SUSE Linux Enterprise를 대체하는 ALP 플랫폼의 세 번째 프로토타입

SUSE는 ALP "Piz Bernina"(Adaptable Linux Platform)의 세 번째 프로토타입을 발표했으며, SUSE Linux Enterprise 배포판 개발의 연속으로 자리 잡았습니다. ALP의 주요 차이점은 배포판의 핵심 기반을 하드웨어 위에서 실행하기 위한 제거된 "호스트 OS"와 컨테이너 및 가상 머신에서 실행하는 데 중점을 둔 응용 프로그램 지원 계층의 두 부분으로 나누는 것입니다. ALP는 초기에 개방형 개발 프로세스를 사용하여 개발되었으며 중간 빌드 및 테스트 결과는 모든 사람이 공개적으로 사용할 수 있습니다.

세 번째 프로토타입에는 두 개의 개별 분기가 포함되어 있으며, 현재 형태에서는 채우기 측면에서 비슷하지만 앞으로는 서로 다른 응용 분야로 발전하고 제공되는 서비스가 다를 것입니다. 테스트를 위해 서버 시스템에서 사용하는 데 중점을 둔 Bedrock 분기와 클라우드 시스템(클라우드 네이티브) 구축 및 마이크로 서비스 실행을 위해 설계된 Micro 분기를 사용할 수 있습니다. 준비된 어셈블리는 x86_64 아키텍처(Bedrock, Micro)용으로 준비됩니다. 또한 Aarch64, PPC64le 및 s390x 아키텍처용 빌드 스크립트(Bedrock, Micro)를 사용할 수 있습니다.

ALP의 아키텍처는 장비를 지원하고 제어하는 ​​데 필요한 최소한의 환경인 "호스트 OS"의 개발을 기반으로 합니다. 모든 응용 프로그램 및 사용자 공간 구성 요소는 혼합 환경이 아니라 별도의 컨테이너 또는 "호스트 OS" 위에서 실행되고 서로 격리된 가상 머신에서 실행되도록 제안됩니다. 이 조직을 통해 사용자는 하위 수준 시스템 환경 및 하드웨어에서 응용 프로그램 및 추상 워크플로에 집중할 수 있습니다.

MicroOS 프로젝트의 개발을 기반으로 하는 SLE Micro 제품은 "호스트 OS"의 기반으로 사용됩니다. 중앙 집중식 관리를 위해 Salt(사전 설치) 및 Ansible(선택 사항) 구성 관리 시스템이 제공됩니다. Podman 및 K3s(Kubernetes) 툴킷은 격리된 컨테이너를 실행하는 데 사용할 수 있습니다. 컨테이너화된 시스템 구성 요소에는 yast2, podman, k3s, 조종석, GDM(GNOME Display Manager) 및 KVM이 포함됩니다.

시스템 환경의 기능 중 TPM에 키를 저장하는 기능과 함께 디스크 암호화(FDE, 전체 디스크 암호화)의 기본 사용이 언급됩니다. 루트 파티션은 읽기 전용 모드로 마운트되며 작동 중에 변경되지 않습니다. 환경은 원자 업데이트 설치 메커니즘을 사용합니다. Fedora 및 Ubuntu에서 사용되는 ostree 및 스냅 기반 원자 업데이트와 달리 ALP는 별도의 원자 이미지를 구축하고 추가 전달 인프라를 배포하는 대신 Btrfs 파일 시스템의 일반 패키지 관리자 및 스냅샷 메커니즘을 사용합니다.

업데이트 자동 설치를 위한 구성 가능한 모드가 제공됩니다(예: 중요한 취약점에 대한 수정 사항만 자동 설치하도록 설정하거나 수동 업데이트 설치 확인으로 돌아갈 수 있음). 라이브 패치는 작업을 다시 시작하거나 일시 중단하지 않고 Linux 커널을 업데이트하도록 지원됩니다. 시스템의 생존성(자가 치유)을 유지하기 위해 Btrfs 스냅샷을 사용하여 마지막 안정 상태를 수정합니다(업데이트를 적용하거나 설정을 변경한 후 이상이 감지되는 경우 시스템이 자동으로 이전 상태로 전환됨).

이 플랫폼은 다중 버전 소프트웨어 스택을 사용하므로 컨테이너를 사용하여 여러 버전의 도구와 애플리케이션을 동시에 사용할 수 있습니다. 예를 들어 호환되지 않는 종속성을 분리하여 서로 다른 버전의 Python, Java 및 Node.js에 의존하는 애플리케이션을 실행할 수 있습니다. 기본 종속성은 BCI(기본 컨테이너 이미지) 세트의 형태로 제공됩니다. 사용자는 다른 환경에 영향을 주지 않고 소프트웨어 스택을 생성, 업데이트 및 제거할 수 있습니다.

설치에는 D-Installer 설치 프로그램이 사용되며, 여기서 사용자 인터페이스는 YaST의 내부 구성 요소와 분리되어 있으며 웹 인터페이스를 통해 설치를 관리하는 프런트엔드를 포함하여 다양한 프런트엔드를 사용할 수 있습니다. 별도의 컨테이너에서 YaST 클라이언트(부트로더, iSCSIClient, Kdump, 방화벽 등)를 실행하도록 지원됩니다.

세 번째 ALP 프로토타입의 주요 변경 사항:

• 기밀 컴퓨팅을 위한 신뢰할 수 있는 환경(Trusted Execution Environment)을 제공하여 격리, 암호화 및 가상 머신을 사용하여 데이터를 안전하게 처리할 수 있습니다.
• 실행 중인 작업의 무결성을 확인하기 위해 하드웨어 및 런타임 증명을 적용합니다.
• 기밀 가상 머신(CVM, Confidential Virtual Machine) 지원 기반.
• NeuVector 플랫폼에 대한 지원을 통합하여 컨테이너의 보안을 확인하고 취약한 구성 요소의 존재를 확인하며 악의적인 활동을 감지합니다.
• x390_86 및 aarch64 외에 s64x 아키텍처를 지원합니다.
• 처음 부팅하는 동안 암호를 입력할 필요 없이 TPMv2의 키 저장소를 사용하여 설치 단계에서 전체 디스크 암호화(FDE, 전체 디스크 암호화)를 활성화하는 기능. 일반 파티션과 LVM(Logical Volume Manager) 파티션의 암호화를 동등하게 지원합니다.

출처 : opennet.ru