Компания SUSE опубликовала третий прототип платформы ALP «Piz Bernina» (Adaptable Linux Platform), позиционируемой как продолжение развития дистрибутива SUSE Linux Enterprise. Ключевым отличием ALP является разделение базовой основы дистрибутива на две части: урезанную «host OS» для работы поверх оборудования и слой для поддержки приложений, ориентированный на запуск в контейнерах и виртуальных машинах. ALP изначально развивается с использованием открытого процесса разработки, при котором промежуточные сборки и результаты тестирования публично доступны всем желающим.
Третий прототип включает в себя две отдельные ветки, которые в текущем виде близки по начинке, но в будущем будут развиваться в направлении разных областей применения и будут отличаться предоставляемыми сервисами. Для тестирования доступна ветка Bedrock, ориентированная на использование в серверных системах, и ветка Micro, рассчитанная для построения облачных систем (cloud-native) и запуска микросервисов. Готовые сборки подготовлены для архитектуры x86_64 (Bedrock, Micro). Дополнительно доступны сборочные сценарии (Bedrock, Micro) для архитектур Aarch64, PPC64le и s390x.
L-arkitettura ALP hija bbażata fuq l-iżvilupp fl-"OS ospitanti" tal-ambjent li huwa minimament meħtieġ biex isostni u jimmaniġġja t-tagħmir. Huwa propost li l-applikazzjonijiet kollha u l-komponenti tal-ispazju tal-utent jitħaddmu mhux f'ambjent imħallat, iżda f'kontenituri separati jew magni virtwali li jaħdmu fuq "l-OS ospitanti" u iżolati minn xulxin. Din l-organizzazzjoni se tippermetti lill-utenti jiffokaw fuq applikazzjonijiet u flussi tax-xogħol astratti 'l bogħod mill-ambjent tas-sistema sottostanti u l-ħardwer.
Il-prodott SLE Micro, ibbażat fuq l-iżviluppi tal-proġett MicroOS, jintuża bħala l-bażi għall-"OS ospitanti". Għal ġestjoni ċentralizzata, is-sistemi ta 'ġestjoni tal-konfigurazzjoni huma offruti Salt (installat minn qabel) u Ansible (mhux obbligatorju). Għodod Podman u K3s (Kubernetes) huma disponibbli biex imexxu kontenituri iżolati. Fost il-komponenti tas-sistema mqiegħda f'kontenituri hemm yast2, podman, k3s, cockpit, GDM (GNOME Display Manager) u KVM.
Fost il-karatteristiċi tal-ambjent tas-sistema, jissemma l-użu default tal-kriptaġġ tad-disk (FDE, Full Disk Encryption) bil-kapaċità li jaħżnu ċwievet f'TPM. Il-partizzjoni tal-għeruq hija mmuntata fil-modalità ta 'qari biss u ma tinbidilx waqt it-tħaddim. L-ambjent juża mekkaniżmu ta 'installazzjoni ta' aġġornament atomiku. B'differenza mill-aġġornamenti atomiċi bbażati fuq ostree u snap użati f'Fedora u Ubuntu, ALP juża maniġer ta 'pakketti standard u mekkaniżmu ta' snapshot fis-sistema tal-fajls Btrfs minflok ma jibni immaġini atomiċi separati u juża infrastruttura ta 'kunsinna addizzjonali.
Hemm mod konfigurabbli għall-installazzjoni awtomatika tal-aġġornamenti (pereżempju, tista 'tippermetti l-installazzjoni awtomatika ta' garża biss għal vulnerabbiltajiet kritiċi jew terġa 'lura biex tikkonferma manwalment l-installazzjoni tal-aġġornamenti). Irqajja ħajjin huma appoġġjati biex jaġġornaw il-kernel tal-Linux mingħajr ma jerġa' jibda jew iwaqqaf ix-xogħol. Biex tinżamm is-sopravivenza tas-sistema (awto-fejqan), l-aħħar stat stabbli jiġi rreġistrat bl-użu ta 'snapshots Btrfs (jekk jiġu skoperti anomaliji wara li jiġu applikati aġġornamenti jew li jinbidlu l-issettjar, is-sistema tiġi trasferita awtomatikament għall-istat preċedenti).
Il-pjattaforma tuża munzell ta 'softwer b'diversi verżjoni - grazzi għall-użu ta' kontenituri, tista 'fl-istess ħin tuża verżjonijiet differenti ta' għodod u applikazzjonijiet. Pereżempju, tista 'tħaddem applikazzjonijiet li jużaw verżjonijiet differenti ta' Python, Java, u Node.js bħala dipendenzi, u jisseparaw dipendenzi inkompatibbli. Dipendenzi bażi huma fornuti fil-forma ta 'settijiet BCI (Base Container Images). L-utent jista 'joħloq, jaġġorna u jħassar munzelli ta' softwer mingħajr ma jaffettwa ambjenti oħra.
Для установки применяется инсталлятор D-Installer, в котором пользовательский интерфейс отделён от внутренних компонентов YaST и имеется возможность использования различных фронтэндов, в том числе фронтэнда для управления установкой через web-интерфейс. Поддерживается выполнение клиентов YaST (bootloader, iSCSIClient, Kdump, firewall и т.п.) в отдельных контейнерах.
Основные изменения в третьем прототипе ALP:
- Предоставление заслуживающего доверия окружения (Trusted Execution Environment) для конфиденциальных вычислений, позволяющее безопасно обрабатывать данные с использованием изоляции, шифрования и виртуальных машин.
- Применение аппаратной и runtime аттестации для проверки целостности выполняемых задач.
- Базис для поддержки конфиденциальных виртуальных машин (CVM, Confidential Virtual Machine).
- Интеграция поддержи платформы NeuVector для проверки безопасности контейнеров, определения наличия уязвимых компонентов и выявления вредоносной активности.
- Поддержка архитектуры s390x в дополнение к x86_64 и aarch64.
- Возможность включения на этапе инсталляции полнодискового шифрования (FDE, Full Disk Encryption) с хранением ключей в TPMv2 и без необходимости ввода парольной фразы во время первой загрузки. Эквивалентная поддержка как шифрования обычных разделов, так и разделов LVM (Logical Volume Manager).
Sors: opennet.ru