Η SUSE δημοσίευσε το τρίτο πρωτότυπο του ALP "Piz Bernina" (Προσαρμόσιμη Πλατφόρμα Linux), που τοποθετείται ως συνέχεια της ανάπτυξης της διανομής SUSE Linux Enterprise. Η βασική διαφορά μεταξύ του ALP είναι η διαίρεση της βασικής βάσης της διανομής σε δύο μέρη: ένα απογυμνωμένο "host OS" για εκτέλεση πάνω από το υλικό και ένα επίπεδο υποστήριξης εφαρμογών που επικεντρώνεται στην εκτέλεση σε κοντέινερ και εικονικές μηχανές. Το ALP αναπτύσσεται αρχικά χρησιμοποιώντας μια ανοιχτή διαδικασία ανάπτυξης, στην οποία οι ενδιάμεσες εκδόσεις και τα αποτελέσματα δοκιμών είναι δημόσια διαθέσιμα σε όλους.
Το τρίτο πρωτότυπο περιλαμβάνει δύο ξεχωριστούς κλάδους, οι οποίοι με την τρέχουσα μορφή είναι κοντά ως προς την πλήρωση, αλλά στο μέλλον θα εξελιχθούν σε διαφορετικούς τομείς εφαρμογής και θα διαφέρουν στις παρεχόμενες υπηρεσίες. Για δοκιμές, είναι διαθέσιμος ο κλάδος Bedrock, ο οποίος επικεντρώνεται στη χρήση σε συστήματα διακομιστών, και ο κλάδος Micro, που έχει σχεδιαστεί για τη δημιουργία συστημάτων cloud (native-native) και τη λειτουργία μικροϋπηρεσιών. Έτοιμα συγκροτήματα προετοιμάζονται για την αρχιτεκτονική x86_64 (Bedrock, Micro). Επιπλέον, διατίθενται σενάρια έκδοσης (Bedrock, Micro) για αρχιτεκτονικές Aarch64, PPC64le και s390x.
Η αρχιτεκτονική του ALP βασίζεται στην ανάπτυξη στο «host OS» του περιβάλλοντος, το ελάχιστο απαραίτητο για την υποστήριξη και τον έλεγχο του εξοπλισμού. Όλες οι εφαρμογές και τα στοιχεία χώρου χρήστη προτείνεται να εκτελούνται όχι σε μικτό περιβάλλον, αλλά σε ξεχωριστά κοντέινερ ή σε εικονικές μηχανές που τρέχουν πάνω από το "κεντρικό λειτουργικό σύστημα" και απομονώνονται το ένα από το άλλο. Αυτή η οργάνωση θα επιτρέπει στους χρήστες να εστιάζουν σε εφαρμογές και αφηρημένες ροές εργασίας από το περιβάλλον και το υλικό του συστήματος χαμηλού επιπέδου.
Το προϊόν SLE Micro, με βάση τις εξελίξεις του έργου MicroOS, χρησιμοποιείται ως βάση για το "host OS". Για κεντρική διαχείριση, προσφέρονται συστήματα διαχείρισης διαμόρφωσης Salt (προεγκατεστημένο) και Ansible (προαιρετικά). Τα εργαλεία Podman και K3s (Kubernetes) είναι διαθέσιμα για τη λειτουργία μεμονωμένων κοντέινερ. Τα στοιχεία του συστήματος κοντέινερ περιλαμβάνουν το yast2, το podman, το k3s, το cockpit, το GDM (GNOME Display Manager) και το KVM.
Από τις δυνατότητες του περιβάλλοντος συστήματος αναφέρεται η προεπιλεγμένη χρήση κρυπτογράφησης δίσκου (FDE, Full Disk Encryption) με δυνατότητα αποθήκευσης κλειδιών στο TPM. Το ριζικό διαμέρισμα είναι τοποθετημένο σε λειτουργία μόνο για ανάγνωση και δεν αλλάζει κατά τη λειτουργία. Το περιβάλλον χρησιμοποιεί τον μηχανισμό εγκατάστασης ατομικής ενημέρωσης. Σε αντίθεση με τις ατομικές ενημερώσεις που βασίζονται σε ostree και snap που χρησιμοποιούνται στο Fedora και στο Ubuntu, το ALP χρησιμοποιεί έναν κανονικό διαχειριστή πακέτων και τον μηχανισμό στιγμιότυπων στο σύστημα αρχείων Btrfs αντί να δημιουργεί ξεχωριστές ατομικές εικόνες και να αναπτύσσει πρόσθετη υποδομή παράδοσης.
Παρέχεται μια διαμορφώσιμη λειτουργία για αυτόματη εγκατάσταση ενημερώσεων (για παράδειγμα, μπορείτε να ενεργοποιήσετε την αυτόματη εγκατάσταση μόνο διορθώσεων για κρίσιμα τρωτά σημεία ή να επιστρέψετε στη μη αυτόματη επιβεβαίωση της εγκατάστασης ενημερώσεων). Υποστηρίζονται ζωντανές ενημερώσεις κώδικα για την ενημέρωση του πυρήνα του Linux χωρίς επανεκκίνηση ή αναστολή της εργασίας. Για να διατηρηθεί η επιβίωση του συστήματος (αυτοίαση), η τελευταία σταθερή κατάσταση διορθώνεται με στιγμιότυπα Btrfs (σε περίπτωση που εντοπιστούν ανωμαλίες μετά την εφαρμογή ενημερώσεων ή αλλαγή ρυθμίσεων, το σύστημα μεταφέρεται αυτόματα στην προηγούμενη κατάσταση).
Η πλατφόρμα χρησιμοποιεί μια στοίβα λογισμικού πολλαπλών εκδόσεων, η οποία σας επιτρέπει να χρησιμοποιείτε διαφορετικές εκδόσεις εργαλείων και εφαρμογών ταυτόχρονα μέσω της χρήσης κοντέινερ. Για παράδειγμα, μπορείτε να εκτελέσετε εφαρμογές που εξαρτώνται από διαφορετικές εκδόσεις Python, Java και Node.js διαχωρίζοντας μη συμβατές εξαρτήσεις. Οι εξαρτήσεις βάσης έρχονται με τη μορφή συνόλων BCI (Base Container Images). Ο χρήστης μπορεί να δημιουργήσει, να ενημερώσει και να αφαιρέσει στοίβες λογισμικού χωρίς να επηρεάσει άλλα περιβάλλοντα.
Για την εγκατάσταση, χρησιμοποιείται το πρόγραμμα εγκατάστασης D-Installer, στο οποίο η διεπαφή χρήστη διαχωρίζεται από τα εσωτερικά στοιχεία του YaST και είναι δυνατή η χρήση διαφόρων διεπαφής, συμπεριλαμβανομένης της διεπαφής για τη διαχείριση της εγκατάστασης μέσω διεπαφής web. Υποστηρίζεται για την εκτέλεση προγραμμάτων-πελατών YaST (bootloader, iSCSIClient, Kdump, τείχος προστασίας κ.λπ.) σε ξεχωριστά κοντέινερ.
Κύριες αλλαγές στο τρίτο πρωτότυπο ALP:
- Παρέχοντας ένα αξιόπιστο περιβάλλον (Trusted Execution Environment) για εμπιστευτικούς υπολογισμούς, που σας επιτρέπει να επεξεργάζεστε με ασφάλεια δεδομένα χρησιμοποιώντας απομόνωση, κρυπτογράφηση και εικονικές μηχανές.
- Εφαρμογή πιστοποίησης υλικού και χρόνου εκτέλεσης για την επαλήθευση της ακεραιότητας των εργασιών που εκτελούνται.
- Βάση υποστήριξης εμπιστευτικών εικονικών μηχανών (CVM, Confidential Virtual Machine).
- Ενσωματώστε υποστήριξη για την πλατφόρμα NeuVector για να ελέγξετε την ασφάλεια των κοντέινερ, να προσδιορίσετε την παρουσία ευάλωτων στοιχείων και να εντοπίσετε κακόβουλη δραστηριότητα.
- Υποστήριξη για αρχιτεκτονική s390x εκτός από τα x86_64 και aarch64.
- Δυνατότητα ενεργοποίησης πλήρους κρυπτογράφησης δίσκου (FDE, Full Disk Encryption) στο στάδιο της εγκατάστασης με αποθήκευση κλειδιού στο TPMv2 και χωρίς την ανάγκη εισαγωγής φράσης πρόσβασης κατά την πρώτη εκκίνηση. Ισοδύναμη υποστήριξη τόσο για κρυπτογράφηση τυπικών κατατμήσεων όσο και για κατατμήσεις LVM (Logical Volume Manager).
Πηγή: opennet.ru