SUSE ir publicējusi trešo ALP platformas prototipu “Piz Bernina” (Adaptable Linux Platform), kas pozicionēts kā SUSE Linux Enterprise izplatīšanas attīstības turpinājums. Galvenā atšķirība starp ALP ir galvenā izplatīšanas sadalījums divās daļās: attīrīta “resursdatora OS”, kas paredzēta aparatūrai, un slānis lietojumprogrammu atbalstam, kas paredzēts darbībai konteineros un virtuālajās mašīnās. Sākotnēji ALP tiek izstrādāts, izmantojot atvērtu izstrādes procesu, kurā starpposma būvdarbi un testa rezultāti ir publiski pieejami ikvienam.
Trešais prototips ietver divas atsevišķas filiāles, kas savā pašreizējā formā saturiski ir līdzīgas, taču nākotnē tās attīstīsies dažādu pielietojuma jomu virzienā un atšķirsies sniegtajos servisos. Testēšanai ir pieejama Bedrock filiāle, kas orientēta uz izmantošanu serveru sistēmās, un Micro filiāle, kas paredzēta mākoņsistēmu veidošanai un mikropakalpojumu darbināšanai. Gatavie mezgli ir sagatavoti x86_64 arhitektūrai (Bedrock, Micro). Turklāt ir pieejami montāžas skripti (Bedrock, Micro) Aarch64, PPC64le un s390x arhitektūrām.
ALP arhitektūra ir balstīta uz vides izstrādi “resursdatora OS”, kas ir minimāli nepieciešama, lai atbalstītu un pārvaldītu aprīkojumu. Visas lietojumprogrammas un lietotāja telpas komponentus tiek piedāvāts palaist nevis jauktā vidē, bet atsevišķos konteineros vai virtuālajās mašīnās, kas darbojas virs “resursdatora OS” un izolētas viena no otras. Šī organizācija ļaus lietotājiem koncentrēties uz lietojumprogrammām un abstraktām darbplūsmām prom no pamatā esošās sistēmas vides un aparatūras.
SLE Micro produkts, kas balstīts uz MicroOS projekta izstrādi, tiek izmantots kā “resursdatora OS” pamats. Centralizētai vadībai tiek piedāvātas konfigurācijas pārvaldības sistēmas Salt (iepriekš instalēta) un Ansible (pēc izvēles). Ir pieejami Podman un K3s (Kubernetes) rīki, lai palaistu izolētus konteinerus. Starp sistēmas komponentiem, kas ievietoti konteineros, ir yast2, podman, k3s, kabīne, GDM (GNOME displeja pārvaldnieks) un KVM.
Starp sistēmas vides funkcijām tiek minēta diska šifrēšanas noklusējuma izmantošana (FDE, Full Disk Encryption) ar iespēju saglabāt atslēgas TPM. Saknes nodalījums ir uzstādīts tikai lasīšanas režīmā un darbības laikā nemainās. Vidē tiek izmantots atomu atjauninājumu instalēšanas mehānisms. Atšķirībā no atomu atjauninājumiem, kuru pamatā ir ostree un snap, ko izmanto Fedora un Ubuntu, ALP izmanto standarta pakotņu pārvaldnieku un momentuzņēmumu mehānismu Btrfs failu sistēmā, nevis veido atsevišķus atomattēlus un izvieto papildu piegādes infrastruktūru.
Ir konfigurējams režīms automātiskai atjauninājumu instalēšanai (piemēram, varat iespējot automātisku tikai kritisko ievainojamību ielāpu instalēšanu vai atgriezties pie atjauninājumu instalēšanas manuālas apstiprināšanas). Tiešraides ielāpi tiek atbalstīti, lai atjauninātu Linux kodolu bez restartēšanas vai darba apturēšanas. Lai saglabātu sistēmas izdzīvošanu (pašdziedināšanu), pēdējais stabilais stāvoklis tiek reģistrēts, izmantojot Btrfs momentuzņēmumus (ja pēc atjauninājumu piemērošanas vai iestatījumu maiņas tiek konstatētas anomālijas, sistēma tiek automātiski pārsūtīta uz iepriekšējo stāvokli).
Platforma izmanto vairāku versiju programmatūras steku – pateicoties konteineru izmantošanai, vienlaikus var izmantot dažādas rīku un aplikāciju versijas. Piemēram, varat palaist lietojumprogrammas, kurās kā atkarības tiek izmantotas dažādas Python, Java un Node.js versijas, atdalot nesaderīgas atkarības. Bāzes atkarības tiek piegādātas BCI (Base Container Images) komplektu veidā. Lietotājs var izveidot, atjaunināt un dzēst programmatūras stekus, neietekmējot citas vides.
Instalēšanai tiek izmantots D-Installer instalētājs, kurā lietotāja interfeiss ir atdalīts no YaST iekšējiem komponentiem un ir iespējams izmantot dažādus priekšgalus, tostarp priekšgalu instalācijas pārvaldīšanai, izmantojot tīmekļa saskarni. Tiek atbalstīta YaST klientu (sāknēšanas ielādētājs, iSCSIClient, Kdump, ugunsmūris utt.) izpilde atsevišķos konteineros.
Galvenās izmaiņas trešajā ALP prototipā:
- Uzticamas izpildes vides nodrošināšana konfidenciālai skaitļošanai, kas ļauj droši apstrādāt datus, izmantojot izolāciju, šifrēšanu un virtuālās mašīnas.
- Aparatūras un izpildlaika sertifikācijas izmantošana, lai pārbaudītu veicamo uzdevumu integritāti.
- Pamats konfidenciālu virtuālo mašīnu (CVM, Confidential Virtual Machine) atbalstam.
- NeuVector platformas atbalsta integrācija, lai pārbaudītu konteineru drošību, noteiktu neaizsargātu komponentu klātbūtni un identificētu ļaunprātīgu darbību.
- Atbalsts s390x arhitektūrai papildus x86_64 un aarch64.
- Iespēja iespējot pilna diska šifrēšanu (FDE, Full Disk Encryption) instalēšanas stadijā ar TPMv2 saglabātajām atslēgām un bez nepieciešamības ievadīt ieejas frāzi pirmās sāknēšanas laikā. Līdzvērtīgs atbalsts gan parasto nodalījumu, gan LVM (loģiskā sējuma pārvaldnieka) nodalījumu šifrēšanai.
Avots: opennet.ru