Кампанія SUSE апублікавала трэці прататып платформы ALP "Piz Bernina" (Adaptable Linux Platform), якая пазіцыянуецца як працяг развіцця дыстрыбутыва SUSE Linux Enterprise. Ключавым адрозненнем ALP з'яўляецца падзел базавай асновы дыстрыбутыва на дзве часткі: зрэзаную "host OS" для працы па-над абсталяваннем і пласт для падтрымкі прыкладанняў, арыентаваны на запуск у кантэйнерах і віртуальных машынах. ALP першапачаткова развіваецца з выкарыстаннем адчыненага працэсу распрацоўкі, пры якім прамежкавыя зборкі і вынікі тэставання публічна даступныя ўсім жадаючым.
Трэці прататып уключае ў сябе дзве асобныя галінкі, якія ў бягучым выглядзе блізкія па начынні, але ў будучыні будуць развівацца ў напрамку розных абласцей прымянення і будуць адрознівацца якія прадстаўляюцца сэрвісамі. Для тэставання даступная галінка Bedrock, арыентаваная на выкарыстанне ў серверных сістэмах, і галінка Micro, разлічаная для пабудовы хмарных сістэм (cloud-native) і запуску мікрасэрвісаў. Гатовыя зборкі падрыхтаваны для архітэктуры x86_64 (Bedrock, Micro). Дадаткова даступныя зборачныя сцэнары (Bedrock, Micro) для архітэктур Aarch64, PPC64le і s390x.
Архітэктура ALP заснавана на развіцці ў "host OS" асяроддзі, мінімальна неабходнага для падтрымкі і кіраванні абсталяваннем. Усе прыкладанні і кампаненты прасторы карыстача прапануецца запускаць не ў змяшаным асяроддзі, а ў асобных кантэйнерах ці ў віртуальныя машыны, якія выконваюцца па-над «host OS» і ізаляваных сябар ад сябра. Падобная арганізацыя дазволіць карыстальнікам сфакусаваць увагу на дадатках і абстрагаваць працоўныя працэсы, аддзяліўшы іх ад нізкаўзроўневага сістэмнага асяроддзя і абсталявання.
У якасці асновы для "host OS" задзейнічаны прадукт SLE Micro, заснаваны на напрацоўках праекту MicroOS. Для цэнтралізаванага кіравання прапануюцца сістэмы кіравання канфігурацыяй Salt (прадусталяваная) і Ansible (опцыя). Для запуску ізаляваных кантэйнераў даступныя інструментарыі Podman і K3s (Kubernetes). Сярод сістэмных кампанентаў, вынесеных у кантэйнеры, прысутнічаюць yast2, podman, k3s, cockpit, GDM (GNOME Display Manager) і KVM.
З асаблівасцяў сістэмнага асяроддзя згадваецца выкарыстанне па змаўчанні дыскавага шыфравання (FDE, Full Disk Encryption) з магчымасцю захоўвання ключоў у TPM. Каранёвы раздзел мантуецца ў рэжыме толькі для чытання і не мяняецца ў працэсе працы. У асяроддзі прымяняецца механізм атамарнай устаноўкі абнаўленняў. У адрозненне ад атамарных абнаўленняў на базе ostree і snap, якія выкарыстоўваюцца ў Fedora і Ubuntu, у ALP замест пабудовы асобных атамарных выяў і разгортванні дадатковай інфраструктуры дастаўкі ўжываюцца штатны пакетны мэнэджар і механізм снапшотаў у ФС Btrfs.
Прадугледжаны наладжвальны рэжым аўтаматычнай усталёўкі абнаўленняў (напрыклад, можна ўлучыць аўтаўстаноўку толькі выпраўленняў крытычных уразлівасцяў або вярнуцца да ручнога пацверджання ўсталёўкі абнаўленняў). Для абнаўлення ядра Linux без перазапуску і прыпыненні працы падтрымліваюцца live-патчы. Для падтрымання жывучасці сістэмы (self-healing) ажыццяўляецца фіксацыя апошняга стабільнага стан пры дапамозе снапшотаў Btrfs (у выпадку выяўленне анамалій пасля прымянення абнаўленняў або змены налад сістэма аўтаматычна пераводзіцца ў папярэдні стан).
У платформе прымяняецца шматверсійны праграмны стэк - дзякуючы прымяненню кантэйнераў можна адначасова выкарыстоўваць розныя версіі інструментаў і прыкладанняў. Напрыклад, можна запускаць прыкладанні, якія выкарыстоўваюць у залежнасцях розныя версіі Python, Java і Node.js, падзяляючы несумяшчальныя паміж сабой залежнасці. Базавыя залежнасці пастаўляюцца ў форме набораў BCI (Base Container Images). Карыстальнік можа ствараць, абнаўляць і выдаляць праграмныя стэкі не закранаючы іншыя асяроддзі.
Для ўсталёўкі ўжываецца ўсталёўнік D-Installer, у якім карыстацкі інтэрфейс аддзелены ад унутраных кампанентаў YaST і маецца магчымасць выкарыстання розных франтэндаў, у тым ліку франтэнда для кіравання ўсталёўкай праз web-інтэрфейс. Падтрымліваецца выкананне кліентаў YaST (bootloader, iSCSIClient, Kdump, firewall і да т.п.) у асобных кантэйнерах.
Асноўныя змены ў трэцім прататыпе ALP:
- Прадастаўленне годнага даверу асяроддзя (Trusted Execution Environment) для канфідэнцыйных вылічэнняў, якое дазваляе бяспечна апрацоўваць дадзеныя з выкарыстаннем ізаляцыі, шыфраванні і віртуальная машына.
- Ужыванне апаратнай і runtime атэстацыі для праверкі цэласнасці выкананых задач.
- Базіс для падтрымкі канфідэнцыйных віртуальных машын (CVM, Confidential Virtual Machine).
- Інтэграцыя падтрымай платформы NeuVector для праверкі бяспекі кантэйнераў, вызначэнні наяўнасці ўразлівых кампанентаў і выяўленні шкоднаснай актыўнасці.
- Падтрымка архітэктуры s390x у дадатак да x86_64 і aarch64.
- Магчымасць уключэння на этапе ўсталёўкі паўнадыскавага шыфравання (FDE, Full Disk Encryption) з захоўваннем ключоў у TPMv2 і без неабходнасці ўводу парольнай фразы падчас першай загрузкі. Эквівалентная падтрымка як шыфраванні звычайных частак, так і частак LVM (Logical Volume Manager).
Крыніца: opennet.ru
