Компания SUSE опубликовала третий прототип платформы ALP «Piz Bernina» (Adaptable Linux Platform), позиционируемой как продолжение развития дистрибутива SUSE Linux Enterprise. Ключевым отличием ALP является разделение базовой основы дистрибутива на две части: урезанную «host OS» для работы поверх оборудования и слой для поддержки приложений, ориентированный на запуск в контейнерах и виртуальных машинах. ALP изначально развивается с использованием открытого процесса разработки, при котором промежуточные сборки и результаты тестирования публично доступны всем желающим.
Третий прототип включает в себя две отдельные ветки, которые в текущем виде близки по начинке, но в будущем будут развиваться в направлении разных областей применения и будут отличаться предоставляемыми сервисами. Для тестирования доступна ветка Bedrock, ориентированная на использование в серверных системах, и ветка Micro, рассчитанная для построения облачных систем (cloud-native) и запуска микросервисов. Готовые сборки подготовлены для архитектуры x86_64 (Bedrock, Micro). Дополнительно доступны сборочные сценарии (Bedrock, Micro) для архитектур Aarch64, PPC64le и s390x.
Achitekti ALP a baze sou devlopman nan "OS lame" anviwònman an ki nesesè pou sipòte ak jere ekipman an. Yo pwopoze pou kouri tout aplikasyon ak eleman espas itilizatè yo pa nan yon anviwònman melanje, men nan resipyan separe oswa machin vityèl ki kouri sou tèt "OS lame" epi izole youn ak lòt. Òganizasyon sa a pral pèmèt itilizatè yo konsantre sou aplikasyon ak workflows abstrè lwen anviwònman ak pyès ki nan konpitè sistèm ki kache.
SLE Micro pwodwi a, ki baze sou devlopman pwojè MicroOS la, yo itilize kòm baz pou "OS lame a". Pou jesyon santralize, sistèm jesyon konfigirasyon Salt (pre-enstale) ak Ansible (opsyonèl) yo ofri. Zouti Podman ak K3s (Kubernetes) yo disponib pou kouri resipyan izole. Pami eleman sistèm yo mete nan resipyan yo se yast2, podman, k3s, kabin, GDM (GNOME Display Manager) ak KVM.
Pami karakteristik anviwònman sistèm lan, yo mansyone itilizasyon default nan cryptage disk (FDE, Full Disk cryptage) ak kapasite nan magazen kle nan TPM. Se patisyon rasin lan monte nan mòd lekti sèlman epi li pa chanje pandan operasyon an. Anviwònman an sèvi ak yon mekanis enstalasyon aktyalizasyon atomik. Kontrèman ak mizajou atomik ki baze sou ostree ak snap yo itilize nan Fedora ak Ubuntu, ALP itilize yon manadjè pake estanda ak mekanis snapshot nan sistèm dosye Btrfs olye pou yo bati imaj atomik separe ak deplwaye enfrastrikti livrezon adisyonèl.
Gen yon mòd configurable pou enstalasyon otomatik nan mizajou (pa egzanp, ou ka pèmèt enstalasyon otomatik sèlman plak pou frajilite kritik oswa retounen nan manyèlman konfime enstalasyon an nan mizajou). Patch vivan yo sipòte pou mete ajou nwayo Linux la san yo pa rekòmanse oswa sispann travay. Pou kenbe sistèm sivivabilite (gerizon pwòp tèt ou), dènye eta ki estab la anrejistre lè l sèvi avèk snapshots Btrfs (si anomali yo detekte apre yo fin aplike mizajou oswa chanje anviwònman, sistèm nan otomatikman transfere nan eta anvan an).
Platfòm nan sèvi ak yon pil lojisyèl milti-vèsyon - gras a itilize nan resipyan, ou ka ansanm itilize diferan vèsyon zouti ak aplikasyon. Pou egzanp, ou ka kouri aplikasyon ki itilize diferan vèsyon Python, Java, ak Node.js kòm depandans, separe depandans enkonpatib. Depandans baz yo bay sou fòm BCI (Base Container Images) ansanm. Itilizatè a ka kreye, mete ajou ak efase pil lojisyèl san yo pa afekte lòt anviwònman.
Для установки применяется инсталлятор D-Installer, в котором пользовательский интерфейс отделён от внутренних компонентов YaST и имеется возможность использования различных фронтэндов, в том числе фронтэнда для управления установкой через web-интерфейс. Поддерживается выполнение клиентов YaST (bootloader, iSCSIClient, Kdump, firewall и т.п.) в отдельных контейнерах.
Основные изменения в третьем прототипе ALP:
- Предоставление заслуживающего доверия окружения (Trusted Execution Environment) для конфиденциальных вычислений, позволяющее безопасно обрабатывать данные с использованием изоляции, шифрования и виртуальных машин.
- Применение аппаратной и runtime аттестации для проверки целостности выполняемых задач.
- Базис для поддержки конфиденциальных виртуальных машин (CVM, Confidential Virtual Machine).
- Интеграция поддержи платформы NeuVector для проверки безопасности контейнеров, определения наличия уязвимых компонентов и выявления вредоносной активности.
- Поддержка архитектуры s390x в дополнение к x86_64 и aarch64.
- Возможность включения на этапе инсталляции полнодискового шифрования (FDE, Full Disk Encryption) с хранением ключей в TPMv2 и без необходимости ввода парольной фразы во время первой загрузки. Эквивалентная поддержка как шифрования обычных разделов, так и разделов LVM (Logical Volume Manager).
Sous: opennet.ru