SUSE je objavio treći prototip ALP platforme “Piz Bernina” (Adaptable Linux Platform), pozicioniran kao nastavak razvoja SUSE Linux Enterprise distribucije. Ključna razlika između ALP-a je podjela osnovne distribucije na dva dijela: smanjeni “host OS” za rad na vrhu hardvera i sloj za podršku aplikacija, usmjerenih na rad u kontejnerima i virtuelnim mašinama. ALP je inicijalno razvijen korištenjem otvorenog procesa razvoja, u kojem su međugradnje i rezultati testiranja javno dostupni svima.
Treći prototip uključuje dvije odvojene grane koje su u sadašnjem obliku slične po sadržaju, ali će se u budućnosti razvijati u pravcu različitih područja primjene i razlikovati se po uslugama koje pružaju. Grana Bedrock, orijentirana na korištenje u serverskim sistemima, i Micro grana, dizajnirana za izgradnju Cloud-native sistema i pokretanje mikroservisa, dostupni su za testiranje. Gotovi sklopovi su pripremljeni za x86_64 arhitekturu (Bedrock, Micro). Dodatno, dostupne su skripte za sklapanje (Bedrock, Micro) za arhitekture Aarch64, PPC64le i s390x.
ALP arhitektura je zasnovana na razvoju u „OS-u domaćina“ okruženja koje je minimalno neophodno za podršku i upravljanje opremom. Predlaže se pokretanje svih aplikacija i komponenti korisničkog prostora ne u mješovitom okruženju, već u zasebnim kontejnerima ili virtuelnim mašinama koje rade na vrhu „OS-a domaćina“ i izolovane jedna od druge. Ova organizacija će omogućiti korisnicima da se fokusiraju na aplikacije i apstraktne tokove posla daleko od osnovnog sistemskog okruženja i hardvera.
SLE Micro proizvod, baziran na razvoju projekta MicroOS, koristi se kao osnova za „host OS“. Za centralizovano upravljanje, u ponudi su sistemi za upravljanje konfiguracijom Salt (preinstaliran) i Ansible (opciono). Podman i K3s (Kubernetes) alati su dostupni za pokretanje izolovanih kontejnera. Među sistemskim komponentama smeštenim u kontejnere su yast2, podman, k3s, kokpit, GDM (GNOME Display Manager) i KVM.
Među karakteristikama sistemskog okruženja spominje se podrazumevano korišćenje šifrovanja diska (FDE, Full Disk Encryption) sa mogućnošću skladištenja ključeva u TPM. Root particija se montira u režimu samo za čitanje i ne menja se tokom rada. Okruženje koristi mehanizam atomske instalacije ažuriranja. Za razliku od atomskih ažuriranja zasnovanih na ostree-u i snap-u koji se koriste u Fedori i Ubuntu-u, ALP koristi standardni menadžer paketa i mehanizam snapshot-a u sistemu datoteka Btrfs umjesto izgradnje zasebnih atomskih slika i postavljanja dodatne infrastrukture za isporuku.
Postoji konfigurabilni način za automatsku instalaciju ažuriranja (na primjer, možete omogućiti automatsku instalaciju samo zakrpa za kritične ranjivosti ili se vratiti na ručno potvrđivanje instalacije ažuriranja). Podržane su zakrpe uživo za ažuriranje Linux kernela bez ponovnog pokretanja ili zaustavljanja rada. Da bi se održala opstojnost sistema (samoizlječenje), posljednje stabilno stanje se snima pomoću Btrfs snimaka (ako se anomalije otkriju nakon primjene ažuriranja ili promjene postavki, sistem se automatski prenosi u prethodno stanje).
Platforma koristi viševerzijski softverski stog - zahvaljujući upotrebi kontejnera, možete istovremeno koristiti različite verzije alata i aplikacija. Na primjer, možete pokrenuti aplikacije koje koriste različite verzije Python-a, Jave i Node.js kao ovisnosti, odvajajući nekompatibilne ovisnosti. Osnovne zavisnosti se isporučuju u obliku BCI (Base Container Images) skupova. Korisnik može kreirati, ažurirati i brisati softverske pakete bez uticaja na druga okruženja.
Za instalaciju se koristi instalater D-Installer u kojem je korisnički interfejs odvojen od internih komponenti YaST-a i moguće je koristiti različite frontende, uključujući frontend za upravljanje instalacijom putem web interfejsa. Podržano je izvršavanje YaST klijenata (bootloader, iSCSIClient, Kdump, firewall, itd.) u zasebnim kontejnerima.
Glavne promjene u trećem ALP prototipu:
- Pružanje pouzdanog okruženja za izvršavanje za povjerljivo računanje, omogućavajući sigurnu obradu podataka korištenjem izolacije, enkripcije i virtuelnih mašina.
- Upotreba hardverske i runtime certifikata za provjeru integriteta zadataka koji se izvršavaju.
- Osnova za podršku poverljivih virtuelnih mašina (CVM, Confidential Virtual Machine).
- Integracija podrške za NeuVector platformu za provjeru sigurnosti kontejnera, utvrđivanje prisutnosti ranjivih komponenti i identifikaciju zlonamjerne aktivnosti.
- Podrška za s390x arhitekturu pored x86_64 i aarch64.
- Mogućnost omogućavanja šifriranja cijelog diska (FDE, Full Disk Encryption) u fazi instalacije sa ključevima pohranjenim u TPMv2 i bez potrebe za unosom šifre prilikom prvog pokretanja. Ekvivalentna podrška za enkripciju regularnih particija i LVM (Upravitelj logičkog volumena) particija.
izvor: opennet.ru