ຕົ້ນແບບທີສາມຂອງແພລະຕະຟອມ ALP, ແທນ SUSE Linux Enterprise

Компания SUSE опубликовала третий прототип платформы ALP «Piz Bernina» (Adaptable Linux Platform), позиционируемой как продолжение развития дистрибутива SUSE Linux Enterprise. Ключевым отличием ALP является разделение базовой основы дистрибутива на две части: урезанную «host OS» для работы поверх оборудования и слой для поддержки приложений, ориентированный на запуск в контейнерах и виртуальных машинах. ALP изначально развивается с использованием открытого процесса разработки, при котором промежуточные сборки и результаты тестирования публично доступны всем желающим.

Третий прототип включает в себя две отдельные ветки, которые в текущем виде близки по начинке, но в будущем будут развиваться в направлении разных областей применения и будут отличаться предоставляемыми сервисами. Для тестирования доступна ветка Bedrock, ориентированная на использование в серверных системах, и ветка Micro, рассчитанная для построения облачных систем (cloud-native) и запуска микросервисов. Готовые сборки подготовлены для архитектуры x86_64 (Bedrock, Micro). Дополнительно доступны сборочные сценарии (Bedrock, Micro) для архитектур Aarch64, PPC64le и s390x.

ສະຖາປັດຕະຍະກໍາ ALP ແມ່ນອີງໃສ່ການພັດທະນາໃນ "OS host" ຂອງສະພາບແວດລ້ອມທີ່ມີຄວາມຈໍາເປັນຫນ້ອຍທີ່ສຸດເພື່ອສະຫນັບສະຫນູນແລະການຄຸ້ມຄອງອຸປະກອນ. ມັນໄດ້ຖືກສະເຫນີໃຫ້ດໍາເນີນການຄໍາຮ້ອງສະຫມັກທັງຫມົດແລະອົງປະກອບພື້ນທີ່ຂອງຜູ້ໃຊ້ບໍ່ໄດ້ຢູ່ໃນສະພາບແວດລ້ອມປະສົມ, ແຕ່ຢູ່ໃນຖັງແຍກຕ່າງຫາກຫຼືເຄື່ອງ virtual ທີ່ແລ່ນຢູ່ເທິງ "ໂຮດ OS" ແລະແຍກອອກຈາກກັນແລະກັນ. ອົງການຈັດຕັ້ງນີ້ຈະອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສຸມໃສ່ຄໍາຮ້ອງສະຫມັກແລະການເຮັດວຽກທີ່ບໍ່ມີຕົວຕົນຢູ່ຫ່າງຈາກສະພາບແວດລ້ອມລະບົບພື້ນຖານແລະຮາດແວ.

ຜະລິດຕະພັນ SLE Micro, ອີງໃສ່ການພັດທະນາຂອງໂຄງການ MicroOS, ຖືກນໍາໃຊ້ເປັນພື້ນຖານສໍາລັບ "ໂຮດ OS". ສໍາລັບການຈັດການສູນກາງ, ລະບົບການຈັດການການຕັ້ງຄ່າ Salt (ຕິດຕັ້ງໄວ້ກ່ອນ) ແລະ Ansible (ທາງເລືອກ) ແມ່ນສະຫນອງໃຫ້. Podman ແລະ K3s (Kubernetes) ເຄື່ອງ​ມື​ແມ່ນ​ມີ​ໃຫ້​ເພື່ອ​ດໍາ​ເນີນ​ການ​ພາ​ຊະ​ນະ​ທີ່​ໂດດ​ດ່ຽວ​. ໃນບັນດາອົງປະກອບຂອງລະບົບທີ່ວາງໄວ້ໃນຖັງແມ່ນ yast2, podman, k3s, cockpit, GDM (GNOME Display Manager) ແລະ KVM.

ໃນບັນດາລັກສະນະຂອງສະພາບແວດລ້ອມຂອງລະບົບ, ການນໍາໃຊ້ໃນຕອນຕົ້ນຂອງການເຂົ້າລະຫັດແຜ່ນ (FDE, Full Disk Encryption) ທີ່ມີຄວາມສາມາດໃນການເກັບຮັກສາກະແຈໃນ TPM ໄດ້ຖືກກ່າວເຖິງ. ການແບ່ງສ່ວນຮາກແມ່ນຕິດຢູ່ໃນໂໝດອ່ານເທົ່ານັ້ນ ແລະ ບໍ່ປ່ຽນແປງໃນລະຫວ່າງການໃຊ້ງານ. ສະພາບແວດລ້ອມໃຊ້ກົນໄກການຕິດຕັ້ງການປັບປຸງປະລໍາມະນູ. ບໍ່ເຫມືອນກັບການປັບປຸງປະລໍາມະນູໂດຍອີງໃສ່ ostree ແລະ snap ທີ່ໃຊ້ໃນ Fedora ແລະ Ubuntu, ALP ແທນທີ່ຈະສ້າງຮູບພາບປະລໍາມະນູທີ່ແຍກຕ່າງຫາກແລະການນໍາໃຊ້ໂຄງສ້າງພື້ນຖານການຈັດສົ່ງເພີ່ມເຕີມໃຊ້ຜູ້ຈັດການຊຸດມາດຕະຖານແລະກົນໄກການຖ່າຍຮູບໃນລະບົບໄຟລ໌ Btrfs.

ມີໂຫມດທີ່ສາມາດຕັ້ງຄ່າໄດ້ສໍາລັບການຕິດຕັ້ງການປັບປຸງອັດຕະໂນມັດ (ຕົວຢ່າງ, ທ່ານສາມາດເປີດໃຊ້ການຕິດຕັ້ງອັດຕະໂນມັດພຽງແຕ່ patches ສໍາລັບຊ່ອງໂຫວ່ທີ່ສໍາຄັນຫຼືກັບຄືນໄປຢືນຢັນການຕິດຕັ້ງການປັບປຸງດ້ວຍຕົນເອງ). Live patches ໄດ້ຮັບການສະຫນັບສະຫນູນເພື່ອປັບປຸງແກ່ນ Linux ໂດຍບໍ່ມີການ restart ຫຼືຢຸດການເຮັດວຽກ. ເພື່ອຮັກສາຄວາມຢູ່ລອດຂອງລະບົບ (ການປິ່ນປົວດ້ວຍຕົນເອງ), ສະຖານະທີ່ຫມັ້ນຄົງສຸດທ້າຍຖືກບັນທຶກໂດຍໃຊ້ Btrfs snapshots (ຖ້າຄວາມຜິດປົກກະຕິຖືກກວດພົບຫຼັງຈາກນໍາໃຊ້ການປັບປຸງຫຼືການປ່ຽນແປງການຕັ້ງຄ່າ, ລະບົບຈະຖືກໂອນໂດຍອັດຕະໂນມັດກັບສະຖານະທີ່ຜ່ານມາ).

ແພລະຕະຟອມໃຊ້ stack ຊອບແວຫຼາຍຮຸ່ນ - ຂໍຂອບໃຈກັບການນໍາໃຊ້ເຄື່ອງບັນຈຸ, ທ່ານສາມາດນໍາໃຊ້ອຸປະກອນແລະແອັບພລິເຄຊັນຕ່າງໆໃນຂະນະດຽວກັນ. ຕົວຢ່າງ, ທ່ານສາມາດເອີ້ນໃຊ້ແອັບພລິເຄຊັນທີ່ໃຊ້ Python, Java, ແລະ Node.js ເວີຊັນຕ່າງກັນເປັນຕົວເພິ່ງພາອາໄສ, ແຍກການຂຶ້ນກັບທີ່ບໍ່ເຂົ້າກັນໄດ້. ການເພິ່ງພາອາໄສພື້ນຖານແມ່ນສະໜອງໃຫ້ໃນຮູບແບບຂອງຊຸດ BCI (Base Container Images). ຜູ້ໃຊ້ສາມາດສ້າງ, ປັບປຸງແລະລຶບ stacks ຊອບແວໂດຍບໍ່ມີການຜົນກະທົບຕໍ່ສະພາບແວດລ້ອມອື່ນໆ.

Для установки применяется инсталлятор D-Installer, в котором пользовательский интерфейс отделён от внутренних компонентов YaST и имеется возможность использования различных фронтэндов, в том числе фронтэнда для управления установкой через web-интерфейс. Поддерживается выполнение клиентов YaST (bootloader, iSCSIClient, Kdump, firewall и т.п.) в отдельных контейнерах.

Основные изменения в третьем прототипе ALP:

• Предоставление заслуживающего доверия окружения (Trusted Execution Environment) для конфиденциальных вычислений, позволяющее безопасно обрабатывать данные с использованием изоляции, шифрования и виртуальных машин.
• Применение аппаратной и runtime аттестации для проверки целостности выполняемых задач.
• Базис для поддержки конфиденциальных виртуальных машин (CVM, Confidential Virtual Machine).
• Интеграция поддержи платформы NeuVector для проверки безопасности контейнеров, определения наличия уязвимых компонентов и выявления вредоносной активности.
• Поддержка архитектуры s390x в дополнение к x86_64 и aarch64.
• Возможность включения на этапе инсталляции полнодискового шифрования (FDE, Full Disk Encryption) с хранением ключей в TPMv2 и без необходимости ввода парольной фразы во время первой загрузки. Эквивалентная поддержка как шифрования обычных разделов, так и разделов LVM (Logical Volume Manager).

ແຫຼ່ງຂໍ້ມູນ: opennet.ru