SUSE ha publicat el tercer prototip de l'ALP "Piz Bernina" (plataforma Linux adaptable), posicionat com a continuació del desenvolupament de la distribució SUSE Linux Enterprise. La diferència clau entre ALP és la divisió de la base bàsica de la distribució en dues parts: un "SO amfitrió" reduït per executar-se a la part superior del maquinari i una capa de suport d'aplicacions centrada a executar-se en contenidors i màquines virtuals. ALP es desenvolupa inicialment mitjançant un procés de desenvolupament obert, en el qual les compilacions intermèdies i els resultats de les proves estan disponibles públicament per a tothom.
El tercer prototip inclou dues branques separades, que en la forma actual són properes pel que fa al farcit, però que en el futur es desenvoluparan cap a diferents àrees d'aplicació i es diferenciaran en els serveis prestats. Per fer proves, hi ha disponible la branca Bedrock, que se centra en l'ús en sistemes de servidor, i la branca Micro, dissenyada per construir sistemes de núvol (nadius al núvol) i executar microserveis. Els conjunts preparats estan preparats per a l'arquitectura x86_64 (Bedrock, Micro). A més, hi ha scripts de compilació disponibles (Bedrock, Micro) per a arquitectures Aarch64, PPC64le i s390x.
L'arquitectura d'ALP es basa en el desenvolupament en el "OS host" de l'entorn, el mínim necessari per donar suport i controlar equips. Es proposa que totes les aplicacions i components de l'espai d'usuari s'executin no en un entorn mixt, sinó en contenidors separats o en màquines virtuals que s'executen sobre el "SO amfitrió" i aïllades les unes de les altres. Aquesta organització permetrà als usuaris centrar-se en aplicacions i fluxos de treball abstractes de l'entorn del sistema i el maquinari de baix nivell.
El producte SLE Micro, basat en els desenvolupaments del projecte MicroOS, s'utilitza com a base per al "OS amfitrió". Per a la gestió centralitzada, s'ofereixen sistemes de gestió de configuració Salt (preinstal·lat) i Ansible (opcional). Els kits d'eines Podman i K3s (Kubernetes) estan disponibles per executar contenidors aïllats. Els components del sistema en contenidors inclouen yast2, podman, k3s, cockpit, GDM (GNOME Display Manager) i KVM.
De les característiques de l'entorn del sistema, s'esmenta l'ús predeterminat del xifratge de disc (FDE, Full Disk Encryption) amb la possibilitat d'emmagatzemar claus al TPM. La partició arrel es munta en mode de només lectura i no canvia durant el funcionament. L'entorn utilitza el mecanisme d'instal·lació d'actualització atòmica. A diferència de les actualitzacions atòmiques basades en ostree i snap utilitzades a Fedora i Ubuntu, ALP utilitza un gestor de paquets normal i el mecanisme d'instantànies al sistema de fitxers Btrfs en lloc de crear imatges atòmiques separades i desplegar una infraestructura de lliurament addicional.
Es proporciona un mode configurable per a la instal·lació automàtica d'actualitzacions (per exemple, podeu habilitar la instal·lació automàtica de solucions només per a vulnerabilitats crítiques o tornar a la confirmació manual de la instal·lació d'actualitzacions). Els pedaços en directe són compatibles per actualitzar el nucli de Linux sense reiniciar ni suspendre el treball. Per mantenir la supervivència del sistema (autocuració), l'últim estat estable es corregeix mitjançant instantànies Btrfs (en cas que es detectin anomalies després d'aplicar actualitzacions o canviar la configuració, el sistema es transfereix automàticament a l'estat anterior).
La plataforma utilitza una pila de programari multiversió, que permet utilitzar diferents versions d'eines i aplicacions al mateix temps mitjançant l'ús de contenidors. Per exemple, podeu executar aplicacions que depenen de diferents versions de Python, Java i Node.js separant les dependències incompatibles. Les dependències base es presenten en forma de conjunts BCI (Imatges de contenidors base). L'usuari pot crear, actualitzar i eliminar piles de programari sense afectar altres entorns.
Per a la instal·lació, s'utilitza l'instal·lador D-Installer, en el qual la interfície d'usuari està separada dels components interns de YaST i és possible utilitzar diverses interfícies, inclosa la interfície per gestionar la instal·lació mitjançant una interfície web. S'admet per executar clients YaST (carregador d'arrencada, iSCSIClient, Kdump, tallafoc, etc.) en contenidors separats.
Principals canvis en el tercer prototip ALP:
- Proporcionar un entorn de confiança (Trusted Execution Environment) per a la informàtica confidencial, que us permet processar dades de manera segura mitjançant màquines virtuals, aïllament i xifratge.
- Aplicació de maquinari i certificació de temps d'execució per verificar la integritat de les tasques en execució.
- Base per al suport de màquines virtuals confidencials (CVM, Confidential Virtual Machine).
- Integrar suport per a la plataforma NeuVector per comprovar la seguretat dels contenidors, determinar la presència de components vulnerables i detectar activitats malicioses.
- Suport per a l'arquitectura s390x a més de x86_64 i aarch64.
- Possibilitat d'habilitar el xifratge de disc complet (FDE, Full Disk Encryption) en l'etapa d'instal·lació amb emmagatzematge de claus a TPMv2 i sense necessitat d'introduir una frase de contrasenya durant el primer arrencada. Suport equivalent tant per a l'encriptació de particions normals com per a particions LVM (Gestor de volum lògic).
Font: opennet.ru