Singularity 3.4.0 发布，Linux 应用程序容器

Singularity 是一个开放源码容器平台，旨在简化、快速和安全。Singularity 是针对 EPC 和 HPC 工作负载进行优化的，允许不受信任的用户以可信的方式运行不受信任的容器。3.4.0 版本已经发布，该版本强调了一个特性：构建和运行加密容器的能力。

这个版本的主要新特性是能够构建和运行加密的容器。这些容器是在休息时或在运输中，甚至在运行时是加密的。

换句话说，Singularity 容器在其整个生命周期中仍然是加密的。当它们被创建时，当它们处于静止状态或在周围传输时，甚至在使用它们时也是如此。由于它们使用内核空间进行数据解密，因此在终止时不需要清理解密的 rootfs。 具体更新如下：

• 使用 RSA 密钥和密码库构建和运行加密容器的新支持
  • 在 build 中添加 --pem-path 选项和基于 RSA 加密容器的操作命令
  • 在 build 中添加 --passphrase 选项和基于密码的加密容器的操作命令
  • 添加 SINGULARITY_ENCRYPTION_PEM_PATH 和 SINGULARITY_ENCRYPTION_PASSPHRASE 环境变量以提供与上面相同的功能
  • 当环境变量包含秘密时，在 build 中添加 --encrypt 选项以构建加密容器
• 新的 --disable-cache 标志防止缓存下载的容器
• 在 Singularity def 文件中增加了对多行变量的支持
• 增加对“indexed”def 文件变量的支持(如数组)
• 增加对 SUSE SLE 产品的支持
• 添加了 def-file 变量：product, user, regcode, productpgp, registerurl, modules, otherurl (indexed)
• 支持 scs 库中的多体系结构标记
• 添加 --dry-run 标志到 cache clean
• 添加 SINGULARITY_SYPGPDIR 环境变量指定 pgp 密钥数据的位置
• 当使用 --vm 选项运行时，添加 --nonet 选项给操作命令以禁用网络
• 在 key search 命令添加一个 --long-list 标志以保留
• 添加一个实验性、隐藏性的 --fusemount 标志，以传递一个命令，在容器中挂载一个基于 libfuse 3 的文件系统

其他更改：

• remote add 命令现在自动尝试登录，并添加 --no-login 标志以禁用此行为
• 使用 pull 命令下载未签名容器，不再生成错误代码
• 当没有 --force 选项运行时，cache clean 命令在清除之前提示用户
• 缩短了 key search 命令的默认输出
• pull 中 --allow-unsigned 命令已经不再用，将来会移除

详情见发布说明：

https://github.com/sylabs/singularity/releases