SUSE je objavio treći prototip ALP platforme “Piz Bernina” (Adaptable Linux Platform), pozicioniran kao nastavak razvoja SUSE Linux Enterprise distribucije. Ključna razlika između ALP-a je podjela jezgre distribucije na dva dijela: skraćeni "host OS" za rad na hardveru i sloj za podršku aplikacijama, usmjerenim na rad u spremnicima i virtualnim strojevima. ALP se inicijalno razvija korištenjem otvorenog razvojnog procesa, u kojem su međugradnje i rezultati testiranja javno dostupni svima.
Treći prototip uključuje dvije odvojene grane koje su u sadašnjem obliku sadržajno slične, ali će se u budućnosti razvijati u smjeru različitih područja primjene te će se razlikovati po uslugama koje pružaju. Za testiranje su dostupni ogranak Bedrock, orijentiran na korištenje u poslužiteljskim sustavima, i ogranak Micro, dizajniran za izgradnju nativnih sustava u oblaku i pokretanje mikroservisa. Za x86_64 arhitekturu (Bedrock, Micro) pripremljeni su gotovi sklopovi. Dodatno, dostupne su skripte za sklapanje (Bedrock, Micro) za arhitekture Aarch64, PPC64le i s390x.
Arhitektura ALP-a temelji se na razvoju okruženja u "host OS-u" koje je minimalno potrebno za podršku i upravljanje opremom. Predlaže se da se sve aplikacije i komponente korisničkog prostora ne izvode u mješovitom okruženju, već u odvojenim spremnicima ili virtualnim strojevima koji se pokreću na vrhu "host OS-a" i izolirani su jedni od drugih. Ova organizacija omogućit će korisnicima da se usredotoče na aplikacije i apstraktne tijekove rada daleko od temeljnog okruženja sustava i hardvera.
Proizvod SLE Micro, temeljen na razvoju projekta MicroOS, koristi se kao osnova za “host OS”. Za centralizirano upravljanje u ponudi su sustavi upravljanja konfiguracijom Salt (unaprijed instaliran) i Ansible (opcija). Alati Podman i K3s (Kubernetes) dostupni su za pokretanje izoliranih spremnika. Među komponentama sustava smještenim u kontejnere su yast2, podman, k3s, kokpit, GDM (GNOME Display Manager) i KVM.
Među značajkama okruženja sustava spominje se zadana upotreba diskovne enkripcije (FDE, Full Disk Encryption) s mogućnošću pohranjivanja ključeva u TPM. Korijenska particija montirana je u načinu rada samo za čitanje i ne mijenja se tijekom rada. Okruženje koristi atomski mehanizam instalacije ažuriranja. Za razliku od atomskih ažuriranja temeljenih na ostree i snap koji se koriste u Fedori i Ubuntuu, ALP koristi standardni upravitelj paketa i mehanizam za snimke u datotečnom sustavu Btrfs umjesto izgradnje zasebnih atomskih slika i postavljanja dodatne infrastrukture za isporuku.
Postoji način rada koji se može konfigurirati za automatsku instalaciju ažuriranja (na primjer, možete omogućiti automatsku instalaciju samo zakrpa za kritične ranjivosti ili se vratiti na ručnu potvrdu instalacije ažuriranja). Podržane su žive zakrpe za ažuriranje Linux kernela bez ponovnog pokretanja ili zaustavljanja rada. Kako bi se održala sposobnost preživljavanja sustava (samoiscjeljivanje), posljednje stabilno stanje se bilježi pomoću Btrfs snimaka (ako se otkriju anomalije nakon primjene ažuriranja ili promjene postavki, sustav se automatski prebacuje u prethodno stanje).
Platforma koristi softverski skup s više verzija - zahvaljujući korištenju spremnika možete istovremeno koristiti različite verzije alata i aplikacija. Na primjer, možete pokrenuti aplikacije koje koriste različite verzije Pythona, Jave i Node.js kao ovisnosti, odvajajući nekompatibilne ovisnosti. Osnovne ovisnosti isporučuju se u obliku BCI (Base Container Images) skupova. Korisnik može stvarati, ažurirati i brisati softverske hrpe bez utjecaja na druga okruženja.
Za instalaciju se koristi instalacijski program D-Installer u kojem je korisničko sučelje odvojeno od internih komponenti YaST-a te je moguće koristiti različite frontende, uključujući frontend za upravljanje instalacijom putem web sučelja. Podržano je izvođenje YaST klijenata (bootloader, iSCSIClient, Kdump, firewall itd.) u zasebnim spremnicima.
Glavne promjene u trećem prototipu ALP-a:
- Pružanje pouzdanog izvršnog okruženja za povjerljivo računalstvo, dopuštajući sigurnu obradu podataka korištenjem izolacije, enkripcije i virtualnih strojeva.
- Upotreba hardverske i izvedbene certifikacije za provjeru integriteta zadataka koji se izvode.
- Osnova za podršku povjerljivim virtualnim strojevima (CVM, Confidential Virtual Machine).
- Integracija podrške za platformu NeuVector za provjeru sigurnosti spremnika, određivanje prisutnosti ranjivih komponenti i prepoznavanje zlonamjernih aktivnosti.
- Podrška za s390x arhitekturu uz x86_64 i aarch64.
- Mogućnost omogućavanja enkripcije cijelog diska (FDE, Full Disk Encryption) u fazi instalacije s ključevima pohranjenim u TPMv2 i bez potrebe za unosom zaporke tijekom prvog pokretanja. Ekvivalentna podrška za enkripciju regularnih particija i LVM (Logical Volume Manager) particija.
Izvor: opennet.ru