redhatlinux下载

RedHat工程师今天上午首次公开宣布他们在Composefs上的工作，Composefs是一种新的机会共享和验证图像文件系统。RedHat正在研究Composefs，以此作为构建和使用可验证的只读镜像的一种方式，并且有一些围绕Podman容器层共享的直接用例，以及OSTree使用的验证支持。LXC和Snap等其他项目可能也对这种经过验证和机会主义的共享支持感兴趣，与它们现有的用于图像处理的环回挂载相比。RedHat的AlexanderLarsson在内核邮件列表中宣布了Composefs。一些主要亮点：GiuseppeScrivano和我最近一直致力于一个我们称之为composefs的新项目。这是我们第一次公开提出这个建议，我们希望得到一些反馈。就其核心而言，composefs是一种构建和使用只读图像的方法，这些图像的使用方式类似于您使用环回安装的squashfs图像的方式。除此之外，composefs有两个新的基本特性。首先，它允许在图像之间共享文件数据（在磁盘上和页面缓存中），其次，它具有类似dm-verity的读取验证。...因此，给定一组受信任的安装选项（比如从TPM解锁），我们安装了一个完全验证的文件系统树，并有机会细粒度地共享相同的文件。那么，我们为什么要这个？有两个初始用户案例。首先，我们要对podman容器层使用机会共享。这个想法是使用composefs挂载作为覆盖挂载中的下层目录，上层目录是容器工作目录。这将允许在任意两个图像之间自动共享文件级磁盘和页面缓存，而不受文件权限和时间戳以及图像来源等细节的影响。其次，我们有兴趣在ostree项目中使用composefs的验证方面。Ostree已经使用了内容寻址对象存储，但它目前被硬链接场引用。对象存储和引用它的树在下载时被签名和验证，但没有运行时验证。如果我们用指向现有对象存储的composefs图像替换硬链接场，我们可以使用验证来实现运行时验证。事实上，创建composefs镜像的工具是完全可重现的，所以我们只需要将composefs镜像的fs-verity摘要添加到ostree提交元数据中。然后可以从ostree提交重建图像，生成具有相同fs-verity摘要的composefs图像。这些是我们目前感兴趣的用例，但似乎还有很多其他可能的用途。例如，许多系统对图像使用环回挂载（如lxc或snap），这些可以利用机会共享。我们还讨论了使用fuse为支持文件实现本地缓存。也就是说，你会有一个第二个basedir是一个fuse文件系统，并且在第一个basedir中查找失败时，fuse一个触发下载，该下载也保存在第一个目录中以供以后查找。这里有很多有趣的可能性。在内核方面，现在有这六个RFC补丁实现了这个Composefs内核驱动程序。对于围绕Composefs的用户空间工具，它们正在通过GitHub上的容器/composefs进行开发。对于提议的OSTree集成，还有一些初始补丁可供审查。