներից, mmap, /dev/mem և /dev/kmem:
- Միայն կարդալու ռեժիմ և արգելում է կոդի կատարումը հիշողության տարածքներում, որոնք պարունակում են միջուկի և մոդուլի տվյալներ ունեցող հատվածներ:
- Համակարգի սկզբնավորումից հետո միջուկի մոդուլների բեռնումն անջատելու տարբերակ:
- Օգտագործելով iptables ցանցի փաթեթները զտելու համար:
- Պաշտպանության ռեժիմների միացում շինարարության ընթացքում կուտակումների, բուֆերների և լարերի ձևաչափման խնդիրների դեմ (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro):
Source: opennet.ru
