SUSE telah menerbitkan prototipe ketiga dari platform ALP “Piz Bernina” (Adaptable Linux Platform), yang diposisikan sebagai kelanjutan dari pengembangan distribusi SUSE Linux Enterprise. Perbedaan utama antara ALP adalah pembagian distribusi inti menjadi dua bagian: “OS host” yang disederhanakan untuk berjalan di atas perangkat keras dan lapisan untuk mendukung aplikasi, yang ditujukan untuk berjalan di container dan mesin virtual. ALP awalnya dikembangkan menggunakan proses pengembangan terbuka, di mana hasil antara build dan pengujian tersedia untuk umum bagi semua orang.
Prototipe ketiga mencakup dua cabang terpisah, yang dalam bentuknya saat ini memiliki konten yang serupa, namun di masa depan mereka akan berkembang ke arah bidang penerapan yang berbeda dan akan berbeda dalam layanan yang mereka berikan. Cabang Bedrock, yang berorientasi pada penggunaan dalam sistem server, dan cabang Micro, yang dirancang untuk membangun sistem cloud-native dan menjalankan layanan mikro, tersedia untuk pengujian. Rakitan siap pakai disiapkan untuk arsitektur x86_64 (Bedrock, Micro). Selain itu, skrip perakitan tersedia (Bedrock, Micro) untuk arsitektur Aarch64, PPC64le, dan s390x.
Arsitektur ALP didasarkan pada pengembangan lingkungan “OS host” yang minimal diperlukan untuk mendukung dan mengelola peralatan. Diusulkan untuk menjalankan semua aplikasi dan komponen ruang pengguna bukan dalam lingkungan campuran, namun dalam wadah terpisah atau mesin virtual yang berjalan di atas "OS host" dan terisolasi satu sama lain. Organisasi ini akan memungkinkan pengguna untuk fokus pada aplikasi dan alur kerja abstrak jauh dari lingkungan sistem dan perangkat keras yang mendasarinya.
Produk SLE Micro, berdasarkan pengembangan proyek MicroOS, digunakan sebagai dasar untuk “OS host”. Untuk manajemen terpusat, sistem manajemen konfigurasi Salt (pra-instal) dan Ansible (opsional) ditawarkan. Alat Podman dan K3s (Kubernetes) tersedia untuk menjalankan container yang terisolasi. Di antara komponen sistem yang ditempatkan dalam container adalah yast2, podman, k3s, cockpit, GDM (GNOME Display Manager) dan KVM.
Di antara fitur lingkungan sistem, disebutkan penggunaan enkripsi disk secara default (FDE, Enkripsi Disk Penuh) dengan kemampuan untuk menyimpan kunci dalam TPM. Partisi root dipasang dalam mode read-only dan tidak berubah selama pengoperasian. Lingkungan menggunakan mekanisme instalasi pembaruan atom. Tidak seperti pembaruan atom berdasarkan ostree dan snap yang digunakan di Fedora dan Ubuntu, ALP menggunakan manajer paket standar dan mekanisme snapshot dalam sistem file Btrfs alih-alih membuat gambar atom terpisah dan menerapkan infrastruktur pengiriman tambahan.
Ada mode yang dapat dikonfigurasi untuk penginstalan pembaruan otomatis (misalnya, Anda dapat mengaktifkan penginstalan otomatis hanya patch untuk kerentanan kritis atau kembali mengonfirmasi penginstalan pembaruan secara manual). Tambalan langsung didukung untuk memperbarui kernel Linux tanpa memulai ulang atau menghentikan pekerjaan. Untuk menjaga kelangsungan hidup sistem (penyembuhan mandiri), keadaan stabil terakhir dicatat menggunakan snapshot Btrfs (jika anomali terdeteksi setelah menerapkan pembaruan atau mengubah pengaturan, sistem secara otomatis ditransfer ke keadaan sebelumnya).
Platform ini menggunakan tumpukan perangkat lunak multi-versi - berkat penggunaan container, Anda dapat menggunakan berbagai versi alat dan aplikasi secara bersamaan. Misalnya, Anda dapat menjalankan aplikasi yang menggunakan versi berbeda dari Python, Java, dan Node.js sebagai dependensi, memisahkan dependensi yang tidak kompatibel. Ketergantungan dasar disediakan dalam bentuk kumpulan BCI (Base Container Images). Pengguna dapat membuat, memperbarui, dan menghapus tumpukan perangkat lunak tanpa mempengaruhi lingkungan lain.
Untuk instalasi digunakan D-Installer installer, dimana user interface dipisahkan dari komponen internal YaST dan dimungkinkan untuk menggunakan berbagai frontend, termasuk frontend untuk mengelola instalasi melalui antarmuka web. Eksekusi klien YaST (bootloader, iSCSIClient, Kdump, firewall, dll.) dalam wadah terpisah didukung.
Perubahan besar pada prototipe ALP ketiga:
- Menyediakan Lingkungan Eksekusi Tepercaya untuk komputasi rahasia, memungkinkan pemrosesan data yang aman menggunakan isolasi, enkripsi, dan mesin virtual.
- Penggunaan sertifikasi perangkat keras dan runtime untuk memverifikasi integritas tugas yang dilakukan.
- Dasar untuk mendukung mesin virtual rahasia (CVM, Mesin Virtual Rahasia).
- Integrasi dukungan platform NeuVector untuk memverifikasi keamanan kontainer, menentukan keberadaan komponen yang rentan dan mengidentifikasi aktivitas jahat.
- Dukungan untuk arsitektur s390x selain x86_64 dan aarch64.
- Kemampuan untuk mengaktifkan enkripsi disk penuh (FDE, Enkripsi Disk Penuh) pada tahap instalasi dengan kunci yang disimpan di TPMv2 dan tanpa perlu memasukkan frasa sandi saat boot pertama. Dukungan setara untuk enkripsi partisi reguler dan partisi LVM (Logical Volume Manager).
Sumber: opennet.ru