SUSE opublikowało trzeci prototyp platformy ALP „Piz Bernina” (Adaptable Linux Platform), pozycjonowanej jako kontynuacja rozwoju dystrybucji SUSE Linux Enterprise. Kluczową różnicą między ALP jest podział podstawowej dystrybucji na dwie części: uproszczony „system operacyjny hosta” do działania na sprzęcie oraz warstwę obsługującą aplikacje, przeznaczone do działania w kontenerach i maszynach wirtualnych. ALP jest początkowo rozwijany w otwartym procesie rozwoju, w którym pośrednie kompilacje i wyniki testów są publicznie dostępne dla każdego.
Trzeci prototyp obejmuje dwie odrębne gałęzie, które w swojej obecnej formie są podobne pod względem treści, ale w przyszłości będą rozwijać się w kierunku różnych obszarów zastosowań i będą różnić się dostarczanymi usługami. Do testów udostępniono gałąź Bedrock, zorientowaną na zastosowanie w systemach serwerowych oraz gałąź Micro, przeznaczoną do budowania systemów natywnych w chmurze i uruchamiania mikroserwisów. Gotowe złożenia przygotowane są dla architektury x86_64 (Bedrock, Micro). Dodatkowo dostępne są skrypty asemblera (Bedrock, Micro) dla architektur Aarch64, PPC64le i s390x.
Architektura ALP opiera się na opracowaniu „systemu operacyjnego hosta” środowiska, które jest minimalnie niezbędne do obsługi i zarządzania sprzętem. Proponuje się uruchamianie wszystkich aplikacji i komponentów przestrzeni użytkownika nie w środowisku mieszanym, ale w oddzielnych kontenerach lub maszynach wirtualnych działających na „systemie operacyjnym hosta” i odizolowanych od siebie. Taka organizacja umożliwi użytkownikom skupienie się na aplikacjach i abstrakcyjnych przepływach pracy z dala od podstawowego środowiska systemowego i sprzętu.
Produkt SLE Micro, oparty na rozwinięciach projektu MicroOS, służy jako podstawa „systemu operacyjnego hosta”. Do scentralizowanego zarządzania oferowane są systemy zarządzania konfiguracją Salt (preinstalowane) i Ansible (opcjonalnie). Dostępne są narzędzia Podman i K3s (Kubernetes) do uruchamiania izolowanych kontenerów. Wśród komponentów systemu umieszczonych w kontenerach znajdują się yast2, podman, k3s, kokpit, GDM (GNOME Display Manager) i KVM.
Wśród cech środowiska systemowego wymienia się domyślne wykorzystanie szyfrowania dysku (FDE, Full Disk Encryption) z możliwością przechowywania kluczy w TPM. Partycja główna jest montowana w trybie tylko do odczytu i nie zmienia się podczas pracy. Środowisko korzysta z mechanizmu instalacji aktualizacji atomowej. W przeciwieństwie do aktualizacji atomowych opartych na oprogramowaniu ostree i snap używanych w Fedorze i Ubuntu, ALP wykorzystuje standardowego menedżera pakietów i mechanizm migawek w systemie plików Btrfs zamiast budować oddzielne obrazy atomowe i wdrażać dodatkową infrastrukturę dostarczania.
Dostępny jest konfigurowalny tryb automatycznej instalacji aktualizacji (można na przykład włączyć automatyczną instalację tylko łat dla krytycznych luk lub powrócić do ręcznego potwierdzania instalacji aktualizacji). Obsługiwane są łatki na żywo umożliwiające aktualizację jądra systemu Linux bez ponownego uruchamiania lub zatrzymywania pracy. Aby zachować żywotność systemu (samonaprawę), ostatni stabilny stan jest rejestrowany za pomocą migawek Btrfs (w przypadku wykrycia anomalii po zastosowaniu aktualizacji lub zmianie ustawień, system automatycznie powraca do poprzedniego stanu).
Platforma wykorzystuje wielowersyjny stos oprogramowania – dzięki zastosowaniu kontenerów można jednocześnie korzystać z różnych wersji narzędzi i aplikacji. Można na przykład uruchamiać aplikacje korzystające z różnych wersji języków Python, Java i Node.js jako zależności, oddzielając niezgodne zależności. Zależności podstawowe są dostarczane w postaci zestawów BCI (Base Container Images). Użytkownik może tworzyć, aktualizować i usuwać stosy oprogramowania bez wpływu na inne środowiska.
Do instalacji wykorzystywany jest instalator D-Installer, w którym interfejs użytkownika jest oddzielony od wewnętrznych komponentów YaST i możliwe jest wykorzystanie różnych frontendów, w tym frontendu do zarządzania instalacją poprzez interfejs webowy. Obsługiwane jest uruchamianie klientów YaST (bootloader, iSCSIClient, Kdump, firewall itp.) w oddzielnych kontenerach.
Główne zmiany w trzecim prototypie ALP:
- Zapewnienie zaufanego środowiska wykonawczego dla poufnego przetwarzania danych, umożliwiającego bezpieczne przetwarzanie danych przy użyciu izolacji, szyfrowania i maszyn wirtualnych.
- Wykorzystanie certyfikacji sprzętu i środowiska wykonawczego w celu sprawdzenia integralności wykonywanych zadań.
- Podstawa obsługi poufnych maszyn wirtualnych (CVM, Confidential Virtual Machine).
- Integracja wsparcia dla platformy NeuVector w celu weryfikacji bezpieczeństwa kontenerów, określenia obecności podatnych komponentów i identyfikacji szkodliwej aktywności.
- Obsługa architektury s390x oprócz x86_64 i aarch64.
- Możliwość włączenia szyfrowania całego dysku (FDE, Full Disk Encryption) na etapie instalacji za pomocą kluczy przechowywanych w TPMv2 i bez konieczności podawania hasła podczas pierwszego uruchomienia. Równoważna obsługa zarówno szyfrowania zwykłych partycji, jak i partycji LVM (Logical Volume Manager).
Źródło: opennet.ru