SUSE publikigis la trian prototipon de la ALP-platformo "Piz Bernina" (Adaptebla Linuksa Platformo), poziciigita kiel daŭrigo de la evoluo de la SUSE Linux Enterprise distribuo. La ŝlosila diferenco inter ALP estas la dividado de la kerndistribuo en du partojn: nudigita "gastiga OS" por funkcii sur la aparataro kaj tavolo por subteni aplikaĵojn, celitan funkcii en ujoj kaj virtualaj maŝinoj. ALP estas komence evoluigita uzante malferman evoluprocezon, en kiu mezaj konstruoj kaj testrezultoj estas publike haveblaj al ĉiuj.
La tria prototipo inkluzivas du apartajn branĉojn, kiuj en sia nuna formo estas similaj en enhavo, sed en la estonteco ili evoluos en la direkto de malsamaj aplikaĵoj kaj malsamos en la servoj kiujn ili provizas. La branĉo Bedrock, orientita al uzo en servilaj sistemoj, kaj la branĉo Micro, desegnita por konstrui nub-indiĝenajn sistemojn kaj prizorgi mikroservojn, estas disponeblaj por testado. Pretaj asembleoj estas pretaj por x86_64-arkitekturo (Bedrock, Micro). Aldone, kunigskriptoj haveblas (Bedrock, Micro) por la arkitekturoj Aarch64, PPC64le kaj s390x.
La ALP-arkitekturo baziĝas sur la evoluo en la "gastiganto OS" de la medio, kiu minimume necesas por subteni kaj administri la ekipaĵon. Estas proponite ruli ĉiujn aplikaĵojn kaj uzantspackomponentojn ne en miksita medio, sed en apartaj ujoj aŭ virtualaj maŝinoj kurantaj sur la "gastiga OS" kaj izolitaj unu de la alia. Ĉi tiu organizo permesos al uzantoj koncentriĝi pri aplikaĵoj kaj abstraktaj laborfluoj for de la subesta sistema medio kaj aparataro.
La produkto SLE Micro, bazita sur la evoluoj de la projekto MicroOS, estas uzata kiel bazo por la "gastiganto OS". Por centralizita administrado, agordaj administradsistemoj Salt (antaŭinstalitaj) kaj Ansible (laŭvola) estas ofertitaj. Iloj Podman kaj K3s (Kubernetes) estas disponeblaj por ruli izolitajn ujojn. Inter la sistemaj komponantoj metitaj en ujojn estas yast2, podman, k3s, cockpit, GDM (GNOME Display Manager) kaj KVM.
Inter la trajtoj de la sistema medio, la defaŭlta uzo de disko-ĉifrado (FDE, Plena Disko-ĉifrado) kun la kapablo stoki ŝlosilojn en TPM estas menciita. La radika sekcio estas muntita en nurlegebla reĝimo kaj ne ŝanĝiĝas dum operacio. La medio uzas atoman ĝisdatigan instalan mekanismon. Male al atomaj ĝisdatigoj bazitaj sur ostree kaj snap uzataj en Fedora kaj Ubuntu, ALP uzas norman pakaĵmanaĝeron kaj momentfoton mekanismon en la dosiersistemo Btrfs anstataŭ konstrui apartajn atombildojn kaj deploji plian liverinfrastrukturon.
Estas agordebla reĝimo por aŭtomata instalado de ĝisdatigoj (ekzemple, vi povas ebligi aŭtomatan instaladon de nur flikaĵoj por kritikaj vundeblecoj aŭ reveni al permane konfirmi la instaladon de ĝisdatigoj). Vivaj flikoj estas subtenataj por ĝisdatigi la Linuksan kernon sen rekomenci aŭ ĉesigi laboron. Por konservi sisteman traviveblecon (mem-resanigo), la lasta stabila stato estas registrita per Btrfs-fotoj (se anomalioj estas detektitaj post aplikado de ĝisdatigoj aŭ ŝanĝado de agordoj, la sistemo estas aŭtomate translokigita al la antaŭa stato).
La platformo uzas plurversian programaron - danke al la uzo de ujoj, vi povas samtempe uzi malsamajn versiojn de iloj kaj aplikaĵoj. Ekzemple, vi povas ruli aplikaĵojn, kiuj uzas malsamajn versiojn de Python, Java kaj Node.js kiel dependecojn, apartigante nekongruajn dependecojn. Bazaj dependecoj estas liveritaj en formo de aroj BCI (Base Container Images). La uzanto povas krei, ĝisdatigi kaj forigi programarajn stakojn sen tuŝi aliajn mediojn.
Por instalo, oni uzas la instalilon D-Installer, en kiu la uzantinterfaco estas apartigita de la internaj komponantoj de YaST kaj eblas uzi diversajn fasadojn, inkluzive de fasado por administri la instaladon per interreta interfaco. Ekzekuto de YaST-klientoj (ŝargilo, iSCSIClient, Kdump, fajroŝirmilo, ktp.) en apartaj ujoj estas subtenata.
Gravaj ŝanĝoj en la tria ALP-prototipo:
- Provizante Fidindan Ekzekutan Medion por konfidenca komputado, permesante sekuran prilaboradon de datumoj per izolado, ĉifrado kaj virtualaj maŝinoj.
- Uzo de aparataro kaj rultempa atestado por kontroli la integrecon de la plenumataj taskoj.
- Bazo por subteni konfidencajn virtualajn maŝinojn (CVM, Confidential Virtual Machine).
- Integriĝo de subteno por la platformo NeuVector por kontroli la sekurecon de ujoj, determini la ĉeeston de vundeblaj komponantoj kaj identigi malican agadon.
- Subteno por s390x-arkitekturo krom x86_64 kaj aarch64.
- La kapablo ebligi plendiskan ĉifradon (FDE, Full Disk Encryption) ĉe la instalaĵostadio kun ŝlosiloj stokitaj en TPMv2 kaj sen la bezono enigi pasfrazon dum la unua ekkuro. Ekvivalenta subteno por kaj ĉifrado de regulaj sekcioj kaj LVM (Logika Volume Manager) sekcioj.
fonto: opennet.ru