SUSE a publié le troisième prototype de l'ALP "Piz Bernina" (Adaptable Linux Platform), positionné dans la continuité du développement de la distribution SUSE Linux Enterprise. La principale différence entre ALP est la division de la base de base de la distribution en deux parties : un "OS hôte" simplifié pour s'exécuter sur le matériel et une couche de support d'application axée sur l'exécution dans des conteneurs et des machines virtuelles. ALP est initialement développé à l'aide d'un processus de développement ouvert, dans lequel les versions intermédiaires et les résultats des tests sont accessibles à tous.
Le troisième prototype comprend deux branches distinctes, qui dans la forme actuelle sont proches en termes de remplissage, mais à l'avenir, elles évolueront vers des domaines d'application différents et différeront dans les services fournis. Pour les tests, la branche Bedrock est disponible, qui se concentre sur l'utilisation dans les systèmes de serveur, et la branche Micro, conçue pour la construction de systèmes cloud (cloud-native) et l'exécution de microservices. Les assemblages prêts sont préparés pour l'architecture x86_64 (Bedrock, Micro). De plus, des scripts de construction sont disponibles (Bedrock, Micro) pour les architectures Aarch64, PPC64le et s390x.
L'architecture d'ALP est basée sur le développement dans le « système d'exploitation hôte » de l'environnement, le minimum nécessaire pour supporter et contrôler les équipements. Toutes les applications et les composants de l'espace utilisateur sont proposés pour s'exécuter non pas dans un environnement mixte, mais dans des conteneurs séparés ou dans des machines virtuelles s'exécutant au-dessus du "système d'exploitation hôte" et isolées les unes des autres. Cette organisation permettra aux utilisateurs de se concentrer sur les applications et les workflows abstraits de l'environnement système et du matériel de bas niveau.
Le produit SLE Micro, basé sur les développements du projet MicroOS, sert de base au « système d'exploitation hôte ». Pour une gestion centralisée, les systèmes de gestion de configuration Salt (préinstallés) et Ansible (en option) sont proposés. Les boîtes à outils Podman et K3s (Kubernetes) sont disponibles pour exécuter des conteneurs isolés. Les composants du système conteneurisé incluent yast2, podman, k3s, cockpit, GDM (GNOME Display Manager) et KVM.
Parmi les fonctionnalités de l'environnement système, l'utilisation par défaut du chiffrement de disque (FDE, Full Disk Encryption) est mentionnée avec la possibilité de stocker des clés dans le TPM. La partition racine est montée en mode lecture seule et ne change pas pendant le fonctionnement. L'environnement utilise le mécanisme d'installation de mise à jour atomique. Contrairement aux mises à jour atomiques basées sur ostree et snap utilisées dans Fedora et Ubuntu, dans ALP, au lieu de créer des images atomiques séparées et de déployer une infrastructure de livraison supplémentaire, un gestionnaire de packages régulier et le mécanisme d'instantané dans le système de fichiers Btrfs sont utilisés.
Un mode configurable pour l'installation automatique des mises à jour est fourni (par exemple, vous pouvez activer l'installation automatique des seuls correctifs pour les vulnérabilités critiques ou revenir à la confirmation manuelle de l'installation des mises à jour). Les correctifs en direct sont pris en charge pour mettre à jour le noyau Linux sans redémarrer ni suspendre le travail. Pour maintenir la capacité de survie du système (auto-guérison), le dernier état stable est fixé à l'aide d'instantanés Btrfs (en cas d'anomalies détectées après l'application de mises à jour ou la modification de paramètres, le système est automatiquement transféré à l'état précédent).
La plate-forme utilise une pile logicielle multi-versions, qui vous permet d'utiliser différentes versions d'outils et d'applications en même temps grâce à l'utilisation de conteneurs. Par exemple, vous pouvez exécuter des applications qui dépendent de différentes versions de Python, Java et Node.js en séparant les dépendances incompatibles. Les dépendances de base se présentent sous la forme d'ensembles BCI (Base Container Images). L'utilisateur peut créer, mettre à jour et supprimer des piles logicielles sans affecter les autres environnements.
Pour l'installation, le programme d'installation D-Installer est utilisé, dans lequel l'interface utilisateur est séparée des composants internes de YaST et il est possible d'utiliser différentes interfaces, y compris l'interface de gestion de l'installation via une interface Web. Il est pris en charge pour exécuter des clients YaST (bootloader, iSCSIClient, Kdump, pare-feu, etc.) dans des conteneurs séparés.
Principaux changements dans le troisième prototype ALP :
- Fournir un environnement de confiance (Trusted Execution Environment) pour l'informatique confidentielle, vous permettant de traiter en toute sécurité les données en utilisant l'isolement, le chiffrement et les machines virtuelles.
- Application d'une attestation matérielle et d'exécution pour vérifier l'intégrité des tâches en cours d'exécution.
- Base pour le support des machines virtuelles confidentielles (CVM, Confidential Virtual Machine).
- Intégrez le support de la plateforme NeuVector pour vérifier la sécurité des conteneurs, déterminer la présence de composants vulnérables et détecter les activités malveillantes.
- Prise en charge de l'architecture s390x en plus de x86_64 et aarch64.
- Possibilité d'activer le chiffrement intégral du disque (FDE, Full Disk Encryption) au stade de l'installation avec stockage des clés dans TPMv2 et sans avoir besoin de saisir une phrase secrète lors du premier démarrage. Prise en charge équivalente pour le chiffrement des partitions régulières et des partitions LVM (Logical Volume Manager).
Source: opennet.ru