SUSE on välja andnud ALP platvormi kolmanda prototüübi "Piz Bernina" (Adaptable Linux Platvorm), mis on paigutatud SUSE jaotuse arenduse jätkuna Linux Ettevõte. ALP peamine erinevus seisneb jaotuse põhistruktuuri jagunemises kaheks osaks: lihtsustatud "host OS" riistvaral töötamiseks ja rakenduste tugikiht, mis on loodud konteinerites ja virtuaalsetes masinates töötamiseks. ALP arendatakse algselt avatud arendusprotsessi abil, kusjuures vaheversioonid ja testitulemused on avalikult kättesaadavad kõigile huvilistele.
Kolmas prototüüp hõlmab kahte eraldi haru, mis on praegu põhifunktsionaalsuse poolest sarnased, kuid mida tulevikus arendatakse, et keskenduda erinevatele rakendusvaldkondadele ja pakkuda erinevaid teenuseid. Testimiseks on saadaval serverisüsteemidele keskendunud Bedrock haru ja pilvepõhiste süsteemide loomiseks ja mikroteenuste käitamiseks mõeldud Micro haru. Kasutusvalmis versioonid on saadaval x86_64 arhitektuurile (Bedrock, Micro). Lisaks on Aarch64, PPC64le ja s390x arhitektuuridele saadaval versiooniskriptid (Bedrock, Micro).
ALP arhitektuur põhineb host-operatsioonisüsteemi keskkonna arendamisel, mis on minimaalselt vajalik riistvara toetamiseks ja haldamiseks. Kõik rakendused ja kasutajaruumi komponendid on kavandatud töötama mitte segakeskkonnas, vaid eraldi konteinerites või virtuaalmasinad, mis töötavad host-operatsioonisüsteemi peal ja on üksteisest isoleeritud. See korraldus võimaldab kasutajatel keskenduda rakendustele ja abstraktsetele töövoogudele, eraldades need madala taseme süsteemikeskkonnast ja riistvarast.
MicroOS projekti arendustel põhinev SLE Micro toode on "host OS" aluseks. Tsentraliseeritud haldamiseks pakutakse Salt (eelinstallitud) ja Ansible (valikuline) konfiguratsioonihaldussüsteeme. Podmani ja K3s (Kubernetes) tööriistakomplektid on saadaval isoleeritud konteinerite käitamiseks. Konteinersüsteemi komponentide hulka kuuluvad yast2, podman, k3s, kokpit, GDM (GNOME Display Manager) ja KVM.
Süsteemikeskkonna funktsioonide hulgas mainitakse vaikimisi ketta krüptimist (FDE, Full Disk Encryption) koos võimalusega salvestada võtmeid TPM-i. Juurpartitsioon paigaldatakse kirjutuskaitstud režiimis ja see ei muutu töö ajal. Keskkond kasutab aatomivärskendusmehhanismi. Erinevalt ostree ja snap-põhistest aatomivärskendustest, mida kasutatakse Fedoras ja UbuntuALP-s kasutatakse eraldi aatomikujutiste loomise ja täiendava edastusinfrastruktuuri juurutamise asemel Btrfs FS-i standardset paketihaldurit ja hetktõmmise mehhanismi.
Saadaval on konfigureeritav automaatsete värskenduste installimise režiim (näiteks saate lubada ainult kriitiliste haavatavuste paranduste automaatse installimise või naasta värskenduste installimise käsitsi kinnitamise juurde). Kerneli värskendamiseks Linux Reaalajas värskendusi toetatakse ilma taaskäivitamise või töö katkestamiseta. Süsteemi püsivuse (enesetaastumine) säilitamiseks jäädvustatakse viimane stabiilne olek Btrfs-hetktõmmiste abil (kui pärast värskenduste rakendamist või sätete muutmist tuvastatakse anomaaliaid, taastatakse süsteem automaatselt eelmisesse olekusse).
Platvorm kasutab mitmeversioonilist tarkvarapinu, mis võimaldab konteinerite kasutamise kaudu kasutada korraga erinevaid tööriistade ja rakenduste versioone. Näiteks saate käivitada rakendusi, mis sõltuvad erinevatest Pythoni, Java ja Node.js versioonidest, eraldades ühildumatud sõltuvused. Põhisõltuvused tulevad BCI (Base Container Images) komplektide kujul. Kasutaja saab luua, värskendada ja eemaldada tarkvarapakke ilma teisi keskkondi mõjutamata.
Installimiseks kasutatakse D-Installeri installijat. Selle kasutajaliides on eraldatud YaST-i sisemistest komponentidest ja see toetab mitmesuguseid esiliideseid, sh veebipõhist installihalduse esiliidest. YaST-i kliendid (käivituslaadur, iSCSIClient, Kdump, tulemüür jne) saavad töötada eraldi konteinerites.
Kolmanda ALP prototüübi peamised muudatused:
- Usaldusväärse täitmiskeskkonna (TEE) pakkumine konfidentsiaalseks andmetöötluseks, võimaldades turvalist andmetöötlust isolatsiooni, krüptimise ja muu abil. virtuaalmasinad.
- Riistvara ja käitusaja atesteerimise kasutamine teostatud ülesannete terviklikkuse kontrollimiseks.
- Konfidentsiaalsete virtuaalsete masinate (CVM) toetamise raamistik.
- NeuVectori platvormi toe integreerimine konteineri turvalisuse testimiseks, haavatavate komponentide tuvastamiseks ja pahatahtliku tegevuse tuvastamiseks.
- Lisaks x86_64 ja aarch64 arhitektuurile toetab see ka s390x arhitektuuri.
- Täieliku ketta krüptimise (FDE) lubamine installimise ajal, võtmete salvestamine TPMv2-s ja parooli sisestamise vajaduse kaotamine esimesel käivitamisel. Samaväärne tugi nii tavaliste partitsioonide kui ka LVM-i (Logical Volume Manager) partitsioonide krüptimiseks.
Allikas: opennet.ru
