Microsoft heeft de eerste stabiele update voor de nieuwe Azure-distributietak uitgebracht. Linux 3.0, dat voorheen werd gedistribueerd onder de naam CBL-Mariner. De distributie wordt ontwikkeld als een universeel basisplatform voor Linux- Omgevingen die worden gebruikt in cloudinfrastructuur, edge-systemen en diverse Microsoft-services. Het project heeft als doel de binnen Microsoft gebruikte omgevingen te verenigen. Linux-oplossingen en vereenvoudigd onderhoud Linux-систем различного назначения в актуальном состоянии. Наработки проекта распространяются под лицензией MIT. Сборки пакетов формируются для архитектур aarch64 и x86_64. Размер установочного образа 740 МБ.
Onder de veranderingen in de nieuwe versie:
- kern Linux обновлено до версии 6.6 (ранее использовалось ядро 5.15). Добавлена поддержка наложения патчей на работающее ядро (live patching), позволяющая устранять уязвимости в ядре без перезагрузки.
- Er zijn nieuwe versies van pakketten voorgesteld, waaronder systemd 255, glibc 2.38, GCC 13.2, clang 18.1, OpenSSL 3.3, rpm 4.18.2, ruby 3.3.0, BIND 9.20, containerd 1.7.13, kunc 1.1.12, ostree 2024.5, roest 1.75, Perl 5.38, Python 3.12.3, QEMU 8.2.0.
- Verplicht toegangscontrolesysteem SELinux переведена по умолчанию в режим «enforcing».
- Standaard is de uniforme hiërarchie cgroups v2 ingeschakeld. Het belangrijkste verschil tussen cgroups v2 en v1 is het gebruik van een gemeenschappelijke cgroups-hiërarchie voor alle soorten bronnen, in plaats van afzonderlijke hiërarchieën voor het toewijzen van CPU-bronnen, voor het reguleren van geheugengebruik en voor I/O.
- Добавлены инструменты для замены других дистрибутивов (OSsku In-Place Migration) на узлах в облаке Microsoft Azure, например, можно заменить установленный Ubuntu op Azure Linux.
- Добавлена поддержка новых GPU NVIDIA, таких как NVIDIA A100 и H100, а также предоставлен NVIDIA GPU Operator для автоматизации управления драйверами NVIDIA на узлах с Azure Linux.
Azure-distributie Linux Biedt een kleine, standaardset kernpakketten die dienen als universele basis voor het bouwen van containerframeworks, hostomgevingen en services die draaien op cloudinfrastructuren en edge-apparaten. Complexere en gespecialiseerde oplossingen kunnen worden gecreëerd door extra pakketten bovenop Azure toe te voegen. LinuxMaar de basis van al deze systemen blijft ongewijzigd, wat het onderhoud en de voorbereiding van updates vereenvoudigt.
Azure is daar een voorbeeld van. Linux Het wordt gebruikt als basis voor de WSLg-minidistributie, die grafische stackcomponenten levert voor het uitvoeren van GUI-applicaties. Linux in omgevingen gebaseerd op het WSL2-subsysteem (Windows Subsysteem voor Linux). Uitgebreide functionaliteit in WSLg wordt geïmplementeerd door de opname van extra pakketten met samengestelde functionaliteit. server Weston, XWayland, PulseAudio en FreeRDP.
De systeembeheerder systemd wordt gebruikt om services te beheren en op te starten. RPM- en DNF-pakketbeheerders zijn bedoeld voor pakketbeheer. De SSH-server is standaard niet ingeschakeld. Om de distributie te installeren, wordt een installatieprogramma meegeleverd dat zowel in tekst- als grafische modus kan werken. Het installatieprogramma biedt de mogelijkheid om te installeren met een volledige of basisset pakketten, en biedt een interface voor het selecteren van een schijfpartitie, het selecteren van een hostnaam en het aanmaken van gebruikers.
Azure Build System Linux Hiermee kunt u zowel individuele RPM-pakketten genereren op basis van SPEC-bestanden en broncode, als monolithische systeemimages die zijn gebouwd met de rpm-ostree-toolkit en atomisch worden bijgewerkt zonder ze op te splitsen in individuele pakketten. Er worden dan ook twee updatemodellen ondersteund: het bijwerken van individuele pakketten en het opnieuw bouwen en bijwerken van de volledige systeemimage. Er is een repository beschikbaar met ongeveer 3000 vooraf gebouwde RPM-pakketten, die kunnen worden gebruikt om aangepaste images te bouwen op basis van een configuratiebestand.
Het basisplatform bevat alleen de essentiële componenten en is geoptimaliseerd voor minimaal geheugen- en schijfruimteverbruik, evenals hoge laadsnelheden. Het project maakt gebruik van een ‘maximale beveiliging standaard’-benadering, waarbij verschillende aanvullende mechanismen worden opgenomen om de veiligheid te vergroten:
- Systeemoproepen filteren met behulp van het seccomp-mechanisme.
- Versleuteling van schijfpartities.
- Verificatie van pakketten door digitale handtekening.
- Adresruimte-randomisatie.
- Bescherming tegen symlink-aanvallen, mmap, /dev/mem en /dev/kmem.
- Alleen-lezen-modus en verbiedt uitvoering van code in geheugengebieden die segmenten met kernel- en modulegegevens bevatten.
- Optie om het laden van kernelmodules na systeeminitialisatie uit te schakelen.
- IPtables gebruiken om netwerkpakketten te filteren.
- Beveiligingsmodi inschakelen tegen stackoverflows, bufferoverflows en problemen met de tekenreeksopmaak tijdens het bouwen (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).
Bron: opennet.ru
