A SUSE publicou o terceiro protótipo da plataforma ALP “Piz Bernina” (Adaptable Linux Platform), posicionada como uma continuação do desenvolvimento da distribuição SUSE Linux Enterprise. A principal diferença entre o ALP é a divisão da distribuição principal em duas partes: um “sistema operacional host” simplificado para execução sobre o hardware e uma camada para suporte de aplicativos, destinada à execução em contêineres e máquinas virtuais. O ALP é inicialmente desenvolvido usando um processo de desenvolvimento aberto, no qual compilações intermediárias e resultados de testes estão disponíveis publicamente para todos.
O terceiro protótipo inclui dois ramos distintos, que na sua forma atual são semelhantes em conteúdo, mas no futuro irão desenvolver-se no sentido de diferentes áreas de aplicação e diferirão nos serviços que prestam. A filial Bedrock, voltada para uso em sistemas de servidores, e a filial Micro, projetada para construção de sistemas nativos em nuvem e execução de microsserviços, estão disponíveis para testes. Montagens prontas são preparadas para arquitetura x86_64 (Bedrock, Micro). Além disso, scripts de montagem estão disponíveis (Bedrock, Micro) para as arquiteturas Aarch64, PPC64le e s390x.
A arquitetura ALP baseia-se no desenvolvimento no “host OS” do ambiente minimamente necessário para suportar e gerenciar o equipamento. Propõe-se executar todos os aplicativos e componentes do espaço do usuário não em um ambiente misto, mas em contêineres separados ou máquinas virtuais executadas no “sistema operacional host” e isoladas umas das outras. Esta organização permitirá que os usuários se concentrem em aplicativos e fluxos de trabalho abstratos, longe do ambiente e hardware do sistema subjacente.
O produto SLE Micro, baseado nos desenvolvimentos do projeto MicroOS, é utilizado como base para o “sistema operacional host”. Para gerenciamento centralizado, são oferecidos os sistemas de gerenciamento de configuração Salt (pré-instalado) e Ansible (opcional). As ferramentas Podman e K3s (Kubernetes) estão disponíveis para executar contêineres isolados. Entre os componentes do sistema colocados em contêineres estão yast2, podman, k3s, cockpit, GDM (GNOME Display Manager) e KVM.
Dentre as funcionalidades do ambiente do sistema, é mencionado o uso padrão de criptografia de disco (FDE, Full Disk Encryption) com capacidade de armazenar chaves em TPM. A partição raiz é montada em modo somente leitura e não muda durante a operação. O ambiente usa um mecanismo de instalação de atualização atômica. Ao contrário das atualizações atômicas baseadas em ostree e snap usadas no Fedora e no Ubuntu, o ALP usa um gerenciador de pacotes padrão e um mecanismo de snapshot no sistema de arquivos Btrfs em vez de construir imagens atômicas separadas e implantar infraestrutura de entrega adicional.
Existe um modo configurável para instalação automática de atualizações (por exemplo, você pode ativar a instalação automática apenas de patches para vulnerabilidades críticas ou voltar a confirmar manualmente a instalação de atualizações). Patches ativos são suportados para atualizar o kernel do Linux sem reiniciar ou interromper o trabalho. Para manter a capacidade de sobrevivência do sistema (autocorreção), o último estado estável é registrado usando instantâneos Btrfs (se anomalias forem detectadas após a aplicação de atualizações ou alteração de configurações, o sistema é automaticamente transferido para o estado anterior).
A plataforma usa uma pilha de software multiversão - graças ao uso de contêineres, você pode usar simultaneamente diferentes versões de ferramentas e aplicativos. Por exemplo, você pode executar aplicativos que usam diferentes versões de Python, Java e Node.js como dependências, separando dependências incompatíveis. As dependências base são fornecidas na forma de conjuntos BCI (Base Container Images). O usuário pode criar, atualizar e excluir pilhas de software sem afetar outros ambientes.
Para a instalação é utilizado o instalador D-Installer, no qual a interface do usuário é separada dos componentes internos do YaST e é possível utilizar diversos frontends, incluindo um frontend para gerenciamento da instalação via interface web. A execução de clientes YaST (bootloader, iSCSIClient, Kdump, firewall, etc.) em contêineres separados é suportada.
Principais mudanças no terceiro protótipo ALP:
- Fornecendo um ambiente de execução confiável para computação confidencial, permitindo o processamento seguro de dados usando isolamento, criptografia e máquinas virtuais.
- Uso de certificação de hardware e tempo de execução para verificar a integridade das tarefas que estão sendo executadas.
- Base para suporte de máquinas virtuais confidenciais (CVM, Confidential Virtual Machine).
- Integração de suporte à plataforma NeuVector para verificar a segurança de containers, determinar a presença de componentes vulneráveis e identificar atividades maliciosas.
- Suporte para arquitetura s390x além de x86_64 e aarch64.
- A capacidade de ativar a criptografia completa de disco (FDE, Full Disk Encryption) na fase de instalação com chaves armazenadas em TPMv2 e sem a necessidade de inserir uma senha durante a primeira inicialização. Suporte equivalente para criptografia de partições regulares e partições LVM (Logical Volume Manager).
Fonte: opennet.ru