Проект Linux Containers представил атомарно обновляемый дистрибутив IncusOS

Стефан Грабе (Stéphane Graber), лидер проекта Linux Containers, один из создателей инструментария LXC, член управляющего технического совета Ubuntu и участник команд, отвечающих за выпуск релизов Ubuntu, представил новый Linux-дистрибутив IncusOS. IncusOS предоставляет атомарно обновляемый системный образ для создания серверов, централизованное управление которыми осуществляется при помощи инструментария Incus (форк LXD). Дистрибутив развивается под эгидой проекта Linux Containers, отвечающего за разработку инструментариев LXC и Incus. Наработки проекта написаны на языке Go и распространяются под лицензией Apache 2.0.

Системные образы поставляются для архитектур x86_64 и ARM64, и базируются на урезанном окружении Debian 13 и ядре Linux из репозитория Zabbly, формирующего пакеты с «ванильными» версиями ядра для Debian и Ubuntu, дополненные патчами и изменениями настроек для оптимизации запуска контейнеров в окружении на базе инструментария Incus. В качестве файловой системы используется ZFS.

Сборки формируются при помощи инструментария mkosi, созданного Леннартом Поттерингом. Базовое системное окружение подключается в режиме только для чтения. Для установки дополнительных приложений применяется утилита systemd-sysext, позволяющая распространять приложения в форме образов расширения системы (System Extension), содержимое которых накладывается на иерархию /usr/ при помощи OverlayFS. Поддерживается резервное копирование и восстановление настроек основной системы и данных отдельных приложений, а также сброс настроек в исходное состояние (Factory reset) для всей ОС или выбранных приложений.

Для обновления системы применяется компонент systemd-sysupdate, использующий механизм атомарной замены разделов — присутствует два независимых раздела, на одном из которых находится рабочая система, а в другой устанавливается очередное обновление, после чего разделы меняются местами. Для обеспечения целостности загрузочного окружения применяется загрузка с использованием UEFI Secure Boot и полнодисковое шифрование (LUKS) с хранением информации для расшифровки ключей в TPM 2.0 (Trusted Platform Module).

Начинка системного окружения урезана до минимума и содержит только компоненты, необходимые для запуска Incus. В окружении отсутствует командная оболочка и традиционные возможности для управления из командной строки или удалённого подключения по SSH. Вместо этого все операции управления и настройки производятся только через REST API системы Incus c аутентификацией по клиентскому TLS-сертификату или через OIDC (OpenID Connect). Управление всеми серверами осуществляется централизовано через web-интерфейс Operations Center или CLI-интерфейс Incus. Для переноса контейнеров и виртуальных машин из других систем, таких как VMware vCenter, предоставляется Migration Manager.

Для получения загрузочного образа применяется online-генератор, позволяющий подготовить образ на основе указанных параметров и задать seed-архив с настройками, такими как TLS-сертификат для клиентского доступа, идентификатор блочного устройства для установки и настройки сети (по умолчанию сеть конфигурируется через DHCPv4 или SLAAC (Stateless Address Autoconfiguration)). Интерактивный режиме установки не поддерживается — все параметры для установки и начальной настройки определяются через встроенный блок конфигурации, передаваемый при первой загрузке. Поддерживается установка образа IncusOS как поверх оборудования, так и в виртуальных машинах под управлением платформ libvirt, Incus, Proxmox, VirtualBox и VMware.

Возможности, связанные с хранилищем:

• автоматическое развёртывание локального пула ZFS;
• создание сложных пулов ZFS на дополнительных дисках;
• поддержка NVME-over-TCP, iSCSI, Fiber Channel и Multipath;
• возможность создания кластерных конфигураций LVM поверх Fiber Channel, NVME-over-TCP или iSCSI;
• возможность создания программных хранилищ на базе распределённой ФС Ceph.

Сетевые возможности:

• автоматическая поддержка VLAN при работе в режиме сетевого моста, упрощающая подключение виртуальных машин к любым сетевым интерфейсам;
• поддержка агрегирования каналов связи;
• поддержка LLDP (Link Layer Discovery Protocol);
• поддержка корпоративных прокси (включая аутентификацию через Kerberos);
• поддержка NTP (Network Time Protocol);
• возможность сохранения логов на внешнем сервере через syslog;
• поддержка OVS/OVN для программного определяемых сетей OVS (Open vSwitch) и OVN (Open Virtual Network);
• встроенная поддержка VPN-сети Tailscale (в планах поддержка Netbird).

Источник: opennet.ru