SUSE je izdal tretji prototip platforme ALP "Piz Bernina" (Prilagodljiva Linux Platforma), postavljena kot nadaljevanje razvoja distribucije SUSE Linux Enterprise. Ключевым отличием ALP является разделение базовой основы дистрибутива на две части: урезанную «host OS» для работы поверх оборудования и слой для поддержки приложений, ориентированный на запуск в контейнерах и виртуальных машинах. ALP изначально развивается с использованием открытого процесса разработки, при котором промежуточные сборки и результаты тестирования публично доступны всем желающим.
Tretji prototip vključuje dve ločeni veji, ki sta si trenutno podobni glede osnovne funkcionalnosti, vendar bosta v prihodnosti razviti tako, da se bosta osredotočili na različna področja uporabe in zagotavljali različne storitve. Za testiranje sta na voljo veja Bedrock, osredotočena na strežniške sisteme, in veja Micro, zasnovana za gradnjo sistemov v oblaku in izvajanje mikroservisov. Za arhitekturo x86_64 (Bedrock, Micro) so na voljo že pripravljene gradnje (Bedrock, Micro). Poleg tega so za arhitekture Aarch64, PPC64le in s390x na voljo skripti za gradnjo (Bedrock, Micro).
Arhitektura ALP temelji na razvoju okolja gostiteljskega operacijskega sistema, ki je minimalno potrebno za podporo in upravljanje strojne opreme. Vse aplikacije in komponente uporabniškega prostora naj bi delovale ne v mešanem okolju, temveč v ločenih vsebnikih ali v virtualni stroji, ki se izvajajo na gostiteljskem operacijskem sistemu in so izolirani drug od drugega. Ta organizacija uporabnikom omogoča, da se osredotočijo na aplikacije in abstraktne delovne procese, pri čemer jih loči od nizkonivojskega sistemskega okolja in strojne opreme.
Izdelek SLE Micro, ki temelji na razvoju projekta MicroOS, je uporabljen kot osnova za "gostiteljski OS". Za centralizirano upravljanje sta na voljo sistema za upravljanje konfiguracije Salt (prednameščen) in Ansible (izbirno). Kompleti orodij Podman in K3s (Kubernetes) so na voljo za izvajanje izoliranih vsebnikov. Komponente sistema v kontejnerjih vključujejo yast2, podman, k3s, kokpit, GDM (GNOME Display Manager) in KVM.
Med funkcijami sistemskega okolja je omenjena privzeta uporaba šifriranja diska (FDE, Full Disk Encryption) z možnostjo shranjevanja ključev v TPM. Korenska particija je nameščena v načinu samo za branje in se med delovanjem ne spreminja. Okolje uporablja mehanizem atomskih posodobitev. Za razliko od atomskih posodobitev, ki temeljijo na ostree in snap, ki se uporabljajo v Fedori in UbuntuV ALP se namesto gradnje ločenih atomskih slik in uvajanja dodatne infrastrukture za dostavo uporablja standardni upravljalnik paketov in mehanizem posnetkov v datotečnem sistemu Btrfs.
Na voljo je nastavljiv način samodejne namestitve posodobitev (na primer, lahko omogočite samodejno namestitev samo popravkov kritičnih ranljivosti ali se vrnete na ročno potrditev namestitve posodobitev). Za posodobitev jedra Linux Podprti so popravki v živo brez ponovnega zagona ali prekinitve delovanja. Za ohranjanje preživetja sistema (samozdravljenje) se zadnje stabilno stanje zajame s posnetki Btrfs (če se po namestitvi posodobitev ali spreminjanju nastavitev zaznajo anomalije, se sistem samodejno obnovi v prejšnje stanje).
Platforma uporablja programski sklad z več različicami, ki omogoča uporabo različnih različic orodij in aplikacij hkrati z uporabo vsebnikov. Zaženete lahko na primer aplikacije, ki so odvisne od različnih različic Pythona, Jave in Node.js, tako da ločite nezdružljive odvisnosti. Osnovne odvisnosti so v obliki nizov BCI (Base Container Images). Uporabnik lahko ustvarja, posodablja in odstranjuje sklade programske opreme brez vpliva na druga okolja.
Za namestitev se uporablja namestitveni program D-Installer. Njegov uporabniški vmesnik je ločen od notranjih komponent YaST-a in podpira različne vmesnike, vključno s spletnim vmesnikom za upravljanje namestitve. Odjemalci YaST-a (zagonski nalagalnik, iSCSIClient, Kdump, požarni zid itd.) se lahko izvajajo v ločenih vsebnikih.
Glavne spremembe v tretjem prototipu ALP:
- Zagotavljanje zaupanja vrednega izvajalnega okolja (TEE) za zaupno računalništvo, ki omogoča varno obdelavo podatkov z uporabo izolacije, šifriranja in virtualni stroji.
- Uporaba strojne opreme in preverjanja med izvajanjem za preverjanje integritete opravljenih nalog.
- Okvir za podporo zaupnih virtualnih strojev (CVM).
- Integracija podpore platforme NeuVector za testiranje varnosti vsebnikov, odkrivanje ranljivih komponent in odkrivanje zlonamernih dejavnosti.
- Podpora za arhitekturo s390x poleg x86_64 in aarch64.
- Med namestitvijo omogočite šifriranje celotnega diska (FDE), shranite ključe v TPMv2 in odpravite potrebo po vnosu gesla med prvim zagonom. Enakovredna podpora za šifriranje običajnih particij in particij LVM (Logical Volume Manager).
Vir: opennet.ru
