SUSE publicou o terceiro prototipo da ALP "Piz Bernina" (Plataforma Linux Adaptable), posicionada como unha continuación do desenvolvemento da distribución SUSE Linux Enterprise. A diferenza crave entre ALP é a división da base básica da distribución en dúas partes: un "OS anfitrión" reducido para executar sobre o hardware e unha capa de soporte de aplicacións centrada en executar en contedores e máquinas virtuais. ALP desenvólvese inicialmente mediante un proceso de desenvolvemento aberto, no que as compilacións intermedias e os resultados das probas están dispoñibles publicamente para todos.
O terceiro prototipo inclúe dúas ramas separadas, que na forma actual están próximas en canto a recheo, pero que no futuro desenvolveranse cara a diferentes áreas de aplicación e diferirán nos servizos prestados. Para probar, está dispoñible a rama Bedrock, que se centra no uso en sistemas de servidor, e a rama Micro, deseñada para construír sistemas de nube (nativos na nube) e executar microservizos. Os conxuntos listos están preparados para a arquitectura x86_64 (Bedrock, Micro). Ademais, hai dispoñibles scripts de compilación (Bedrock, Micro) para arquitecturas Aarch64, PPC64le e s390x.
A arquitectura de ALP baséase no desenvolvemento no "OS host" do entorno, o mínimo necesario para soportar e controlar os equipos. Proponse que todas as aplicacións e os compoñentes do espazo de usuario se executen non nun ambiente mixto, senón en contedores separados ou en máquinas virtuais que se executan sobre o "SO anfitrión" e illadas unhas das outras. Esta organización permitirá aos usuarios centrarse en aplicacións e fluxos de traballo abstractos do entorno do sistema e do hardware de baixo nivel.
O produto SLE Micro, baseado nos desenvolvementos do proxecto MicroOS, utilízase como base para o "OS host". Para a xestión centralizada, ofrécense os sistemas de xestión de configuración Salt (preinstalado) e Ansible (opcional). Os kits de ferramentas Podman e K3s (Kubernetes) están dispoñibles para executar contedores illados. Os compoñentes do sistema en contedores inclúen yast2, podman, k3s, cockpit, GDM (GNOME Display Manager) e KVM.
Das características do entorno do sistema, menciónase o uso predeterminado do cifrado de disco (FDE, Full Disk Encryption) coa capacidade de almacenar claves no TPM. A partición raíz está montada en modo de só lectura e non cambia durante a operación. O ambiente usa o mecanismo de instalación de actualizacións atómicas. A diferenza das actualizacións atómicas baseadas en ostree e snap usadas en Fedora e Ubuntu, en ALP, en lugar de construír imaxes atómicas separadas e despregar infraestrutura de entrega adicional, utilízase un xestor de paquetes regular e o mecanismo de instantáneas no sistema de ficheiros Btrfs.
Ofrécese un modo configurable para a instalación automática de actualizacións (por exemplo, pode activar a instalación automática de solucións só para vulnerabilidades críticas ou volver á confirmación manual da instalación de actualizacións). Os parches en directo son compatibles para actualizar o núcleo de Linux sen reiniciar ou suspender o traballo. Para manter a supervivencia do sistema (autocuración), o último estado estable é corrixido mediante as instantáneas de Btrfs (no caso de que se detecten anomalías despois de aplicar actualizacións ou cambiar a configuración, o sistema transfírese automaticamente ao estado anterior).
A plataforma utiliza unha pila de software de varias versións, que permite utilizar diferentes versións de ferramentas e aplicacións ao mesmo tempo mediante o uso de contedores. Por exemplo, pode executar aplicacións que dependen de diferentes versións de Python, Java e Node.js separando dependencias incompatibles. As dependencias de base veñen en forma de conxuntos BCI (Imaxes do contedor base). O usuario pode crear, actualizar e eliminar pilas de software sen afectar a outros ambientes.
Para a instalación utilízase o instalador D-Installer, no que a interface de usuario está separada dos compoñentes internos de YaST e é posible utilizar varias interfaces, incluíndo a interface para xestionar a instalación a través dunha interface web. Admítese para executar clientes YaST (cargador de arranque, iSCSIClient, Kdump, firewall, etc.) en contedores separados.
Principais cambios no terceiro prototipo ALP:
- Proporcionar un ambiente de confianza (Trusted Execution Environment) para a informática confidencial, que lle permite procesar datos de forma segura mediante máquinas virtuais, de illamento e de cifrado.
- Aplicación de certificación de hardware e tempo de execución para verificar a integridade das tarefas en execución.
- Base para o soporte de máquinas virtuais confidenciais (CVM, Confidential Virtual Machine).
- Integrar soporte para a plataforma NeuVector para comprobar a seguridade dos contedores, determinar a presenza de compoñentes vulnerables e detectar actividade maliciosa.
- Soporte para arquitectura s390x ademais de x86_64 e aarch64.
- Capacidade para activar o cifrado de disco completo (FDE, Full Disk Encryption) na fase de instalación con almacenamento de chaves en TPMv2 e sen necesidade de introducir unha frase de acceso durante o primeiro arranque. Soporte equivalente tanto para o cifrado de particións normais como para as particións LVM (Logical Volume Manager).
Fonte: opennet.ru