Canonical 的“distroless”Linux 映像改变了企业的游戏规则
Canonical 计划提供定制的 Docker Linux 容器镜像,并提供十几年的长期支持。
Canonical 宣布计划通过其 Everything LTS 服务提供定制的 Docker 容器长期支持 (LTS) Linux 镜像。这些定制的“distroless”Linux 映像将为 Linux 以及容器内包含的任何开源应用程序或依赖项提供 12 年的安全支持。
Canonical 首席执行官 Mark Shuttleworth 直言不讳:“一切 LTS 都意味着对整个开源依赖关系树进行 CVE 维护,包括尚未在 Ubuntu 中打包为 deb 的开源代码。”对于希望通过复杂的开源堆栈满足严格监管要求的企业和 ISV 来说,这种转变是游戏规则的改变者。
Shuttleworth 表示,Canonical 将根据您的规范提供“无发行版或基于 Ubuntu 的 Docker 镜像,我们将在 RHEL、VMware、Ubuntu 或主要公共云 K8s 上支持这些镜像。我们的企业和 ISV 客户现在可以依靠 Canonical 来满足任何监管维护要求。开源堆栈,无论有多大或多复杂,无论他们想将其部署在哪里。”
尽管 Shuttleworth 暗示 Ubuntu Linux 的母公司 Canonical 将支持 Red Hat Enterprise Linux (RHEL),但他的意思似乎是 Canonical 将在 Red Hat OpenShift 以及所有其他 Kubernetes 发行版和云平台上支持这些新的 Linux 映像。
具体来说,Canonical 将在 Canonical 的所有 Kubernetes 产品(MicroK8s 或 Charmed Kubernetes)上支持其镜像,并在 Tanzu Kubernetes Grid 或 vSphere 上支持 VMware,并在 vSphere 集群上使用 Kubernetes 或 Ubuntu 虚拟机 (VM)。在公共云方面,Canonical 计划支持 Azure、AWS、Google Cloud、IBM 和 Oracle 公共云 Kubernetes 产品上的容器。
通过这些新的开放容器计划镜像,Canonical 正在拥抱“distroless”容器范式,其中镜像只包含足够的操作系统和软件来运行特定的应用程序。这些经过强化的最小容器减少了攻击面,使其比传统的 Linux 虚拟机或容器更加安全。使用这种方法的发行版包括 Alpine Linux、Fedora CoreOS 和 Wolfi。
这些新的“凿刻”容器是在 Ubuntu 上使用 Chisel 构建的。该程序将 Debian 软件包凿入一个文件系统,该文件系统仅包含容器正常运行所需的最少文件集合。
Canonical 表示,Ubuntu Pro 订阅将包括运行无限的 Everything LTS 容器的权利,并且将以与 Ubuntu Pro 主机相同的价格支持 VMware、OpenShift 和公共云 Kubernetes 主机。
Ubuntu Pro 服务现在将包括数千个新的开源上游组件,包括最新的 AI/ML 依赖项和工具。 Canonical 计划以源代码而不是 Debian/Ubuntu deb 包的形式维护 2,000 个广泛使用的 AI/ML 库和工具,包括 PyTorch、TensorFlow 和 Rapids 等重量级库和工具。
Canonical 还与 Microsoft 合作,为 .NET 社区创建了尺寸仅为 100MB 的精心设计的容器。独立的 .NET 应用程序运行时基础映像压缩后仅为 6MB。
Canonical 还承诺修复关键 CVE 安全问题的平均时间将少于 24 小时。 Canonical 将自己定位为需要坚如磐石的安全性和尖端开源技术的组织的首选合作伙伴。
与此同时,Canonical 似乎正在远离其 Ubuntu 品牌。 Ubuntu 仍然是关键,但满足客户对小型、超安全映像的需求是第一位的。这是 Shuttleworth 在不断发展的企业 Linux 和云计算市场中的大胆举措。