SUSE het die derde prototipe van die ALP-platform "Piz Bernina" (Aanpasbaar) vrygestel. Linux Platform), geposisioneer as 'n voortsetting van die ontwikkeling van die SUSE-verspreiding Linux Onderneming. ALP se belangrikste onderskeid is die verdeling van die verspreiding se kernfondament in twee dele: 'n afgeskaalde "gasheer-bedryfstelsel" vir die loop op hardeware en 'n toepassingsondersteuningslaag wat ontwerp is vir die loop in houers en virtuele masjiene. ALP word aanvanklik ontwikkel met behulp van 'n oop ontwikkelingsproses, met tussentydse boue en toetsresultate wat publiek beskikbaar is vir enigiemand wat belangstel.
Die derde prototipe sluit twee afsonderlike takke in, wat in hul huidige vorm soortgelyk is in inhoud, maar in die toekoms sal hulle ontwikkel in die rigting van verskillende toepassingsareas en sal verskil in die dienste wat hulle verskaf. Die Bedrock-tak, gerig op gebruik in bedienerstelsels, en die Mikro-tak, wat ontwerp is vir die bou van wolk-inheemse stelsels en die uitvoer van mikrodienste, is beskikbaar vir toetsing. Klaargemaakte samestellings word voorberei vir x86_64-argitektuur (Bedrock, Micro). Daarbenewens is samestellingskrifte beskikbaar (Bedrock, Micro) vir die Aarch64-, PPC64le- en s390x-argitekture.
Die ALP-argitektuur is gebaseer op die ontwikkeling van 'n gasheer-OS-omgewing wat minimaal benodig word om hardeware te ondersteun en te bestuur. Daar word voorgestel dat alle toepassings en gebruikersruimte-komponente nie in 'n gemengde omgewing loop nie, maar in aparte houers of in ... virtuele masjiene, wat bo-op die gasheer-bedryfstelsel loop en van mekaar geïsoleerd is. Hierdie organisasie laat gebruikers toe om op toepassings en abstrakte werkvloeie te fokus, en skei hulle van die lae-vlak stelselomgewing en hardeware.
Die SLE Micro-produk, gebaseer op die ontwikkelings van die MicroOS-projek, word gebruik as die basis vir die "gasheer-bedryfstelsel". Vir gesentraliseerde bestuur word konfigurasiebestuurstelsels Salt (vooraf geïnstalleer) en Ansible (opsioneel) aangebied. Podman en K3s (Kubernetes) gereedskap is beskikbaar om geïsoleerde houers te laat loop. Onder die stelselkomponente wat in houers geplaas word, is yast2, podman, k3s, kajuit, GDM (GNOME Display Manager) en KVM.
Onder die kenmerke van die stelselomgewing word melding gemaak van die standaardgebruik van skyf-enkripsie (FDE, Full Disk Encryption) met die opsie om sleutels in die TPM te stoor. Die wortelpartisie word in leesalleen-modus gemonteer en verander nie tydens werking nie. Die omgewing gebruik 'n atoomopdateringsmeganisme. Anders as die atoomopdaterings gebaseer op ostree en snap, wat in Fedora en ... gebruik word. Ubuntu, in ALP, in plaas daarvan om aparte atoombeelde te bou en addisionele afleweringsinfrastruktuur te ontplooi, word die standaard pakketbestuurder en momentopname-meganisme in die Btrfs FS gebruik.
'n Konfigureerbare outomatiese opdateringsinstallasiemodus word voorsien (byvoorbeeld, jy kan outomatiese installasie van slegs kritieke kwesbaarheidsoplossings aktiveer of terugkeer na handmatige bevestiging van opdateringsinstallasie). Om die kern op te dateer Linux Regstreekse kolle word ondersteun sonder om te herbegin of die werking te onderbreek. Om die stelsel se oorlewingsvermoë (selfgenesing) te handhaaf, word die laaste stabiele toestand vasgelê met behulp van Btrfs-kiekies (indien afwykings bespeur word na die toepassing van opdaterings of die verandering van instellings, word die stelsel outomaties na die vorige toestand herstel).
Die platform gebruik 'n multi-weergawe sagteware stapel - danksy die gebruik van houers, kan jy gelyktydig verskillende weergawes van gereedskap en toepassings gebruik. Byvoorbeeld, jy kan toepassings laat loop wat verskillende weergawes van Python, Java en Node.js as afhanklikhede gebruik, wat onversoenbare afhanklikhede skei. Basisafhanklikhede word verskaf in die vorm van BCI (Base Container Images)-stelle. Die gebruiker kan sagtewarestapels skep, opdateer en uitvee sonder om ander omgewings te beïnvloed.
Vir installasie word die D-Installer installeerder gebruik, waarin die gebruikerskoppelvlak geskei word van die interne komponente van YaST en dit moontlik is om verskeie frontends te gebruik, insluitend 'n frontend vir die bestuur van die installasie via 'n webkoppelvlak. Uitvoering van YaST-kliënte (selflaaiprogram, iSCSIClient, Kdump, firewall, ens.) in aparte houers word ondersteun.
Groot veranderinge in die derde ALP-prototipe:
- Die verskaffing van 'n Vertroude Uitvoeringsomgewing (TEE) vir vertroulike rekenaars, wat veilige dataverwerking moontlik maak deur middel van isolasie, enkripsie en virtuele masjiene.
- Gebruik van hardeware en runtime-sertifisering om die integriteit van die take wat uitgevoer word, te verifieer.
- Basis vir die ondersteuning van vertroulike virtuele masjiene (CVM, Confidential Virtual Machine).
- Integrasie van ondersteuning vir die NeuVector-platform om die sekuriteit van houers te verifieer, die teenwoordigheid van kwesbare komponente te bepaal en kwaadwillige aktiwiteit te identifiseer.
- Ondersteuning vir s390x-argitektuur bykomend tot x86_64 en aarch64.
- Die vermoë om volskyf-enkripsie (FDE, Full Disk Encryption) tydens die installasiestadium te aktiveer met sleutels wat in TPMv2 gestoor is en sonder dat dit nodig is om 'n wagwoordfrase tydens die eerste selflaai in te voer. Ekwivalente ondersteuning vir beide enkripsie van gewone partisies en LVM (Logical Volume Manager) partisies.
Bron: opennet.ru
