SUSE zverejnilo tretí prototyp platformy ALP „Piz Bernina“ (Adaptable Linux Platform), ktorý je pokračovaním vývoja distribúcie SUSE Linux Enterprise. Kľúčovým rozdielom medzi ALP je rozdelenie základnej distribúcie na dve časti: orezaný „hostiteľský OS“ pre beh nad hardvérom a vrstva pre podporu aplikácií zameranú na beh v kontajneroch a virtuálnych strojoch. ALP sa spočiatku vyvíja pomocou otvoreného vývojového procesu, v ktorom sú prechodné zostavy a výsledky testov verejne dostupné pre každého.
Tretí prototyp zahŕňa dve samostatné pobočky, ktoré sú v súčasnej podobe obsahovo podobné, no v budúcnosti sa budú vyvíjať smerom k rôznym oblastiam použitia a budú sa líšiť poskytovanými službami. Na testovanie je k dispozícii pobočka Bedrock orientovaná na použitie v serverových systémoch a pobočka Micro určená na budovanie cloudových natívnych systémov a prevádzkovanie mikroslužieb. Pre architektúru x86_64 (Bedrock, Micro) sú pripravené hotové zostavy. Okrem toho sú k dispozícii montážne skripty (Bedrock, Micro) pre architektúry Aarch64, PPC64le a s390x.
Architektúra ALP je založená na vývoji prostredia v „hostiteľskom OS“, ktorý je minimálne potrebný na podporu a správu zariadenia. Navrhuje sa spustiť všetky aplikácie a komponenty používateľského priestoru nie v zmiešanom prostredí, ale v samostatných kontajneroch alebo virtuálnych strojoch bežiacich nad „hostiteľským OS“ a navzájom izolované. Táto organizácia umožní používateľom sústrediť sa na aplikácie a abstraktné pracovné postupy mimo základného systémového prostredia a hardvéru.
Produkt SLE Micro, založený na vývoji projektu MicroOS, sa používa ako základ pre „hostiteľský OS“. Pre centralizovanú správu sú ponúkané konfiguračné systémy Salt (predinštalované) a Ansible (voliteľné). Na spustenie izolovaných kontajnerov sú k dispozícii nástroje Podman a K3s (Kubernetes). Medzi systémové komponenty umiestnené v kontajneroch patria yast2, podman, k3s, kokpit, GDM (GNOME Display Manager) a KVM.
Z vlastností systémového prostredia sa uvádza štandardné použitie šifrovania disku (FDE, Full Disk Encryption) s možnosťou ukladania kľúčov do TPM. Koreňový oddiel je pripojený v režime len na čítanie a počas prevádzky sa nemení. Prostredie používa mechanizmus inštalácie atómovej aktualizácie. Na rozdiel od atómových aktualizácií založených na ostree a snap používaných vo Fedore a Ubuntu, ALP používa štandardného správcu balíkov a mechanizmus snímok v súborovom systéme Btrfs namiesto vytvárania samostatných atómových obrazov a nasadzovania dodatočnej infraštruktúry doručovania.
Existuje konfigurovateľný režim pre automatickú inštaláciu aktualizácií (môžete napríklad povoliť automatickú inštaláciu iba opráv pre kritické zraniteľnosti alebo sa vrátiť k manuálnemu potvrdeniu inštalácie aktualizácií). Živé opravy sú podporované na aktualizáciu jadra Linuxu bez reštartovania alebo zastavenia práce. Pre zachovanie schopnosti prežitia systému (samoopravy) sa posledný stabilný stav zaznamenáva pomocou snímok Btrfs (ak sa po aplikovaní aktualizácií alebo zmene nastavení zistia anomálie, systém sa automaticky prenesie do predchádzajúceho stavu).
Platforma využíva multi-verzový softvérový zásobník – vďaka použitiu kontajnerov môžete súčasne využívať rôzne verzie nástrojov a aplikácií. Môžete napríklad spúšťať aplikácie, ktoré používajú rôzne verzie Pythonu, Java a Node.js ako závislosti a oddeľujú nekompatibilné závislosti. Základné závislosti sú dodávané vo forme sád BCI (Base Container Images). Používateľ môže vytvárať, aktualizovať a mazať balíky softvéru bez ovplyvnenia iných prostredí.
Na inštaláciu slúži inštalátor D-Installer, v ktorom je používateľské rozhranie oddelené od interných komponentov YaST a je možné použiť rôzne frontendy vrátane frontendu pre správu inštalácie cez webové rozhranie. Podporuje sa spúšťanie klientov YaST (bootloader, iSCSIClient, Kdump, firewall atď.) v samostatných kontajneroch.
Hlavné zmeny v treťom prototype ALP:
- Poskytovanie Trusted Execution Environment pre dôverné výpočty, umožňujúce bezpečné spracovanie údajov pomocou izolácie, šifrovania a virtuálnych strojov.
- Použitie hardvérovej a runtime certifikácie na overenie integrity vykonávaných úloh.
- Základ pre podporu dôverných virtuálnych strojov (CVM, Confidential Virtual Machine).
- Integrácia podpory pre platformu NeuVector na overenie bezpečnosti kontajnerov, určenie prítomnosti zraniteľných komponentov a identifikáciu škodlivej aktivity.
- Podpora architektúry s390x okrem x86_64 a aarch64.
- Možnosť povoliť šifrovanie celého disku (FDE, Full Disk Encryption) vo fáze inštalácie s kľúčmi uloženými v TPMv2 a bez potreby zadávania prístupovej frázy počas prvého zavádzania. Ekvivalentná podpora pre šifrovanie bežných oddielov aj oddielov LVM (Logical Volume Manager).
Zdroj: opennet.ru