OpenCloudOS 9.4 重磅发布：内核升级6.6.80，性能与安全双提升，全面支持龙架构-优快云博客

OpenCloudOS 9 (OC9) 是 OpenCloudOS 社区联合伙伴共同研发的全链路服务器操作系统社区版本，沉淀了多家厂商在软件和开源生态的优势，继承了腾讯在操作系统和内核层面超过 10 年的技术积累。其内核及用户态软件均基于 upstream 社区独立演进，自主选型并持续维护。

全新 OpenCloudOS 9.4 现已迭代发布，该版本新增并实现了对 1w+ 用户态软件的独立编译维护，具备高性能、安全、支持多硬件平台的特性，能为云上产品和业务提供可靠的基础环境和服务能力。

同源支持全新龙芯架构，并升级众多软件包（如 kernel-6.6.80、 grub2-2.12、php-8.3.10 和 moby-27.3.1），带来上游最新特性， bug 及安全漏洞修复，加入腾讯自研 tgcc 12.3.1.4 编译器提高系统性能。

一、新版本支持龙芯架构

OpenCloudOS 9.4新增对 LoongArch64 架构的支持，标志着 OpenCloudOS 在多架构生态建设方面迈出了重要一步。该能力基于上游 OpenCloudOS-Stream 23 的同步成果，由 OpenCloudOS 社区联合龙芯共同开发，采用与 x86 和 ARM 架构同源异构的代码体系，具备良好的兼容性与一致性体验。

OC9.4 loongarch64 版本支持多款龙芯处理器（如 3A5000、3C5000、3D5000、3A6000 等），同时新增对 YT6801 网卡驱动的支持。支持虚拟化、EFI 启动、内核态 SE（安全加密）驱动等各项功能。

二、新特性汇总

1. 内核

内核版本迭代至 6.6.80，持续回合上游补丁，带来更多新硬件支持和自研特性支持。

1.1. 新硬件及驱动支持

新 CPU 支持，支持 intel GNR CPU、龙芯（3A5000、3C5000、3D5000、3A6000）、海光（Hygon PSP on Hygon 2nd/3rd CPUs）、兆芯（cpu core、pmu、CRC32C、SB HDAC and other extended topology）、kunpeng（920 以及 920 next CPU）、phytium CPU（S2500、5000C）
支持北中网芯、3snic、7A2000的网卡驱动
支持 linkdata 的 ps3stor 驱动
支持 phytium 显卡驱动
支持 Hygon4 的加密驱动、Montage Mont-TSSE（澜起科技的信任与安全系统扩展）驱动
支持 Hygon 安全虚拟化技术 (CSV)，支持 Hygon Trusted Key Management run on CSV
集成博通商用质量的 bxnt_en 驱动
集成 broadcom 商用质量的 mpt3sas 驱动

1.2. 新特性支持

开启对 CONFIG_PCIE_EDR 的支持，加强 pcie 硬件故障的恢复能力
开启对 EROFS_FS 和 CACHEFILES 的支持，用于容器镜像加速
开启对 CONFIG_SMC 的支持，用于 sockets over RDMA
支持 zstd 压缩格式的 squashfs
支持 dynamic integrity measurement (DIM)
支持 kill protect 特性
支持通过自研的 min_wait_time，限制最小的 epoll 时间
支持盘符保序、支持网卡设备编号保序
支持 arp 双发、支持识别内部网段
支持磁盘 IO 延时抖动常态化监控
支持网络时延超阈值的检测
支持 SLI (Service level indicator)
支持 csig 的 toa 模块
支持调整 execve 参数的大小，以便支持 gcc 传递很多参数
支持 cmdline.ia32_emulation 启动参数，允许用户自行选择是否开启 32-bit 兼容性支持

2. 启动

2.1. grub2 2.12

支持龙芯架构
跨架构统一 EFI Linux 内核加载器。
初步支持引导加载程序接口 (Boot Loader Interface)
支持使用固件调用动态添加 GRUB 运行时内存
支持 PCI 和 MMIO UART

2.2. 安全启动支持

OC9.4 版本对系统的安全启动（Secure Boot）功能进行了增强，带来了更高的安全性，支持国产商密算法（SM系列）和国际算法双签名，可满足国内用户对国产密码算法的合规性和安全性要求，为政企用户提供更加稳固、可信的安全基础。

3. 开发和调测

3.1. tgcc 12.3.1.4

引入腾讯自研 tgcc：支持链接后优化（BOLT）和分布式构建系统加速，并积累司内编译器团队百万核运营经验，修复多处 corner case
增强龙芯架构的支持：
○ 新增对龙芯 3A6000 机型的支持
○ 优化分支/乘法/立即数加载指令生成，新增 LSX/LASX 向量扩展指令
○ 修复 gnome 桌面启动失败
○ 修复 frint 和 ftint 指令使用错误
○ 添加 Ada, libffi，libvtv，libitm LoongArch 支持
○ 添加 mcmodel=medium，extreme 支持
增强鲲鹏平台 (KUNPENG-Aarch64) 支持：
○  支持 Kunpeng 920 高性能处理器 & AI 编译优化
○  结构体优化
○  数组宽比较优化
○  指令生成优化
增强RISCV架构支持：
○ 新增 RISC-V 矢量加密指令

3.2. ocaml 5.2.0

引入全新多核运行时，支持共享内存并行性与效果处理器（effect handlers），但作为实验性版本，仅支持 x86-64 和 ARM64 架构，且存在 Ephemeron 性能问题
恢复 RISC-V/s390x 原生编译支持，安装体积缩减 50%，新增 57 个标准库函数，并通过尾递归优化提升性能
紧急修复打包、类型检查和数值性能三大用户痛点，移除 "Marshal" 模块的 ZSTD 压缩依赖以避免强制绑定，并修复并发安全问题
重新引入 GC 压缩以优化内存碎片，恢复 POWER 架构支持，新增 "Dynarray" 模块和线程检测工具，改进 IDE 元数据追踪
恢复 Windows MSVC 工具链支持，增强 Unicode 标识符兼容性，优化 "Dynarray" 内存效率，并重新引入统计内存分析 "statmemprof" 模块

3.3. nano 8.0

引入现代快捷键绑定模式，默认搜索行为发生变更，支持通过 filename:number 方式打开特定行。增强锚点与灰度色彩支持，优化宏执行和鼠标滚动体验。需注意快捷键行为与旧版本不兼容，建议审查自定义配置。

4. 网络管理

4.1. bind 9.18.21

根服务器 IP 更新：B.ROOT-SERVERS.NET 的 IP 地址已更新为 170.247.170.2 和 2801:1b8:10::b
内存优化：通过为发送缓冲区实现专用 jemalloc 内存区域，提高了内存使用效率，更好地管理向操作系统返回内存页面
衰退 DNS COOKIE 的 AES算法：cookie-algorithm aes 已被弃用，推荐使用当前默认的 SipHash-2-4 算法
解析器参数弃用：resolver-nonbackoff-tries 和 resolver-retry-interval 语句已被弃用，使用它们现在会导致警告被记录

4.2. libnbd 1.20.2

支持 NBD 64 位 "extended headers" 和范围大小
支持过滤块状态请求
新的 Rust 绑定，有一个用于日常使用的基本 API，以及一个使用 Tokio 实现的异步 API
OCaml 绑定支持 AIO pread 和 pwrite 中的零拷贝函数

4.3. nbdkit 1.38.4

VRRP 接口组与名称增强：新增对 VMAC 和 ipvlan 接口组 "interface group" 的支持，默认继承父接口组，便于防火墙规则统一管理。允许自定义 VMAC/ipvlan 接口名称（如 "bridge"），并支持显式配置接口组
SNMP 统计优化：新增 "snmp_rs_stats_update_interval" 和 "snmp_vs_stats_update_interval" 配置项，分别控制实时服务器（RS）和虚拟服务器（VS）的 SNMP 统计更新频率，默认 5 秒。优化 64 位统计数据处理，减少冗余存储
IPVS 性能与逻辑改进：重构 IPVS 健康检查机制，减少配置重载时间（从 132 秒优化至 0.24 秒）。修复虚拟服务器组在重载时未正确移除或添加服务器的问题，并优化“抱歉服务器”（sorry server）的逻辑处理
系统服务与兼容性调整：新增 "use_symlink_paths" 全局配置项，允许脚本路径保留符号链接。修复 systemd 非 root 服务文件中的 SNMP 配置错误，并优化进程启动时的安全检查逻辑
关键问题修复：修复 IPv6 VMAC 接口的邻居请求响应问题，避免备份节点误接收主节点流量。解决 "skip_check_adv_addr" 和 "strict_mode" 配置解析错误，优化接口组通知逻辑

4.4. iperf3 3.18

安全漏洞修复：修复了导致服务器段错误的 JSON 安全漏洞（CVE-2024-53580）和身份验证中的侧信道定时攻击漏洞（CVE-2024-26306）
多线程优化：-P/--parallel 选项的多个测试流现在由不同线程处理，充分利用多核 CPU，大幅提高了测试的吞吐量和性能
新增支持流式 JSON 输出格式，便于实时数据分析和处理
修复了在有限波特率测试中 CPU 利用率异常偏高的问题，移除了 --pacing-timer 选项，优化了整体性能
支持超过 32Gbps 的速率控制，满足高速网络测试需求

4.5. tomcat 9.0.86

引入 CSRF 防护过滤器路径白名单、Manager 应用 JSON 输出、自定义 SSLContext 配置、Cookie partitioned 属性等新特性
修复 TLS 热重载稳定性问题、WebSocket 连接释放异常、FORM 登录超时恢复等关键问题
最低构建 JDK 要求提升至 Java 17

5. 存储和文件系统管理

5.1. mysql 8.0.41

重构 data_locks 和 data_lock_waits 表，提升查询速度
TABLE_HANDLES 使用的 RAM 量最大调整为 9GB

5.2. postgresql 15.12

优化 Waiters 列表复杂度，大幅提升吞吐量
避免在并行哈希连接中超大共享内存分配
修复 DSM 分配问题
新服务器 session 的 client socket 无法 non-blocking 时断连

5.3. xfsprogs 6.6.0

外部日志设备支持：新增支持从独立日志设备（如专用日志盘）读取数据。增强对分离式日志架构的调试能力
xfs_io 加密策略支持：新增 log2_data_unit_size 选项，支持通过 fscrypt_policy_v2 配置内核级文件加密策略。优化全盘加密（FDE）场景下的数据单元粒度，提升加密效率
元数据转储格式升级：引入新版 metadump 工具格式，优化元数据备份与恢复的兼容性。适用于大规模存储环境的数据迁移与灾难恢复，提升对复杂文件系统结构的支持能力

6. 安全

6.1. nss 3.105

添加对 EdDSA 签名算法的支持，以及对一些量子密码算法（如 Kyber、Dillthium）的实验性支持
新增 SSL_SignatureScheme 相关函数，用于管理 TLS 签名方案，弃用旧版随机数生成器 API

6.2. opensc 0.25.0

依赖的加密库从 OpenSSL 1.1.1 升级到3.0，并移除了一些旧的智能卡支持驱动
支持使用 valgrind 进行测试

6.3. freeradius 3.2.6

针对 BlastRADIUS 攻击添加了缓解措施，提升服务器的安全性
支持 TEAP 协议，扩展了 EAP 认证方式，增强了灵活性和兼容性
添加了 dpsk 模块和 radsecret 工具，提高了密码管理的安全性
totp 模块现在支持 TOTP-Time-Offset，允许处理时间不同步的令牌

7. 容器和虚拟化

7.1. moby 27.3.1

网络功能增强：增强 IPv6 支持，默认为Linux桥接网络启用 ip6tables 并支持直接路由
新增特性：新增卷子路径挂载支持和容器健康检查改进
bug 修复：修复了使用 "--checkpoint" 选项时 docker start 失败的问题、解决了内部桥接网络上主机与容器之间的 IP 连接问题。

7.2. container-selinux 2.234.2

添加对DRI和GPU设备的访问支持
改进容器域权限，如 BPF 文件系统访问、FIFO 文件监控和 UNIX 套接字通信
优化Kubernetes组件标记，如kubelet_exec_t标记与pod资源访问
扩展权限集成，允许特权容器使用系统工具和添加Buildah标记）

7.3. libguestfs 1.53.2

对 python、OCaml 等语言绑定改进
API改进：SELinux 并行重标记、压缩支持扩展、Btrfs 兼容性修复
工具改进：guestfish 支持--key 选项支持 LVM 设备名和通配符

7.4. libvirt 9.10.0

优化 QCOW2 镜像协议驱动处理，避免自动格式探测的安全风险
引入 nbdkit 后端处理网络磁盘（HTTP/FTP/SSH），减少 QEMU 攻击面
修复磁盘热插拔配置失败、快照恢复导致 QEMU 崩溃、空 CDROM 热插拔问题
支持PipeWire音频后端，新增 vDPA 块设备支
支持外部快照还原，优化内部快照恢复逻辑
新增网络元数据变更事件，支持网络 XML 的标题/描述字段
引入 VFIO 变种驱动（如GPU专用驱动），支持设备迁移等高级功能
添加 EPYC-Genoa CPU 模型适配，优化 virsh 控制台恢复(--resume)功能
启动时自动连接控制台（--console）、控制台连接后自动恢复暂停状态（--resume）

7.5. pcp 6.2.2

PMDA 增强和新增功能：新增对指标标签的支持、新增 mem.vmmemctl 虚拟机内存balloon指标、新增 HugePage、文件系统 UUID、TCP 扩展指标
安全增强：服务初始化脚本（pmie/pmlogger/pmcd）以更低权限运行（pcp:pcp 用户）

7.6. docker-ce 28.0.1

通过 OpenCloudOS 社区 EPOL9 软件源可获取 docker-ce 28.0.1 版本
docker-proxy 更新：docker-proxy二进制文件更新，旧版本无法与新dockerd兼容；不再使用rootlesskit-docker-proxy
DNS 配置调整：从主机/etc/resolv.conf读取的 DNS服务器始终从主机网络命名空间访问；特定情况下不再使用 Google 的 DNS 服务器
端口发布与网络隔离：dockerd在 Linux 内核中需要ipset支持；广泛修改iptables和ip6tables规则实现端口发布和网络隔离，涉及功能变化和规则清理；修复多个端口相关的安全问题和连接问题；新增gateway_mode_ipv[46]网络模式选项。
IPv6 支持提升：docker network create添加--ipv4选项；--ipv6守护进程选项使用更灵活；IPAM 可处理更大的子网；禁用桥接网络中地址的重复地址检测；改进host-gateway与 IPv6-only 网络的兼容性。

8. 编解码

8.1. libvpx 1.14.1

Neon (Arm)指令集优化带来 VoD 视频处理速度提升，bitdepth 8 提升 12-35%，对于高 bitdepth 提升可达 68%-151%。
对 x86 平台的 AVX2 和 SSE 指令集和龙芯的 LSX 指令集也进行了优化改进。
在 speed 0 VoD encoding（质量最高速度最慢）上速度提升 42-49

9. web远程桌面

9.1. KasmVNC

Web 化访问：无需安装客户端，通过浏览器（Chrome/Firefox）直接连接远程桌面，支持响应式设计。
安全升级：内置 TLS 加密，支持 LDAP/OAuth/SAML 等身份验证，密码策略更灵活。
性能优化：采用 VP8/VP9 编码，动态调整压缩率，低带宽场景下延迟显著降低。功能扩展：支持双向剪贴板同步、文件传输，可集成至容器化工作流（如 Docker）。

10. AI 大模型生态

10.1. AI 算力引擎加速

Kasana-LLM 支持

支持腾讯自研高性能 LLM 推理引擎：Kasana-LLM。在传统的算子融合，ContinousBatching等推理加速技术的基础上，通过显存优化，异步调度和计算复用等技术，Kasana-LLM 相比vLLM，TensorRT-LLM 等著名开源框架的推理单价低 20%+。另外，为了应对高端 GPU 卡供应问题，Kasana-LLM 在高性能 LLM 推理框架领域实现了同时支持 Nvidia GPU 卡和华为NPU 卡。