From 27306232cd284dacf30973dbe860860266bc017a Mon Sep 17 00:00:00 2001 From: Evawudonger Date: Thu, 25 Sep 2025 20:19:13 +0800 Subject: [PATCH] =?UTF-8?q?=E6=9B=B4=E6=96=B0=E5=85=B3=E9=94=AE=E7=89=B9?= =?UTF-8?q?=E6=80=A7?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- .../quickstart/releasenotes/key_features.md | 445 ++++++++++-------- 1 file changed, 244 insertions(+), 201 deletions(-) diff --git a/docs/zh/server/quickstart/releasenotes/key_features.md b/docs/zh/server/quickstart/releasenotes/key_features.md index 2039bad..b9a1e90 100644 --- a/docs/zh/server/quickstart/releasenotes/key_features.md +++ b/docs/zh/server/quickstart/releasenotes/key_features.md @@ -1,282 +1,325 @@ # 关键特性 -## AI专项 - -智能时代,操作系统需要面向AI不断演进。一方面,在操作系统开发、部署、运维全流程以AI加持,让操作系统更智能;另一方面,openEuler已支持Arm,x86,RISC-V等全部主流通用计算架构,在智能时代,openEuler也率先支持NVIDIA、昇腾等主流AI处理器,成为使能多样性算力的首选。 - -- **OS for AI**:openEuler兼容NVIDIA、Ascend等主流算力平台的软件栈,为用户提供高效的开发运行环境。通过将不同AI算力平台的软件栈进行容器化封装,即可简化用户部署过程,提供开箱即用的体验。同时,openEuler也提供丰富的AI框架,方便大家快速在openEuler上使用AI能力。 - - openEuler已兼容CANN、CUDA等硬件SDK,以及TensorFlow、PyTorch、MindSpore等相应的AI框架软件,支持AI应用在openEuler上高效开发与运行。 - - openEuler AI软件栈容器化封装优化环境部署过程,并面向不同场景提供以下三类容器镜像。 - 1. SDK镜像:以openEuler为基础镜像,安装相应硬件平台的SDK,如Ascend平台的CANN或NVIDIA的CUDA软件。 - 2. AI框架镜像:以SDK镜像为基础,安装AI框架软件,如PyTorch或TensorFlow。此外,通过此部分镜像也可快速搭建AI分布式场景,如Ray等AI分布式框架。 - 3. 模型应用镜像:在AI框架镜像的基础上,包含完整的工具链和模型应用。 - 相关使用方式请参考[openEuler AI 容器镜像用户指南](https://forum.openeuler.org/t/topic/4189/4)。 - - sysHax大语言模型异构协同加速运行时专注于单机多卡环境下大模型推理任务的性能提升,针对鲲鹏+xPU(GPU、NPU等)的异构算力协同,显著提升大模型的吞吐量和并发量: - 1. 动态算力调度:动态调度K+X算力资源,计算最佳算力配比,将任务动态卸载至鲲鹏CPU,最大程度利用CPU算力。 - 2. CPU推理加速:通过NUMA亲和调度、矩阵运算并行加速、SVE指令集推理算子适配等方式,提升CPU的吞吐量。 -- **AI for OS**:当前,openEuler和AI深度结合,一方面使用基础大模型,基于大量openEuler操作系统的代码和数据,训练出openEuler Copilot System,初步实现代码辅助生成、智能问题智能分析、系统辅助运维等功能,让openEuler更智能。 - - AI 应用开发框架:大模型应用是实现企业大模型落地的重要途径。RAG(检索增强生成技术)+大模型可以很好的弥补基础模型对行业数据缺失的不足。因此,结合RAG能力的AI应用开发平台是当前企业和开发者的一大助力。基于此,openEuler社区孵化出了基于openEuler操作系统的AI应用开发框架。该框架面向个人及企业开发者,提供智能辅助工具,帮助开发者通过简单高效的交互方式快速完成AI应用开发任务。可有效降低AI应用开发的技术门槛,提升开发效率和数据处理质量,并能够满足多种复杂应用场景下的数据处理、模型训练及内容管理需求。框架主要包含以下核心功能: - 1. 多路增强RAG提升智能问答准确率:为解决传统Native RAG精确性低、指导性不强等问题,多路增强RAG通过语料治理、prompt重写、多路召回比对等技术,提升RAG检索准确率; - 2. 文档治理与优化:支持语料增量更新,支持文本去重、敏感信息脱敏、文档标准化与内容格式化(如段落总结、代码注释、案例整理),提高语料质量。 - 3. Embedding模型微调:支持多种Embedding模型(如bge系列模型)的快速微调与评估,提升模型在特定领域的表现。 - - 智能问答:openEuler Copilot System智能问答平台目前支持web和智能shell两个入口。 - 1. 工作流调度:原子化智能体操作流程:通过采用“流”的组织形式,openEuler Copilot System允许用户将智能体的多个操作过程组合成一个内部有序、相互关联的多步骤“工作流”;即时数据处理:智能体在工作流的每个步骤中生成的数据和结果能够立即得到处理,并无缝传递到下一个步骤;智能交互:在面对模糊或复杂的用户指令时,openEuler Copilot System能主动询问用户,以澄清或获取更多信息。 - 2. 任务推荐:智能响应:openEuler Copilot System能够分析用户输入的语义信息;智能指引:openEuler Copilot System综合分析当前工作流的执行状况、功能需求以及关联任务等多维度数据,为用户量身定制最适宜的下一步操作建议。 - 3. RAG:openEuler Copilot System中的RAG技术能更强的适应多种文档格式和内容场景,在不为系统增加较大负担的情况下,增强问答服务体验。 - 4. 语料治理:语料治理是openEuler Copilot System中的RAG技术的基础能力之一,其通过片段相对关系提取、片段衍生物构建和OCR等方式将语料以合适形态入库,以增强用户查询命中期望文档的概率。 - 相关使用方式请参考[《openEuler智能助手》](https://docs.openeuler.openatom.cn/zh/docs/25.03/tools/ai/euler-copilot-framework/openEuler_intelligence/intelligent_assistant/quick_start/smart_web/deploy_guide/offline.html) - - - 智能调优:openEluer Copilot System 智能调优功能目前支持智能shell入口。 - 在上述功能入口,用户可通过与openEluer Copilot System进行自然语言交互,完成性能数据采集、系统性能分析、系统性能优化等作业,实现启发式调优。 - - - 智能诊断: - 1. 巡检:调用Inspection Agent,对指定IP进行异常事件检测,为用户提供包含异常容器ID以及异常指标(cpu、memory等)的异常事件列表。 - 2. 定界:调用Demarcation Agent,对巡检结果中指定异常事件进行定界分析,输出导致该异常事件的根因指标TOP3。 - 3. 定位:调用Detection Agent,对定界结果中指定根因指标进行Profiling定位分析,为用户提供该根因指标异常的热点堆栈、热点系统时间、热点性能指标等信息。 - - 智能化漏洞修补:openEuler智能化漏洞修补工具针对openEuler内核仓库,提供自动化智能漏洞管理与修复能力。该功能针对openEuler的kernel仓库,通过/analyze命令,来实现漏洞对openEuler操作系统版本的影响范围的分析;通过/create_pr命令,来实现补丁pr的分钟级自动创建。 - - 智能容器镜像:openEuler Copilot System目前支持通过自然语言调用环境资源,在本地协助用户基于实际物理资源拉取容器镜像,并且建立适合算力设备调试的开发环境。当前版本支持三类容器,并且镜像源已同步在dockerhub发布,用户可手动拉取运行: - 1. SDK层:仅封装使能AI硬件资源的组件库,例如:cuda、cann等。 - 2. SDK + 训练/推理框架:在SDK层的基础上加装tensorflow、pytorch等框架,例如:tensorflow2.15.0-cuda12.2.0、pytorch2.1.0.a1-cann7.0.RC1等。 - 3. SDK + 训练/推理框架 + 大模型:在第2类容器上选配几个模型进行封装,例如llama2-7b、chatglm2-13b等语言模型。 - -## openEuler Embedded - -openEuler发布面向嵌入式领域的版本openEuler 25.03,提供更丰富的南北向生态以及更完善的基础设施。openEuler Embedded围绕以制造、机器人为代表的OT领域持续深耕,通过行业项目垂直打通,不断完善和丰富嵌入式系统软件栈和生态。在南向生态方面,开展了“openEuler Embedded的生态扩展计划”,持续完善了鲲鹏920、泰山派等硬件的支持,并携手意法半导体和米尔科技,成功完成了面向工业应用的高性能微处理器STM32MP257的适配,推动嵌入式生态扩展。在北向,持续丰富了工业中间件、图形中间件等能力,在工业制造、机器人等领域落地应用。未来openEuler Embedded将协同openEuler社区生态伙伴、用户、开发者,逐步扩展支持龙芯等新的芯片架构和更多的南向硬件,完善工业中间件、嵌入式AI、嵌入式边缘、仿真系统等能力,打造综合嵌入式系统软件平台解决方案。 +## AI 场景创新 -- **南向生态**:openEuler Embedded Linux当前主要支持ARM64、x86-64、ARM32、RISC-V等多种芯片架构,未来计划支持龙芯等架构,从24.03 版本开始,南向支持大幅改善,已经支持树莓派、海思、瑞芯微、瑞萨、德州仪器、飞腾、赛昉、全志等厂商的芯片。 -- **嵌入式弹性虚拟化底座**:openEuler Embedded的弹性虚拟化底座是为了在多核片上系统(SoC, System On Chip)上实现多个操作系统共同运行的一系列技术的集合,包含了裸金属、嵌入式虚拟化、轻量级容器、LibOS、可信执行环境(TEE)、异构部署等多种实现形态。不同的形态有各自的特点: - 1. 裸金属:基于openAMP实现裸金属混合部署方案,支持外设分区管理,性能最好,但隔离性和灵活性较差。目前支持UniProton/Zephyr/RT-Thread和openEuler Embedded Linux 混合部署。 - 2. 分区虚拟化:基于Jailhouse实现工业级硬件分区虚拟化方案,性能和隔离性较好,但灵活性较差。目前支持UniProton/Zephyr/FreeRTOS和openEuler Embedded Linux混合部署,也支持openHarmony和openEuler Embedded Linux的混合部署。 - 3. 实时虚拟化:openEuler社区孵化了嵌入实时虚拟机监控器ZVM和基于rust语言的Type-I型嵌入式虚拟机监控器Rust-Shyper,可以满足不同场景的需求。 -- **混合关键性部署框架**: openEuler Embedded打造了构建在融合弹性底座之上混合关键性部署框架,并命名为MICA(MIxed CriticAlity),旨在通过一套统一的框架屏蔽下层弹性底座形态的不同,从而实现Linux和其他OS运行时便捷地混合部署。依托硬件上的多核能力使得通用的Linux和专用的实时操作系统有效互补,从而达到全系统兼具两者的特点,并能够灵活开发、灵活部署。MICA的组成主要有四大部分:生命周期管理、跨OS通信、服务化框架和多OS基础设施。生命周期管理主要负责从OS(Client OS)的加载、启动、暂停、结束等工作;跨OS通信为不同OS之间提供一套基于共享内存的高效通信机制;服务化框架是在跨OS通信基础之上便于不同OS提供各自擅长服务的框架,例如Linux提供通用的文件系统、网络服务,实时操作系统提供实时控制、实时计算等服务;多OS基础设施是从工程角度为把不同OS从工程上有机融合在一起的一系列机制,包括资源表达与分配,统一构建等功能。混合关键性部署框架当前能力: - 1. 支持裸金属模式下openEuler Embedded Linux和RTOS(Zephyr/UniProton)的生命周期管理、跨OS通信。 - 2. 支持分区虚拟化模式下openEuler Embedded Linux和RTOS(FreeRTOS/Zephyr)的生命周期管理、跨OS通信。 -- **北向生态**:600+嵌入式领域常用软件包的构建;提供软实时能力,软实时中断响应时延微秒级;集成 OpenHarmony 的分布式软总线和hichain点对点认证模块,实现欧拉嵌入式设备之间互联互通、欧拉嵌入式设备和 OpenHarmony 设备之间互联互通;支持iSula容器,可以实现在嵌入式上部署openEuler或其他操作系统容器,简化应用移植和部署。支持生成嵌入式容器镜像,最小大小可到5MB,可以部署在其他支持容器的操作系统之上。 -- **UniProton硬实时系统**:UniProton 是一款实时操作系统,具备极致的低时延和灵活的混合关键性部署特性,可以适用于工业控制场景,既支持微控制器MCU,也支持算力强的多核CPU。目前关键能力如下: - 1. 支持Cortex-M、ARM64、X86_64、riscv64架构,支持M4、RK3568、RK3588、X86_64、Hi3093、树莓派4B、鲲鹏920、昇腾310、全志D1s。 - 2. 支持树莓派4B、Hi3093、RK3588、X86_64设备上通过裸金属模式和openEuler Embedded Linux混合部署。 - 3. 支持通过gdb在openEuler Embedded Linux侧远程调试。 +智能时代,操作系统需要面向AI不断演进。一方面,在操作系统开发、部署、运维全流程以AI加持,让操作系统更智能;另一方面,openEuler已支持ARM,x86,RISC-V等全部主流通用计算架构,在智能时代,openEuler也率先支持NVIDIA、昇腾等主流AI处理器,成为使能多样性算力的首选。 + +### OS for AI + +#### sysHAX大语言模型异构协同加速运行时 + +sysHAX大语言模型异构协同加速运行时专注于单机多卡环境下大模型推理任务的性能提升,针对鲲鹏+xPU(GPU、NPU等)的异构算力协同,显著提升大模型的吞吐量和并发量: + +- 异构融合调度:支持在GPU侧任务满载时,动态将推理请求的prefill阶段在GPU上执行,decode阶段放在CPU上执行。 + +sysHAX大语言模型推理优化方案当前支持DeepSeek、Qwen、baichuan、Llama等transformer架构的模型。主要适用于以下典型场景: + +- 数据中心场景:sysHAX通过上述技术,利用CPU填充推理任务,充分利用CPU资源,增加大模型并发量与吞吐量。 + +#### 故障分组检测 + +AI 集群在训练过程中不可避免会发生性能劣化,导致性能劣化的原因很多且复杂。现有方案是在发生性能劣化之后利用日志分析,但是从日志收集到问题定界根因诊断以及现 网闭环问题需要长达 3-4 天之久。基于上述痛点问题,我们设计了一套在线慢节点定界方 案,该方案能够实时在线观测系统关键指标,并基于模型和数据驱动的算法对观测数据进行实时分析给出劣慢节点的位置,便于系统自愈或者运维人员修复问题。 + +基于分组的指标对比技术提供了 AI 集群训练场景下的慢节点/慢卡检测能力。这项技术通过 sysTrace实现,新增内容包括配置文件、算法库、慢节点空间维度对比算法和慢节点时间维度对比,最终输出慢节点异常时间、异常指标以及对应的慢节点/慢卡 ip, 从而提高系统的稳定性和可靠性。该特性主要功能如下: + +- 配置文件:主要包括待观测指标类型、指标算法配置参数以及数据接口,用于初始化慢节点检测算法。 +- 算法库:包括常用的时序异常检测算法 spot 算法,k-sigma 算法,异常节点聚类算法和相似度度量算法。 +- 数据:采集到的各个节点的指标数据,以时序序列表示。 +- 指标分组对比:包括组内空间异常节点筛选和单节点时间异常筛选。组内空间异常节点筛选根据异常聚类算法输出异常节点;单节点时间异常筛选根据单节点历史数据进行时序异常检测判断节点是否异常。 + +#### 异构融合GMem + +在后摩尔时代,GPU、TPU 和 FPGA 等专用异构加速器设备正不断涌现,它们与 CPU 类似,需要将数据放在本地内存(例如 LPDDR 或 HBM)中以提高计算速度。加速器厂商们也不可避免地需要开发复杂的内存管理系统。 现行加速器内存管理方案存在诸多缺陷: + +- CPU 侧内存管理与加速器侧分离,数据显式搬移,加速器内存管理的易用性和性能难以平衡。 +- 大模型场景下加速器设备 HBM 内存(High BandWidth Memory)严重不足,现有的手动 swap 方案性能损耗大且通用性差。 +- 搜推、大数据场景存在大量无效数据搬移,缺少高效内存池化方案。 + +Linux 现有的 HMM 框架,编程复杂度高且依赖人工调优,性能和可移植性差,引发 OS 社区反弹,最终导致 HMM 方案搁浅。异构加速器领域亟需高效的统一内存管理机制。异构通用内存管理框架 GMem (Generalized Memory Management),提供了异构内存互联的中心化管理机制,且 GMem API 与 Linux 原生内存管理 API 保持统一,易用性强,性能与可移植性好。加速器使用 GMem API 将内存接入统一地址空间后,可自动获得 GMem 面向异构内存编程优化的能力。与此同时,加速器驱动无需重复实现内存管理框架,大幅降低开发维护带来的成本。开发者使用一套统一申请、释放的 API,即可完成异构内存编程,无需处理内存搬移等细节。在加速器 HBM 内存不足时,GMem 可将 CPU 内存作为加速器缓存,透明地超分HBM,无需应用手动 swap。GMem 提供高效免搬移的内存池化方案,当内存池以共享方式接入后,可解决数据反复搬移的痛点。 + +### AI for OS + +当前,openEuler和AI深度结合,一方面,基于 openEuler 操作系统,研发出了 openEuler Intelligence,初步实现基于知识库的智能问答、基于语义接口的工作流编排、基于 mcp 的 Agent 构建等功能,在此基础上,openEuler Intelligence 集成了部分系统服务,让 openEuler 更智能。 + +#### 智能问答 + +openEuler Intelligence 目前支持 Web 和智能 Shell 两个入口。 + +1. 智能规划、调度和推荐:智能规划:openEuler Intelligence的Agent应用可以基于用户的输入和当前可用的工具实时规划运行步骤,直至完成用户目标或者达到步骤执行上限。智能调度:openEuler Intelligence支持用户在一个工作流应用中定义多个工作流,基于用户的查询,openEuler Intelligence会自动的提取参数且选择最为合适的工作流进行工作。智能推荐:openEuler Intelligence基于用户的查询和工作流的运行结果,推荐用户接下来可能会使用的工作流,增加任务的完成概率,简便应用的使用。 +2. 工作流:语义接口:语义接口是指含有自然语言注释的接口形式,openEuler Intelligence提供了两种语义接口注册方式。工作流编排及调用:openEuler Intelligence允许用户将系统提供的语义接口以及用户注册的语义接口以可视化的形式连线成工作流,并支持用户对工作流进行调试且以应用的形式进行发布和使用,工作流在调试和使用过程中会展示中间结果,降低用户调试成本,提升用户交互体验。 +3. Agent 应用:mcp注册、安装和激活:mcp是当前比较主流的一种AI相关协议,它支持用sdk将复杂多样服务统一封装,带有天然的语义信息,并支持AI对基于mcp改造后服务下的工具进行比较便捷的调用。Agent构建和应用:当前intelligence支持以mcp和不同的大模型结合构建Agent,这些构建完成的Agent可以基于配置的大模型信息以及后续用户输入的目标,将用户的目标拆解成阶段性需求,最后使用mcp服务下的工具将阶段性需求完成,直至达成用户的目标。 +4. RAG:RAG(检索增强技术)是为了增强大模型长期记忆能力和降低大模型训练成本诞生的技术,相较传统RAG,openEuler Intelligence中的RAG技术在检索前处理、知识索引、检索增强算法和检索后处理方面做了改进。 +5. 语料治理:语料治理是openEuler Intelligence中的RAG技术的基础能力之一,其通过上下文位置信息提取、文本摘要和OCR增强等方式将语料以合适形态入库,以增强用户查询命中期望文档的概率。 +6. 自动化测试:自动化测试是openEuler Intelligence中的RAG技术的基础能力之一,其通过自动化数据集生成和测试评估识别知识库和检索增强算法等配置的不足。 + +#### 智能调优 + +openEuler Intelligence 智能调优功能目前支持智能shell入口。 +在上述功能入口,用户可通过与openEuler Intelligence进行自然语言交互,完成性能数据采集、系统性能分析、系统性能优化等作业,实现启发式调优。 + +#### 智能诊断 + +1. 巡检:调用Inspection Agent,对指定IP进行异常事件检测,为用户提供包含异常容器ID以及异常指标(cpu、memory等)的异常事件列表。 +2. 定界:调用Demarcation Agent,对巡检结果中指定异常事件进行定界分析,输出导致该异常事件的根因指标TOP3。 +3. 定位:调用Detection Agent,对定界结果中指定根因指标进行Profiling定位分析,为用户提供该根因指标异常的热点堆栈、热点系统时间、热点性能指标等信息。 -## epkg新型软件包 +#### AI集群慢节点定界 -epkg是一款新型软件包,支持普通用户在操作系统中安装及使用。新的软件包格式相比现有软件包,主要解决多版本兼容性问题,用户可以在一个操作系统上通过简单地命令行安装不同版本的软件包。同时支持环境环境实现环境的创建/切换/使能等操作,来使用不同版本的软件包。目前epkg主要支持非服务类的软件包的安装和使用。 +AI 集群在训练过程中不可避免会发生性能劣化,导致性能劣化的原因很多且复杂。现有方案是在发生性能劣化之后利用日志分析,但是从日志收集到问题定界根因诊断以及现网闭环问题需要长达 3-4 天之久。基于上述痛点问题,我们设计了一套在线慢节点定界方案,该方案能够实时在线观测系统关键指标,并基于模型和数据驱动的算法对观测数据进行实时分析给出劣慢节点的位置,便于系统自愈或者运维人员修复问题。 -- **多版本兼容**:支持安装不同版本的软件包,实现多版本软件包的共存。 -- **多安装模式**:支持特权用户安装及普通用户安装,实现全局可用、用户级可用,最小化安装程序,绿色安装。 -- **环境管理**:支持环境创建/删除/激活/注册/查看等操作,支持多环境使用不同软件仓,实现多环境多版本能力。支持运行态注册多个环境,开发态激活单环境调试。 -- **环境回退**:支持查看环境历史操作,环境回退操作,实现用户在误操作或安装软件后出现问题时,恢复环境。 -- **包管理**:支持包安装/卸载/查询能力,对标rpm/dnf基本功能,满足典型用户与场景日常使用。 +该特性主要功能如下: -## GCC编译链接加速 +- 配置文件:主要包括待观测指标类型、指标算法配置参数以及数据接口,用于初始化慢节点检测算法。 +- 算法库:包括常用的时序异常检测算法 spot 算法,k-sigma 算法,异常节点聚类算法和相似度度量算法。 +- 数据:采集到的各个节点的指标数据,以时序序列表示。 +- 指标分组对比:包括组内空间异常节点筛选和单节点时间异常筛选。组内空间异常节点筛选根据异常聚类算法输出异常节点;单节点时间异常筛选根据单节点历史数据进行时序异常检测判断节点是否异常。 -为了提升openEuler软件包的编译效率,从而进一步提升门禁和开发者开发效率,通过编译器、链接器优化技术缩短应用中C/C++组件总体编译时间。使用打开PGO(Profile Guided Optimization)、LTO(Link Time Optimization)编译的GCC结合mold(A Modern Linker)链接器缩短软件包中C/C++库的编译时间,最终使得编译时间TOP90+软件包的编译总时间缩短9.5%左右。具体支持以下两点功能: +#### 智能容器镜像 -1. 支持能够编译出带PGO和LTO优化的gcc12.3版本来提升编译过程效率; -2. 支持能够根据应用[白名单]()切换到mold链接器来提升链接过程效率。 +openEuler Intelligence目前支持通过自然语言调用环境资源,在本地协助用户基于实际物理资源拉取容器镜像,并且建立适合算力设备调试的开发环境。当前版本支持三类容器,并且镜像源已同步在dockerhub发布,用户可手动拉取运行: + +1. SDK层:仅封装使能AI硬件资源的组件库,例如:cuda、cann等。 +2. SDK + 训练/推理框架:在SDK层的基础上加装tensorflow、pytorch等框架,例如:tensorflow2.15.0-cuda12.2.0、pytorch2.1.0.a1-cann7.0.RC1等。 +3. SDK + 训练/推理框架 + 大模型:在第2类容器上选配几个模型进行封装,例如llama2-7b、chatglm2-13b等语言模型。 + +## 嵌入式场景创新 + +openEuler发布面向嵌入式领域的版本openEuler 25.09,构建了一个相对完整的综合嵌入系统软件平台,在南北向生态、关键技术特性、基础设施、落地场景等方面都有显著的进步。openEuler Embedded围绕以制造、机器人为代表的OT领域持续深耕,通过行业项目垂直打通,不断完善和丰富嵌入式系统软件栈和生态。在软件包生态方面,回合了oebridge特性,支持在线一键安装openEuler镜像仓软件包,并支持在Yocto镜像构建时通过oebridge直接安装openEuler RPM包快速实现镜像定制。此外,还扩展支持了oeDeploy特性,能够快速完成AI软件栈、云原生软件栈的部署。在内核支持方面,持续完善了meta-openEuler的内核配置,配合oeAware实时调优功能实现干扰控制以增强系统实时性。 + +- **南向生态**:openEuler Embedded Linux当前主要支持ARM64、x86-64、ARM32、RISC-V等多种芯片架构,未来计划支持龙芯等架构,从24.03 版本开始,南向支持大幅改善,已经支持树莓派、海思、瑞芯微、瑞萨、德州仪器、飞腾、赛昉、全志等厂商的芯片。 +- **嵌入式弹性虚拟化底座**:openEuler Embedded的弹性虚拟化底座是为了在多核片上系统(SoC, System On Chip)上实现多个操作系统共同运行的一系列技术的集合,包含了裸金属、嵌入式虚拟化、轻量级容器、LibOS、可信执行环境(TEE)、异构部署等多种实现形态。 +- **混合关键性部署框架**:openEuler Embedded打造了构建在融合弹性底座之上混合关键性部署框架,并命名为MICA(MIxed CriticAlity),旨在通过一套统一的框架屏蔽下层弹性底座形态的不同,从而实现Linux和其他OS运行时便捷地混合部署。依托硬件上的多核能力使得通用的Linux和专用的实时操作系统有效互补,从而达到全系统兼具两者的特点,并能够灵活开发、灵活部署。 +- **北向生态**:700+嵌入式领域常用软件包的构建;提供软实时能力,软实时中断响应时延微秒级;集成 OpenHarmony 的分布式软总线和 hichain 点对点认证模块,实现 openEuler 嵌入式设备之间互联互通、openEuler 嵌入式设备和 OpenHarmony 设备之间互联互通;支持iSula容器,可以实现在嵌入式上部署openEuler或其他操作系统容器,简化应用移植和部署。支持生成嵌入式容器镜像,最小大小可到5MB,可以部署在其他支持容器的操作系统之上。 +- **UniProton硬实时系统**:UniProton 是一款实时操作系统,具备极致的低时延和灵活的混合关键性部署特性,可以适用于工业控制场景,既支持微控制器 MCU,也支持算力强的多核 CPU。目前关键能力如下: + 1. 支持Cortex-M、ARM64、X86_64、riscv64架构,支持M4、RK3568、RK3588、X86_64、Hi3093、树莓派4B、鲲鹏920、昇腾310、全志D1s。 + 2. 支持树莓派4B、Hi3093、RK3588、X86_64设备上通过裸金属模式和openEuler Embedded Linux混合部署。 + 3. 支持通过gdb在openEuler Embedded Linux侧远程调试。 ## 内核创新 -openEuler 25.03基于 Linux Kernel 6.6内核构建,在此基础上,同时吸收了社区高版本的有益特性及社区创新特性。 +openEuler 25.09基于 Linux Kernel 6.6内核构建,在此基础上,同时吸收了社区高版本的有益特性及社区创新特性。 -- **内核多副本(Kernel Replication)特性**:Kernel Replication旨在优化Linux内核在NUMA(非一致性内存访问)架构下的内核性能瓶颈。相关研究表明,Apache、MySQL、Redis等数据中心关键应用中,Linux内核态的执行对整体性能影响显著,例如:内核执行占整个应用程序执行CPU cycles数目的61%、总指令执行数目的57%,占I-cache失效率的61%、I-TLB失效率的46%。在传统Linux内核中,代码段、只读数据段、内核页表(swapper_pg_dir)仅驻留在主NUMA节点中并无法被迁移,这就导致当进程或多线程应用跨多个 NUMA 节点部署时,涉及系统调用存在频繁的跨NUMA,导致整机访存延时增加,从而影响整机性能。Kernel Replication特性扩展了mm_struct中的pgd全局页目录表,在内核启动阶段会自动创建内核代码段、数据段以及对应页表的各NUMA节点副本,此机制允许相同的内核虚拟地址在不同NUMA节点上映射到所在各自节点的物理地址,从而提升访存的本地局部性、减少跨NUMA性能开销。功能完备性上,Kernel Replication特性同时支持vmalloc,module动态加载,Kprobe/KGDB/BPF等动态指令注入机制,KPTI/KASLR/KASAN等安全机制,64K大页等。易用性上,新增内核启动阶段cmdline配置选项(默认关闭),可以在boot阶段进行动态开关,确保可控性和兼容性。Kernel Replication适用于高并发、多线程的服务器负载场景。 +- **fuse passthrough特性支持**:fuse passthrough特性支持:当前fuse在分布式存储、AI中广泛使用。在直通场景中fuse用户态文件系统没有对读写IO进行额外处理,仅仅是记录元数据,向后端文件系统发起IO。此时fuse的处理流程成为了整个系统的IO瓶颈。 fuse passthrough特性旨在fuse直接对接后端文件系统(透传)的场景下,消除数据面fuse上下文切换、唤醒、数据拷贝开销,允许应用程序直接将读写IO在内核中发给后端文件系统,进而大幅提升读写性能。在实验室环境中,fuse passthrough特性展现出了令人满意的性能提升。具体来说,在fio测试中,4K-1MB粒度的读写测试均有100%+的性能提升。同时通过了故障注入测试和稳定性测试。业务可以按需使用。 -- **HAOC 3.0 安全特性**:HAOC (Hardware-assisted OS compartmentalization) 含义是基于硬件辅助的操作系统隔离技术。 基于 x86、ARM 处理器提供的硬件特性,设计复式架构内核,在内核中提供隔离执行环境,为 Linux 内核提供进一步的隔离能力,从而阻止攻击者实施横向移动和权限提升。当前版本提供了隔离执行环境 IEE, 允许后续选项在隔离执行环境中新增需要隔离的敏感资源,并保证这些敏感资源不能被普通的内核代码随意的访问,而只能通过对IEE提供的接口进行调用来实现访问。 +- **MPAM 增强特性支持**:新增QoS增强特性,拓展内存带宽和L3缓存控制方式,可按照使用量上限/保底/优先级方式配置,为混部场景动态调控共享资源提供端到端能力。新增IO QoS管控特性,联动SMMU对外围硬件设备或异构加速器的IO带宽流量进行隔离配置,支持iommu_group粒度级别监控,为异构场景下IO QoS管控方案提供控制侧新方案。此外,新增L2缓存隔离配置,提供L2C占用量和带宽流量监控能力,为混部场景下系统性能提供物理核级别的优化和分析手段。以上MPAM特性在业务实测场景展现出明显的性能提升,其中在混部场景下,Specjbb作为在线业务的混部干扰率从25.5%降低至5%以下。 -## NestOS容器操作系统 +## 众核高密 -NestOS是在openEuler社区孵化的云底座操作系统,集成了rpm-ostree支持、ignition配置等技术。采用双根文件系统、原子化更新的设计思路,使用nestos-assembler快速集成构建,并针对K8S、OpenStack等平台进行适配,优化容器运行底噪,使系统具备十分便捷的集群组建能力,可以更安全的运行大规模的容器化工作负载。 +服务器芯片由多核进入众核时代(>256C),对操作系统提出新的挑战。提升Rack计算密度、降低数据中心TCO,众核服务器已成为互联网行业主流选择,随着云技术和业务规模发展,容器化部署成为互联网行业的主流业务部署形态,在这种场景下,系统串行开销和同步开销限制可扩展性,干扰问题凸显,资源利用率低,影响容器部署扩展性的串行访问开销和同步开销主要来自软硬共享资源争用。 -- **开箱即用的容器平台**:NestOS集成适配了iSulad、Docker、Podman等主流容器引擎,为用户提供轻量级、定制化的云场景OS。 -- **简单易用的配置过程**:NestOS通过ignition技术,可以以相同的配置方便地完成大批量集群节点的安装配置工作。 -- **安全可靠的包管理**:NestOS使用rpm-ostree进行软件包管理,搭配openEuler软件包源,确保原子化更新的安全稳定状态。 -- **友好可控的更新机制**:NestOS使用zincati提供自动更新服务,可实现节点自动更新与重新引导,实现集群节点有序升级而服务不中断。 -- **紧密配合的双根文件系统**:NestOS采用双根文件系统的设计实现主备切换,确保NestOS运行期间的完整性与安全性。 +本期主要采用轻量虚拟化按NUMA分域拆分资源、域内实现资源容器级隔离增强,降低因软硬件资源争用导致的性能干扰,提升容器部署扩展性。关键技术特性如下: -## oeAware支持瓶颈评估一键推荐调优等特性增强 +- 虚拟机内存QoS控制:当多个租户的虚拟机(VM)部署于同一物理主机时,若内存密集型虚拟机占用大量内存带宽,可能引发资源争用,导致其他虚拟机无法获得足够的内存带宽以满足其业务性能需求,进而影响整体系统服务质量。基于鲲鹏处理器提供的内存带宽监控与调控能力(MPAM, Memory Power and Access Monitoring),结合操作系统层面的 resctrl(Resource Control)机制,系统可实现对最多30个虚拟机的内存带宽使用情况进行精细化监测与动态控制。该能力支持对虚拟机内存带宽的上限、下限及优先级策略进行配置,从而构建多租户环境下的内存带宽资源隔离与保障体系。具体而言:内存带宽上限控制:通过为各虚拟机配置最大内存带宽使用阈值,有效防止单个虚拟机过度占用内存带宽资源,避免对其他租户虚拟机造成性能干扰;内存带宽下限保障:支持设定最低带宽保障值,确保在虚拟机实际负载较低时,系统可自动提升其带宽使用优先级,实现资源的动态优化与高效利用;优先级调度策略:支持基于业务重要性配置虚拟机的内存带宽优先级,优先保障关键业务虚拟机的带宽稳定供给,提升高优先级工作负载的可用性与服务质量。 +- 虚拟设备NUMA亲和:PCI设备也具有Numa亲和性,在主机侧直接访问,OS调度系统会根据设备亲和性进行调度优化,以防止跨Numa访问PCI设备而造成性能损耗。对于虚拟机设备直通来说,当前还不具备在虚机内部呈现PCI设备亲和的Numa节点。本功能基于PCI扩展桥(PXB)扩展虚拟机PCI设备拓扑结构,支持在虚拟机内呈现虚拟设备所在NUMA,便于系统OS优化调度或者用户根据虚拟设备所在NUMA部署业务应用,减少跨NUMA资源访问导致到性能损耗,提高虚拟机内业务应用性能; +- CPU分域调度:CPU基于硬件拓扑划分子域部署容器,一个容器一个独立子调度域,实现容器之间干扰隔离,降低跨cluster cache同步次数和cache/NUMA内存等硬件资源争抢,减轻容器之间的相互干扰。对于redis多并发场景性能提升10%+; +- 文件系统块分配干扰隔离:优化ext4 块分配释放流程中的 group lock 和 s_md_lock 两个主要争抢的锁,以提高EXT4 块分配流程的可扩展性。通过允许在当前目标块组被占用时尝试使用其他空闲块组进行分配,从而减少了多个容器争抢同一个块组造成的 CPU 浪费,并充分利用了 ext4 多块组的优势,缓解了 group lock 的竞争。其次通过将流式配的全局目标拆分为多个,从而减少了全局锁 s_md_lock 的竞争文件数据也更加聚集。在64容器并发场景下,块分配和块释放混合场景 OPS 提升 5 倍以上,单块分配场景提升 10 倍以上; +- 高效slab回收:将slab内存回收的读写锁,优化为RCU无锁化slab回收,不同slab之间的内存回收互不干扰,回收效率显著增加,多容器并发场景下,系统调用性能显著增强; +- 网络tcp hash干扰隔离:tcp_hashinfo bash、ehash存在锁竞争,ehash计算频繁,导致高并发下带宽下降,时延变大。将tcp_hashinfo bash、ehash的自旋锁改为rcu,ehash计算方式改为lport递增减少查询时间和计算次数,减少tcp connect hash的锁竞争; +- Cgroup隔离增强:user namespace 通过percpu counter替换原来的原子操作,避免不同namespace相同父节点竞争访问,消除容器间rlimit计数干扰。解决will-it-scale/ signal1用例线性度问题,64个容器并发吞吐性能提升2倍。通过对memcg 实现批量释放处理,避免大量的小内存释放对于相同父节点计数竞争,提升内存计数的可扩展性,tlb-flush2测试用例64容器吞吐提升1.5倍;基于eBPF可编程内核能力,提供主机容器信息隔离与过滤机制,高效实现容器资源视图。相较业界 LXCFS 方案,本方案避免了内核态-用户态切换开销,消除了LXCFS进程的性能与可靠性瓶颈,单容器内资源视图吞吐量在单容器场景下性能提升1倍,在64容器场景下提升10倍; +- 干扰监测:干扰监测回答的是容器有没有被干扰、是什么干扰、干扰程度如何这三个问题,从结果上看干扰可以分为干扰导致指令得不到执行、干扰导致指令执行变慢和干扰导致指令执行变多三类,干扰监测从内核角度,针对每一类的典型干扰在运行时进行统计,当前支持在线统计schedule latency、throttling、softirq、hardirq、spinlock、mutex和smt干扰,性能开销在5%以内; +- 鲲鹏内存/Cache QoS管控机制MPAM:内存带宽流量和各级缓存占用量,可按照使用量上限/保底/优先级方式进行配置,根据不同业务,以线程为粒度部署不同隔离策略。支持业务资源实时监控,在客户业务层面和线程级别,实时对共享资源的使用情况进行跟踪监控,将资源使用情况反馈给控制策略,形成闭环控制效果。此外,MPAM联动SMMU扩展外设IO QoS方案,支持对外围设备和异构加速器IO带宽流量进行隔离配置,按设备粒度级别进行资源监控。 +- QoS策略动态配置:提供集群级别的mpam Qos管理插件,基于mpam提供的Qos接口,在插件中根据用户定义,实现为所有节点自动分解各级别优先级,并根据用户的声明自动设置在离线任务mpam Qos优先级,从而实现在混部场景下对资源的充分利用:在线业务繁忙时自动抢占离线任务的llc及内存带宽,在线业务空闲时自动释放llc及内存带宽资源提升离线业务处理性能。 -oeAware是在openEuler上实现低负载采集感知调优的框架,目标是动态感知系统行为后智能使能系统的调优特性。传统调优特性都以独立运行且静态打开关闭为主,oeAware将调优拆分为采集、感知和调优三层,每层通过订阅方式关联,各层采用插件式开发尽可能复用。 -oeAware 的每个插件都是按oeAware 标准接口开发的动态库,包含若干个实例,每个实例可以是一个独立的采集、感知或调优功能集,每个实例包含若干个topic,其中 topic 主要用于提供采集或者感知的数据结果,这些数据结果可供其他插件或者外部应用进行调优或分析。新增transparent_hugepage_tune和preload_tune插件实例。 +## epkg新型包管理器 -- SDK提供的接口可以实现订阅插件的topic,回调函数接收oeAware的数据,外部应用可以通过SDK开发定制化功能,例如完成集群各节点信息采集,分析本节点业务特征。 -- PMU信息采集插件:采集系统PMU性能记录。 -- Docker 信息采集插件:采集当前环境Docker的一些参数信息。 -- 系统信息采集插件:采集当前环境的内核参数、线程信息和一些资源信息(CPU、内存、IO、网络)等。 -- 线程感知插件:感知关键线程信息。 -- 评估插件:分析业务运行时系统的NUMA和网络信息,给用户推荐使用的调优方式。 -- 系统调优插件:(1)stealtask :优化CPU调优 (2)smc_tune(SMC-D):基于内核共享内存通信特性,提高网络吞吐,降低时延 (3)xcall_tune :跳过非关键流程的代码路径,优化 SYSCALL的处理底噪 (4)transparent_hugepage_tune:使能透明大页,提高tlb命中率 (5)preload_tune:无感加载动态库。 -- Docker调优插件:利用cpuburst特性在突发负载下环境CPU性能瓶颈。 -- SMC-D:需要在服务端客户端建链前,完成使能smc加速。比较适用于长链接多的场景。 -- Docker 调优:暂不适用于 K8s 容器场景。 -- xcall_tune : 内核配置选项 FAST_SYSCALL 打开。 +epkg 新型包管理器,支持普通用户在操作系统中安装及使用。主要解决多版本兼容性问题,用户可以在一个操作系统上通过简单的命令行安装不同版本的软件包。同时支持环境环境实现环境的创建/切换/使能等操作,来使用不同版本的软件包。目前epkg主要支持非服务类软件包的安装和使用。 -## Aops cve修复/配置溯源实现运维智能化,支持主动通知和图文混合交互 +- 多版本兼容:支持普通用户安装,支持安装不同版本的软件包,不同版本的同一软件包安装不冲突。使能用户在同一个节点上,快速安装同一软件包的不同版本,实现多版本软件包的共存。 +- 环境管理:支持环境管理,实现环境的创建/切换/使能等操作,用户通过环境的切换,在环境中使用不同的channel,实现在不同的环境中使用不同版本的软件包。用户可以基于环境,快速实现软件包版本的切换。 +- 普通用户安装:epkg支持普通用户安装软件包,普通用户能够自行创建环境,对个人用户下的环境镜像管理,无需特权版本。降低软件包安装引起的安全问题。 -aops运维智能化,通过对话交互实现运维操作以替代传统运维操作方式降低运维门槛,导航式操作,简化操作。现交互场景支持cve提示和修复推荐,配置溯源配置异常追溯和配置基线同步,通过和助手交互,让运维助手帮忙执行日常运维操作。 -aops基于EulerCopilot集成智能运维助手,实现cve修复和配置溯源操作智能化: +## LLVM for openEuler编译器 -- cve修复:aops自动显示集群cve情况,筛选高分高严重等级cve进行推荐并提供修复方式,用户通过助手辅助和页面混合交互实现cve的修复和结果查看。 -- 配置溯源:通过助手查询基线配置异常的机器,页面展示异常机器和异常配置项,助手进行智能总结并提供推荐修复方式,可通过页面混合交互进行修复。 +LLVM for openEuler编译器在openEuler 25.09版本引入以下编译特性,优化数据库、大数据相关应用的运行效率,释放软件的极致性能。 -## 云原生基础设施部署升级工具k8s-install +- ICP增强优化:ICP优化通过反馈信息将间接函数调用优化为直接函数调用,增加潜在的内联优化机会,并降低函数调用开销。 +- 智能哈希预取优化:识别应用中多层间接嵌套访存场景,自动计算实际访存地址并插入数据预取指令,降低数据缓存未命中的概率。 +- 自适应内存拷贝优化技术:通过识别内存拷贝时源指针和目标指针特征,增加运行时检查对内存拷贝方式进行特化优化(如生成memset、memmove等)。 +- 动态库快速访问技术:传统动态库函数调用需通过PLT(过程链接表)跳转,导致额外的内存访问和跳转指令,优化为直接使用GOT(全局偏移表)中的函数地址调用,消除PLT跳转开销。 -K8s-install是一款在多个发行版、多个架构上生成云原生基础设施的在线安装工具,及离线安装包生成工具。支持多维度地一键安装、部署、安全更新云原生基础设施套件,极大地节省部署和适配的时间,并使得该流程标准化,可追踪。 +## oeDeploy特性增强 -- 欧拉本身云原生工具链版本过低,同一发行版内没有维护多版本基线(如k8s 1.20 1.25 1.29等),已发布分支不能更新大版本,业务需要更高版本时就需要自主适配维护; -- 业务方经常采用Ansible等工具部署云底座,使用非本发行版软件包甚至是静态二进制文件及tar包部署,无法支持CVE安全更新; -- 离线安装与在线安装版本同步问题突出,离线包升级及改动困难; -- 安装布署流程不标准,各组件版本不统一,不同组件版本的不适配、配置存在差异情况时常发生,且解决非常耗时,难以定位问题源头。 -- 安装器:用来解决runc、containerd、docker、k8s这几个组件及其依赖的系统库的检测、安装、更新流程; -- 配置库:用来储存docker k8s软件的配置文件模板; -- 软件包库:用来储存runc、containerd、docker、k8s及其依赖的系统库的各个版本的各个架构的rpm软件包; -- 镜像库:用来储存k8s软件启动时所需要的各版本的kube-apiserver、 kube-scheduler、 etcd、 coredns等镜像,也包含基础网络插件如flannel的镜像; -- 发布器:用来将最新的代码脚本、rpm、镜像、配置封装在一起生成在线安装包和离线安装包的工具。K8s-install主体程序使用bash写成,不需要编译链接,在线安装包被封装为rpm包,它的打包采用spec文件方式。 +oeDeploy是一款轻量级的软件部署工具,旨在帮助开发者快速、高效地完成各类软件环境部署,对单节点与分布式场景均可适配。 -## k8s-install 安装器 +- 多场景支持 & 主流软件一键部署:支持单节点应用与集群软件环境的一键部署,新版本oeDeploy增加了对多master节点的Kubernetes环境的快速部署,新增支持了openEuler Intelligence、Devkit-pipeline等社区工具链,以及RAGFlow、anythingllm、Dify等主流RAG软件。 +- 灵活的插件化管理 & 优秀的部署体验:oeDeploy提供可扩展的插件架构,灵活管理多种部署能力,开发者也可以快速发布自定义部署插件。新版本oeDeploy支持了插件源的管理,支持一键更新插件版本、一键完成插件初始化。oeDeploy支持极简的命令行操作方式,也即将上线可视化工具与插件商店,用更少的代码,实现更高效的软件部署体验。 +- 高效部署 & 智能开发:新版本oeDeploy发布了MCP服务,在DevStation中实现开箱即用,借助大模型的推理能力,支持用自然语言完成各类软件的一键部署,部署效率提升2倍;支持将用户文档快速转换成可以直接运行的oeDeploy插件,开发效率提升5倍。 -k8s-install 是用于云原生基础设施的安装与安全更新工具。 -解决版本适配难题 :欧拉上游云原生工具链版本过低,且已发布分支不能更新大版本,业务版本需要自主适配维护。k8s-install 支持多版本基线,可满足业务刚性需求,避免因版本不兼容导致的部署失败或功能异常。 -提升部署效率与标准化 :各部门或项目安装布署流程不标准,组件版本不统一,导致适配问题频发且解决耗时。使用 k8s-install 能实现标准化部署,确保各组件版本兼容,减少问题定位时间,提升整体部署效率。 -增强安全性与可维护性 :业务方原采用静态二进制及 tar 包部署,无法支持 CVE 安全更新。k8s-install 可实现 CVE 漏洞更新,及时修复安全漏洞,保障系统安全稳定。同时,全组件代码完成公司内建仓及欧拉建仓,利于版本追溯与问题定位,增强系统可维护性。 -促进社区开源与协作 :兼容 openeuler发行版, 开源建仓并活跃更新,促进技术共享与社区生态发展,吸引更多开发者参与,提升项目影响力,推动云原生技术的持续进步。 -具备以下核心功能: +## Go for openEuler编译器 -- 多发行版本适配:支持 k8s 1.20、1.25、1.29 等多基线版本,可满足不同业务场景下的版本需求,实现按需部署。 -- 多架构支持 :兼容 x86_64、aarch64、loongarch64 等多种架构,适用于 diverse 硬件环境,拓展应用范围。 -- 多组件管理 :涵盖 golang、runc、containerd、docker、k8s 及相关组件的一体化安装与配置,简化复杂组件的部署流程,提升效率。 -- 在线离线部署 :提供在线安装器 k8s-install、离线安装器 k8s-install-offline,结合 publish.sh 发布器,可灵活应对网络条件,保障部署稳定性。 +- 功能描述1:CFGO反馈优化:在保证程序功能不变的前提下,通过收集程序运行时信息,指导编译优化进行更准确的优化决策,获得性能更优的目标程序。基于程序局部性原理,使热指令紧密排布,优化cache/TLB命中,有效降低程序前端瓶颈,提升程序性能。 +- 功能描述2:ARM原子指令优化:在部分业务场景中,Golang运行时调用CAS锁、LD/ST指令开销较大,改为ARM亲合指令序列实现,可实现性能提升。 +- 功能描述3:运行时GC优化:结合特征,插入软件预取;抽取GC协程开销资源参数为运行时参数,支持根据不同业务特征进行动态调整。 +- 功能描述4:结合鲲鹏KAE使能底层硬件加速:改造Golang自身Compress库Gzip的压缩/解压缩逻辑实现使能底层硬件加速。 -## k8s-install publish发布器 +## 毕昇JDK支持堆内存扩容 -publish.sh 是 k8s-install 工具链中的发布器。它具体以下功能: +互联网容器化部署应用的模式下,大部分客户容器场景下容器资源支持垂直伸缩,当前OpenJDK的最大堆只能在启动时支持修改,无法支持在线动态扩缩,java应用无法在线使用到容器扩容出的内存,需要java应用启动时重新设置最大堆;鉴于此问题,毕昇JDK在G1GC实现堆内存上限在线伸缩能力,允许用户在应用运行时动态更新Java堆内存的上限,而无需重启JVM。 -- 保障离线部署可行性 :在某些网络受限或无网络连接的环境中,如部分数据中心或特殊生产环境,无法直接从在线仓库获取资源。publish.sh 可生成完整的离线安装包,确保在这些场景下也能顺利部署云原生基础设施,拓展工具的适用范围。 -- 实现高效版本迭代与发布管理 :随着 k8s-install 工具及组件的不断更新,publish.sh 能实现自动化构建、测试与发布流程,提高版本迭代效率,确保新版本及时、准确地推送给用户,促进系统的持续演进。 -- 提升资源获取的稳定性与可靠性 :在线仓库可能因网络波动、资源更新不及时等原因导致获取的软件包或镜像存在问题。publish.sh 从官方或可信的在线仓库拉取资源,并经过整合与测试,能保障所发布的资源稳定可靠,避免因资源问题引发的部署失败。 -- 促进多团队协作与资源同步 :在大型项目中,不同团队可能负责不同的组件或模块。publish.sh 可将各团队的更新成果整合发布,确保各团队获取的资源一致,利于协同工作,提升整体项目进度与质量。 +互联网等容器场景业务,在容器在线扩容后需要java业务的堆内存大小也支持在线扩容的场景。 -**功能描述** +## 编译器UDF自动native框架 -- 离线包生成与发布 :从在线 yum 和镜像仓库中拉取最新软件包、镜像,结合最新配置文件和安装器,打包成离线 tgz 安装包,满足离线环境的部署需求。 -- 在线代码更新与发布 :将更新的代码上传至 git 仓库,选取配置库和安装器进行打包源码,经本地 build 测试后上传至 obs 服务器进行正式编译,并发布到 yum 源,实现在线资源的更新与同步。 +针对开源大数据JVM执行效率低的缺点,UDF自动native框架负责将Java UDF自动转换为C/C++ Native UDF,并进一步从内存高效管理、硬件亲和等维度提升大数据处理性能。UDF自动native框架致力于实现用户无感知、全自动的Java UDF native加速机制。UDF自动native框架主要由UDF parser、UDF IR Optimizer、UDF code Generator、UDF code compiler等模块组成。 -## Trace IO加速容器快速启动 +UDF parser将业务jar包字节码自动转换为IR代码,并基于UDF特征提取出UDF代码;UDF IR Optimizer从内存对象自动管理、硬件亲和加速等维度对UDF IR进行优化;UDF Code Generator将UDF IR对等转换为native代码;UDF code compiler将UDF native代码在线编译为native二进制。最后,UDF的native二进制发布到大数据执行节点上,由大数据系统native执行引擎动态加载执行,提升大数据系统处理性能。 -Trace IO简称TrIO,用于优化基于EROFS over fscache的容器镜像按需加载场景。它通过对容器启动过程中的IO进行精确的追踪,并将IO高效编排进入容器镜像中来优化容器冷启动过程。相比于现有的容器镜像加载方案,TrIO能使得容器任务的冷启动的时延更低、带宽利用率更高效。TrIO涉及内核和用户态模块,内核态在EROFS文件系统下做了相应的适配,用户态模块提供了抓取容器运行时的IO trace的工具、并给出了一种基于nydus-snapshotter的适配修改指导,使得容器使用者无需更改containerd及runc,从而做到对现有容器管理工具的兼容。 -TrIO的核心优势是实现容器按需加载过程中的IO聚合,通过编排容器任务运行时IO轨迹的方式精确的拉取容器运行过程中所需要的IO数据;这极大提高了容器启动过程中拉取镜像数据的效率,从而实现容器启动阶段的低时延。 -TrIO的功能包括两个部分:容器运行时IO的抓取和容器启动过程运行时IO的使用。容器运行时IO的抓取通过使用ebpf技术,在文件系统侧进行IO追踪,从而获得容器任务启动过程中的IO读取请求,并将这些IO请求对应的数据进行编排,从而构建最小运行时镜像。容器启动过程,自定义的snapshotter插件模块会采用大IO的方式对最小运行时镜像镜像拉取,并导入到内核中;后续容器任务执行过程中所有的IO会优先从最小运行时镜像中读取。 -相比现有容器按需加载方案,TrIO具有如下功能优势: +## 毕昇JDK17支持退优化可观测 -- 无IO放大:通过对运行时IO精确抓取并用于任务启动,对容器任务的启动过程中的IO无放大。 -- IO聚合:容器任务启动过程通过大IO的方式将容器任务启动过程所需要的数据一次性拉取到容器节点,提高镜像数据加载效率,降低启动时延。 +JDK17 的 JFR Streaming API 功能,是 JFR 从“事后静态分析”迈向“实时监控”的关键特性。在传统的 JFR 使用模式中,流程是:记录 -> 停止记录 -> 转储为 .jfr 文件 -> 用 JMC 离线分析。这种模式是“事后分析”,对于排查已经发生的问题非常有效。Streaming API 引入了一种全新的模式:它允许 Java 应用程序在不中断 JFR 记录、不生成完整 .jfr 文件的情况下,实时、持续地从 JVM 内部订阅和消费 JFR 事件流。在使用 Streaming API的时候,通过本功能可以在 ****** 处获取当前时间之前的一段jfr event,例如退优化事件。 -## 机密容器Kuasar适配virtCCA +```Java +// 1. 创建一个 RecordingStream +RecordingStream rs = new RecordingStream(); +// 2. 启用我们感兴趣的事件并配置设置 +rs.enable("jdk.GCPhasePause").withPeriod(Duration.ofSeconds(1)); +rs.enable("jdk.Deoptimization").withPeriod(Duration.ofSeconds(1)); +// 3. 订阅特定事件并设置事件处理器(回调函数) +rs.onEvent("jdk.GCPhasePause", event -> { +// 从事件中读取字段 +Duration duration = event.getDuration("duration"); +String name = event.getString("name"); // 例如 "GC Pause" + ***************** + shell: jcmd JFR.start delay=-1 filename=xxx.jfr + ***************** +}); +// 4. 启动流(这是一个非阻塞调用) +rs.startAsync(); +``` -Kuasar机密容器特性基于鲲鹏920系列virtCCA能力。北向可对接iSulad容器引擎,南向适配鲲鹏virtCCA硬件,实现鲲鹏机密计算无缝对接云原生技术栈。 -Kuasar机密容器充分利用Sandboxer架构优势,提供了高性能、低开销的机密容器运行时。Kuasar-sandboxer集成openEuler QEMU的virtCCA能力,负责管理机密沙箱的生命周期,允许用户在机密硬件上创建机密沙箱,确保机密容器运行在可信执行环境中。 -Kuasar-task提供Task API接口,允许iSulad直接管理机密沙箱内容器的生命周期。机密容器的镜像通过Kuasar-task的镜像拉取能力直接从镜像仓拉入机密沙箱的加密内存中,保障了容器镜像的机密性。 +## GCC for openEuler CFGO反馈优化特性增强 -**技术约束** +日益膨胀的代码体积导致当前处理器前端瓶颈成为普遍问题,影响程序运行性能。编译器反馈优化技术可以有效解决此类问题。CFGO(Continuous Feature Guided Optimization)是GCC for openEuler的反馈优化技术名,指多模态(源代码、二进制)、全生命周期(编译、链接、链接后、运行时、OS、库)的持续反馈优化,主要包括以下两类优化技术: -1. Kuasar机密容器尚未支持远程验证服务,将在openEuler 2403 LTS增强扩展版本中集成secGear组件,完成对远程验证服务的支持。 -2. 暂不支持镜像加解密,在完成对secGear组件的对接后,可以支持镜像将解密。 +- 代码布局优化:通过基本块重排、函数重排、冷热分区等技术,优化目标程序的二进制布局,提升i-cache和i-TLB命中率。 +- 高级编译器优化:内联、循环展开、向量化、间接调用等提升编译优化技术受益于反馈信息,能够使编译器执行更精确的优化决策。 -**功能描述** +GCC CFGO反馈优化共包含三个子特性:CFGO-PGO、CFGO-CSPGO、CFGO-BOLT,通过依次使能这些特性可以缓解处理前端瓶颈,提升程序运行时性能。为了进一步提升优化效果,建议CFGO系列优化与链接时优化搭配使用,即在CFGO-PGO、CFGO-CSPGO优化过程中增加-flto=auto编译选项。 -Kuasar统一容器运行时在支持安全容器的基础上添加了对机密容器的支持。用户可以通过配置iSulad的运行时参数,完成对Kuasar机密容器的纳管。 +- CFGO-PGO:CFGO-PGO在传统PGO优化的基础上,利用AI4C对部分优化遍进行增强,主要包括inline、常量传播、去虚化等优化,从而进一步提升性能。 +- CFGO-CSPGO:PGO的profile对上下文不敏感,可能导致次优的优化效果。通过在PGO后增加一次CFGO-CSPGO插桩优化流程,收集inline后的程序运行信息,从而为代码布局和寄存器优化等编译器优化遍提供更准确的执行信息,实现性能进一步提升。 +- CFGO-BOLT:CFGO-BOLT在基线版本的基础上,新增aarch64架构软件插桩、inline优化支持等优化,进一步提升性能。 -- 支持iSulad容器引擎对接Kuasar机密容器运行时,兼容Kubernetes云原生生态。 -- 支持基于virtCCA的机密硬件,允许用户在鲲鹏virtCCA可信执行环境中部署机密容器。 +## DevStation特性增强 -## 引入Vkernel概念增强容器隔离能力 +DevStation 是基于openEuler的智能开发者工作站,专为极客与创新者而生。旨在提供开箱即用、高效安全的开发环境,打通从部署、编码、编译、构建到发布的全流程。它融合了一键式运行环境与全栈开发工具链,支持从系统启动到代码落地的无缝衔接。无需复杂安装,即可体验开箱即用的开发环境,通过新增MCP AI智能引擎,快速完成社区工具链调用,实现从基础设施搭建到应用开发的效率飞跃。 -Vkernel (Virtual Kernel)全称虚拟内核技术,旨在打破容器场景下的内核共享的局限性,实现独立的虚拟内核以完善隔离能力,同时兼顾容器性能。 -Vkernel构建独立的系统调用表、独立的文件权限表,增强容器的基础安全防护能力;构建独立的内核参数,允许容器定制宏观资源策略和微观资源参数;还会通过划分内核信息数据的归属、结合硬件特性保护内核权限数据、构建独立内核页表保护用户数据等,进一步强化安全能力。在未来,Vkernel还将探索与性能干扰相关内核数据,以增强容器性能隔离能力。 +开发者友好的集成环境:发行版预装了广泛的开发工具和 IDE,如 VS Codium系列等。支持多种编程语言,满足从前端、后端到全栈开发的需求。社区原生工具生态:新增 oeDeploy(一键式部署工具)、epkg(扩展软件包管理器)、devkit和 openEuler Intelligence,实现从环境配置到代码落地的全链路支持。oeDevPluginss插件+oeGitExt命令行工具支持:专为 openEuler 社区开发者设计的 VSCodium 插件,提供 Issue/PR 可视化管理面板,支持快速拉取社区代码仓、提交 PR,并实时同步社区任务状态。 openEuler Intelligence智能助手:支持自然语言生成代码片段、一键生成 API 文档及 Linux 命令解释。 -## secGear支持机密容器镜像密钥托管 +- 图形化编程环境:集成了图形化编程工具,降低了新手的编程门槛,同时也为高级开发者提供了可视化编程的强大功能,预装 Thunderbird 等办公效率工具。 +- MCP智能应用生态构建:DevStation 深度集成 Model Context Protocol (MCP) 框架,构建完整的智能工具链生态,预装MCP智能工具链,支持oeGitExt、rpm-builder 等核心MCP Server,提供社区事务管理、RPM打包等能力,将传统开发工具(如Git、RPM构建器)通过MCP协议进行智能化封装,提供自然语言交互接口。 +- 系统部署与兼容性增强:广泛的硬件支持,特别优化对主流笔记本/PC 硬件的兼容性(触摸板、Wi-Fi 、蓝牙),重构内核构建脚本(kernel-extra-modules),确保裸机部署体验。灵活部署形态,支持 LiveCD(一键运行无需安装)、裸机安装、虚拟机部署。 +- 全新安装工具heolleo:heolleo 是一款专为 DevStation 设计的现代化客户端工具。其核心使命是简化DevStation的安装流程。采用模块化设计使其可以轻松扩展以支持不同的硬件架构(如 x86/ARM)、文件系统或引导加载器(GRUB等)。支持从本地ISO镜像、网络地址(HTTP/FTP)等快速获取系统文件,提供灵活的安装方式: + 1. 本地ISO安装:对于追求极致稳定、速度或需要在无网络、受限环境中部署系统的用户,heolleo 提供本地ISO安装模式。充分利用已有的系统镜像文件,提供一个高速、可靠且完全离线的安装体验,当前已实现自动化分区安装。 + 2. 网络安装:heolleo 的网络安装模式适应现代系统部署的趋势。可直接从互联网上的服务器获取最新系统文件,省去了手动下载镜像的步骤,能以最便捷的方式触及最新的 DevStation 版本。 -secGear远程证明服务提供机密容器镜像密钥托管能力,重点构建覆盖密钥安全存储、动态细粒度授权、跨环境协同分发的管理体系,并借助零信任策略与自动化审计能力,在确保数据机密性与操作可追溯性的同时,实现密钥治理复杂度与运维成本的最优平衡,为云原生环境提供“默认加密、按需解密”的一体化防护能力。 -secGear整合远程证明技术构建分层密钥托管功能体系。 +## DevStore开发者软件商店 -**证明服务** +DevStore是openEuler桌面版本的应用商店,是面向开发者的软件分发平台,支持MCP服务、oeDeploy插件的检索与快捷部署功能。在DevStation平台上实现开箱即用。 -通过构建集中式密钥托管服务端,基于机密执行环境(TEE)远程证明机制实现对加密镜像密钥的安全存储与生命周期管理,并面向授权用户提供精细化策略配置接口; - -**证明代理** +- MCP服务一键安装:DevStore借助openEuler社区丰富的软件生态,以rpm软件包的形式处理MCP运行所需的软件依赖,并通过内置的服务管理工具,在智能体应用中快速部署MCP服务。自动帮助用户解决软件依赖与MCP配置问题,大幅提升用户体验。目前已支持80+MCP服务。 +- oeDeploy插件快速部署:DevStore借助oeDeploy工具实现主流软件的快速部署,大幅度降低开发者部署软件的时间成本。包括Kubernetes、Kuberay、Pytorch、TenserFlow、DeepSeek等AI软件,EulerMaker、openEuler Intelligence等社区工具链,以及RagFlow、Dify、AnythingLLM等主流的RAG工具。 -机密计算节点内部署轻量级证明代理组件,提供本地restAPI接口。机密容器运行时通过调用证明代理接口完成机密执行环境的完整性验证,并与服务端建立动态会话实现密钥的安全传输。 +## CCA机密计算 -## 构建基于远程证明的TLS协议(RA-TLS) +ARM CCA 通过以下核心组件协同工作,构建一种隔离的、受保护的执行空间,在代码执行和数据访问方面与正常世界完全隔离,成为Realm机密域。 -RA-TLS是将机密计算的远程证明嵌入到TLS协商过程中,保护隐私数据安全传入机密计算环境,同时简化机密计算安全通道的建立,降低机密计算的使用门槛。 +- Realm机密域:Realm是 CCA 的核心抽象,它是一种与正常世界(Non-secure)和安全世界(Secure,原来的Trustzone)并行的新类型执行环境。Realm是硬件隔离的,专为托管敏感代码和数据而设计。它独立于主机操作系统和 Hypervisor,它们可以管理Realm但无法访问其内部内容。 +- 动态管理:Hypervisor 可以应客户要求动态创建Realm,并为其分配内存和 CPU 资源。但在Realm初始化后,Hypervisor 会将其控制权移交给一个受保护的安全虚拟化模块RMM(Realm Management Monitor),此后 Hypervisor 便无法访问Realm内的秘密。 +- 内存管理:CCA 扩展了系统内存管理单元(MMU),使其能够识别和隔离Realm内存。任何从Realm外部(包括 Hypervisor)发起的访问尝试都会被硬件阻断,从而确保数据的机密性。 +- 远程证明:每个支持 CCA 的处理器都有一个基于硬件的唯一身份标识。当Realm启动时,它可以生成一份由硬件密码学签名的证明报告(Attestation Token)。用户可以获得这份报告,并验证其签名及组件度量值,从而确信他们的工作负载正在一个真实的、未被篡改的 ARM CCA 环境中运行。 -**单向认证** +## secGear特性增强 -TLS服务端部署在机密计算环境,客户端部署在普通环境,RA-TLS协商过程中,基于远程证明对服务端机密计算环境及应用的合法性验证通过后,再做TLS密钥协商。 +新版virtCCA机密虚机提供Platform Token,Attestation Agent在向虚机请求数据时,获得的virtCCA Token较旧版新增了Platform Token的部分。Attestation Service在远程证明部分也有所变化: -**双向认证** +1. 根证书、二级证书的证书算法由RSA算法更换为ECCP521。 +2. 远程证明流程新增Platform Token的验签与Cvm Token的公钥验证,完善证明链。 +3. 支持使用策略对virtCCA的Platform的Software组件版本、HASH进行校验。 +4. 证明报告(根据策略)输出Platform Software组件校验结果。 +5. 证明报告输出当前virtCCA是否支持Platform Token。 -TLS服务端和客户端都部署在机密计算环境,RA-TLS协商过程中,基于远程证明相互验证对端机密计算环境及应用的合法性,再做TLS密钥协商。 +当前secGear远程证明统一框架仍保留了对旧版virtCCA远程证明的支持。主要根据Attestation Agent向Attestation Service发送的数据是否包含Platform Token。如果不包含,则按照旧版virtCCA远程证明(证书)流程进行,对应证明策略无法校验相关组件,报告输出vcca.is_platform为False,表示当前平台不支持Platform Token。 -**技术约束** +## virtCCA机密计算特性增强 -机密计算环境能够访问网络(如virtCCA)。 +当前virtCCA架构在启动方式上存在特定约束:其仅支持kernel与rootfs分离的启动模式(即内核镜像与根文件系统分别挂载)。然而,在主流云平台环境中,虚拟机的启动流程普遍依赖GRUB引导机制,这要求将UEFI固件(如EDK2)、内核(Kernel)及初始内存文件系统(initramfs)整合至单一磁盘镜像(如QCOW2格式)中。功能要点包括: -## openAMDC提供高性能内存数据缓存及KV数据存储 +1. 单镜像封装 + (1) 将 EDK2 固件、GRUB 引导程序、内核(Kernel) 及 initramfs 整合至单一 QCOW2 磁盘镜像,形成完整启动栈。 + (2) GRUB 通过配置文件(grub.cfg)定位内核路径,要求内核与 initramfs 必须位于同一文件系统(如 EXT4/XFS)。 +2. 安全信任链传递 + (1) Secure Boot 机制:EDK2 验证 GRUB 及内核的数字签名,确保启动组件未被篡改。 + (2) 硬件资源协同:依赖 UEFI 运行时服务枚举硬件设备,为虚拟机管理程序(如 KVM)提供虚拟化资源池。 +3. 云原生优化 + (1) 支持快照克隆、根文件系统动态扩容(依赖 initramfs 中的 cloud-init 工具)特性。 -openAMDC(open Advanced in-Memory Data Cache)是一款内存数据缓存软件,主要用于在内存中存储、缓存数据,起到数据访问加速、提升应用访问并发和降低数据访问延迟的作用,也可作为消息代理、内存数据库使用。 +## oeAware采集、调优插件等功能增强 -**功能描述** +oeAware 的每个插件都是按oeAware 标准接口开发的动态库,包含若干个实例,每个实例可以是一个独立的采集、感知或调优功能集,每个实例包含若干个topic,其中 topic 主要用于提供采集或者感知的数据结果,这些数据结果可供其他插件或者外部应用进行调优或分析。 -- 核心能力:openAMDC兼容RESP协议,提供完整的数据缓存功能,支持string、list、hash、set等主流数据格式,提供主备、集群和哨兵等部署模式。 -- 架构特性:openAMDC采用了多线程架构实现内存数据缓存性能的大幅提升,并提供冷热数据交替模式支持内存与硬盘的混合数据存储。 - 1. 多线程架构:openAMDC在启动时会初始化多个worker线程,每个worker线程中会启动一个事件循环用于监听事件,为每个listen监听设置SO_REUSEPORT选项,启用网络连接内核负载均衡,允许多个线程绑定相同的端口号,相当于每个线程拥有队里的listen socket完成队列,避免了共享listen socket的资源争抢,提升了并发吞吐。 - 2. 数据交换架构: openAMDC在多线程架构的基础上扩展数据交换功能,实现数据冷热多级存储,降低缓存的综合使用成本。 +- SDK提供的接口可以实现订阅插件的topic,回调函数接收oeAware的数据,外部应用可以通过SDK开发定制化功能,例如完成集群各节点信息采集,分析本节点业务特征。 +- PMU信息采集插件:采集系统PMU性能记录。 +- Docker 信息采集插件:采集当前环境Docker的一些参数信息。 +- 系统信息采集插件:采集当前环境的内核参数、线程信息和一些资源信息(CPU、内存、IO、网络)等。采集本地进程间TCP网络亲和关系。 +- 线程感知插件:感知关键线程信息。 +- 评估插件:分析业务运行时系统的NUMA和网络信息,给用户推荐使用的调优方式。 +- 系统调优插件:(1)stealtask:优化CPU调优。(2)smc_tune(SMC-D):基于内核共享内存通信特性,提高网络吞吐,降低时延。(3)xcall_tune:跳过非关键流程的代码路径,优化 SYSCALL的处理底噪。(4)realtime_tune:提供深度隔离、自动完成实时性能优化配置。(5)net_hard_irq_tune:动态修改网络中断亲和性,提高网络业务性能。(6)并行感知调度:增强系统的NUMA调度性能。 +- Docker调优插件:(1) cpu_burst:利用cpuburst特性在突发负载下环境CPU性能瓶颈。(2)容器潮汐调度:根据业务负载特征调整容器业务的CPU亲和,提高业务的QoS。 + +约束限制: + +- SMC-D:需要在服务端客户端建链前,完成使能smc加速。比较适用于长链接多的场景。 +- Docker 调优:暂不适用于 K8s 容器场景。 +- xcall_tune: 内核配置选项 FAST_SYSCALL 打开。 +- realtime_tune:需要配合Preempt-RT内核使用。 +- net_hard_irq_tune:TCP 网络通信业务。 -## 支持OpenStack Antelope版本 +## 虚拟化支持vKAE直通设备热迁移 -OpenStack 是一个开源的云计算管理平台项目,旨在提供一个可扩展的、灵活的云计算服务,支持私有云和公有云环境。 +KAE是基于鲲鹏920新型号处理器提供的硬件加速解决方案,包括HPRE、SEC、ZIP设备,可用于加解密和压缩解压缩,能够显著降低处理器消耗,提高处理器效率。KAE直通热迁移是指虚拟机在配置KAE直通设备时,进行热迁移的能力,可以为KAE设备的使用提供更强的灵活性和业务不中断的保障。 -**功能描述** +smmu脏页跟踪是实现直通设备高效、可靠的热迁移的关键技术。在ARM架构中,通过纯软件方式进行脏页跟踪,会带来了较大的性能损耗。HTTU(Hardware Translation Table Udate)允许硬件自动更新smmu页表状态,在进行写操作时会自动置对应页表项的写权限位,热迁移时扫描页表的写权限位进行脏页统计。 -OpenStack提供了一系列的服务和工具,用于构建和管理公共云、私有云和混合云。其主要功能包括: +## Global Trust Authority远程证明增强 -- 计算服务:提供虚拟机的创建、管理和监控等功能。它允许用户快速创建、部署和销毁虚拟机和容器实例,从而实现对计算资源的灵活管理和高效利用。 -- 存储服务:提供对象存储、块存储和文件存储等多种存储服务。块存储服务(如Cinder)允许用户动态分配和管理持久性块存储设备,如虚拟机硬盘。对象存储服务(如Swift)则提供了可扩展的、分布式的对象存储解决方案,用于存储大量非结构化数据。 -- 网络服务:提供虚拟网络的创建、管理和监控等功能,包括网络拓扑规划、子网管理、安全组配置等,这使得用户能够轻松构建复杂的网络结构,并确保网络的安全性和可靠性。 -- 身份认证服务:提供用户、角色和权限等身份管理功能,管理用户、角色和权限的访问控制。这使得用户能够安全地访问和管理云资源,并确保数据的机密性和完整性。 -- 镜像服务:提供虚拟机镜像的创建、管理和共享等功能,包括创建、上传、下载和删除镜像。这使得用户能够轻松地创建和管理虚拟机镜像,并快速部署新的虚拟机实例。 -- 编排服务:提供自动化部署和管理应用程序的功能,支持多个服务之间的协作和集成。通过编排服务(如Heat),用户可以定义应用程序的部署模板,并自动执行相关的部署和管理任务。 +GTA远程证明服务组件支持TPM/vTPM、VirtCCA及其IMA的远程证明,分为客户端和服务端。 -## DevStation工具链/图形化/南向兼容性等新增特性 +- 服务端提供了远程证明服务框架兼容可信计算及机密计算,支持证书、策略等的增删改查,Quote验证,随机数,JWT Token生成等能力。 +- 客户端支持采集本地TPM证据,并可与服务端交互,验证Quote。 -openEuler DevStation 是专为开发者设计的 Linux 桌面发行版,聚焦简化开发流程与生态兼容性。新版本围绕社区工具链增强、图形化交互优化以及系统兼容性与生产力升级三大方向进行了全面升级,为开发者提供更加高效、安全且适应复杂场景的开发体验。 +本组件在安全性及易用性上也提供了多种能力。安全性上支持数据库完整性保护、数据链路加密,验证防重放,SQL防注入,用户隔离,密钥轮换机制等一系列差异化安全竞争力。易用性上支持护照模式及背调模式。 客户端支持定时上报,响应挑战等多种验证模式。客户端及服务端支持rpm包及docker安装部署。 -**功能描述** +## Kuasar机密容器 -- 开发者友好的社区工具链 +Kuasar 统一容器运行时在支持安全容器的基础上添加了对机密容器的支持。用户可以通过配置 iSulad 的运行时参数,完成对 Kuasar 机密容器的纳管。 当前Kuasar机密容器使用iSulad+Kuasar方案,提高了启动速度,极大降低了内存底噪。一方面 Sandbox API 的实现,使得创建容器不再单独创建 pause 容器,节省了准备pause容器镜像快照的时间;另一方面得益于1:N 的管理模型,Sandboxer 进程常驻,从而节省了冷启动 Shim 进程的时间,这使得容器的启动速度大大提升,带来与Pod数成正比的内存收益。最后,Kuasar使用rust实现,相比golang,内存更安全,语言本身也带来了一些内存收益。 - 1. 全栈开发工具集成:默认搭载 VSCodium(尊重开源许可的无 telemetry 版本 IDE)及主流语言开发环境(Python/Java/Go/Rust/C/C++)。 - 2. 社区工具生态:新增 oedeploy(一键式部署工具)、epkg(扩展软件包管理器)、devkit和本地化 AI 开发助手,实现从环境配置到代码落地的全链路支持。 - 3. oedevplugin插件支持:专为 openEuler 社区开发者设计的 VSCodium 插件,提供 Issue/PR 可视化管理面板,支持快速拉取社区代码仓、提交 PR、自动化检视代码规范(如 License 头校验、代码格式检查),并实时同步社区任务状态。 - 4. 智能助手:支持自然语言生成代码片段、一键生成 API 文档及 Linux 命令解释,内置隐私保护模式(离线运行)。 +支持功能特性: -- 图形化界面与生产力工具升级 +- 支持 iSulad 容器引擎对接 Kuasar 机密容器运行时,兼容 Kubernetes 云原生生态。 +- 支持基于 virtCCA 的机密硬件,允许用户在鲲鹏 virtCCA 可信执行环境中部署机密容器。 +- 支持secGear 远程证明统一框架,遵循RFC9334 RATS标准架构,允许在机密计算环境中运行的容器向外部的受信任服务证明其可信性。 +- 支持在机密容器内部拉取并解密容器镜像,保护容器镜像的机密性和完整性。 - 1. 导航栏与工作区优化:新增智能导航栏,动态聚合开发工具、系统管理及常用应用的快捷入口,支持自定义工作区布局。 - 2. 桌面增强工具:预装 Thunderbird 邮件客户端,提升办公效率。 +## .NET Framework应用原生开发能力 -- 南向兼容性与硬件支持增强 +Mono 是一套跨平台的兼容于微软 .NET Framework 的完整开发工具和运行时环境,让开发者能够使用 C# 语言和.NET Framework 框架的类库;.NET 是一套跨平台开源开发人员平台,用于构建多种应用程序,它提供了一个统一的生态系统,包含了编程语言、运行时环境、庞大的代码库和丰富的开发工具。openEuler提供了.NET Framework、Mono以及.NET应用原生开发的能力。 - 1. 笔记本友好适配:全面支持主流笔记本硬件(触摸板、Wi-Fi 6 芯片组及蓝牙外设管理,多架构与驱动覆盖),提升AI训练与渲染性能。 - 2. devstation树莓派镜像发布:新增 DevStation 树莓派专用镜像,默认集成轻量化桌面环境及 IoT 开发工具链(如 VScodium、oedevplugin),针对 ARM 架构优化 Python 科学计算库(NumPy/Pandas)性能。 +- openEuler支持monoDevelop及依赖组件:monoDevelop是一款面向.NET开发者的强大的、开源的集成开发环境,通过配置Mono运行时,支持.NET Framework 应用在openEuler上开发调试、代码管理、编译构建、集成测试等。 +- monoDevelop支持一键快速部署:借助oeDeploy快速部署平台,开发者可在该平台上一键部署和卸载monoDevelop。 +- openEuler支持.NET SDK及其依赖组件:适配并引入.NET SDK及其依赖组件到openEuler,目前最高支持到.NET 9,可在openEuler上基于.NET SDK开发.NET应用。 +- .NET SDK支持一键快速部署:借助oeDeploy快速部署平台,开发者可在该平台上一键部署和卸载.NET SDK。 -## oeDeploy部署能力增强 +## 支持树莓派 -oeDeploy是一款轻量级的软件部署工具,旨在帮助开发者快速、高效地完成各类软件环境部署,对单节点与分布式场景均可适配。 +作为开源硬件领域的一个较为高阶的硬件产品,树莓派 4B 和树莓派 5 支持 Raspberry Pi OS、Ubuntu、openEuler 等多种 Linux 发行版,外设丰富,具有较强的视频编解码能力,以及板载网络等功能,完全可以作为独立计算机系统使用。 -**功能描述** +树莓派 4B 和树莓派 5 凭借其强大的性能和丰富的扩展能力,广泛应用于多个领域: -- 多场景支持:支持单节点与集群环境的软件应用一键部署,用自动化脚本代替手动操作,大幅降低部署时长。 -- 主流软件一键部署:支持主流软件的典型部署方案,开发团队将持续引入其它主流插件,不断拓展oeDeploy的部署能力范围。 -- 灵活的插件化管理:oeDeploy提供可扩展的插件架构,开发者可基于实际需求,快速开发自定义部署插件,匹配自身业务特性。 -- 高效开发体验:oeDeploy已支持命令行工具,并即将上线可视化工具与插件商店;开发者仅需关注步骤编排与核心功能开发,用更少的代码,实现更高效的软件部署。 +1. 教育与学习:学习 Python 等编程语言、借助外设接口进行电子实验; +2. 多媒体与娱乐:作为媒体中心或游戏机; +3. 物联网和智能家居:作为传感器节点或智能家居中枢,用于环境监测、家庭自动化控制和边缘计算; +4. 服务器与网络应用:用于家庭服务器、轻量级 Web 服务及容器化应用; +5. 创客与 DIY 项目:用于机器人控制、3D 打印管理和无人机飞控; +6. 科研与开发:用于 AI 实验、嵌入式开发原型验证; +7. 工业与自动化:实现设备监控、人机界面和机器视觉。 -- Gitee