采访嘉宾 | Thomas Di Giacomo 博士
作者 | 凌敏
1946 年 2 月,在美国费城,自动计算机 ENIAC 面世,现代计算机的序幕也由此拉开。彼时,还未出现操作系统,用户直接与计算机硬件打交道。20 世纪 50 年代,第二代计算机出现了早期的单道批处理系统。此后,陆续出现了多道批处理系统、分时操作系统和实时操作系统,而分时操作系统也最终演变成更为人熟知的 Unix 操作系统。
1991 年,Linus Torvalds 为尝试在英特尔 x86 架构上提供自由的类 Unix 操作系统,开发出了 Linux 内核,并开放源代码。此后,涌现出了一批基于 Linux 内核的 Linux 发行版,如 SUSE Linux、Ubuntu Linux、Red Hat Linux 等。2007 年,谷歌更是基于 Linux 内核发布了 Android 操作系统。
31 年后的今天,Linux 无处不在。在企业中,无论是云部署、Web 基础设施,还是企业业务后端服务,都有 Linux 的身影。
近日,InfoQ 有幸对全球开源软件巨头 SUSE 首席技术与产品官 Thomas Di Giacomo 博士进行了专访,围绕操作系统的持续演进、Linux 发展、开源、SUSE 的实践经验与产品技术战略等话题,Thomas Di Giacomo 博士分享了自己的洞察与见解。
SUSE 是企业级开源解决方案领导者,公司创立于 1992 年,专注于企业级 Linux、Kubernetes 管理平台和边缘解决方案。2021 年,SUSE 在法兰克福证券交易所的监管市场(Prime Standard)上市。
持续演进的操作系统
在整个软件生态中,操作系统起到了重要的承上启下作用,是计算机系统的核心与基石。
不过,由于操作系统长期处于底层,用户对于操作系统的发展变化感知得不如应用软件那样明显。但实际上,即便是已经十分成熟的操作系统,也仍在持续迭代和演进。
在学术界,有一种观点认为,操作系统每过二十年左右会出现一次跨越式发展机遇。如果从上世纪六十年代出现真正具有现代意义的操作系统算起,操作系统已然经历了三个时代的发展。从大型机/主机时代到个人计算机时代,再到互联网时代,操作系统不断向前演进。
近几年,操作系统领域也涌现出了很多值得关注的技术趋势,如容器化操作系统、基础镜像、实时补丁等等。“我认为,最近几年,操作系统领域出现的最超乎预期的技术趋势是实时补丁,因为它已经相当成熟而且在内核层面得到了一段时间的实际应用。现在,实时补丁开始进入用户领域,有望在未来进一步为提高灵活性、保障安全性贡献力量。”Thomas 对 InfoQ 说道。
在 Thomas 看来,操作系统的整个演进历程出现了关注重点的转移以及关注维度的变化。例如,从上世纪六十年代,物理系统与虚拟机间的二元区分塑造出新的维度,到上世纪八十年代出现的集中化(主机、云)与独立计算,再到现在的边缘计算,以及随着网络的兴起,功能性、安全性和易用性各自开辟出了自己的维度。
“现在,我们正处在易用性发展的高峰,客户要求在保障业务安全运营的同时,立足任意位置——本地、云端、边缘——开展创新,这就是将易用性和安全性结合起来。容器技术的普及体现的就是各行业对于易用性的明确要求,但付出的却往往是安全的代价。我们希望集 SUSE Linux Enterprise、SUSE Rancher 企业级 Kubernetes 管理平台、SUSE NeuVector 容器安全平台乃至未来的边缘解决方案之力,可以攻克这道难关。”Thomas 说道。
至于操作系统的下一次跨越式发展将走向何方,Thomas 认为很可能是量子计算。量子计算是一种不同于经典计算的革命性计算技术。相比经典计算机,量子计算机具备强大的算力,并需要专门的操作系统对其进行调配和管理。
目前,量子计算机操作系统还处于发展初期阶段,全球数量屈指可数。随着操作系统的持续演进,未来的操作系统也许还会为 IT 领域带来新的惊喜。
无处不在的 Linux 与开源
“Linux 可以说是整个 IT 领域中最大、最成功的案例之一”
回顾操作系统的整个发展历程,半个多世纪来涌现出了大量成熟的操作系统,并覆盖在人们生活的方方面面。在手机操作系统领域,Android、iOS 龙头地位稳固;在桌面操作系统领域,Windows 多年保持近乎垄断的地位;在服务器操作系统领域,Linux 常年占据主流地位。
“Linux 可以说是整个 IT 领域中最大、最成功的案例之一。”Thomas 如此评价道。
在其看来,Linux 从早期的纯“业务爱好”起步,如今已经成为云和边缘环境下的首选标准兼终极驱动力。追根溯源,Kubernetes 同样是以 Linux 为基础。Linux 不仅彻底改变了企业计算,同时也改变了整个开发模式。目前,全球开源社区正持续为各类不同项目做出贡献,帮助解决人类面临的种种紧迫问题。
在 Linux 的发展和应用历程中,各种 Linux 发行版起到了极大的促进作用。
早期,Linux 只是 Linus Torvalds 出于业余爱好开发的一款操作系统,主要依靠“早期使用者”进行传播,影响范围主要集中在高校,很少触及关键业务用例。1992 年,市场上陆续出现了各种商业 Linux 发行版。
“从这里开始,Linux 逐渐成为 IT 世界中的一位重要成员,HP、IBM、SGI、AMD 和英特尔等厂商也发现了 Linux 的潜力并参与进来。因此,Linux 很快开始全面取代经典的 Unix 系统,新的用例也在快速增加。”Thomas 介绍道。
此前曾有数据显示,Linux 在超过 20 亿的设备上运行。世界上几乎所有的主要网站,包括谷歌、Facebook 以及维基百科,都运行在 Linux 之上。云也是一样,即使是在微软自己的 Azure 当中,最受欢迎的操作系统仍然是 Linux。全球五百强超级计算机大多数采用的也是 Linux。另外,得益于 Android 不俗的市场表现,Linux 还成为最受欢迎的终端用户操作系统。
“在如今这个云和容器的时代,Linux 与开源早已无处不在,从地球上最强大的超算到太空中的卫星都有它的身影。”Thomas 说道。
31 岁的 Linux 仍在持续演进,从技术层面上来看,Linux 要想再进一步发展,Thomas 认为需要解决通用性和在特定用例上实现最优效果这两种需求。
“其实保证通用性和在特定用例上实现最优效果,这两者本身就有一定矛盾。但这种矛盾是健康合理的,随着容器化应用程序的兴起,Linux 必须想办法支持并实现这两种需求。
大家不妨带着这个念头继续关注 SUSE,我们正在开发一款 Linux 操作系统,它将具备高易用性,提供零接触、自管理式运营,并能实现系统核心的自我调整与优化。默认情况下,这款按需操作系统将带来出色的自动化水平,借 DevOps、DevSecOps 和 GitOps 之力将生产效率提升至最高点。我们正在为这个目标而努力,包括云优先、边缘优先,同时针对数据中心进行优化,确保新系统能够随处使用并继续延续目前的 SLE Micro 小型核心。”
拥抱开源,走向更远
Linux 之所以经久不衰,与其长期贯彻的开源理念密不可分。依托开源特性,越来越多的公司及个人开发者参与到 Linux 的构建中。最终,Linux 用 10 年名扬天下,20 年统治服务器领域。
作为第一家企业 Linux 发行版供应商,SUSE 也是开源理念的践行者,同时也是全球最大的独立开源公司。
在 Thomas 看来,开源始于开放、终于协作,二者彼此影响、互为始终。
“开源要求我们立足全球社区无边界地共享知识,与合作伙伴共同创新。开放一直是 SUSE 的指导原则,我们也希望自己的解决方案能够尽可能开放、提供更好的互操作性和安全性,这样客户才能安心在内部堆栈中随意运行 SUSE 产品,而非被牢牢锁定在号称‘开源’、实则封闭的单一供应商身上。”
开源不易,开源的商业化成功更是难上加难。如何才能站在开源的肩膀上,走向更远?刚迎来 30 周岁生日的 SUSE 蹚出了自己的一条开源成功路。
同开源社区及合作伙伴携手并进
Thomas 认为,SUSE 能走这么远的关键在于公司在立项之初,就专注于同开源社区及各位合作伙伴携手并进。“在 SUSE 的诸多成就当中,最亮眼的就是建立起业内独一无二的合作伙伴生态系统。”
在 Linux 刚刚起步的 1999 年,SUSE 就已经在与 IBM、甲骨文和 SAP 合作,发布了第一款 Enterprise Linux——SUSE Linux Enterprise Server(用于 IBM S/390)。此外还有其他重要合作伙伴,包括英特尔、AMD、HP(E) 以及富士通。
关注社区中每个参与者的声音
开源是一个“多对多”的世界,有多个角色参与进来,也就意味着你要面对多个角色,处理不同的声音。
“社区永远不是唯一的。我们面对的是多个社区,包括开源社区、客户社区以及合作伙伴社区。但与此同时,这些社区之间又彼此重叠,比如我们和合作伙伴就往往属于同一个开源社区。”
Thomas 表示,问题的关键不在于是否跟合作伙伴意见统一,而是要意识到社区中的每个参与者都有意见、都值得关注,这样才能出于项目繁荣和大多数成员的利益做出最好的社区决策。“SUSE 重视社区独立性,我们也需要立足各个层面为社区做出贡献,这里包括业务层面、社群层面和文化层面,当然也涉及技术层面。”
安全是重中之重
随着越来越多的开源软件在千行百业中得到广泛应用,安全问题日益凸显,供应链安全攻击和容器安全威胁问题日益严峻。而在基础软件领域,安全更是无法避开的话题,并成为决定企业市场命运的重中之重。
“开源的下一阶段发展趋势一定与安全有关”,Thomas 认为,客户将专注于在基础设施的各个层面(本地、云端和边缘)实施严格的安全准则和保护方案。不关注安全,就无法继续讨论数字商业模式。而自动化机制的引入将成为灵活性保障,以全面覆盖的方式为关键业务 Linux、容器管理乃至边缘解决方案提供无处不在的基础设施安全保护。
数据显示,预计到 2025 年,全球联网设备将多达 750 亿台,其中大多数为微型边缘设备或工业物联网装置。
Thomas 认为,尽管不少企业已经开始探索边缘创新,但大量设备的入网必然会带来更广泛的攻击面。无论是在数据中心、云端还是边缘,这种潜在攻击威胁的增加将迫使企业重新评估、进而加强自身基础设施的安全水平。
此外,2021 年末的 Apache Log4j2 安全漏洞事件也让大家意识到了开源软件供应链治理的重要性。要想建立起安全可靠的弹性系统,最重要的就是将零信任安全控制引入到供应链的全生命周期和运行时应用当中。
在安全方面,SUSE 的经验是:保护基础、保护产品、保护供应链。
“长期以来,我们一直使用 FIPS 认证加密,同时将 DISA STIG 强化指南作为最佳实践与行为准则,确保客户一次点击即可完成系统安全强化。”Thomas 说道。
对于企业而言,如何建立起多层保护,防止安全事件发生,SUSE 的实践经验是在管道和容器 repo 中建立起自动化安全扫描机制,强化容器平台。使用准入控制规则保护部署与生产环境,深入剖析运行中的容器、特别是其网络通信行为,对 L7 层上的容器工作负载进行自动拆分,并通过安全策略锁定、限制并验证容器活动是否合法,同时对实时环境开展持续合规审计。
SUSE 的实践经验与产品技术战略
在采访中,Thomas 还分享了 SUSE 的实践经验、产品战略与技术创新。
当前,SUSE 专注于企业级 Linux、Kubernetes 管理平台和边缘解决方案,目标是帮助客户随处开展业务创新。
“要达成这个目标,首先要建立起一套能够随处运作的系统平台——它必须基于通用代码库且采取模块化设计,保证可以在整个 IT 资产(核心、云乃至边缘)范围内稳定一致地运行。”
Thomas 表示,众多用例的运行基础依靠的都是同一套 SUSE Linux Enterprise 通用代码库——这套代码库高度模块化、可扩展且极为灵活,其复杂性不会随使用量的增加而等比上升。所有以“SUSE Linux Enterprise”命名的产品都基于同一套通用代码库,它们的代码是相同的,甚至不同硬件架构中都有大量相同的源代码。
另外,SUSE 还开发了其他一些工具,帮助团队创建、测试并维护这些代码。这些代码不仅能够跨越多种硬件架构和部署路径,同时也能长期维持稳定有效。
以 Open Build Service(OBS,https://openbuildservice.org/)为例,这是一套通用系统,能够以自动、一致且可重复的方式通过源代码构建并分发二进制软件包。如此一来,每个人都能面向不同操作系统和硬件架构发布相应的软件包、更新、附加组件、功能乃至整个发行版。此外,还有一款重要工具是 OpenQA (https://open.qa/),能够自动测试各类操作系统。
值得一提的是,这些工具都是开源的,也被越来越多的公司用于改进自己的流程和软件成果。
“我们也一直在利用这些工具、功能(例如可重复 Builds)和流程,建立并强化 SUSE Linux Enterprise 的供应链安全。这一基本理念不仅让我们的开发和支持工作变得更简单,也把同样简单高效的开发与运营优势带给了我们的客户。”Thomas 说道。
全球迎来后疫情时代,企业正在迅速转向数字化、始终在线的新型商业模式。为了满足下一代客户的期望、从容应对竞争威胁,IT 团队必须想办法解决由现代化架构、基础设施和应用程序带来的现实挑战。
Thomas 表示,SUSE 的产品战略是简化、统一、安全的分布式企业 IT 运营,而这一切首先得从跨核心、跨云和跨边缘位置的一致操作系统入手。“我们既要加快企业客户进军云原生征程的脚步,又不能破坏原本的关键业务应用程序”。
产品布局方面,SUSE 近两年动作不断。2020 年 12 月,SUSE 完成了对 Kubernetes 管理领域市场领导者 Rancher Labs 的收购。
目前,SUSE Rancher 提供的单一平台能够托管容器化应用程序、并管理任何规模的各类 Kubernetes 发行版,完全不受具体服务商或运行位置的影响。这样的单一平台既能简化开发者和运营人员的工作,也有助于缓和全球范围内愈发严峻的 IT 技能与人才短缺挑战。
2021 年 10 月,SUSE 完成了对全生命周期容器安全领域企业 NeuVector 的收购。2022 年 1 月,SUSE 宣布 NeuVector 代码库已在 GitHub 上开放。5 月,SUSE 发布了 NeuVector 5.0,并集成到 SUSE Rancher 2.6.5 中。
NeuVector 5.0 在 Rancher 的多集群管理中增加了多集群安全管理,可以通过 Rancher Apps 和 Marketplace 部署,像 Rancher 管理的其他工作负载一样进行监控和管理;并且提供单点登录体验,Rancher 管理员可以直接从 Rancher UI 访问 NeuVector 控制台,无需单独登录。
在今年 6 月 7 日举办的 SUSECON Digital 2022 大会上,包括 Thomas 在内的众多高管、技术专家分享了 SUSE 关键业务 Linux、企业容器管理和边缘解决方案的最新技术实践。
在关键业务 Linux 方面,SUSE 发布了 SUSE Linux Enterprise 15 Service Pack 4(SLE 15 SP4)。据悉,SLE 15 SP4 实现了 Google SLSA 4 供应链合规性,增加了对 AMD 安全加密虚拟化加密状态(SEV-ES)的支持,使用了开源的英伟达 GPU 内核驱动程序,并为 SLES for SAP Applications 引入了 Trento 这一新功能。
Thomas 在接受采访时表示,SLE 15 SP4 增加 SLS 4 级合规供应链,有助于防止日益蔓延的软件安全与供应链威胁。“我们还为机密计算设定了新标准,借此改变云端数据保护方法。通过云端机密计算,SUSE、AMD 和 Google Cloud 将帮助客户安全处理数据、加快迁移速度,并确保云工作负载免受远程攻击、权限提升及恶意内部攻击。我们还与英伟达合作,希望简化面向云原生和边缘场景的负载扩展过程,同时提高性能和可用性。”
随着 SUSE Linux Enterprise、SUSE Manager、Rancher 以及 NeuVector 等产品的不断革新,下一步,SUSE 计划利用新型开源云原生解决方案增强企业安全。
“开源没有边界”
InfoQ:您在 IT 行业拥有超过 20 年的经验,在您的职业生涯中,遇到过最大的挑战是什么?
Thomas:不管是什么样的 IT 技术挑战,都有办法、甚至总有很多办法来解决。我觉得最大的挑战在于,怎么立足流程、业务和心态做出重大变革,再跟团队和其他人员共同把这些变革理论转化成现实。
InfoQ:操作系统学习曲线陡峭,很多年轻人可能学着学着就放弃了,您能给这些年轻人提供一些学习经验或建议吗?
Thomas:在开源世界,回馈是很重要的一环。回馈贡献的方式有很多种,不一定非要编写代码,也可以是撰写说明文档、上报测试发现、提交设计思路和参与社区支持等等。
但我认为,最好能多花时间观察和倾听特定社群与项目的动态、关注观点趋势。可以多接触一些社区成员,通过讨论理解项目的动向和机制,这些都是不错的办法。
InfoQ:在中国也有很多操作系统厂商,对于这些公司的管理者和开发者,您会给他们哪些建议?
Thomas:多年以来,中国开发者一直在为开源项目做出巨大且卓越的贡献!实际上,开源的一大优势就是没有边界的束缚,可以让世界上的每一个人都参与到贡献和创新中来。总之一句话,大家多团结、多交流,一起研究技术就对了!
受访嘉宾:
Thomas Di Giacomo 博士是 SUSE 的首席技术和产品官,负责领导 SUSE 全球首席技术官办公室以及产品和解决方案团队。他的团队涵盖了 SUSE 的整个产品组合,驱动着未来创新。他还负责指导和推动 SUSE 当前和未来的技术革新和解决方案发展,并与客户、合作伙伴以及其他相关人员分享 SUSE 的愿景。在此之前,Thomas 曾担任 SUSE 的工程与创新总裁。他在 IT 行业拥有超过 20 年的经验,曾在工程和产品创新领域担任过各种全球领导和执行职务。Thomas 毕业于日内瓦大学计算机科学专业,拥有博士学位。
评论 1 条评论