、稳定、易用的操作系统。通过为应用提供确定 性保障能力，支持 OT 领域应用及 OT 与 ICT 的融合。 欧拉开源社区通过开放的社区形式与全球的开发者共同构建一个开放、多元和架构包容的软件生态体系，孵化支持多种 处理器架构、覆盖数字设施全场景，推动企业数字基础设施软硬件、应用生态繁荣发展。 2019 年 12 月 31 日，面向多样性计算的操作系统开源社区 openEuler 正式成立。 调度 内存管理 Cache QOS 网络 QOS 在线抢占 离线 Kill SMT 负载均衡 OOM 优先级内存回收 动态水线控制策略 Cache 干扰预测 Cache 租户隔离 流量标签化管理 租户宽带分配 openEuler 21.09 技术白皮书 15 功能描述 1. 全局管理器 OS-Controller，监控所有节点上的 OS 实例，收集所有节点 OS 信息，实现全局 安全容器方案 容器作为云计算广泛使用的技术，在简化应用封装，加快应用部署、减少环境依赖方面优势明显。容器可以直接访问 主机资源，容器间共享主机内核，存在容器逃逸等诸多安全问题，无法满足典型金融多租户安全隔离诉求。业界阿里和 Intel 主导 kata 开源项目，使用虚拟化隔离层容器形成安全容器方案，Google 推出 GVisor 安全沙箱，结合进程级虚拟 化隔离容器应用安全风险。 openEuler

致力于提供安全、稳定、易用的操作系统。通过为应用提供确定性保障能力，支持 OT 领域应用及 OT 与 ICT 的融合。 openEuler 社区通过开放的社区形式与全球的开发者共同构建一个开放、多元和架构包容的软件生态体系，孵化支持 多种处理器架构、覆盖数字基础设施全场景，推动企业数字基础设施软硬件、应用生态繁荣发展。 2019 年 12 月 31 日，面向多样性计算的操作系统开源社区 openEuler 正式成立。 行业应用 工控 机器人 电力 � 嵌入式虚拟化 Linux 5.10 内核 调度/内存/文件系统/... 分布式软总线 Linux 生态 硬实时应用 硬实时 实时内核 工具体系 统一构建系统 IDE DFX 体系 性能优化 调试 维测 SDKs 仿真 统一 元数据表达 构建 DSL 统一 执行引擎 混合部署框架 11 openEuler 22.03 LTS SP2 技术白皮书 频繁交互、大数据交互等典型场景下提升 REE-TEE 交互性能 10 倍 +。 本次版本新增支持远程证明，安全通道两个特性。 远程证明 机密计算厂商纷纷推出远程证明技术，可以让租户随时检测云上可信执行环境及应用的可信状态，彻底打消租户的顾虑。 远程证明是一种动态度量技术，可以对可信执行环境和运行在环境里的应用进行实时度量，生成证明报告，并使用预 置根密钥签名，防止证明报告被篡改或伪造。 secGear

、稳定、易用的操作系统。通过为应 用提供确定性保障能力，支持 OT 领域应用及 OT 与 ICT 的融合。 欧拉开源社区通过开放的社区形式与全球的开发者共同构建一个开放、多元和架构包容的软件生态体系，孵化支持多种 处理器架构、覆盖数字设施全场景，推动企业数字基础设施软硬件、应用生态繁荣发展。 2019 年 12 月 31 日，面向多样性计算的操作系统开源社区 openEuler 正式成立。 安全容器方案 容器作为云计算广泛使用的技术，在简化应用封装，加快应用部署、减少环境依赖方面优势明显。容器可以直接访问 主机资源，容器间共享主机内核，会存在容器逃逸等诸多安全问题，无法满足典型金融多租户安全隔离诉求。业界阿里和 Intel 主导的 kata 开源项目，使用虚拟化隔离层容器形成安全容器方案，Google 推出的 GVisor 安全沙箱，则结合进程级 虚拟化隔离容器应用安全风险。 调度 内存管理 Cache QoS 网络 QoS 在线抢占 离线 Kill SMT 负载均衡 OOM 优先级内存回收 动态水线控制策略 Cache 干扰预测 Cache 租户隔离 流量标签化管理 租户宽带分配 用户 仓库 K8s Node API-Master OS-Controllor Kubelet OS-proxy OS-agent 系统镜像 Portal K8s

技术白皮书 openEuler WHITE PAPER openEuler 是一个开源的 Linux 发行版平台。将通过开放的社区形式与全球的开发者共同构建一个开放、多元和架构包 容的软件生态体系。openEuler 旨在通过社区合作，打造创新平台，构建支持多种处理器架构、统一和开放的操作系统社区， 推动软硬件应用生态繁荣发展。 2019 年 12 月 31 日，一个面向多样性算力的操作系统开源社区 等新型虚拟 化架构或组件。具 备安全、轻量、高性能、低损耗、组件灵活拆分的特点。 StratoVirt 主要优势如下： • 强安全性：基于 Rust 实现语言级安全，模型设计上最小化攻击面， 实现多租户物理隔离。 • 轻量低噪：采用极简设备模型时，启动时间小于 50ms，内存底噪小于 4M，支持 Serverless 负载。 • 软硬协同：StratoVirt 支持 x86 的 VT，支持鲲鹏的 是基于硬件机密计算技术为开发者提供的一个应用开发框架，开发者基于 secGear 框架可以简化编写安全应 用的复杂度，提升开发效率。 secGear 支持 x86、Arm 等多种芯片架构，不同的体系架构下硬件机密计算技术的实现和编程接口是不一样的，通过 secGear 开发框架可以让开发者用在编写代码时获得一致的编程体验。 功能描述 • 提供 API 支持应用对机密计算生命周期的管理和对机密计算安全函数的调用。

致力于提供安全、稳定、易用的操作系统。通过为应用提供确定性保障能力，支持 OT 领域应用及 OT 与 ICT 的融合。 openEuler 社区通过开放的社区形式与全球的开发者共同构建一个开放、多元和架构包容的软件生态体系，孵化支持多种处 理器架构、覆盖数字基础设施全场景，推动企业数字基础设施软硬件、应用生态繁荣发展。 2019 年 12 月 31 日，面向多样性计算的操作系统开源社区 openEuler 正式成立。 PKI 为基础的软件构建签名体系，在软件构建阶段，自 动为目标文件添加数字签名，并在关键组件中预置公钥证书，从而在用户安装 openEuler 镜像后，可以直接开启相关的签名校验机 制，提升系统安全性。 openEuler Signatrust 是社区基础设施 SIG 组针对操作系统常见的签名场景推出的高效、便捷、安全的签名服务，可支持 openPGP 及 X509 体系的密钥管理，同时对接了 这可以实现资源集中管理、自动化部署和弹性扩展等功能，同时 OpenStack 还可以为企业提供强大的安全保障措施，如访问 控制、数据加密和审计日志等。 • 公有云：OpenStack 也可以为公有云提供资源池，解决多租户云环境中不同用户之间的性能和隔离问题。在这种场景下， OpenStack 可以为公有云提供弹性计算、容器、网络和存储等基础设施服务，帮助公有云提供商实现资源集中管理和高可用性。 • 混合云：OpenStack

，支持服 务器、云计算、边缘计算、嵌入式等应用场景，支持多样性计算，致力于提供安全、稳定、易用的操作系统。 欧拉开源社区通过开放的社区形式与全球的开发者共同构建一个开放、多元和架构包容的软件生态体系，孵化支持多 种处理器架构、覆盖数字基础设施全场景，推动企业数字基础设施软硬件、应用生态繁荣发展。 2019 年 12 月 31 日，面向多样性计算的操作系统开源社区 openEuler 正式成立。 金融 政企 交通 制造 Sandbox Plugin 特性增强 42 openEuler 23.09 技术白皮书 单机多租户共享场景 • 以容器形态对外提供 Serverless 服务，需要容器规格小，单机密度高，启动速度快。 • 在一台物理机上会部署多个不同租户的容器，需要容器之间有强隔离的安全保证。 • 用户通常会应用在弹性扩缩容的场景，需要容器启动和销毁的速度快。 可信与不可信应用混合部署

、稳定、易用的操作系统。通过为应用提供确定性保障 能力，支持 OT 领域应用及 OT 与 ICT 的融合。 欧拉开源社区通过开放的社区形式与全球的开发者共同构建一个开放、多元和架构包容的软件生态体系，孵化支持多种处 理器架构、覆盖数字设施全场景，推动企业数字基础设施软硬件、应用生态繁荣发展。 2019 年 12 月 31 日，面向多样性计算的操作系统开源社区 openEuler 正式成立。 意指大气层中的平流层，寓意为保 护 openEuler 平台上业务平稳运行的轻薄的保护层。 StratoVirt 主要优势如下： • 强安全性：基于 Rust 实现语言级安全，模块按需组合最小化攻击面，支持多租户物理隔离。 • 轻量低噪：采用极简设备模型时，启动时间小于 50ms，内存底噪小于 4M。 • 软硬协同：支持 x86 的 VT，支持鲲鹏的 Kunpeng-V。 • 极速伸缩：毫秒级设备扩缩

debian/package.symbols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 A.3 多体系结构 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (quilt) 的鲁棒性 (Robust) 已经足够优秀，以不至于轻易损坏。另外，你可能需要修改上游提供的内容，以满足你的 Debian 软件包之需。 1⁸这里有这几种选择：s 代表单一二进制包，i 代表独立于体系结构的软件包，m 代表多个二进制包，l 代表共享库文件包，k 代表内核模块包， n 代表内核补丁包，b 代表 cdbs 软件包。本教程专注于使用 dh 命令 (来自 debhelper 软件包) 来 是必须的。 第 10 行描述了可以编译本二进制包的体系结构。根据二进制包的类型，这个值常常是下列中的一个：⁶ • Architecture: any – 一般而言，包含编译型语言编写的程序生成的二进制包依赖于具体的体系结构。 • Architecture: all – 一般而言，包含文本、图像、或解释型语言脚本生成的二进制包独立于体系结构。 我们不管第 10 行，鉴于本程序是用 C 语

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.1.1 支持的体系 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.1.2 zSeries 等，并拥有对应的 Debian 移植版的硬件体系或平台都可以运行 Debian。请参考移植页面 https://www.debian.org/ports/s390/ 以了解更多已被 Debian GNU/Linux 测试过的 S/390 体 系。 本章仅包含一些通用的信息，以及在何处可以获得更多信息的指导，而不是试图列出支持 S/390 的所 有不同硬件配置。 2.1.1 支持的体系 Debian GNU/Linux GNU/Linux 10 支持十种主要的体系和一些称为“flavors”的衍生品种。 体系 Debian 命名 子体系 Flavor 基于 Intel x86 i386 默认的 x86 机器 default 仅 Xen PV 域 xen AMD64 & Intel 64 amd64 ARM armel Marvell Kirkwood marvell 带 FPU 的 ARM armhf 多平台 armmp

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.1.1 支持的体系 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.1.2 三种不同的 ARM Linux 内 核、libc、gcc 等，并拥有对应的 Debian 移植版的硬件体系或平台都可以运行 Debian。请参考移植 页面 https://www.debian.org/ports/arm/ 以了解更多已被 Debian GNU/Linux 测试过的 32-bit soft-float ARM 体系。 本章仅包含一些通用的信息，以及在何处可以获得更多信息的指导，而不是试图列出支持 32-bit 32-bit soft-float ARM 的所有不同硬件配置。 2.1.1 支持的体系 Debian GNU/Linux 10 支持十种主要的体系和一些称为“flavors”的衍生品种。 体系 Debian 命名 子体系 Flavor 基于 Intel x86 i386 默认的 x86 机器 default 仅 Xen PV 域 xen AMD64 & Intel 64 amd64 ARM