SUSEは、SUSE Linux Enterpriseディストリビューションの開発の継続として位置付けられるALP「Piz Bernina」(Adaptable Linux Platform)のXNUMX番目のプロトタイプを公開しました。 ALP の主な違いは、ディストリビューションのコア基盤が XNUMX つの部分に分割されていることです。ハードウェア上で実行するための必要最低限の「ホスト OS」と、コンテナーと仮想マシンでの実行に重点を置いたアプリケーション サポート層です。 ALP は当初、中間ビルドとテスト結果が誰でも公開されるオープン開発プロセスを使用して開発されます。
86 番目のプロトタイプには 64 つの別々のブランチが含まれており、現在の形式では充填の点で近いですが、将来的には異なるアプリケーション領域に向けて開発され、提供されるサービスも異なります。 テストには、サーバー システムでの使用に重点を置いた Bedrock ブランチと、クラウド システム (クラウド ネイティブ) の構築とマイクロサービスの実行向けに設計された Micro ブランチを利用できます。 x64_64 アーキテクチャ (Bedrock、Micro) 用に準備完了アセンブリが準備されています。 さらに、Aarch390、PPCXNUMXle、sXNUMXx アーキテクチャ用のビルド スクリプト (Bedrock、Micro) も利用できます。
ALP のアーキテクチャは、機器のサポートと制御に必要な最小限の環境の「ホスト OS」での開発に基づいています。 すべてのアプリケーションとユーザー空間コンポーネントは、混合環境ではなく、個別のコンテナーまたは「ホスト OS」上で実行され、互いに分離された仮想マシン内で実行されることが提案されています。 この組織により、ユーザーはアプリケーションに集中し、低レベルのシステム環境やハードウェアからワークフローを抽象化できるようになります。
MicroOS プロジェクトの開発に基づく SLE Micro 製品は、「ホスト OS」の基礎として使用されます。 集中管理のために、Salt (プリインストール) および Ansible (オプション) 構成管理システムが提供されます。 分離されたコンテナーを実行するには、Podman および K3s (Kubernetes) ツールキットを使用できます。 コンテナ化されたシステム コンポーネントには、yast2、podman、k3s、コックピット、GDM (GNOME Display Manager)、および KVM が含まれます。
システム環境の機能のうち、デフォルトでのディスク暗号化 (FDE、フル ディスク暗号化) の使用と、TPM にキーを保存する機能について説明します。 ルート パーティションは読み取り専用モードでマウントされ、動作中に変更されません。 この環境では、アトミック更新インストールのメカニズムが使用されます。 Fedora や Ubuntu で使用される ostree とスナップに基づくアトミック更新とは異なり、ALP では、個別のアトミック イメージを構築して追加の配信インフラストラクチャを展開する代わりに、通常のパッケージ マネージャーと Btrfs ファイル システムのスナップショット メカニズムが使用されます。
更新プログラムの自動インストールの構成可能なモードが提供されています (たとえば、重大な脆弱性に対する修正のみの自動インストールを有効にしたり、更新プログラムのインストールを手動で確認するように戻すことができます)。 ライブ パッチは、作業を再起動または中断せずに Linux カーネルを更新するためにサポートされています。 システムの存続可能性 (自己修復) を維持するために、Btrfs スナップショットを使用して最後の安定した状態が修正されます (更新の適用または設定の変更後に異常が検出された場合、システムは自動的に前の状態に転送されます)。
このプラットフォームはマルチバージョン ソフトウェア スタックを使用しており、コンテナーを使用することで、異なるバージョンのツールやアプリケーションを同時に使用できます。 たとえば、互換性のない依存関係を分離することで、異なるバージョンの Python、Java、Node.js に依存するアプリケーションを実行できます。 基本依存関係は、BCI (Base Container Images) セットの形式で提供されます。 ユーザーは、他の環境に影響を与えることなく、ソフトウェア スタックを作成、更新、削除できます。
インストールには、D-Installer インストーラーが使用されます。このインストーラーでは、ユーザー インターフェイスが YaST の内部コンポーネントから分離されており、Web インターフェイスを介してインストールを管理するためのフロントエンドを含む、さまざまなフロントエンドを使用することができます。 YaST クライアント (ブートローダー、iSCSIClient、Kdump、ファイアウォールなど) を別のコンテナーで実行することがサポートされています。
XNUMX 番目の ALP プロトタイプの主な変更点:
- 機密コンピューティングのための信頼できる環境 (信頼された実行環境) を提供し、分離、暗号化、仮想マシンを使用してデータを安全に処理できるようにします。
- ハードウェアおよびランタイム構成証明を適用して、実行中のタスクの整合性を検証します。
- 機密仮想マシン (CVM、機密仮想マシン) のサポートの基礎。
- NeuVector プラットフォームのサポートを統合して、コンテナーのセキュリティをチェックし、脆弱なコンポーネントの存在を判断し、悪意のあるアクティビティを検出します。
- x390_86 および aarch64 に加えて s64x アーキテクチャのサポート。
- TPMv2 のキー ストレージを使用してインストール段階でフル ディスク暗号化 (FDE、フル ディスク暗号化) を有効にする機能。最初の起動時にパスフレーズを入力する必要はありません。 通常のパーティションとLVM (Logical Volume Manager) パーティションの両方の暗号化を同等にサポートします。
出所: オープンネット.ru