SUSE ha pubblicato il terzo prototipo della piattaforma ALP “Piz Bernina” (Adaptable Linux Platform), posizionata come continuazione dello sviluppo della distribuzione SUSE Linux Enterprise. La differenza fondamentale tra ALP è la divisione della distribuzione principale in due parti: un “sistema operativo host” ridotto all’osso per l’esecuzione sull’hardware e un livello per il supporto delle applicazioni, finalizzato all’esecuzione in contenitori e macchine virtuali. ALP viene inizialmente sviluppato utilizzando un processo di sviluppo aperto, in cui le build intermedie e i risultati dei test sono pubblicamente disponibili a tutti.
Il terzo prototipo comprende due rami separati, che nella loro forma attuale sono simili nei contenuti, ma in futuro si svilupperanno verso diversi ambiti di applicazione e si differenzieranno per i servizi forniti. Sono disponibili per i test il ramo Bedrock, orientato all'uso nei sistemi server, e il ramo Micro, progettato per la creazione di sistemi nativi del cloud e l'esecuzione di microservizi. Gli assiemi già pronti sono preparati per l'architettura x86_64 (Bedrock, Micro). Inoltre, sono disponibili script di assembly (Bedrock, Micro) per le architetture Aarch64, PPC64le e s390x.
L'architettura ALP si basa sullo sviluppo nel “sistema operativo host” dell'ambiente minimamente necessario per supportare e gestire le apparecchiature. Si propone di eseguire tutte le applicazioni e i componenti dello spazio utente non in un ambiente misto, ma in contenitori separati o macchine virtuali eseguite sul “sistema operativo host” e isolate l’una dall’altra. Questa organizzazione consentirà agli utenti di concentrarsi sulle applicazioni e sui flussi di lavoro astratti lontano dall'ambiente di sistema e dall'hardware sottostanti.
Come base per il “sistema operativo host” viene utilizzato il prodotto SLE Micro, basato sugli sviluppi del progetto MicroOS. Per la gestione centralizzata vengono offerti i sistemi di gestione della configurazione Salt (preinstallato) e Ansible (opzionale). Sono disponibili gli strumenti Podman e K3s (Kubernetes) per eseguire contenitori isolati. Tra i componenti del sistema collocati nei contenitori ci sono yast2, podman, k3s, Cockpit, GDM (GNOME Display Manager) e KVM.
Tra le caratteristiche dell'ambiente di sistema si menziona l'utilizzo predefinito della crittografia del disco (FDE, Full Disk Encryption) con la possibilità di archiviare le chiavi nel TPM. La partizione root viene montata in modalità di sola lettura e non cambia durante il funzionamento. L'ambiente utilizza un meccanismo di installazione dell'aggiornamento atomico. A differenza degli aggiornamenti atomici basati su ostree e snap utilizzati in Fedora e Ubuntu, ALP utilizza un gestore di pacchetti standard e un meccanismo di snapshot nel file system Btrfs invece di creare immagini atomiche separate e distribuire infrastrutture di distribuzione aggiuntive.
Esiste una modalità configurabile per l'installazione automatica degli aggiornamenti (ad esempio, è possibile abilitare l'installazione automatica solo delle patch per le vulnerabilità critiche o tornare alla conferma manuale dell'installazione degli aggiornamenti). Sono supportate patch live per aggiornare il kernel Linux senza riavviare o interrompere il lavoro. Per mantenere la sopravvivenza del sistema (autoriparazione), l'ultimo stato stabile viene registrato utilizzando le istantanee Btrfs (se vengono rilevate anomalie dopo l'applicazione degli aggiornamenti o la modifica delle impostazioni, il sistema viene automaticamente trasferito allo stato precedente).
La piattaforma utilizza uno stack software multiversione: grazie all'utilizzo dei container è possibile utilizzare contemporaneamente diverse versioni di strumenti e applicazioni. Ad esempio, puoi eseguire applicazioni che utilizzano versioni diverse di Python, Java e Node.js come dipendenze, separando le dipendenze incompatibili. Le dipendenze di base vengono fornite sotto forma di set BCI (Base Container Images). L'utente può creare, aggiornare ed eliminare stack software senza influenzare altri ambienti.
Per l'installazione viene utilizzato il programma di installazione D-Installer, in cui l'interfaccia utente è separata dai componenti interni di YaST ed è possibile utilizzare diversi frontend, incluso un frontend per la gestione dell'installazione tramite interfaccia web. È supportata l'esecuzione di client YaST (bootloader, iSCSIClient, Kdump, firewall, ecc.) in contenitori separati.
Principali modifiche nel terzo prototipo ALP:
- Fornire un ambiente di esecuzione affidabile per l'elaborazione riservata, consentendo l'elaborazione sicura dei dati utilizzando isolamento, crittografia e macchine virtuali.
- Utilizzo della certificazione hardware e runtime per verificare l'integrità delle attività eseguite.
- Base per il supporto di macchine virtuali riservate (CVM, Confidential Virtual Machine).
- Integrazione del supporto per la piattaforma NeuVector per verificare la sicurezza dei contenitori, determinare la presenza di componenti vulnerabili e identificare attività dannose.
- Supporto per l'architettura s390x oltre a x86_64 e aarch64.
- La possibilità di abilitare la crittografia dell'intero disco (FDE, Full Disk Encryption) in fase di installazione con chiavi archiviate in TPMv2 e senza la necessità di inserire una passphrase durante il primo avvio. Supporto equivalente sia per la crittografia delle partizioni regolari che per le partizioni LVM (Logical Volume Manager).
Fonte: opennet.ru