Компанія SUSE опублікувала третій прототип платформи ALP Piz Bernina (Adaptable Linux Platform), що позиціонується як продовження розвитку дистрибутива SUSE Linux Enterprise. Ключовою відмінністю ALP є поділ базової основи дистрибутива на дві частини: урізану «host OS» для роботи поверх обладнання та шар для підтримки програм, орієнтований на запуск у контейнерах та віртуальних машинах. ALP спочатку розвивається з використанням відкритого процесу розробки, при якому проміжні складання та результати тестування публічно доступні всім бажаючим.
Третій прототип включає дві окремі гілки, які в поточному вигляді близькі по начинці, але в майбутньому будуть розвиватися в напрямку різних областей застосування і відрізнятимуться сервісами. Для тестування доступна гілка Bedrock, орієнтована на використання в серверних системах, та гілка Micro, розрахована для побудови хмарних систем (cloud-native) та запуску мікросервісів. Готові збирання підготовлені для архітектури x86_64 (Bedrock, Micro). Додатково доступні складальні сценарії (Bedrock, Micro) для архітектур Aarch64, PPC64le та s390x.
Архітектура ALP заснована на розвитку в "host OS" оточення, мінімально необхідного для підтримки та управління обладнанням. Всі програми та компоненти простору користувача пропонується запускати не в змішаному оточенні, а в окремих контейнерах або у віртуальних машинах, що виконуються поверх host OS і ізольованих один від одного. Подібна організація дозволить користувачам сфокусувати увагу на додатках та абстрагувати робочі процеси, відокремивши їх від низькорівневого системного оточення та обладнання.
Як основа для «host OS» задіяний продукт SLE Micro, заснований на напрацюваннях проекту MicroOS. Для централізованого керування пропонуються системи керування конфігурацією Salt (передвстановлена) та Ansible (опція). Для запуску ізольованих контейнерів доступні інструментарії Podman та K3s (Kubernetes). Серед системних компонентів, винесених у контейнери, присутні yast2, podman, k3s, cockpit, GDM (GNOME Display Manager) та KVM.
З особливостей системного оточення згадується стандартне використання дискового шифрування (FDE, Full Disk Encryption) з можливістю зберігання ключів у TPM. Кореневий розділ монтується в режимі лише для читання та не змінюється у процесі роботи. В оточенні застосовується механізм атомарної установки оновлень. На відміну від атомарних оновлень на базі ostree та snap, що використовуються у Fedora та Ubuntu, в ALP замість побудови окремих атомарних образів та розгортання додаткової інфраструктури доставки застосовуються штатний пакетний менеджер та механізм снапшотів у ФС Btrfs.
Передбачено режим автоматичної установки оновлень (наприклад, можна ввімкнути автоустановку тільки виправлень критичних вразливостей або повернутися до ручного підтвердження установки оновлень). Для оновлення ядра Linux без перезапуску та припинення роботи підтримуються live-патчі. Для підтримки живучості системи (self-healing) здійснюється фіксація останнього стабільного стану за допомогою снапшотів Btrfs (у разі виявлення аномалій після застосування оновлень або зміни налаштувань система автоматично перетворюється на попередній стан).
У платформі застосовується багатоверсійний програмний стек – завдяки застосуванню контейнерів можна одночасно використовувати різні версії інструментів та додатків. Наприклад, можна запускати програми, які використовують залежно від різних версій Python, Java і Node.js, розділяючи несумісні між собою залежності. Базові залежності поставляються у вигляді наборів BCI (Base Container Images). Користувач може створювати, оновлювати та видаляти програмні стеки не торкаючись інших оточень.
Для установки застосовується інсталятор D-Installer, в якому інтерфейс користувача відділений від внутрішніх компонентів YaST і є можливість використання різних фронтендів, у тому числі фронтенду для керування установкою через web-інтерфейс. Підтримується виконання клієнтів YaST (bootloader, iSCSIClient, Kdump, firewall тощо) в окремих контейнерах.
Основні зміни у третьому прототипі ALP:
- Надання заслуговуючого довіри оточення (Trusted Execution Environment) для конфіденційних обчислень, що дозволяє безпечно обробляти дані з використанням ізоляції, шифрування та віртуальних машин.
- Застосування апаратної та runtime атестації для перевірки цілісності виконуваних завдань.
- Базис підтримки конфіденційних віртуальних машин (CVM, Confidential Virtual Machine).
- Інтеграція підтримуй платформу NeuVector для перевірки безпеки контейнерів, визначення наявності вразливих компонентів та виявлення шкідливої активності.
- Підтримка архітектури s390x на додаток до x86_64 та aarch64.
- Можливість увімкнення на етапі інсталяції повнодискового шифрування (FDE, Full Disk Encryption) із зберіганням ключів у TPMv2 і без необхідності введення парольної фрази під час першого завантаження. Еквівалентна підтримка як шифрування звичайних розділів, і розділів LVM (Logical Volume Manager).
Джерело: opennet.ru