SUSE har udgivet den tredje prototype af ALP-platformen "Piz Bernina" (Adaptable Linux Platform), placeret som en fortsættelse af udviklingen af SUSE Linux Enterprise-distributionen. Nøgleforskellen mellem ALP er opdelingen af kernedistributionen i to dele: et strippet "værts-OS" til at køre oven på hardware og et lag til at understøtte applikationer, rettet mod at køre i containere og virtuelle maskiner. ALP udvikles i første omgang ved hjælp af en åben udviklingsproces, hvor mellembygninger og testresultater er offentligt tilgængelige for alle.
Den tredje prototype omfatter to separate grene, som i deres nuværende form er ens i indhold, men i fremtiden vil de udvikle sig i retning af forskellige anvendelsesområder og vil adskille sig i de tjenester, de leverer. Bedrock-grenen, orienteret mod brug i serversystemer, og Micro-grenen, designet til at bygge cloud-native systemer og køre mikrotjenester, er tilgængelige til test. Færdiglavede samlinger er forberedt til x86_64-arkitektur (Bedrock, Micro). Derudover er monteringsscripts tilgængelige (Bedrock, Micro) til Aarch64-, PPC64le- og s390x-arkitekturerne.
ALP-arkitekturen er baseret på udviklingen i miljøets "værts-OS", som er minimalt nødvendig for at understøtte og administrere udstyret. Det foreslås at køre alle applikationer og brugerrumskomponenter ikke i et blandet miljø, men i separate containere eller virtuelle maskiner, der kører oven på "værts OS" og isoleret fra hinanden. Denne organisation vil give brugerne mulighed for at fokusere på applikationer og abstrakte arbejdsgange væk fra det underliggende systemmiljø og hardware.
SLE Micro-produktet, baseret på udviklingen af MicroOS-projektet, bruges som grundlag for "værts-OS". Til centraliseret styring tilbydes konfigurationsstyringssystemer Salt (forudinstalleret) og Ansible (valgfrit). Podman og K3s (Kubernetes) værktøjer er tilgængelige til at køre isolerede containere. Blandt systemkomponenterne placeret i containere er yast2, podman, k3s, cockpit, GDM (GNOME Display Manager) og KVM.
Blandt funktionerne i systemmiljøet nævnes standardbrugen af diskkryptering (FDE, Full Disk Encryption) med mulighed for at gemme nøgler i TPM. Rodpartitionen er monteret i skrivebeskyttet tilstand og ændres ikke under drift. Miljøet bruger en atomic opdateringsinstallationsmekanisme. I modsætning til atomopdateringer baseret på ostree og snap brugt i Fedora og Ubuntu, bruger ALP en standard pakkehåndtering og snapshot-mekanisme i Btrfs-filsystemet i stedet for at bygge separate atombilleder og implementere yderligere leveringsinfrastruktur.
Der er en konfigurerbar tilstand til automatisk installation af opdateringer (f.eks. kan du aktivere automatisk installation af kun patches for kritiske sårbarheder eller vende tilbage til manuelt at bekræfte installationen af opdateringer). Live patches understøttes til at opdatere Linux-kernen uden at genstarte eller stoppe arbejdet. For at opretholde systemets overlevelsesevne (selvhelbredende) registreres den sidste stabile tilstand ved hjælp af Btrfs-snapshots (hvis der opdages uregelmæssigheder efter at have anvendt opdateringer eller ændret indstillinger, overføres systemet automatisk til den tidligere tilstand).
Platformen bruger en multi-version softwarestack - takket være brugen af containere kan du samtidigt bruge forskellige versioner af værktøjer og applikationer. For eksempel kan du køre programmer, der bruger forskellige versioner af Python, Java og Node.js som afhængigheder, der adskiller inkompatible afhængigheder. Baseafhængigheder leveres i form af BCI-sæt (Base Container Images). Brugeren kan oprette, opdatere og slette softwarestakke uden at påvirke andre miljøer.
Til installation anvendes D-Installer installationsprogrammet, hvor brugergrænsefladen er adskilt fra de interne komponenter i YaST og det er muligt at bruge forskellige frontends, herunder en frontend til at styre installationen via en webgrænseflade. Udførelse af YaST-klienter (bootloader, iSCSIClient, Kdump, firewall osv.) i separate containere er understøttet.
Større ændringer i den tredje ALP-prototype:
- Tilvejebringelse af et Trusted Execution Environment til fortrolig databehandling, hvilket muliggør sikker behandling af data ved hjælp af isolering, kryptering og virtuelle maskiner.
- Brug af hardware og runtime-certificering til at verificere integriteten af de opgaver, der udføres.
- Grundlag for at understøtte fortrolige virtuelle maskiner (CVM, Confidential Virtual Machine).
- Integration af support til NeuVector-platformen for at verificere containernes sikkerhed, bestemme tilstedeværelsen af sårbare komponenter og identificere ondsindet aktivitet.
- Understøttelse af s390x-arkitektur ud over x86_64 og aarch64.
- Muligheden for at aktivere fuld-disk-kryptering (FDE, Full Disk Encryption) på installationsstadiet med nøgler gemt i TPMv2 og uden behov for at indtaste en adgangssætning under den første opstart. Tilsvarende understøttelse af både kryptering af almindelige partitioner og LVM (Logical Volume Manager) partitioner.
Kilde: opennet.ru