安全容器方案：iSulad + shimv2 + StratoVirt 安全容器方案，相比传统 docker + qemu 方案，底噪和启动时间 优化 40%。 • 双平面部署工具 eggo：ARM/X86 双平面混合集群 OS 高效一键式安装，百节点部署时间 <15min。 探索场景创新 边缘计算：发布面向边缘计算场景的版本 openEuler 21.09 Edge，集成 KubeEdge+ 边云协同框架，具备边云应用 RCHOS，AWS BottleRocket 等，实现 OS 容器化部署、运维，提供与业务容器一致的管理和 运维体验。 openEuler 适应云原生发展趋势，推出容器化操作系统 KubeOS，实现云原生集群 OS 的统一容器化管理，具备如下特点： 1. OS 容器化管理、对接 K8S，原子化的生命周期管理； 2. OS 轻量化裁剪，减少不必要的冗余包，可实现快速升级、替换等。 容器和容器混部 Sig 组 K8S 集群部署管理项目，提供高效稳定的集群部署集群的能力。支持单集群多架构、 支持在线和离线部署模式多种部署模式，结合 GitOps 管理能力、感知集群配置变化，驱动集群 OS 统一高效部署。 功能描述 1. 集群配置版本化管理：配置统一 Git repo 版本化管理，使用仓库汇总和跟踪集群的配置信息 ; 2. 配置感知：GitOps 会感知 git 配置库中集群配置信息的变化，给部署引擎发起集群相应的操作请求；

安全容器方案：iSulad+shimv2+StratoVirt 安全容器方案，相比传统 Docker+Qemu 方案，底噪和启动时间优化 40%。 • 双平面部署工具 eggo：ARM/x86 双平面混合集群 OS 高效一键式安装，百节点部署时间 <15min。 新场景 • 边缘计算：发布面向边缘计算场景的版本 openEuler 22.03 LTS Edge，支持 KubeEdge + 边云协同框架，具备边云 的快速抢占，确定性的调度运行，同时控制离线任务干扰。 优化 OOM 时内存回收调度算法，在发生 OOM 时，优先对低优先级的进程组进行内存回收，保障在线业务的正常运行。 针对 Kubernetes 集群下的混合部署，openEuler 用户仅需给业务打上在线或离线的标签，系统即能自动感知业务的 创建，并根据业务的优先级配置，实现资源的隔离和抢占。 功能描述 1. 进程属性设置：支持通过 cgroup RCHOS、AWS BottleRocket 等，实现 OS 容器化部署、运维，提供与业务容器一致的管理 和运维体验。 openEuler 适应云原生发展趋势，推出容器化操作系统 KubeOS，实现云原生集群 OS 的统一容器化管理，具备如下 特点： 1. OS 容器化管理、对接 K8s，原子化的生命周期管理。 2. OS 轻量化裁剪，减少不必要的冗余包，可实现快速升级、替换等。 功能描述 1

创新架构，全栈优化，打造全场景协同的 One OS，充分释放多样性算力。 IDE 自调优工具 A-Tune 测试平台 Compass-CI 工具链 OpenStack Kubernetes 麒麟HA 集群调度 和管理 CPU: X86、Arm、RISC-V GPU NPU 芯片 APPS 虚拟化 容器 QEMU Docker libvirt 虚拟化/ 容器 StratoVirt iSula IO 子系统、通过多通道并发提升 IO 性能。 • OpenStack&Kubernetes：向云而生，集成两大主流云计算调度和管理软件，构筑云化基座 。 • HA 高可用集群方案：麒麟软件贡献的 HA 高可用集群方案，故障秒级切换。 繁荣社区生态： • 更多桌面环境支持：UKUI、DDE 、Xfce 桌面环境，丰富社区桌面环境生态。 平台架构 6 7 openEuler 21.03 IaaS 服务的解决方案，每个服务通过 API 进行集成。 OpenStack Victoria 是 2020 年 OpenStack 社区最新稳定发布版本，包含计算、存储、网络、PaaS、安全、集群管理 等多个模块。已经完成 Nova、Keystone、Neutron、Glance、Ironic、Horizon 几个模块对 openEuler 的适配。 OpenStack 的迁移适配工作由中国联通主导的

等主流应用场景的性能。 特性增强 19 openEuler 23.09 技术白皮书 Kmesh 项目 随着 AI、直播等大应用的发展及传统应用云化改造的深入，数据中心集群规模越来越大、应用类型也越来越丰富，如 何实现集群内服务间的高效互通、满足应用 SLA 诉求已成为数据中心面临的关键问题，对云基础设施提出了很高的要求。 基于 K8S 的云基础设施能够帮助应用实现敏捷的部署管理，但在应 为例，网格化后，服务访问单跳时延增加 2.65ms，无法满足时延敏感型应用诉求。 底噪 istio 中，每个 sidecar 软件占用内存 50M+，CPU 默认独占 2 core，对于大规模集群底噪开销太大，降低了业务容器 的部署密度。 Kmesh 基于可编程内核，将服务治理下沉 OS，实现高性能服务网格数据面，服务间通信时延对比业界方案提升 5 倍。 • 支持对接遵从 XDS 内核热修复：在不重启任何进程 和机器的情况下对内核实现缺陷 修复。 • 智能补丁巡检：提供单机 / 集群 的 CVE 巡检和通知能力，支持一 键式修复和回退，极大减少补丁 管理成本，保障集群安全，提升 漏洞修复效率。 • 冷热补丁混合管理：在系统兼容 的情况下，自动实现补丁收编， 减少在网补丁数量，减轻集群运 维压力。 功能描述 异常检测 智能故障诊断：提供 MySQL、openGauss

feature in RedBPF • Use BPF maps to make stateful decisions • Load the program and protect the Rabbit(MQ)! About Me • Software Engineer @ CCP Games • @aquarhead on GitHub, Twitter… • Rust (and Elixir) name] ingress \ bpf da obj target/bpf/programs/limit/limit.elf \ sec tc_action/limit Rabbit(MQ) Protected BPF (Kernel) vs. Application • BPF programs can be developed and deployed very quickly

安全容器方案：iSulad+shimv2+StratoVirt 安全容器方案，相比传统 Docker+Qemu 方案，底噪和启动时间优化 40%。 • 双平面部署工具 eggo：ARM/X86 双平面混合集群 OS 高效一键式安装，百节点部署时间 <15min。 新场景 • 边缘计算：发布面向边缘计算场景的版本 openEuler 22.03 LTS SP2 Edge，支持 KubeEdge+ 边云协同框架，具备边 虚拟机业务推荐：时延敏感类业务，如 web 服务、高性能数据库、实时渲染、机器学习推理等。低优先级虚拟机业务推荐： 非时延敏感类业务，如视频编码、大数据处理、离线渲染、机器学习训练等。 应用场景 版本功能如下： • 集群调度增强：增强 OpenStack Nova 能力，支持优先级语义调度。 • 功耗控制：通过对低优先级虚拟机的 CPU 带宽进行限制，以此达到降低整机功耗的同时保障高优先级虚拟机 QoS。 • Cache 配置等技术，采用双根文件 系统、原子化更新的设计思路，使用 nestos-assembler 快速集成构建。并针对 K8S、OpenStack 等平台进行适配，优化 容器运行底噪，使系统具备十分便捷的集群组件能力，可以更安全的运行大规模的容器化工作负载。 NestOS 适合作为以容器化应用为主的云场景基础运行环境，解决了在使用容器技术与容器编排技术实现业务发布、 运维时与底层环境高度解耦而带来的

安全容器方案：iSulad+shimv2+StratoVirt 安全容器方案，相比传统 Docker+QEMU 方案，底噪和启动时间优化 40%。 • 双平面部署工具 eggo：Arm/x86 双平面混合集群 OS 高效一键式安装，百节点部署时间 <15min。 新场景 • 边缘计算：发布面向边缘计算场景的版本 openEuler 24.03 LTS Edge，支持 KubeEdge+ 边云协同框架，具备边云应用统一管 等平台进行适配，优化容器运行底噪，使 系统具备十分便捷的集群组建能力，可以更安全的运行大规模的容器化工作负载。 1. 开箱即用的容器平台：NestOS 集成适配了 iSulad、Docker、Podman 等主流容器引擎，为用户提供轻量级、定制化的云场景 OS。 2. 简单易用的配置过程：NestOS 通过 ignition 技术，可以以相同的配置方便地完成大批量集群节点的安装配置工作。 3. 安全可靠的包管理：NestOS 进行软件包管理，搭配 openEuler 软件包源，确保原子化更新的安全稳定状态。 4. 友好可控的更新机制：NestOS 使用 zincati 提供自动更新服务，可实现节点自动更新与重新引导，实现集群节点有序升级而服 务不中断。 5. 紧密配合的双根文件系统：NestOS 采用双根文件系统的设计实现主备切换，确保 NestOS 运行期间的完整性与安全性。 NestOS 适合作为以容器化应用为主的云场景基础运行环境，在本次

10 ，cilium github 项目已有 9.3K star，Contributors 316位 cilium的特色功能： • 网络功能 • 负载均衡 • 网络安全 • 可观察性 • 多集群连通 注：本 PPT 基于 cilium v1.10.4 进行分析 ��������������� ��������������� �������������������� �������������������� 、 sendmsg、 recvmsg 、getpeername 、 bind等系统调用，实现 service 的地址解 析，并且伪装通信目的地址，让上层应用 无感知 DNAT 的发生 效果： • 集群内访问nodePort、LoadBalancer 的service时，能够减少数据包转发跳 数，极大提高网络性能 • 相比传统 iptables 等 技术，降低了访 问延时。例如在相同环境下，service 发生变化， 整集群可能需要同步 信息，刷 新 OVS 流表或者 ipset 规则 • 大规模的 policy ，会一定程度 的影响规则查询的效率，会一 定程度的影响规则更新的时间， 这些都会引入的TPS波动 Cilium policy采用了 identity 标识来进行 L3 - L4 policy 决策。 • 根据Cilium endpoint 的 label， 计算生成集群唯一的identity，意味着

安全容器方案：iSulad+shimv2+StratoVirt 安全容器方案，相比传统 Docker+Qemu 方案，底噪和启动时间优化 40%。 • 双平面部署工具 eggo：ARM/x86 双平面混合集群 OS 高效一键式安装，百节点部署时间 <15min。 新场景 • 边缘计算：发布面向边缘计算场景的版本 openEuler 22.09 Edge，支持 KubeEdge+ 边云协同框架，具备边云应用统 边缘计算场景下，可以部署客户自定义实现的请求 预处理函数，实现按需拉取、快速响应。 数控分离 HCK 大规模集群中的一个重要应用是 HPC (High Performance Computing) 业务，HPC 业务计算的特点是并发计算伴随着 大量的数据同步，系统噪声会造成单机性能的波动，从而对集群整体性能与扩展性造成影响。 针对 HPC 业务对于低系统噪声的需求，本特性设计数控分离架构的计算底座 HybridSched 是虚拟机混部全栈解决方案，包括增强的 OpenStack 集群调度能力、全新单机 QoS 管理组件 Skylark、以 及内核态基础资源隔离能力。其中 Skylark 是一种高低优先级虚拟机混部场景下的 QoS 感知资源调度器，在保障高优先级虚 拟机 QoS 前提下提升物理机资源利用率。 功能描述 1. 集群调度增强：增强 OpenStack Nova 能力，支持优先级语义调度。

xdpdrv obj prog.o # ip link show [...] 6: em1: mtu 1500 xdp qdisc mq state UP mo link/ether be:08:4d:b6:85:65 brd ff:ff:ff:ff:ff:ff prog/xdp id 1 tag 57cd311f2e27366b obj prog.o # ip link show [...] 6: em1: mtu 1500 xdpgeneric qdisc mq stat link/ether be:08:4d:b6:85:65 brd ff:ff:ff:ff:ff:ff prog/xdp id 4 tag 57cd311f2e27366b obj prog.o # ip link show [...] 6: em1: mtu 1500 xdpoffload qdisc mq stat link/ether be:08:4d:b6:85:65 brd ff:ff:ff:ff:ff:ff prog/xdp id 8 tag 57cd311f2e27366b