Der dritte Prototyp der ALP-Plattform, die SUSE Linux Enterprise ablöst

Das Unternehmen SUSE hat den dritten Prototyp der Plattform ALP „Piz Bernina“ (Adaptable Linux Platform) veröffentlicht, die als Fortsetzung der Entwicklung der Distribution SUSE Linux Enterprise positioniert wird. Ein wesentliches Merkmal von ALP ist die Aufteilung der Basis des Distributionssystems in zwei Teile: ein abgespecktes „Host OS“ für den Betrieb auf der Hardware und eine Schicht zur Unterstützung von Anwendungen, die auf die Ausführung in Containern und virtuellen Maschinen ausgerichtet ist. ALP entwickelt sich anfangs in einem offenen Entwicklungsprozess, bei dem Zwischenversionen und Testergebnisse öffentlich für alle Interessierten zugänglich sind.

Der dritte Prototyp umfasst zwei separate Bereiche, die gegenwärtig ähnliche Funktionen bieten, in Zukunft jedoch unterschiedliche Anwendungsbereiche und bereitgestellte Dienste entwickeln werden. Für Tests steht der Bereich Bedrock zur Verfügung, der auf den Einsatz in Serversystemen abzielt, sowie der Bereich Micro, der für die Entwicklung von cloud-nativen Systemen und die Ausführung von Microservices konzipiert ist. Fertige Builds sind für die Architektur x86_64 (Bedrock, Micro) verfügbar. Zusätzlich sind Build-Skripte (Bedrock, Micro) für die Architekturen Aarch64, PPC64le und s390x verfügbar.

Die Architektur von ALP basiert auf der Entwicklung einer „Host-OS“-Umgebung, die minimal erforderlich ist, um die Hardware zu unterstützen und zu verwalten. Alle Anwendungen und Benutzerkomponenten sollen nicht in einer gemischten Umgebung, sondern in separaten Containern oder in virtuellen Maschinen wurde vereinfacht., die über das „Host-OS“ ausgeführt werden und voneinander isoliert sind. Diese Anordnung ermöglicht es den Nutzern, sich auf ihre Anwendungen zu konzentrieren und Arbeitsabläufe von der zugrunde liegenden Systemumgebung und Hardware zu abstrahieren.

Als Basis für das „Host-OS“ kommt das Produkt SLE Micro zum Einsatz, das auf den Entwicklungen des Projekts MicroOS basiert. Für das zentrale Management stehen die Konfigurationsmanagement-Systeme Salt (bereits vorinstalliert) und Ansible (optional) zur Verfügung. Für die Ausführung isolierter Container sind die Tools Podman und K3s (Kubernetes) verfügbar. Unter den in Container ausgegliederten Systemkomponenten finden sich yast2, podman, k3s, cockpit, GDM (GNOME Display Manager) und KVM.

Zu den Besonderheiten der Systemumgebung gehört die standardmäßige Verwendung der Festplattenschlüsselung (FDE, Full Disk Encryption), wobei die Schlüssel im TPM gespeichert werden können. Die Root-Partition wird im Nur-Lese-Modus gemountet und ändert sich während des Betriebs nicht. In dieser Umgebung kommt ein Verfahren zur atomaren Installation von Updates zum Einsatz. Im Gegensatz zu den atomaren Updates basierend auf ostree und snap, die in Fedora und Ubuntu verwendet werden, nutzt ALP anstelle der Erstellung separater atomarer Images und der Implementierung einer zusätzlichen Lieferinfrastruktur den Standard-Paketmanager und den Snapshot-Mechanismus im Btrfs-Dateisystem.

Es gibt einen anpassbaren Modus für die automatische Installation von Updates (z. B. kann die Auto-Installation nur für kritische Sicherheitsupdates aktiviert oder auf die manuelle Bestätigung der Installationen zurückgekehrt werden). Live-Patches unterstützen die Aktualisierung des Linux-Kernels ohne Neustart und Unterbrechung des Betriebs. Um die Ausfallsicherheit des Systems (Self-Healing) zu gewährleisten, wird der letzte stabile Zustand durch Btrfs-Snapshots festgehalten (im Fall von Anomalien nach Updates oder Änderungen an den Einstellungen wird das System automatisch in den vorherigen Zustand versetzt).

Die Plattform verwendet einen mehrversionsfähigen Software-Stack – durch den Einsatz von Containern können verschiedene Versionen von Tools und Anwendungen gleichzeitig verwendet werden. Beispielsweise können Anwendungen ausgeführt werden, die in ihren Abhängigkeiten unterschiedliche Versionen von Python, Java und Node.js verwenden, wobei inkompatible Abhängigkeiten voneinander getrennt werden. Die grundlegenden Abhängigkeiten werden in Form von BCI-Sets (Base Container Images) bereitgestellt. Der Benutzer kann Software-Stapel erstellen, aktualisieren und löschen, ohne andere Umgebungen zu beeinträchtigen.

Für die Installation wird der D-Installer verwendet, bei dem die Benutzeroberfläche von den internen Komponenten von YaST getrennt ist. Es gibt die Möglichkeit, verschiedene Frontends zu nutzen, einschließlich eines Frontends zur Verwaltung der Installation über eine Weboberfläche. Die Ausführung von YaST-Clients (Bootloader, iSCSIClient, Kdump, Firewall usw.) in separaten Containern wird unterstützt.

Die Hauptänderungen im dritten Prototyp von ALP:

  • Bereitstellung einer vertrauenswürdigen Umgebung (Trusted Execution Environment) für vertrauliche Berechnungen, die eine sichere Verarbeitung von Daten unter Verwendung von Isolation und Verschlüsselung ermöglicht. virtuellen Maschinen.
  • Einsatz von Hardware- und Runtime-Tests zur Überprüfung der Integrität ausgeführter Aufgaben.
  • Basis für die Unterstützung vertraulicher virtueller Maschinen (CVM, Confidential Virtual Machine).
  • Integration der Unterstützung der NeuVector-Plattform zur Sicherheitsüberprüfung von Containern, zur Erkennung anfälliger Komponenten und zur Identifizierung bösartiger Aktivitäten.
  • Unterstützung der Architektur s390x zusätzlich zu x86_64 und aarch64.
  • Die Möglichkeit, während der Installation die vollständige Festplattenverschlüsselung (FDE, Full Disk Encryption) mit Schlüsselverwaltung im TPMv2 zu aktivieren, ohne während des ersten Bootvorgangs ein Passwort eingeben zu müssen. Unterstützung sowohl für die Verschlüsselung regulärer Partitionen als auch für LVM-Partitionen (Logical Volume Manager).

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster