平台與維運 2026 年 5 月 31 日

2026-05-31 — NixOS 26.05 Yarara、Linux FIPS 可載入模組、三層雲原生 IDP

primary=https://nixos.org/blog/announcements/2026/nixos-2605/ primary=https://lwn.net/Articles/1073759/ primary=https://www.cncf.io/blog/2026/05/29/building-a-cloud-native-internal-developer-platform-with-kubernetes-gitops-and-supply-chain-security/

Charlie · github.com/charlie0227 · 1 min read

NixOS 26.05「Yarara」釋出:systemd Stage 1 轉為預設,x86_64-darwin 進入倒數

NixOS · 2026-05-28

NixOS 26.05「Yarara」於 2026 年 5 月 28 日正式釋出,2,842 名貢獻者完成 59,703 個 commit。最重要的系統架構變更是 systemd-based initrd(stage 1)正式成為預設,並宣告本版本為 x86_64-darwin(Intel Mac)支援的最後一個穩定版本。

systemd Stage 1 轉為預設

systemd initrd 自 NixOS 23.11 起提供為可選項,在 26.05 全面啟用。主要影響:

  • 早期開機錯誤現在輸出至 systemd-journald,可用 journalctl -b -p err 查詢
  • systemd-cryptsetup 與 TPM2 整合的 LUKS2 磁碟解密配置更直接
  • boot.initrd.systemd.enable = false 可手動切換回 scripted initrd(deprecated)
  • 原有 boot.initrd.extraFiles 配置可能需調整路徑或改用 boot.initrd.systemd.storePaths

工具鏈與主要更新

元件25.1126.05
GCC1415
LLVM1921
GNOME4850 "Tokyo"
新套件數+20,442

x86_64-darwin 終止計畫

Nixpkgs 的 x86_64-darwin(Intel macOS)平台支援在 26.05 後進入終止階段。二進位快取維持至 2026-12-31,之後 Hydra CI 不再為此平台建構套件。aarch64-darwin(Apple Silicon)不受影響。從 x86_64-darwin 遷移的使用者可直接改用 Rosetta 2 下的 aarch64-darwin,現有 Nix 配置通常無需修改。NixOS 25.11「Xantusia」的 EOL 為 2026-06-30,須在此前完成升級。

原始來源:NixOS 官方公告

Linux 可載入 FIPS 加密模組提案:讓認證加密跨核心版本共用

LWN.net · 2026-05-29

一組核心開發者在 LKML 提出補丁,計畫將 Linux 核心的加密演算法實作解耦成獨立的可載入模組,使經過 FIPS 140-3 認證的加密程式碼可跨核心主版本重用,大幅縮短每次主核心升級所需的重新認證週期。

背景:FIPS 認證的版本困境

FIPS 140-3 認證針對特定的軟體構建(build)發出,並非針對演算法規格。每當 Linux 核心發布新主版本,部署在 FIPS 合規環境(金融、政府、醫療)的組織理論上需要重新認證整個核心的加密子系統,實際上造成認證滯後數月至數年。目前部分 distro 以「凍結」核心版本規避此問題,代價是無法及時取得安全修補

提案架構

補丁將 arch/x86/crypto/crypto/ 下的核心演算法實作拆出為獨立的 crypto-fips.ko 模組,定義嚴格的 ABI 介面(符號版本化)。模組一旦通過 FIPS 認證,可在不同核心的 crypto_alg_ 框架下載入,只要 ABI 版本相符。核心主體的非 FIPS 路徑繼續使用原有加密實作,認證版本在 boot time 透過核心命令列參數 crypto.fips_module=1 顯式啟用

影響範圍

提案目前處於 RFC 階段,主要技術爭議在於 ABI 穩定性保證的範圍,以及模組簽名機制如何與 FIPS boundary 的完整性要求配合。若合併進主線,最直接受益的是 Red Hat Enterprise Linux、SUSE Linux Enterprise 等以 FIPS 合規為核心賣點的商業發行版,以及 AWS GovCloud、Azure Government 等需維持持續 FIPS 認證狀態的雲端環境。

原始來源:LWN.net

三層雲原生 IDP:Argo CD + Cosign + Kyverno 達成 95% 部署成功率

CNCF · 2026-05-29

CNCF 部落格發表完整 Internal Developer Platform(IDP)的架構案例,三層設計處理基礎設施佈建、平台工具鏈和應用程式部署,結合 GitOps、supply chain security 和 policy enforcement,達成約 95% 部署成功率與 15 分鐘以內的預置時間

三層架構

  • Infrastructure Layer:Terraform 模組化佈建 VNet、Managed K8s、Container Registry、Identity Store
  • Platform Layer:Argo CD(GitOps)、Istio(service mesh)、Prometheus + Grafana + Loki(可觀測性)、Kyverno(policy enforcement)
  • Application Layer:Helm 封裝、Git 驅動部署、獨立版本週期

Supply Chain Security

  • Trivy:容器映像和依賴漏洞掃描
  • Cosign(keyless OIDC):所有映像加密簽名,部署前驗證
  • Kyverno Admission Policy:禁止 latest tag,強制 pinned 版本
  • Falco + AppArmor:執行期異常偵測

GitOps 透過 Argo CD 的 auto-sync + self-healing 消除設定漂移,80% 的漏洞在 staging 前被攔截,設定漂移降至近零。

原始來源:CNCF Blog

End of article

More on this topic

平台與維運
2026-05-30 — KEDA GPU Autoscaling、Garnix CI 關閉、三層 IDP 架構
5 月 30, 2026 · 1 min read
平台與維運
2026-05-29 — ClickStack Cloud 無伺服器可觀測性、etcd 3.7.0-beta.0 RangeStream
5 月 29, 2026 · 1 min read
平台與維運
2026-05-28 — CVE-2026-31431 Docker AF_ALG、Google 零信任聚合私人分析
5 月 28, 2026 · 1 min read
0
Would love your thoughts, please comment.x
()
x