Компания SUSE опубликовала третий прототип платформы ALP «Piz Bernina» (Adaptable Linux Platform), позиционируемой как продолжение развития дистрибутива SUSE Linux Enterprise. Ключевым отличием ALP является разделение базовой основы дистрибутива на две части: урезанную «host OS» для работы поверх оборудования и слой для поддержки приложений, ориентированный на запуск в контейнерах и виртуальных машинах. ALP изначально развивается с использованием открытого процесса разработки, при котором промежуточные сборки и результаты тестирования публично доступны всем желающим.
Третий прототип включает в себя две отдельные ветки, которые в текущем виде близки по начинке, но в будущем будут развиваться в направлении разных областей применения и будут отличаться предоставляемыми сервисами. Для тестирования доступна ветка Bedrock, ориентированная на использование в серверных системах, и ветка Micro, рассчитанная для построения облачных систем (cloud-native) и запуска микросервисов. Готовые сборки подготовлены для архитектуры x86_64 (Bedrock, Micro). Дополнительно доступны сборочные сценарии (Bedrock, Micro) для архитектур Aarch64, PPC64le и s390x.
Mîmariya ALP-ê li ser pêşkeftina di "OS-ya mêvandar" ya jîngehê de ye ku ji bo piştgirî û rêvebirina amûrê bi kêmanî hewce ye. Tête pêşniyar kirin ku hemî serîlêdan û hêmanên cîhê bikarhêner ne li hawîrdorek tevlihev, lê di konteynerên cihêreng an makîneyên virtual de ku li ser "OS-ya mêvandar" dixebitin û ji hevûdu veqetandî têne xebitandin. Ev rêxistin dê rê bide bikarhêneran ku ji hawîrdora pergalê û nermalava bingehîn dûr li ser sepanan û tevgerên xebatê yên razber bisekinin.
Hilbera SLE Micro, li ser bingeha pêşkeftinên projeya MicroOS-ê, wekî bingehek ji bo "OS-ya mêvandar" tê bikar anîn. Ji bo rêveberiya navendî, pergalên rêveberiya mîhengê Salt (pêş-sazkirî) û Ansible (vebijarkî) têne pêşkêş kirin. Amûrên Podman û K3s (Kubernetes) hene ku konteynerên veqetandî bimeşînin. Di nav hêmanên pergalê de ku di konteyneran de hatine bicîh kirin yast2, podman, k3s, kokpît, GDM (Rêveberê Display GNOME) û KVM hene.
Di nav taybetmendiyên hawîrdora pergalê de, karanîna xwerû ya şîfrekirina dîskê (FDE, Şîfrekirina Tevahiya Dîskê) bi şiyana hilanîna kilîtan di TPM-ê de tê destnîşan kirin. Parvekirina root di moda tenê-xwendinê de tête danîn û di dema xebatê de nayê guhertin. Jîngeh mekanîzmaya sazkirina nûvekirina atomî bikar tîne. Berevajî nûvekirinên atomê yên ku li ser bingeha ostree û snap-ê ku di Fedora û Ubuntu de têne bikar anîn, ALP di pergala pelê Btrfs de rêveberek pakêtê ya standard û mekanîzmaya wêneya wêneyê bikar tîne li şûna ku wêneyên atomî yên cihêreng ava bike û binesaziya radestkirina zêde bikar bîne.
Ji bo sazkirina otomatîkî ya nûvekirinan modek mîhengbar heye (mînak, hûn dikarin sazkirina otomatîkî ya tenê ji bo qelsiyên krîtîk çalak bikin an jî vegerin bi destan pejirandina sazkirina nûvekirinan). Paçên zindî têne piştgirî kirin ku kernel Linux-ê bê nûvekirin an rawestandina xebatê nûve bikin. Ji bo domandina zindîbûna pergalê (xwe-samankirin), rewşa paşîn a domdar bi karanîna dîmenên Btrfs tê tomar kirin (heke anomalî piştî serîlêdana nûvekirin an guheztina mîhengan werin tespît kirin, pergal bixweber tê veguheztin rewşa berê).
Platform stûnek nermalava pir-guhertoyek bikar tîne - bi saya karanîna konteyneran, hûn dikarin di heman demê de guhertoyên cûda yên amûr û sepanan bikar bînin. Mînakî, hûn dikarin serîlêdanên ku guhertoyên cihêreng ên Python, Java, û Node.js wekî pêwendiyan bikar tînin, bimeşînin, girêdayiyên nelihev ji hev veqetînin. Girêdanên bingehîn di forma BCI (Wêneyên Konteynirê Bingehîn) de têne peyda kirin. Bikarhêner dikare bêyî ku bandorê li hawîrdorên din bike stûnên nermalavê biafirîne, nûve bike û jê bibe.
Для установки применяется инсталлятор D-Installer, в котором пользовательский интерфейс отделён от внутренних компонентов YaST и имеется возможность использования различных фронтэндов, в том числе фронтэнда для управления установкой через web-интерфейс. Поддерживается выполнение клиентов YaST (bootloader, iSCSIClient, Kdump, firewall и т.п.) в отдельных контейнерах.
Основные изменения в третьем прототипе ALP:
- Предоставление заслуживающего доверия окружения (Trusted Execution Environment) для конфиденциальных вычислений, позволяющее безопасно обрабатывать данные с использованием изоляции, шифрования и виртуальных машин.
- Применение аппаратной и runtime аттестации для проверки целостности выполняемых задач.
- Базис для поддержки конфиденциальных виртуальных машин (CVM, Confidential Virtual Machine).
- Интеграция поддержи платформы NeuVector для проверки безопасности контейнеров, определения наличия уязвимых компонентов и выявления вредоносной активности.
- Поддержка архитектуры s390x в дополнение к x86_64 и aarch64.
- Возможность включения на этапе инсталляции полнодискового шифрования (FDE, Full Disk Encryption) с хранением ключей в TPMv2 и без необходимости ввода парольной фразы во время первой загрузки. Эквивалентная поддержка как шифрования обычных разделов, так и разделов LVM (Logical Volume Manager).
Source: opennet.ru