SUSE SUSE Linux Enterprise дистрибутивинин өнүгүүсүнүн уландысы катары позицияланган ALP платформасынын үчүнчү прототибин чыгарды "Piz Bernina" (Адаптациялануучу Linux Platform). ALP ортосундагы негизги айырма - бул негизги бөлүштүрүүнү эки бөлүккө бөлүү: аппараттык камсыздоонун үстүндө иштөө үчүн ажыратылган "хост OS" жана контейнерлерде жана виртуалдык машиналарда иштөөгө багытталган тиркемелерди колдоо үчүн катмар. ALP алгач ачык иштеп чыгуу процессин колдонуу менен иштелип чыккан, мында аралык түзүмдөр жана тесттин натыйжалары жалпыга ачык болот.
Үчүнчү прототиби эки өзүнчө бутакты камтыйт, алар азыркы түрүндө мазмуну боюнча окшош, бирок келечекте алар ар кандай колдонуу багытында өнүгүп, көрсөткөн кызматтары боюнча айырмаланат. Сервердик системаларда колдонууга багытталган Bedrock филиалы жана булуттук системаларды куруу жана микросервистерди иштетүү үчүн иштелип чыккан Микро филиалы тестирлөө үчүн жеткиликтүү. Даяр ассамблеялар x86_64 архитектурасына даярдалган (Bedrock, Micro). Кошумчалай кетсек, Aarch64, PPC64le жана s390x архитектуралары үчүн монтаждык сценарийлер (Bedrock, Micro) бар.
ALP архитектурасы чөйрөнүн "хост OS" системасында иштеп чыгууга негизделген, жабдууларды колдоо жана башкаруу үчүн минималдуу зарыл. Бардык тиркемелер жана колдонуучу-мейкиндик компоненттери аралаш чөйрөдө эмес, өзүнчө контейнерлерде же "хост OS" үстүндө иштеген жана бири-биринен обочолонгон виртуалдык машиналарда иштөө сунушталат. Бул уюм колдонуучуларга төмөнкү деңгээлдеги тутум чөйрөсүнөн жана аппараттык жабдыктарынан тиркемелерге жана абстракттуу иш процесстерине басым жасоого мүмкүндүк берет.
MicroOS долбоорунун иштеп чыгууларына негизделген SLE Micro продуктусу "хост OS" үчүн негиз катары колдонулат. Борборлоштурулган башкаруу үчүн Salt (алдын ала орнотулган) жана Ansible (милдеттүү эмес) конфигурацияларды башкаруу системалары сунушталат. Podman жана K3s (Kubernetes) инструменттери обочолонгон контейнерлерди иштетүү үчүн жеткиликтүү. Контейнерлештирилген системанын компоненттерине yast2, podman, k3s, кабина, GDM (GNOME Display Manager) жана KVM кирет.
Тутум чөйрөсүнүн өзгөчөлүктөрүнүн ичинен диск шифрлөөнүн демейки колдонулушу (FDE, Full Disk Encryption) TPMде ачкычтарды сактоо мүмкүнчүлүгү менен айтылат. Тамыр бөлүмү окуу үчүн гана режимде орнотулган жана иштөө учурунда өзгөрбөйт. Айлана-чөйрө атомдук жаңыртуу орнотуу механизмин колдонот. Fedora жана Ubuntu, ALPде колдонулган ostree жана snap негизиндеги атомдук жаңыртуулардан айырмаланып, өзүнчө атомдук сүрөттөрдү куруунун жана кошумча жеткирүү инфраструктурасын жайылтуунун ордуна, кадимки пакет менеджери жана Btrfs файл тутумундагы снапшот механизми колдонулат.
Жаңыртууларды автоматтык түрдө орнотуу үчүн конфигурациялануучу режим каралган (мисалы, сиз олуттуу кемчиликтер үчүн гана оңдоолорду автоматтык түрдө орнотууну иштете аласыз же жаңыртууларды орнотууну кол менен ырастоого кайтсаңыз болот). Linux ядросун жаңыртуу үчүн жандуу патчтар колдоого алынат. Системанын туруктуулугун сактоо үчүн (өзүн-өзү айыктыруу) акыркы туруктуу абал Btrfs снапшотторунун жардамы менен бекитилет (жаңыртууларды колдонгондон же орнотууларды өзгөрткөндөн кийин аномалиялар аныкталган учурда, система автоматтык түрдө мурунку абалга өтөт).
Платформа көп версиялуу программалык стекти колдонот, ал бир эле учурда контейнерлерди колдонуу аркылуу куралдардын жана тиркемелердин ар кандай версияларын колдонууга мүмкүндүк берет. Мисалы, сиз туура келбеген көз карандылыктарды бөлүп, Python, Java жана Node.jsтин ар кандай версияларына көз каранды болгон тиркемелерди иштете аласыз. Негизги көз карандылыктар BCI (Base Container Images) топтомдору түрүндө келет. Колдонуучу башка чөйрөлөргө таасир этпестен программалык стектерди түзүп, жаңыртып жана алып сала алат.
Орнотуу үчүн D-Installer инсталлятору колдонулат, мында колдонуучу интерфейси YaSTтин ички компоненттеринен бөлүнгөн жана ар кандай фронтондорду, анын ичинде веб-интерфейс аркылуу орнотууну башкаруу үчүн фронтонду колдонууга болот. YaST кардарларын (жүктөөчү, iSCSIClient, Kdump, брандмауэр ж.б.) өзүнчө контейнерлерде аткаруу колдоого алынат.
Үчүнчү ALP прототипиндеги негизги өзгөрүүлөр:
- Жашыруун эсептөөлөр үчүн ишенимдүү аткаруу чөйрөсүн камсыз кылуу, изоляция, шифрлөө жана виртуалдык машиналарды колдонуу менен маалыматтарды коопсуз иштетүүгө мүмкүндүк берет.
- Аткарылган тапшырмалардын бүтүндүгүн текшерүү үчүн аппараттык каражаттарды жана иштөө убактысынын сертификатын колдонуу.
- Жашыруун виртуалдык машиналарды колдоо үчүн негиз (CVM, Confidential Virtual Machine).
- Контейнерлердин коопсуздугун текшерүү, аялуу компоненттердин бар экендигин аныктоо жана зыяндуу аракеттерди аныктоо үчүн NeuVector платформасын колдоонун интеграциясы.
- x390_86 жана aarch64 кошумча s64x архитектурасын колдоо.
- Орнотуу стадиясында TPMv2де сакталган ачкычтар менен толук диск шифрлөөсүн (FDE, Full Disk Encryption) иштетүү мүмкүнчүлүгү жана биринчи жүктөөдө купуя сөз айкашын киргизүүнүн зарылдыгы жок. Кадимки бөлүмдөрдүн жана LVM (Logical Volume Manager) бөлүмдөрүн шифрлөө үчүн бирдей колдоо.
Source: opennet.ru