نشرت SUSE النموذج الأولي الثالث لمنصة ALP "Piz Bernina" (منصة Linux القابلة للتكيف)، والتي تم وضعها كاستمرار لتطوير توزيع SUSE Linux Enterprise. يتمثل الاختلاف الرئيسي بين ALP في تقسيم التوزيع الأساسي إلى جزأين: "نظام تشغيل مضيف" تم تجريده للتشغيل فوق الأجهزة وطبقة لدعم التطبيقات تهدف إلى التشغيل في الحاويات والأجهزة الافتراضية. تم تطوير ALP مبدئيًا باستخدام عملية تطوير مفتوحة، حيث تكون الإصدارات المتوسطة ونتائج الاختبار متاحة للجميع بشكل عام.
يشتمل النموذج الأولي الثالث على فرعين منفصلين، وهما في شكلهما الحالي متشابهان في المحتوى، لكنهما سيتطوران في المستقبل في اتجاه مجالات تطبيق مختلفة وسيختلفان في الخدمات التي يقدمانها. فرع Bedrock، الموجه نحو الاستخدام في أنظمة الخادم، وفرع Micro، المصمم لبناء أنظمة سحابية أصلية وتشغيل الخدمات الصغيرة، متاحان للاختبار. تم إعداد التجميعات الجاهزة للهندسة المعمارية x86_64 (Bedrock، Micro). بالإضافة إلى ذلك، تتوفر البرامج النصية للتجميع (Bedrock وMicro) لبنيات Aarch64 وPPC64le وs390x.
تعتمد بنية ALP على التطوير في "نظام التشغيل المضيف" للبيئة وهو الحد الأدنى الضروري لدعم المعدات وإدارتها. يُقترح تشغيل جميع التطبيقات ومكونات مساحة المستخدم ليس في بيئة مختلطة، ولكن في حاويات منفصلة أو أجهزة افتراضية تعمل فوق "نظام التشغيل المضيف" ومعزولة عن بعضها البعض. ستسمح هذه المؤسسة للمستخدمين بالتركيز على التطبيقات ومهام سير العمل المجردة بعيدًا عن بيئة النظام والأجهزة الأساسية.
يتم استخدام منتج SLE Micro، استنادًا إلى تطورات مشروع MicroOS، كأساس لـ "نظام التشغيل المضيف". بالنسبة للإدارة المركزية، يتم تقديم أنظمة إدارة التكوين Salt (المثبتة مسبقًا) وAnsible (اختياري). تتوفر أدوات Podman وK3s (Kubernetes) لتشغيل الحاويات المعزولة. من بين مكونات النظام الموضوعة في الحاويات، yast2 وpodman وk3s وcockpit وGDM (GNOME Display Manager) وKVM.
من بين ميزات بيئة النظام، يتم ذكر الاستخدام الافتراضي لتشفير القرص (FDE، تشفير القرص الكامل) مع القدرة على تخزين المفاتيح في TPM. يتم تثبيت القسم الجذر في وضع القراءة فقط ولا يتغير أثناء التشغيل. تستخدم البيئة آلية تثبيت التحديث الذري. على عكس التحديثات الذرية المستندة إلى ostree وsnap المستخدمة في Fedora وUbuntu، يستخدم ALP مدير حزم قياسي وآلية لقطة في نظام الملفات Btrfs بدلاً من إنشاء صور ذرية منفصلة ونشر بنية تحتية إضافية للتسليم.
يوجد وضع قابل للتكوين للتثبيت التلقائي للتحديثات (على سبيل المثال، يمكنك تمكين التثبيت التلقائي لتصحيحات الثغرات الأمنية الحرجة فقط أو العودة إلى تأكيد تثبيت التحديثات يدويًا). يتم دعم التصحيحات المباشرة لتحديث نواة Linux دون إعادة التشغيل أو إيقاف العمل. للحفاظ على بقاء النظام (الشفاء الذاتي)، يتم تسجيل آخر حالة مستقرة باستخدام لقطات Btrfs (إذا تم اكتشاف حالات شاذة بعد تطبيق التحديثات أو تغيير الإعدادات، فسيتم نقل النظام تلقائيًا إلى الحالة السابقة).
تستخدم المنصة مجموعة برامج متعددة الإصدارات - بفضل استخدام الحاويات، يمكنك استخدام إصدارات مختلفة من الأدوات والتطبيقات في نفس الوقت. على سبيل المثال، يمكنك تشغيل التطبيقات التي تستخدم إصدارات مختلفة من Python وJava وNode.js كتبعيات، مع فصل التبعيات غير المتوافقة. يتم توفير التبعيات الأساسية في شكل مجموعات BCI (صور الحاوية الأساسية). يمكن للمستخدم إنشاء مجموعات البرامج وتحديثها وحذفها دون التأثير على البيئات الأخرى.
للتثبيت، يتم استخدام مثبت D-Installer، حيث يتم فصل واجهة المستخدم عن المكونات الداخلية لـ YaST ومن الممكن استخدام واجهات أمامية مختلفة، بما في ذلك واجهة أمامية لإدارة التثبيت عبر واجهة الويب. يتم دعم تنفيذ عملاء YaST (أداة تحميل التشغيل، وiSCSIClient، وKdump، وجدار الحماية، وما إلى ذلك) في حاويات منفصلة.
التغييرات الرئيسية في النموذج الأولي الثالث لـ ALP:
- توفير بيئة تنفيذ موثوقة للحوسبة السرية، مما يسمح بالمعالجة الآمنة للبيانات باستخدام العزل والتشفير والأجهزة الافتراضية.
- استخدام الأجهزة وشهادة وقت التشغيل للتحقق من سلامة المهام التي يتم تنفيذها.
- أساس دعم الأجهزة الافتراضية السرية (CVM، Confidential Virtual Machine).
- تكامل الدعم لمنصة NeuVector للتحقق من أمان الحاويات، وتحديد وجود المكونات الضعيفة وتحديد الأنشطة الضارة.
- دعم معمارية s390x بالإضافة إلى x86_64 وaarch64.
- القدرة على تمكين تشفير القرص بالكامل (FDE، تشفير القرص الكامل) في مرحلة التثبيت باستخدام المفاتيح المخزنة في TPMv2 ودون الحاجة إلى إدخال عبارة مرور أثناء التمهيد الأول. دعم مكافئ لكل من تشفير الأقسام العادية وأقسام LVM (إدارة الحجم المنطقي).
المصدر: opennet.ru