SUSE ha publicado el tercer prototipo de la ALP "Piz Bernina" (Plataforma Linux Adaptable), posicionada como una continuación del desarrollo de la distribución SUSE Linux Enterprise. La diferencia clave entre ALP es la división de la base central de la distribución en dos partes: un "sistema operativo host" simplificado para ejecutarse sobre el hardware y una capa de soporte de aplicaciones enfocada en ejecutarse en contenedores y máquinas virtuales. ALP se desarrolla inicialmente mediante un proceso de desarrollo abierto, en el que las compilaciones intermedias y los resultados de las pruebas están disponibles públicamente para todos.
El tercer prototipo incluye dos ramas separadas, que en la forma actual están cerca en términos de llenado, pero en el futuro se desarrollarán hacia diferentes áreas de aplicación y se diferenciarán en los servicios prestados. Para las pruebas, está disponible la rama Bedrock, que se centra en el uso en sistemas de servidor, y la rama Micro, diseñada para construir sistemas en la nube (nativos de la nube) y ejecutar microservicios. Los ensamblajes listos están preparados para la arquitectura x86_64 (Bedrock, Micro). Además, los scripts de compilación están disponibles (Bedrock, Micro) para las arquitecturas Aarch64, PPC64le y s390x.
La arquitectura de ALP se basa en el desarrollo en el "host OS" del entorno, el mínimo necesario para soportar y controlar los equipos. Se propone que todas las aplicaciones y los componentes del espacio de usuario no se ejecuten en un entorno mixto, sino en contenedores separados o en máquinas virtuales que se ejecutan sobre el "sistema operativo host" y están aisladas entre sí. Esta organización permitirá a los usuarios centrarse en las aplicaciones y los flujos de trabajo abstractos del hardware y el entorno del sistema de bajo nivel.
El producto SLE Micro, basado en los desarrollos del proyecto MicroOS, se utiliza como base para el "sistema operativo anfitrión". Para la gestión centralizada, se ofrecen los sistemas de gestión de configuración Salt (preinstalado) y Ansible (opcional). Los kits de herramientas Podman y K3s (Kubernetes) están disponibles para ejecutar contenedores aislados. Los componentes del sistema en contenedores incluyen yast2, podman, k3s, cockpit, GDM (GNOME Display Manager) y KVM.
De las características del entorno del sistema, se menciona el uso predeterminado de cifrado de disco (FDE, Full Disk Encryption) con la capacidad de almacenar claves en el TPM. La partición raíz se monta en modo de solo lectura y no cambia durante la operación. El entorno utiliza el mecanismo de instalación de actualizaciones atómicas. A diferencia de las actualizaciones atómicas basadas en ostree y snap utilizadas en Fedora y Ubuntu, en ALP, en lugar de crear imágenes atómicas separadas e implementar una infraestructura de entrega adicional, se utilizan un administrador de paquetes normal y el mecanismo de instantáneas en el sistema de archivos Btrfs.
Se proporciona un modo configurable para la instalación automática de actualizaciones (por ejemplo, puede habilitar la instalación automática de solo correcciones para vulnerabilidades críticas o volver a la confirmación manual de la instalación de actualizaciones). Se admiten parches en vivo para actualizar el kernel de Linux sin reiniciar o suspender el trabajo. Para mantener la capacidad de supervivencia del sistema (recuperación automática), el último estado estable se corrige mediante instantáneas Btrfs (en caso de que se detecten anomalías después de aplicar actualizaciones o cambiar la configuración, el sistema se transfiere automáticamente al estado anterior).
La plataforma utiliza una pila de software de múltiples versiones, lo que le permite usar diferentes versiones de herramientas y aplicaciones al mismo tiempo mediante el uso de contenedores. Por ejemplo, puede ejecutar aplicaciones que dependen de diferentes versiones de Python, Java y Node.js separando las dependencias incompatibles. Las dependencias base vienen en forma de conjuntos BCI (Imágenes de contenedor base). El usuario puede crear, actualizar y eliminar pilas de software sin afectar otros entornos.
Para la instalación, se utiliza el instalador D-Installer, en el que la interfaz de usuario está separada de los componentes internos de YaST y es posible utilizar varias interfaces, incluida la interfaz para administrar la instalación a través de una interfaz web. Es compatible para ejecutar clientes de YaST (cargador de arranque, iSCSIClient, Kdump, firewall, etc.) en contenedores separados.
Principales cambios en el tercer prototipo ALP:
- Proporcionar un entorno de confianza (Trusted Execution Environment) para la informática confidencial, lo que le permite procesar datos de forma segura mediante aislamiento, cifrado y máquinas virtuales.
- Aplicación de atestación de tiempo de ejecución y hardware para verificar la integridad de las tareas en ejecución.
- Base para soporte de máquinas virtuales confidenciales (CVM, Confidential Virtual Machine).
- Integre soporte para la plataforma NeuVector para verificar la seguridad de los contenedores, determinar la presencia de componentes vulnerables y detectar actividad maliciosa.
- Compatibilidad con la arquitectura s390x además de x86_64 y aarch64.
- Capacidad para habilitar el cifrado de disco completo (FDE, Full Disk Encryption) en la etapa de instalación con almacenamiento de claves en TPMv2 y sin necesidad de ingresar una frase de contraseña durante el primer arranque. Compatibilidad equivalente tanto para el cifrado de particiones normales como para particiones LVM (Administrador de volúmenes lógicos).
Fuente: opennet.ru