開放原子開源基金會：面向數字基礎設施的操作系統openEulerLTS2403技術白皮書（45頁）.pdf

1、技術白皮書openEuler 24.03 LTSCONTENTS場景創新運行環境特性增強云化基座內核創新平臺架構 商標附錄著作權說明概述0141424315182004071001openEuler 24.03 LTS 技術白皮書概述概述02openEuler 24.03 LTS 技術白皮書概述OpenAtom openEuler（簡稱“openEuler”）社區是一個面向數字基礎設施操作系統的開源社區。由開放原子開源基金會（以下簡稱“基金會”）孵化及運營。openEuler 是一個面向數字基礎設施的操作系統，支持服務器、云計算、邊緣計算、嵌入式等應用場景，支持多樣性計算，致力于提供安全、穩定

2、、易用的操作系統。通過為應用提供確定性保障能力，支持 OT 領域應用及 OT 與 ICT 的融合。openEuler 社區通過開放的社區形式與全球的開發者共同構建一個開放、多元和架構包容的軟件生態體系，孵化支持多種處理器架構、覆蓋數字基礎設施全場景，推動企業數字基礎設施軟硬件、應用生態繁榮發展。2019 年 12 月 31 日，面向多樣性計算的操作系統開源社區 openEuler 正式成立。2020 年 3 月 30 日，openEuler 20.03 LTS（Long Term Support，簡寫為 LTS，中文為長生命周期支持）版本正式發布，為 Linux 世界帶來一個全新的具備獨立技術

3、演進能力的 Linux 發行版。2020 年 9 月 30 日，首個 openEuler 20.09 創新版發布，該版本是 openEuler 社區中的多個企業、團隊、獨立開發者協同開發的成果，在 openEuler 社區的發展進程中具有里程碑式的意義，也是中國開源歷史上的標志性事件。2021 年 3 月 31 日，發布 openEuler 21.03 內核創新版，該版本將內核升級到 5.10,并在內核方向實現內核熱升級、內存分級擴展等多個創新特性，加速提升多核性能，構筑千核運算能力。2021年 9 月 30 日，全新openEuler 21.09創新版如期而至，這是openEuler全新發布

4、后的第一個社區版本，實現了全場景支持。增強服務器和云計算的特性，發布面向云原生的業務混部 CPU 調度算法、容器化操作系統 KubeOS 等關鍵技術；同時發布邊緣和嵌入式版本。2022 年 3 月 30 日，基于統一的 5.10 內核，發布面向服務器、云計算、邊緣計算、嵌入式的全場景 openEuler 22.03 LTS 版本，聚焦算力釋放，持續提升資源利用率，打造全場景協同的數字基礎設施操作系統。2022 年 9 月 30 日，發布 openEuler 22.09 創新版本，持續補齊全場景的支持。2022 年 12 月 30 日，發布 openEuler 22.03 LTS SP1 版本，

5、打造最佳遷移工具實現業務無感遷移，性能持續領先。2023 年 3 月 30 日，發布 openEuler 23.03 內核創新版本，采用 Linux Kernel 6.1 內核，為未來 openEuler 長生命周期版本采用 6.x 內核提前進行技術探索，方便開發者進行硬件適配、基礎技術創新及上層應用創新。2023 年 6 月 30 日，發布 openEuler 22.03 LTS SP2 版本，場景化競爭力特性增強，性能持續提升。2023年9月30日，發布openEuler 23.09 創新版本，是基于6.4內核的創新版本（參見版本生命周期），提供更多新特性和功能，給開發者和用戶帶來全新的體

6、驗，服務更多的領域和更多的用戶。2023 年 11 月 30 日，發布 openEuler 20.03 LTS SP4 版本，其作為 20.03 LTS 版本的增強擴展版本，面向服務器、云原生、邊緣計算場景，提供更多新特性和功能增強。2023 年 12 月 30 日，發布 openEuler 22.03 LTS SP3 版本，是 22.03 LTS 版本增強擴展版本，面向服務器、云原生、邊緣計算和嵌入式場景，持續提供更多新特性和功能擴展，給開發者和用戶帶來全新的體驗，服務更多的領域和更多的用戶。2024 年 5 月 30 日，發布 openEuler 24.03 LTS，基于 6.6 內核的長

7、周期 LTS 版本（參見版本生命周期），面向服務器、云、邊緣計算、AI 和嵌入式場景，提供更多新特性和功能，給開發者和用戶帶來全新的體驗，服務更多的領域和更多的用戶。openEuler 版本管理03openEuler 24.03 LTS 技術白皮書概述openEuler 作為一個操作系統發行版平臺，每兩年推出一個 LTS 版本。該版本為企業級用戶提供一個安全穩定可靠的操作系統。openEuler 也是一個技術孵化器。通過每半年 發布一個創新版，快速集成 openEuler 以及其他社區的最新技術成果，將社區驗證成熟的特性逐步回合到發行版中。這些新特性以單個開源項目的方式存在于社區，方便開發者獲

8、得源代碼，也方便其他開源社區使用。社區中的最新技術成果持續合入社區發行版，社區發行版通過用戶反饋反哺技術，激發社區創新活力，從而不斷孵化新技術。發行版平臺和技術孵化器互相促進、互相推動、牽引版本持續演進。openEuler 已支持 x86、Arm、SW64、RISC-V、LoongArch 多處理器架構，逐步擴展 PowerPC 等更多芯片架構支持，持續完善多樣性算力生態體驗。openEuler 社區面向場景化的 SIG 不斷組建，推動 openEuler 應用邊界從最初的服務器場景，逐步拓展到云計算、邊緣計算、嵌入式等更多場景。openEuler 正成為覆蓋數字基礎設施全場景的操作系統，新增

9、發布面向邊緣計算的版本 openEuler Edge、面向嵌入式的版本 openEuler Embedded。openEuler 希望與廣大生態伙伴、用戶、開發者一起，通過聯合創新、社區共建，不斷增強場景化能力，最終實現統一操作系統支持多設備，應用一次開發覆蓋全場景。openEuler 覆蓋全場景的創新平臺服務器云計算邊緣嵌入式基礎公共服務服務器開源操作系統的構建過程，也是供應鏈聚合優化的過程。擁有可靠開源軟件供應鏈，是大規模商用操作系統的基礎。openEuler從用戶場景出發，回溯梳理相應的軟件依賴關系，理清所有軟件包的上游社區地址、源碼和上游對應驗證。完成構建驗證、分發、實現生命周期管理。

10、開源軟件的構建、運行依賴關系、上游社區，三者之前形成閉環且完整透明的軟件供應鏈管理。openEuler 開放透明的開源軟件供應鏈管理平臺架構04openEuler 24.03 LTS 技術白皮書平臺架構平臺架構05openEuler 24.03 LTS 技術白皮書openEuler是覆蓋全場景的創新平臺，在引領內核創新，夯實云化基座的基礎上，面向計算架構互聯總線、存儲介質發展新趨勢，創新分布式、實時加速引擎和基礎服務，結合邊緣、嵌入式領域競爭力探索，打造全場景協同的面向數字基礎設施的開源操作系統。openEuler 24.03 LTS 發布面向服務器、云原生、邊緣和嵌入式場景的全場景操作系統版

11、本，統一基于 Linux Kernel 6.6 構建，對外接口遵循POSIX標準，具備天然協同基礎。同時openEuler 24.03 LTS版本集成分布式軟總線、KubeEdge+邊云協同框架等能力，進一步提升數字基礎設施協同能力，構建萬物互聯的基礎。面向未來，社區將持續創新、社區共建、繁榮生態，夯實數字基座。夯實云化基座 容器操作系統 KubeOS：云原生場景，實現 OS 容器化部署、運維，提供與業務容器一致的基于 K8S 的管理體驗。安全容器方案：iSulad+shimv2+StratoVirt 安全容器方案，相比傳統 Docker+QEMU 方案，底噪和啟動時間優化 40%。雙平面部署

12、工具 eggo：Arm/x86 雙平面混合集群 OS 高效一鍵式安裝，百節點部署時間 15min。新場景 邊緣計算：發布面向邊緣計算場景的版本 openEuler 24.03 LTS Edge，支持 KubeEdge+邊云協同框架，具備邊云應用統一管理和發放等基礎能力。嵌入式：發布面向嵌入式領域的版本 openEuler 24.03 LTS Embedded，鏡像大小 5M，啟動時間 shim-grub-內核（EFI 加載前進行簽名校驗）；運行階段（模塊加載）：內核-內核模塊（模塊插入時進行簽名校驗）；運行階段（文件訪問）：內核-文件（應用程序執行或普通文件訪問時進行簽名校驗）；運行階段（軟件

13、包安裝）：包管理組件-RPM 軟件包（軟件包安裝時進行簽名校驗）。為支持“開箱即用”的安全啟動能力，核心是在 openEuler 社區建立以 PKI 為基礎的軟件構建簽名體系，在軟件構建階段，自動為目標文件添加數字簽名，并在關鍵組件中預置公鑰證書，從而在用戶安裝 openEuler 鏡像后，可以直接開啟相關的簽名校驗機制，提升系統安全性。openEuler Signatrust 是社區基礎設施 SIG 組針對操作系統常見的簽名場景推出的高效、便捷、安全的簽名服務，可支持 openPGP 及 X509 體系的密鑰管理，同時對接了 EFI、RPM、KO、ISO 等多種目標文件格式，支持大批量的軟件

14、包簽名，可極大提升社區密鑰管理及軟件包簽名效率。openEuler 24.03 LTS 版本的構建簽名機制如下：功能描述CRI V1.29 特性可用于 Kubernetes 1.29 版本對接 iSulad 的場景，用戶可以通過 iSulad 的 enable-cri-v1 選項配置該特性。iSulad的cgroup v2特性可用于支持cgroup v2內核，只有內核打開了cgroup v2的特性，iSulad對cgroup v2的支持才會生效。iSulad 的 CDI 特性可用于支持兼容 CDI 規范的設備。用戶在通過 CRI 創建容器時可以指定符合 CDI 規范的設備名稱，iSulad在創

15、建容器時會將 CDI 描述文件中的設備正確掛載至容器內。應用場景特性增強27openEuler 24.03 LTS 技術白皮書 高可用針對 MGR 進行了大量改進和提升工作，新增支持地理標簽、仲裁節點、讀寫節點可綁定動態 IP、快速單主模式、智能選主，并針對流控算法、事務認證隊列清理算法、節點加入&退出機制、recovery 機制等多項 MGR 底層工作機制算法進行深度優化，進一步提升優化了 MGR 的高可用保障及性能穩定性。-支持地理標簽特性，提升多機房架構數據可靠性。-支持仲裁節點特性，用更低的服務器成本實現更高可用。功能描述用戶可開啟對應的安全機制，如安全啟動、內核模塊校驗、IMA 等，

16、開啟后可使能簽名校驗功能。應用場景1.openEuler 簽名平臺生成并管理簽名公私鑰和證書，同時通過 Signatrust 提供簽名服務；2.EulerMaker 構建系統在執行軟件包構建階段，調用 Signatrust 簽名接口為目標文件執行添加數字簽名；3.具備簽名驗證功能的組件（如 shim、kernel 等），在構建階段預置相應的驗簽證書；4.用戶安裝 openEuler 鏡像后，開啟安全啟動、內核模塊校驗、IMA、RPM 校驗等按機制，在系統啟動和運行階段使能相應的簽名驗證功能，保障系統組件的真實性和完整性。openEuler 簽名根證書可在證書中心獲?。篽ttps:/www.op

17、eneuler.org/zh/security/certificate-center/約束限制 當前社區簽名平臺只支持對 openEuler 社區內部構建的組件進行簽名，暫不支持對外部工程構建的文件及客戶文件進行簽名。當前簽名平臺提供的簽名算法只支持國際 RSA 算法，密鑰長度為 4096。openEuler 24.03 LTS 版本已默認集成如下簽名：文件類型文件格式簽名格式EFI 文件EFI Imageauthenticode內核模塊文件Kernel ModuleCMSIMA 摘要列表文件BinaryCMSRPM 軟件包文件RPM PackageopenPGPGreatSQL 數據庫Gre

18、atSQL 數據庫是一款開源免費數據庫，可在普通硬件上滿足金融級應用場景，具有高可用、高性能、高兼容、高安全等特性，可作為 MySQL 或 Percona Server for MySQL 的理想可選替換。特性增強28openEuler 24.03 LTS 技術白皮書GreatSQL 數據庫常見的應用場景包括金融級高可用、高并發交易系統、Oracle 兼容遷移、高安全等級需求場景。應用場景-支持讀寫節點動態 VIP 特性，高可用切換更便捷。-支持快速單主模式，在單主模式下更快，性能更高。-支持智能選主特性，高可用切換選主機制更合理。-采用全新流控算法，使得事務更平穩，避免劇烈抖動。-優化了節點

19、加入、退出時可能導致性能劇烈抖動的問題。-優化事務認證隊列清理算法，高負載下不復存在每 60 秒性能抖動問題。-解決了個別節點上磁盤空間爆滿時導致 MGR 集群整體被阻塞的問題。-解決了長事務造成無法選主的問題。-修復了 recovery 過程中長時間等待的問題。更多信息詳見文檔：高可用。高性能相對 MySQL 及 Percona Server For MySQL 的性能表現更穩定優異，支持高性能的內存查詢加速 AP 引擎、InnoDB 并行查詢、并行 LOAD DATA、事務無鎖化、線程池等特性，在 TPC-C 測試中相對 MySQL 性能提升超過 30%，在 TPC-H 測試中的性能表現是

20、 MySQL 的十幾倍甚至上百倍。-支持類似MySQL HeatWave的大規模并行、高性能的內存查詢加速AP引擎，可將GreatSQL的數據分析性能提升幾個數量級。-支持 InnoDB 并行查詢，適用于輕量級 OLAP 應用場景，在 TPC-H 測試中平均提升 15 倍，最高提升 40+倍。-優化 InnoDB 事務系統，實現了大鎖拆分及無鎖化等多種優化方案，OLTP 場景整體性能提升約 20%。-支持并行 LOAD DATA，適用于頻繁導入大批量數據的應用場景，性能可提升約 20+倍。-支持線程池(Threadpool)，降低了線程創建和銷毀的代價，保證高并發下，性能穩定不會明顯衰退。更多

21、信息詳見文檔：高性能。高兼容支持大多數常見 Oracle 用法，包括數據類型、函數、SQL 語法、存儲程序等兼容性用法。更多信息詳見文檔：高兼容。高安全支持邏輯備份加密、CLONE 備份加密、審計日志入表、表空間國密加密等多個安全提升特性，進一步保障業務數據安全，更適用于金融級應用場景。更多信息詳見文檔：高安全。倉庫地址https:/ 24.03 LTS 技術白皮書AO.space 項目發布AO.space 是一個以保護個人數據安全和隱私為核心的解決方案。通過端對端加密、基于設備認證等技術，確保用戶完全掌控個人賬號和數據。同時，采用平臺透明轉發、點對點加速、局域網直連等技術，讓用戶隨時隨地的極

22、速訪問個人數據。利用 PWA和云原生技術，設計并打造前后端一體的應用生態。AO.space 系統由三個主要部分構成：服務端、客戶端和平臺端。服務端為個人空間的核心，部署于個人長期運行的并且聯網的設備中，如個人服務器、個人計算機等?？蛻舳藶閭€人日常使用的電子設備，如手機、平板、個人電腦等，目前 AO.space 提供 Web、iOS 和 Android 等客戶端。平臺端在無法解析用戶數據的前提下，為個人空間提供基礎網絡訪問、安全防護等服務。服務端：服務端是 AO.space 的核心部分，一般部署在個人設備中，由空間軟件、空間服務、容器運行時、基礎操作系統（openEuler 等操作系統）和硬件組

23、成。在基礎操作系統之上，以容器方式部署空間的服務和應用，包括以下模塊：-Web 服務（Nginx）：服務端的入口服務。-代理（Agent）：既是空間基礎服務的管理者，也是服務端、客戶端與平臺端之間溝通的橋梁，適應操作系統。-網關（Gateway）：負責 API 的路由、轉發、端到端加密和解密、認證以及整體空間應用層請求的授權。-AOFS：提供空間文件的存儲和管理功能。它是一個虛擬文件系統，結合了對象存儲和文件存儲方法。-預覽（Preview）：負責為空間文件生成預覽圖。-容器管理器（ContainerMgr）：用于與底層容器服務進行通信。-SQL 數據庫實例（Postgresql）：為空間內的

24、關系型數據庫提供數據存儲和管理。-NoSQL 數據庫實例（Redis）：為空間內的非關系型數據庫提供數據存儲和管理，以及消息功能。-網絡客戶端（Network client）：與平臺端的網絡轉發服務建立安全通信通道，保證客戶端與服務端在不同網絡情況下的穩定通信。它還用于與客戶端建立點對點（P2P）連接。-空間應用：空間支持前端應用、后端應用和前后端混合應用三種類型，用于擴展空間功能。這些官方或第三方應用程序可以通過空間域名訪問，例如 Card/CalDAV 服務。功能描述特性增強30openEuler 24.03 LTS 技術白皮書在數字世界的快速發展中，AO.space 在個人自主數字身份、

25、邊緣計算、數據隱私保護、可信數據存儲、個人 AI 助手等方面嘗鮮設計和實踐，促進個人數字生態的可持續發展。應用場景 客戶端：客戶端是整個系統的前端，負責用戶在不同的個人設備上與空間的交互，使用戶能夠隨時隨地訪問空間的所有功能。目前提供 Web、iOS 和 Android 客戶端，提供以下關鍵模塊：-端到端加密通道-空間綁定-文件-設備-家庭-空間應用-安全 平臺端：平臺提供基本網絡資源和相關管理能力。它包括以下組件：-入口網關（Endpoint）：負責處理和分配空間生態系統內的整體流量。-基礎服務（BaseService）：提供空間設備注冊服務，同時協調和管理平臺網絡資源（域名、轉發代理等）。

26、-網絡轉發服務（Transit server）：提供網絡流量轉發服務，使用戶能夠在大多數情況安全的通過互聯網網絡訪問在辦公室或家庭網絡中的空間服務端。特性增強31openEuler 24.03 LTS 技術白皮書在金融、電信、能源等關鍵行業，涉及大量存量硬件設備（AMD64 等架構）中操作系統的國產化替代，需要將原存量 操作系統中的應用軟件、系統組件遷移至 openEuler 操作系統中時，都可以使用 Migration-tools 進行遷移。Migration-tools 增強Migration-tools 是由統信軟件開發的一款操作系統遷移軟件，面向已部署業務應用于其他操作系統且具有國產化

27、替換需求的用戶，幫助其快速、平滑、穩定且安全地遷移至 openEuler 系操作系統?，F已支持在 web 端遷移 openEuler 操作系統。遷移軟件的系統架構分為：Server 模塊、Agent 模塊、配置模塊、日志模塊、遷移評估模塊、遷移功能模塊。Server 模塊：Server 模塊為遷移的軟件的核心，采用 pythonflaskweb 框架研發，負責接收任務請求，同時處理相關 執行指令并分發至各 Agent。Agent 模塊：Agent 模塊安裝在待遷移的操作系統中，負責接收 Server 發出的任務請求，執行遷移等功能。配置模塊：為 Server 模塊和 Agent 模塊提供配置文

28、件的讀取功能。日志模塊：提供遷移的全部運行過程記錄日志。遷移評估模塊：提供遷移前的基礎環境檢測、軟件包對比分析、ABI 兼容性檢測等評估報告，為用戶的遷移工作提供依據。遷移功能模塊：提供一鍵遷移、遷移進度展示、遷移結果判斷等功能。功能描述應用場景特性增強32openEuler 24.03 LTS 技術白皮書DDE 組件更新支持服務器場景統信桌面環境（DDE）是統信軟件為統信操作系統（UniontechOS）開發的一款桌面環境，統信桌面操作系統、統信操作系統服務器版和統信操作系統專用設備版均在使用統信桌面環境統信桌面環境專注打磨產品交互、視覺設計，擁有桌面環境的核心技術，主要功能包含：登錄鎖屏、

29、桌面及文件管理器、啟動器、任務欄（DOCK）、窗口管理器、控制中心等。由于界面美觀、交互優雅、安全可靠、尊重隱私，一直是用戶首選桌面環境之一，用戶可以使用它進行辦公與娛樂，在工作中發揮創意和提高效率，和親朋好友保持聯系，輕松瀏覽網頁、享受影音播放。統信桌面環境的核心技術是擁有統一界面元素設計、講究細節交互設計的 DTK 框架及 Qt、GTK+等三方圖形庫。顯示服務、輸入管理、資源管理較為底層，一般是基于 golang 開發的后端服務，為上層 GUI 程序提供桌面環境中所需功能接口，如創建用戶、設置屏幕亮度、設置設備音量、管理網絡連接等功能。顯示管理、桌面接口、桌面服務屬于 shell 層，一般

30、是基于 DBus 接口協議 與后端服務進行通信，為定義用戶界面、交 互操作提供支撐，如登錄界面、窗口外觀、GUI 應用程序控件等。功能描述桌面功能屬于應用層，一般是面向用戶可操作的功能界面，比如啟動器、任務欄（DOCK）等。應用場景特性增強33openEuler 24.03 LTS 技術白皮書kiran-desktop 2.6 版本Kiran 是一款麒麟信安自研桌面環境產品，包含登錄鎖屏、開始菜單、控制中心等多種自研組件，采用模塊化的設計風格，致力于提供界面友好、簡單易用的人性化用戶操作界面。該版本支持在 openEuler 中使用 Kiran2.6。Kiran 提供了操作系統的用戶界面，包括

31、了用戶登錄、桌面圖標、控制面板、系統面板、文件管理器、桌面應用等功能。用戶登錄：Kiran 提供用戶名和密碼登錄功能，在輸入框輸入用戶名-回車-輸入密碼后回車進行登錄。同時 Kiran 還具備多因子登錄認證功能，用戶可選擇認證的類型有指紋、指靜脈、Ukey、虹膜和人臉，在控制面板-認證管理可錄入信息，并配置是否啟用。桌面圖標：登錄系統后，桌面圖標說明如下。1)計算機：雙擊可以顯示從本計算機訪問的所有本地和遠程磁盤和文件夾。2)主文件夾：雙擊可以顯示用戶家目錄下的內容。3)回收站：存放已刪除的文件。系統面板：系統面板位于桌面下方區域，包括了任務欄、托盤區域和日期與時間。任務欄用于查看系統啟動應用

32、，默認放置開始菜單、文件管理器、Firefox 瀏覽器、工作區，也可通過鼠標右鍵點擊應用，選擇固定到任務欄添加其他應用到任務欄，可以進行應用程序打開、關閉、放大、最小化等操作。托盤區域可以設置輸入法、調節音量、設置網絡，托盤區域右邊顯示日期和時間?？刂泼姘澹嚎刂泼姘迨?Kiran 中提供的一個高度集成的圖形化配置環境，幾乎包含所有的配置和管理工具，包括桌面定制、系統配置管理工具以及網絡服務配置工具等。它主要包括以下功能：1)執行系統配置和管理任務。2)運行網絡服務配置。3)定制具有個人特色的桌面環境。文件管理器：文件管理器是Kiran中提供的一款文件和目錄管理工具，用戶可通過文件管理器對系統中

33、的文件與目錄進行新增、編輯、復制、移動、刪除、打開、剪切、重命名等操作。功能描述Kiran 提供了操作系統的用戶界面，包括了用戶登錄、桌面圖標、控制面板、系統面板、文件管理器、桌面應用等功能。Firefox 瀏覽器：是一個自由及開放源代碼網頁瀏覽器，使用 Gecko 排版引擎，支持多種操作系統。它體積小速度快，還有其他一些高級特征，主要特性有：標簽式瀏覽、使用網上沖浪更快、可以禁止彈出式窗口、自定制工具欄、擴展管理、更好的搜索特性、快速而方便的側欄。終端：終端是操作系統使用系統命令操作的媒介，通過在終端窗口鍵入系統命令實現與系統交互。計算器：是一款快捷而簡易的計算器，為用戶提供加、減、乘、除等

34、基本的數學計算。除了標準模式外，還提供了科學計算和程序員計算功能。文本編輯器：是一款快速記錄文字的文檔編輯工具，用于查看和修改純文本文件。應用場景特性增強34openEuler 24.03 LTS 技術白皮書 控制面板：進行系統的基本設置如日期與時間、個性化設置、設備管理等。開始菜單：管理系統中已安裝的所有應用?？稍谀J和全屏尺寸兩者之間切換，支持漢字、英文、拼音或首字母等多種檢索方式。任務欄：支持深淺雙色主題和毛玻璃效果，支持文件、文件夾、終端、網頁、圖片等窗口的實時預覽。側邊欄：側邊欄一分為二，上半部分專管通知，下半部分提供了諸如截圖、系統設置等快捷按鈕。文件管理器：支持多標簽頁顯示，將文

35、件管理器的搜索欄和地址欄合二為一，重構的搜索功能，可以更加快速精準的搜索所需要的文件。OpenStack 提供了一系列的服務和工具，用于構建和管理公共云、私有云和混合云。其主要功能包括：計算服務：提供虛擬機的創建、管理和監控等功能。它允許用戶快速創建、部署和銷毀虛擬機和容器實例，從而實現對計算資源的靈活管理和高效利用。存儲服務：提供對象存儲、塊存儲和文件存儲等多種存儲服務。塊存儲服務（如 Cinder）允許用戶動態分配和管理持久性塊功能描述功能描述 磁盤：是一款可查看、修改和配置磁盤與媒體的工具，可以通過該工具創建和恢復磁盤映像，也可對磁盤進行分區和格式化操作，幫助手冊：Kiran 提供了幫助

36、手冊用于介紹系統中的桌面和常用應用功能，截圖工具：是麒麟信安服務器操作系統自帶的一款小巧靈活的屏幕捕捉軟件，操作界面簡潔、使用極為方便。UKUI 支持OpenStack Wallaby、Antelope 多版本UKUI 是由麒麟團隊開發的基于 Linux 發行版的輕量級桌面環境，將視覺和交互舒適自然的結合在一起，全面兼容 x86、Arm64 等多種主流架構，擁有更美觀的 UI 界面、更友好的一致性交互體驗，提供 4K 支持、夜間模式、任務欄預覽等多種功能。OpenStack 是一個開源的云計算管理平臺項目，旨在提供一個可擴展的、靈活的云計算服務，支持私有云和公有云環境。UKUI 桌面為用戶提供

37、了簡單高效的桌面圖形環境。應用場景特性增強35openEuler 24.03 LTS 技術白皮書存儲設備，如虛擬機硬盤。對象存儲服務（如 Swift）則提供了可擴展的、分布式的對象存儲解決方案，用于存儲大量非結構化數據。網絡服務：提供虛擬網絡的創建、管理和監控等功能，包括網絡拓撲規劃、子網管理、安全組配置等，這使得用戶能夠輕松構建復雜的網絡結構，并確保網絡的安全性和可靠性。身份認證服務：提供用戶、角色和權限等身份管理功能，管理用戶、角色和權限的訪問控制。這使得用戶能夠安全地訪問和管理云資源，并確保數據的機密性和完整性。鏡像服務：提供虛擬機鏡像的創建、管理和共享等功能，包括創建、上傳、下載和刪除

38、鏡像。這使得用戶能夠輕松地創建和管理虛擬機鏡像，并快速部署新的虛擬機實例。編排服務：提供自動化部署和管理應用程序的功能，支持多個服務之間的協作和集成。通過編排服務（如 Heat），用戶可以定義應用程序的部署模板，并自動執行相關的部署和管理任務。OpenStack 的應用場景主要包括以下幾種情況：私有云：擁有私有云環境的企業可以根據自身的需求和 IT 資源的現狀，選擇 OpenStack 部署在自己的數據中心或云環境中。這可以實現資源集中管理、自動化部署和彈性擴展等功能，同時 OpenStack 還可以為企業提供強大的安全保障措施，如訪問控制、數據加密和審計日志等。公有云：OpenStack 也

39、可以為公有云提供資源池，解決多租戶云環境中不同用戶之間的性能和隔離問題。在這種場景下，OpenStack可以為公有云提供彈性計算、容器、網絡和存儲等基礎設施服務，幫助公有云提供商實現資源集中管理和高可用性?；旌显疲篛penStack 還可以為混合云提供一套完整的解決方案?；旌显剖侵笇⑺接性坪凸性葡嗷ソY合，以在云計算中獲得更靈活、高效和安全的服務?；旌显瓶梢栽谒接性坪凸性浦g實現數據和應用的遷移、備份和恢復等操作。大規模虛擬機管理：OpenStack 可以規劃并管理大量虛擬機，從而允許企業或服務提供商按需提供計算資源。應用場景特性增強36openEuler 24.03 LTS 技術白皮書功能

40、描述RISC-V 架構 Penglai TEE 支持蓬萊TEE補丁為RISC-V OpenEuler 操作系統提供了可信執行環境（TEE）的支持，利用RISC-V架構下的硬件安全機制（例如：Physical Memory Protection），使能高安全性要求的應用場景：如安全通信、密鑰保護、代碼鑒權等。蓬萊 TEE 系統的主要組件包括開發工具 SDK、安全監控器（Secure monitor）、Enclave 實例以及 PMP 硬件擴展支持。安全監控器作為蓬萊 TEE 的核心，管理 Enclave 實例的生命周期和資源分配。Enclave 實例運行在用戶態(U-mode)，其內存受到PMP

41、 的保護。約束限制：當前蓬萊應用只支持 C 或者 C+代碼。對于 syscall 的支持依賴 secGear 中對 POSIX 接口的轉發功能。蓬萊系統實現需要 RISC-V 硬件支持 PMP 機制。在資源受限的場景下，蓬萊 TEE 補丁當前能夠同時支持 14 個 Enclave 實例，但具體數量可能受限于硬件資源，未來會擴展支持更多實例。當前蓬萊 Enclave 默認使用 4MB 大小的安全內存，可以在蓬萊 Enclave Driver 中修改。當前引入的蓬萊 TEE SDK 不包括 secGear 的代碼，但用戶可以參考 secGear 開發框架，自行下載與編譯。安全通信：在需要加密通信和

42、數據保護的場合，如金融服務和軍事通信，蓬萊 TEE 可以提供安全的加解密、簽名驗簽以及哈希算法支持。安全啟動與鑒權：在設備啟動和遠程訪問控制中，蓬萊補丁可以提供安全的啟動流程和鑒權機制，防止未授權的訪問和篡改。數據加密處理：對于需要在加密環境下處理的數據，如個人隱私信息、企業敏感數據等，蓬萊TEE提供了一個安全的執行環境。物聯網設備：在物聯網領域，蓬萊 TEE 的輕量級特性使其適合部署在資源受限的設備上，提供必要的安全保護。應用場景特性增強37openEuler 24.03 LTS 技術白皮書功能描述RISC-V 架構內核熱補丁能力RISC-V熱補丁特性，是openEuler既有（x86-64

43、/aarch64）內核熱補丁機制、代碼和制作工具，在RISC-V架構上的移植，功能、應用場景、約束等相同。內核或應用程序不重啟的情況下打補丁，是操作系統在服務器領域重要的性能和安全保障手段。以函數為基本修復單位，制作熱補丁代碼模塊，在不重啟機器/應用情況下，利用指令替換方式，將缺陷函數替換為修復函數，實現熱補丁功能。主要包括內核熱補丁機制（kernel）、內核態熱補丁制作工具（kpatch）、用戶態熱補丁制作工具（libcareplus）、熱補丁服務管理工具（syscare）。約束限制：同 syscare、kpatch 等，主要包含以下幾點。僅支持 64 位系統。僅支持 ELF 格式。主要支持

44、 C 語言。有限支持修改全局/靜態變量。不支持多個文件、符號均同名。不可間斷服務器內核缺陷熱修復 不可間斷應用服務缺陷熱修復 操作系統發行廠商熱補丁服務應用場景特性增強38openEuler 24.03 LTS 技術白皮書內核安全增強補丁 HAOCHAOC(Hardware-Assisted OS Compartmentalization)全稱硬件輔助的操作系統分治技術，旨在通過對操作系統內部結構進行安全增強，以提升內核的抗攻擊能力。HAOC 的核心技術是依據最小特權原則，對扁平化的 Linux 內核架構進行安全改造，形成核內再次分層的架構，即復式內核架構。復式內核架構基于現有處理器硬件機制在

45、特權級內部實現多層次的系統隔離，能夠有效阻止內核攻擊的橫向移動和權限提升能力。復式內核架構的最內層，即中樞核心層，是復式內核架構的可信計算基（Trusted Computing Base，TCB），其可以在不信任Linux 內核的前提下提供一個安全高效的隔離執行環境。中樞核心層不僅作為基礎提供其他層次之間的隔離能力，而且還可以保護Linux 核心內核中最安全敏感的資源，守住最后一道防線。當前版本的 HAOC 技術，基于 Arm 處理器機制打造了復式內核架構的中樞核心層，并利用其保護了 Linux 內核的頁表結構和進程憑證，可以有效緩解針對該類敏感資源的內核提權攻擊。在未來 HAOC 將持續集成

46、新功能，包括利用中樞核心層保護更多的敏感資源、構建復式內核高風險層實現設備驅動和內核擴展的安全管控、實現 x86 版本的復式內核架構等。HAOC 技術在 Linux 內核的地址空間內部構建了嚴格的隔離執行環境，即復式內核架構的中樞核心層。中樞核心基于 Arm 處理器 PAN 和 HPD 機制設計了訪存門和執行門，分別實現了中樞核心的內存訪問和代碼執行隔離。訪問中樞核心只允許通過安全門才可以：訪存門用來阻止外層內核對中樞核心內存的直接讀寫訪問，執行門用來阻止外層內核對中樞核心內敏感/特權指令的任意執行。安全門的設計不依賴外層內核的防護機制，其可以獨立確保安全門執行的原子性和確定性。中樞核心內部提

47、供了不依賴 Linux 內核的完整運行環境，具備獨立的堆棧和安全的中斷處理能力。當前中樞核心支持對內核頁表和進程憑證進行安全保護，攻擊者無法繞過安全門來修改這類敏感資源。為了進一步阻止潛在的混淆代理攻擊，即攻擊者濫用安全門接口非法使用敏感資源，中樞核心還對這類敏感資源的所有訪問接口進行了安全檢查。功能描述HAOC 特性可以從結構上提升 Linux 內核的抗攻擊能力。即使內核存在未知漏洞，HAOC 依然可以阻止攻擊者惡意篡改中樞核心內的敏感資源實現內核提權。應用場景特性增強39openEuler 24.03 LTS 技術白皮書GCC for openEulerGCC for openEuler基

48、線版本已經從GCC 10.3升級到GCC 12.3版本，支持自動反饋優化、軟硬件協同、內存優化、SVE向量化、矢量化數學庫等特性。1.GCC 版本升級到 12.3，默認語言標準從 C14/C+14 升級到 C17/C+17 標準，支持 Armv9-a 架構，x86 的 AVX512 FP16 等更多硬件架構特性。2.支持結構體優化，指令選擇優化等，充分使能 Arm 架構的硬件特性，運行效率高，在 SPEC CPU 2017 等基準測試中性能大幅優于上游社區的 GCC 10.3 版本。3.支持自動反饋優化特性，實現應用層 MySQL 數據庫等場景性能大幅提升。功能描述GCC 10.3.0GCC

49、11.3.0GCC 12.3.0發布時間2021/4/82022/4/212023/5/8C 標準默認 c17支持 c2x默認 c17支持 c2x默認 c17支持 c2xC+標準默認 c+14支持 c+17實驗性 C+2a 改進支持部分 C+20默認 c+17實驗性 C+2a 改進支持部分 C+20默認 c+17實驗性 C+2a 改進支持部分 C+20架構新特性armv8.6-a(bfloat16extension/MatrixMultiply extension)SVE2Cortex-A77Cortex-A76AECortex-A65Cortex-A65AECortex-A34armv8.6

50、-a,+bf16,+i8mmarmv8.6-rCortex-A78Cortex-A78AECortex-A78CCortex-X1armv8.7-a,+ls64 atomic load and storearmv8.8-a,+mop,accelerate memory operationsarmv9-aAmpere-1Cortex-A710Cortex-X2AVX512-FP16SSE2-FP16 支持 Arm 架構下 SVE 矢量化優化，在支持 SVE 指令的機器上啟用此優化后能夠提升程序運行的性能。支持內存布局優化，通過重新排布結構體成員的位置，使得頻繁訪問的結構體成員放置于連續的內存空間

51、上，提升 Cache 的命中率，提升程序運行的性能。支持冗余成員消除優化，消除結構體中從不讀取的結構體成員，同時刪除冗余的寫語句，縮小結構體占用內存大小，降低內存帶寬壓力，提升性能。支持數組比較優化，實現數組元素并行比較，提高執行效率。支持 Arm 架構下指令優化，增強 ccmp 指令適用場景，簡化指令流水。支持自動反饋優化，使用 perf 收集程序運行信息并解析，完成編譯階段和二進制階段反饋優化，提升 MySQL 數據庫等主流應用場景的性能。特性增強40openEuler 24.03 LTS 技術白皮書通用計算領域，運行 SPECCPU 2017 測試，相比于上游社區的 GCC 10.3 版

52、本可獲得 20%左右的性能收益。其他場景領域，使能自動反饋優化后，MySQL 性能提升 15%以上；使能內核反饋優化后，實現 Unixbench 性能提升 3%以上。應用場景特性增強41openEuler 24.03 LTS 技術白皮書openEuler 白皮書所載的所有材料或內容受版權法的保護，所有版權由 openEuler 社區擁有，但注明引用其他方的內容除外。未經 openEuler 社區或其他方事先書面許可，任何人不得將 openEuler 白皮書上的任何內容以任何方式進行復制、經銷、翻印、傳播、以超級鏈路連接或傳送、以鏡像法載入其他服務器上、存儲于信息檢索系統或者其他任何商業目的的使

53、用，但對于非商業目的的、用戶使用的下載或打?。l件是不得修改，且須保留該材料中的版權說明或其他所有權的說明）除外。著作權說明特性增強42openEuler 24.03 LTS 技術白皮書openEuler 白皮書上使用和顯示的所有商標、標志皆屬 openEuler 社區所有，但注明屬于其他方擁有的商標、標志、商號除外。未經 openEuler 社區或其他方書面許可，openEuler 白皮書所載的任何內容不應被視作以暗示、不反對或其他形式授予使用前述任何商標、標志的許可或權利。未經事先書面許可，任何人不得以任何方式使用 openEuler 社區的名稱及 openEuler 社區的商標、標記。商標特性增強43openEuler 24.03 LTS 技術白皮書附錄 1：搭建開發環境附錄 2：安全處理流程和安全批露信息環境準備地址下載安裝 openEulerhttps:/openeuler.org/en/download/開發環境準備https:/