Компания SUSE опубликовала третий прототип платформы ALP «Piz Bernina» (Adaptable Linux Platform), позиционируемой как продолжение развития дистрибутива SUSE Linux Enterprise. Ключевым отличием ALP является разделение базовой основы дистрибутива на две части: урезанную «host OS» для работы поверх оборудования и слой для поддержки приложений, ориентированный на запуск в контейнерах и виртуальных машинах. ALP изначально развивается с использованием открытого процесса разработки, при котором промежуточные сборки и результаты тестирования публично доступны всем желающим.
Третий прототип включает в себя две отдельные ветки, которые в текущем виде близки по начинке, но в будущем будут развиваться в направлении разных областей применения и будут отличаться предоставляемыми сервисами. Для тестирования доступна ветка Bedrock, ориентированная на использование в серверных системах, и ветка Micro, рассчитанная для построения облачных систем (cloud-native) и запуска микросервисов. Готовые сборки подготовлены для архитектуры x86_64 (Bedrock, Micro). Дополнительно доступны сборочные сценарии (Bedrock, Micro) для архитектур Aarch64, PPC64le и s390x.
Arhitectura ALP se bazează pe dezvoltarea în „OS gazdă” a mediului, minim necesar pentru a susține și controla echipamentele. Se propune ca toate aplicațiile și componentele spațiului utilizator să ruleze nu într-un mediu mixt, ci în containere separate sau în mașini virtuale care rulează deasupra „OS gazdă” și izolate unele de altele. Această organizare va permite utilizatorilor să se concentreze pe aplicații și fluxuri de lucru abstracte din mediul de sistem și hardware de nivel scăzut.
Produsul SLE Micro, bazat pe dezvoltările proiectului MicroOS, este folosit ca bază pentru „OS gazdă”. Pentru managementul centralizat, sunt oferite sistemele de gestionare a configurației Salt (preinstalat) și Ansible (opțional). Seturile de instrumente Podman și K3s (Kubernetes) sunt disponibile pentru rularea containerelor izolate. Componentele sistemului containerizate includ yast2, podman, k3s, cockpit, GDM (GNOME Display Manager) și KVM.
Dintre caracteristicile mediului de sistem, este menționată utilizarea implicită a criptării discului (FDE, Full Disk Encryption) cu capacitatea de a stoca chei în TPM. Partiția rădăcină este montată în modul numai citire și nu se modifică în timpul funcționării. Mediul folosește mecanismul instalării actualizării atomice. Spre deosebire de actualizările atomice bazate pe ostree și snap utilizate în Fedora și Ubuntu, în ALP, în loc de a construi imagini atomice separate și de a implementa o infrastructură de livrare suplimentară, sunt utilizate un manager de pachete obișnuit și mecanismul de instantanee în sistemul de fișiere Btrfs.
Este oferit un mod configurabil pentru instalarea automată a actualizărilor (de exemplu, puteți activa instalarea automată numai a remedierilor pentru vulnerabilități critice sau puteți reveni la confirmarea manuală a instalării actualizărilor). Patch-urile live sunt acceptate pentru a actualiza nucleul Linux fără a reporni sau suspenda activitatea. Pentru a menține supraviețuirea sistemului (auto-vindecare), ultima stare stabilă este fixată folosind instantanee Btrfs (în cazul în care sunt detectate anomalii după aplicarea actualizărilor sau modificarea setărilor, sistemul este transferat automat la starea anterioară).
Platforma folosește o stivă de software cu mai multe versiuni, care vă permite să utilizați diferite versiuni de instrumente și aplicații în același timp prin utilizarea containerelor. De exemplu, puteți rula aplicații care depind de diferite versiuni de Python, Java și Node.js, separând dependențele incompatibile. Dependențe de bază vin sub formă de seturi BCI (Base Container Images). Utilizatorul poate crea, actualiza și elimina stive de software fără a afecta alte medii.
Для установки применяется инсталлятор D-Installer, в котором пользовательский интерфейс отделён от внутренних компонентов YaST и имеется возможность использования различных фронтэндов, в том числе фронтэнда для управления установкой через web-интерфейс. Поддерживается выполнение клиентов YaST (bootloader, iSCSIClient, Kdump, firewall и т.п.) в отдельных контейнерах.
Основные изменения в третьем прототипе ALP:
- Предоставление заслуживающего доверия окружения (Trusted Execution Environment) для конфиденциальных вычислений, позволяющее безопасно обрабатывать данные с использованием изоляции, шифрования и виртуальных машин.
- Применение аппаратной и runtime аттестации для проверки целостности выполняемых задач.
- Базис для поддержки конфиденциальных виртуальных машин (CVM, Confidential Virtual Machine).
- Интеграция поддержи платформы NeuVector для проверки безопасности контейнеров, определения наличия уязвимых компонентов и выявления вредоносной активности.
- Поддержка архитектуры s390x в дополнение к x86_64 и aarch64.
- Возможность включения на этапе инсталляции полнодискового шифрования (FDE, Full Disk Encryption) с хранением ключей в TPMv2 и без необходимости ввода парольной фразы во время первой загрузки. Эквивалентная поддержка как шифрования обычных разделов, так и разделов LVM (Logical Volume Manager).
Sursa: opennet.ru