出品|開源中國
Red Hat 和 Fedora 工程師正在規劃向 Fedora 添加對統一內核鏡像 (Unified Kernel Images,UKI) 的支持,期望在明年春季發布的 Fedora Linux 38 中實現初始支持。
提案內容指出,其目標是擺脫在已安裝機器上生成的 initrd images;它們是在構建內核包時生成的,然後作為 UKI 的一部分提供。
UKI 是包含內核、initrd、cmdline 和 signature 的一體化 efi 二進位文件。secure boot signature 涵蓋所有內容,特別是包含 initrd;但當 initrd 作為單獨的文件從 /boot 加載時,情況就並非如此了。
此舉的主要動機是使發行版更健壯和更安全。
將整個發行版快速切換到統一內核是不現實的。太多的特性依賴於當前工作流與特定於主機的 initrd(和特定於主機的內核命令行),這從根本上與統一內核不兼容,在統一內核中每個人都將擁有相同的 initrd 和命令行。這就是為什麼標題中有 「第一階段」,所以我們可以在未來的版本中有更多的階段。
初始階段的高優先級目標將專注於將 UKI 作為可選的內核 sub-rpm 發布、更新內核安裝腳本以便安裝和正確更新統一內核,以及為 UKI 添加 bootloader 支持。還計劃為安裝程序 (anaconda、image builder 等) 添加適當的可發現分區支持、為安裝程序添加 systemd-boot 支持、更好的測量和遠程認證支持以及將 Fedora Cloud images 切換為使用統一內核;但這些內容優先級較低,視情況可能會被劃入第二階段。
階段 2/3 目標(較長期的東西,在 Fedora 38 中完成是不現實的):
-
不再使用內核命令行進行配置。
-
擺脫在 initrd 中存儲 secrets 的做法。
-
以不同的方式處理 dracut 可選模塊。
不過,有關 Fedora 38 的這個暫定更改提案仍需要得到 Fedora 工程和指導委員會的批准才會實施。