Третиот прототип на платформата ALP што го замени SUSE Linux Enterprise

Компания SUSE опубликовала третий прототип платформы ALP «Piz Bernina» (Adaptable Linux Platform), позиционируемой как продолжение развития дистрибутива SUSE Linux Enterprise. Ключевым отличием ALP является разделение базовой основы дистрибутива на две части: урезанную «host OS» для работы поверх оборудования и слой для поддержки приложений, ориентированный на запуск в контейнерах и виртуальных машинах. ALP изначально развивается с использованием открытого процесса разработки, при котором промежуточные сборки и результаты тестирования публично доступны всем желающим.

Третий прототип включает в себя две отдельные ветки, которые в текущем виде близки по начинке, но в будущем будут развиваться в направлении разных областей применения и будут отличаться предоставляемыми сервисами. Для тестирования доступна ветка Bedrock, ориентированная на использование в серверных системах, и ветка Micro, рассчитанная для построения облачных систем (cloud-native) и запуска микросервисов. Готовые сборки подготовлены для архитектуры x86_64 (Bedrock, Micro). Дополнительно доступны сборочные сценарии (Bedrock, Micro) для архитектур Aarch64, PPC64le и s390x.

Архитектурата ALP се заснова на развојот во „домаќинскиот оперативен систем“ на околината што е минимално неопходна за поддршка и управување со опремата. Се предлага да се извршуваат сите апликации и компоненти на корисничкиот простор не во мешано опкружување, туку во посебни контејнери или виртуелни машини кои работат на врвот на „ОС-домаќинот“ и изолирани едни од други. Оваа организација ќе им овозможи на корисниците да се фокусираат на апликации и апстрактни работни текови подалеку од основната системска околина и хардвер.

Производот SLE Micro, базиран на развојот на проектот MicroOS, се користи како основа за „ОС-домаќин“. За централизирано управување, се нудат системи за управување со конфигурација Salt (преинсталирани) и Ansible (опционално). Алатките Podman и K3s (Kubernetes) се достапни за водење на изолирани контејнери. Меѓу компонентите на системот сместени во контејнери се yast2, podman, k3s, кокпит, GDM (GNOME Display Manager) и KVM.

Меѓу карактеристиките на системската средина, се споменува стандардната употреба на шифрирање на дискот (FDE, Full Disk Encryption) со можност за складирање на клучеви во TPM. Коренската партиција е монтирана во режим само за читање и не се менува за време на работата. Околината користи механизам за инсталација на атомско ажурирање. За разлика од атомските ажурирања засновани на ostree и snap што се користат во Fedora и Ubuntu, ALP наместо да гради посебни атомски слики и да распореди дополнителна инфраструктура за испорака користи стандарден менаџер на пакети и механизам за слика во датотечниот систем Btrfs.

Постои конфигуративен режим за автоматска инсталација на ажурирања (на пример, можете да овозможите автоматско инсталирање само закрпи за критичните пропусти или да се вратите на рачно потврдување на инсталацијата на ажурирањата). Закрпи во живо се поддржани за ажурирање на кернелот на Linux без рестартирање или прекинување на работата. За да се одржи опстанокот на системот (само-заздравување), последната стабилна состојба се снима со помош на снимки од Btrfs (ако се откријат аномалии по примена на ажурирања или менување на поставките, системот автоматски се префрла во претходната состојба).

Платформата користи стек софтвер со повеќе верзии - благодарение на употребата на контејнери, можете истовремено да користите различни верзии на алатки и апликации. На пример, можете да стартувате апликации кои користат различни верзии на Python, Java и Node.js како зависности, одвојувајќи ги некомпатибилните зависности. Основните зависности се испорачуваат во форма на комплети BCI (Base Container Images). Корисникот може да креира, ажурира и брише софтверски купови без да влијае на други средини.

Для установки применяется инсталлятор D-Installer, в котором пользовательский интерфейс отделён от внутренних компонентов YaST и имеется возможность использования различных фронтэндов, в том числе фронтэнда для управления установкой через web-интерфейс. Поддерживается выполнение клиентов YaST (bootloader, iSCSIClient, Kdump, firewall и т.п.) в отдельных контейнерах.

Основные изменения в третьем прототипе ALP:

• Предоставление заслуживающего доверия окружения (Trusted Execution Environment) для конфиденциальных вычислений, позволяющее безопасно обрабатывать данные с использованием изоляции, шифрования и виртуальных машин.
• Применение аппаратной и runtime аттестации для проверки целостности выполняемых задач.
• Базис для поддержки конфиденциальных виртуальных машин (CVM, Confidential Virtual Machine).
• Интеграция поддержи платформы NeuVector для проверки безопасности контейнеров, определения наличия уязвимых компонентов и выявления вредоносной активности.
• Поддержка архитектуры s390x в дополнение к x86_64 и aarch64.
• Возможность включения на этапе инсталляции полнодискового шифрования (FDE, Full Disk Encryption) с хранением ключей в TPMv2 и без необходимости ввода парольной фразы во время первой загрузки. Эквивалентная поддержка как шифрования обычных разделов, так и разделов LVM (Logical Volume Manager).

Извор: opennet.ru