SUSE-k "Piz Bernina" (Linux Plataforma Egokigarria) ALP-aren hirugarren prototipoa argitaratu du, SUSE Linux Enterprise banaketaren garapenaren jarraipen gisa kokatuta. ALP-ren arteko gakoa banaketaren oinarrizko oinarria bi zatitan banatzea da: hardwarearen gainean exekutatzeko "ostalari OS" txikitua eta edukiontzietan eta makina birtualetan exekutatzen zentratutako aplikazioen euskarria geruza bat. ALP hasiera batean garapen prozesu ireki baten bidez garatzen da, zeinetan bitarteko eraikuntzak eta proben emaitzak publikoki eskuragarri dauden guztientzat.
Hirugarren prototipoak bi adar bereizten ditu, gaur egungo formularioan betetze aldetik hurbil daudenak, baina etorkizunean aplikazio eremu ezberdinetara garatuko dira eta eskaintzen diren zerbitzuetan desberdinak izango dira. Probak egiteko, Bedrock adarra dago erabilgarri, zerbitzari-sistemetan erabiltzera bideratua, eta Micro adarra, hodeiko sistemak eraikitzeko (hodeiko natiboak) eta mikrozerbitzuak exekutatzeko diseinatua. Prestatutako muntaiak x86_64 arkitekturarako prestatzen dira (Bedrock, Micro). Gainera, eraikitzeko script-ak (Bedrock, Micro) eskuragarri daude Aarch64, PPC64le eta s390x arkitekturarentzat.
ALP arkitektura ekipamendua babesteko eta kudeatzeko gutxieneko beharrezkoa den inguruneko "ostalari OS" garapenean oinarritzen da. Aplikazio eta erabiltzaile-espazioko osagai guztiak ingurune mistoan ez exekutatzeko proposatzen da, "ostalari OS"-aren gainean eta elkarrengandik isolatuta exekutatzen diren edukiontzi edo makina birtualetan exekutatzeko. Erakunde honi esker, erabiltzaileek aplikazioetan eta lan-fluxu abstraktuetan zentratu ahal izango dituzte azpiko sistemaren ingurunetik eta hardwaretik urrun.
SLE Micro produktua, MicroOS proiektuaren garapenetan oinarrituta, "ostalari OS"aren oinarri gisa erabiltzen da. Kudeaketa zentralizatua egiteko, Salt (aurrez instalatuta) eta Ansible (aukerakoa) konfigurazioa kudeatzeko sistemak eskaintzen dira. Podman eta K3s (Kubernetes) tresnak erabilgarri daude isolatutako edukiontziak exekutatzeko. Edukiontzietan jartzen diren sistemaren osagaien artean yast2, podman, k3s, cockpit, GDM (GNOME Display Manager) eta KVM daude.
Sistema-ingurunearen ezaugarrietatik, disko enkriptatzea lehenetsitako erabilera (FDE, Full Disk Encryption) aipatzen da TPMn gakoak gordetzeko gaitasunarekin. Erro-partizioa irakurtzeko soilik moduan muntatzen da eta ez da aldatzen funtzionatzen den bitartean. Inguruneak eguneratze atomikoaren instalazio mekanismo bat erabiltzen du. Fedoran eta Ubuntun erabiltzen diren ostree eta snap-en oinarritutako eguneratze atomikoetan ez bezala, ALP-ek pakete-kudeatzaile estandarra eta argazki-mekanismoa erabiltzen ditu Btrfs fitxategi-sisteman, irudi atomiko bereiziak eraiki eta entrega-azpiegitura gehigarriak zabaldu beharrean.
Eguneraketak automatikoki instalatzeko modu konfiguragarri bat dago (adibidez, ahulezia larrietarako adabakien instalazio automatikoa gaitu dezakezu edo eguneratzeak eskuz konfirmatzera itzuli). Zuzeneko adabakiak onartzen dira Linux nukleoa eguneratzeko lana berrabiarazi edo gelditu gabe. Sistemaren biziraupena mantentzeko (autosendatzeko), azken egoera egonkorra Btrfs argazkien bidez erregistratzen da (eguneraketak aplikatu edo ezarpenak aldatu ondoren anomaliak hautematen badira, sistema automatikoki aurreko egoerara transferitzen da).
Plataformak bertsio anitzeko software pila bat erabiltzen du, eta horrek tresna eta aplikazioen bertsio desberdinak aldi berean erabiltzeko aukera ematen du edukiontziak erabiliz. Adibidez, Python, Java eta Node.js-en bertsio ezberdinen menpe dauden aplikazioak exekutatu ditzakezu, bateraezinak diren mendekotasunak bereiziz. Oinarrizko mendekotasunak BCI (Base Container Images) multzoen moduan hornitzen dira. Erabiltzaileak software-pilak sortu, eguneratu eta ezaba ditzake beste inguruneetan eragin gabe.
Instalaziorako, D-Installer instalatzailea erabiltzen da, non erabiltzailearen interfazea YaST-en barneko osagaietatik bereizita dagoen eta hainbat frontend erabil daitezke, besteak beste, instalazioa web interfaze baten bidez kudeatzeko frontend bat. YaST bezeroak (abiarazlea, iSCSIClient, Kdump, suebakia, etab.) edukiontzi bereizietan exekutatzeko onartzen da.
Aldaketa nagusiak hirugarren ALP prototipoan:
- Ingurune fidagarri bat eskaintzea (Trusted Execution Environment) isilpeko informatikarako, datuak modu seguruan prozesatzeko aukera emanez isolamendua, enkriptatzea eta makina birtualak erabiliz.
- Exekutatzen diren atazen osotasuna egiaztatzeko hardwarea eta exekuzio-denboraren egiaztapena aplikatzea.
- Isilpeko makina birtualak (CVM, Confidential Virtual Machine) eusteko oinarriak.
- Integratu NeuVector plataformarako euskarria edukiontzien segurtasuna egiaztatzeko, osagai ahulen presentzia zehazteko eta jarduera gaiztoak detektatzeko.
- S390x arkitekturarako euskarria x86_64 eta aarch64z gain.
- Disko osoko enkriptatzea (FDE, Full Disk Encryption) instalazio fasean TPMv2-n gordetako gakoekin eta pasaesaldirik sartu beharrik gabe lehen abioan. Partizio arrunten eta LVM (Bolumien Kudeatzaile Logikoa) partizioen enkriptaziorako laguntza baliokidea.
Iturria: opennet.ru