SUSE SUSE Linux Enterprise distribyutsiyasini rivojlantirishning davomi sifatida joylashtirilgan "Piz Bernina" (Adaptable Linux Platform) ALP platformasining uchinchi prototipini nashr etdi. ALP o'rtasidagi asosiy farq asosiy taqsimotni ikki qismga bo'lishdir: apparat ustida ishlash uchun ajratilgan "host OS" va konteynerlarda va virtual mashinalarda ishlashga qaratilgan ilovalarni qo'llab-quvvatlash uchun qatlam. ALP dastlab ochiq ishlab chiqish jarayoni yordamida ishlab chiqilgan bo'lib, unda oraliq tuzilmalar va test natijalari hamma uchun ochiqdir.
Uchinchi prototip ikkita alohida filialni o'z ichiga oladi, ular hozirgi ko'rinishida mazmunan o'xshash, ammo kelajakda ular turli xil qo'llash sohalari yo'nalishi bo'yicha rivojlanadi va ko'rsatadigan xizmatlarda farqlanadi. Server tizimlarida foydalanishga yo'naltirilgan Bedrock filiali va bulutli mahalliy tizimlarni yaratish va mikroservislarni ishga tushirish uchun mo'ljallangan Micro filiali sinov uchun mavjud. Tayyor yig'ilishlar x86_64 arxitekturasi uchun tayyorlanadi (Bedrock, Micro). Bundan tashqari, Aarch64, PPC64le va s390x arxitekturalari uchun montaj skriptlari (Bedrock, Micro) mavjud.
ALP arxitekturasi uskunani qo'llab-quvvatlash va boshqarish uchun minimal zarur bo'lgan muhitning "host OS" dagi rivojlanishiga asoslangan. Barcha ilovalar va foydalanuvchi maydoni komponentlarini aralash muhitda emas, balki alohida konteynerlarda yoki “host OS” ustida ishlaydigan va bir-biridan ajratilgan virtual mashinalarda ishga tushirish taklif etiladi. Ushbu tashkilot foydalanuvchilarga asosiy tizim muhiti va apparat vositalaridan uzoqda ilovalar va mavhum ish oqimlariga e'tibor qaratish imkonini beradi.
MicroOS loyihasi ishlanmalariga asoslangan SLE Micro mahsuloti "host OS" uchun asos sifatida ishlatiladi. Markazlashtirilgan boshqaruv uchun tuz (oldindan o'rnatilgan) va Ansible (ixtiyoriy) konfiguratsiyani boshqarish tizimlari taklif etiladi. Izolyatsiya qilingan konteynerlarni ishlatish uchun Podman va K3s (Kubernetes) vositalari mavjud. Konteynerlarga joylashtirilgan tizim komponentlari orasida yast2, podman, k3s, kokpit, GDM (GNOME Display Manager) va KVM mavjud.
Tizim muhitining xususiyatlari orasida kalitlarni TPMda saqlash qobiliyatiga ega bo'lgan diskni shifrlashning (FDE, Full Disk Encryption) standart foydalanishi qayd etilgan. Ildiz bo'limi faqat o'qish rejimida o'rnatiladi va ish paytida o'zgarmaydi. Atrof-muhit atomik yangilanishni o'rnatish mexanizmidan foydalanadi. Fedora va Ubuntu-da qo'llaniladigan ostree va snap-ga asoslangan atomik yangilanishlardan farqli o'laroq, ALP alohida atom tasvirlarini yaratish va qo'shimcha yetkazib berish infratuzilmasini o'rnatish o'rniga Btrfs fayl tizimida standart paket menejeri va oniy tasvir mexanizmidan foydalanadi.
Yangilanishlarni avtomatik o'rnatish uchun sozlanishi mumkin bo'lgan rejim mavjud (masalan, siz faqat muhim zaifliklar uchun yamoqlarni avtomatik o'rnatishni yoqishingiz yoki yangilanishlarni o'rnatishni qo'lda tasdiqlashga qaytishingiz mumkin). Linux yadrosini qayta ishga tushirmasdan yoki ishni to'xtatmasdan yangilash uchun jonli yamalar qo'llab-quvvatlanadi. Tizimning omon qolishi (o'z-o'zini davolash) uchun oxirgi barqaror holat Btrfs suratlari yordamida qayd etiladi (agar yangilanishlarni qo'llash yoki sozlamalarni o'zgartirishdan keyin anomaliyalar aniqlansa, tizim avtomatik ravishda oldingi holatga o'tkaziladi).
Platformada ko'p versiyali dasturiy ta'minot stekidan foydalaniladi - konteynerlardan foydalanish tufayli siz bir vaqtning o'zida asboblar va ilovalarning turli versiyalaridan foydalanishingiz mumkin. Masalan, Python, Java va Node.js ning turli versiyalarini bog'liqlik sifatida ishlatadigan, mos kelmaydigan bog'liqliklarni ajratuvchi ilovalarni ishga tushirishingiz mumkin. Asosiy bog'liqliklar BCI (Base Container Images) to'plamlari shaklida taqdim etiladi. Foydalanuvchi boshqa muhitlarga ta'sir qilmasdan dasturiy ta'minot steklarini yaratishi, yangilashi va o'chirishi mumkin.
O'rnatish uchun D-Installer o'rnatuvchisi qo'llaniladi, unda foydalanuvchi interfeysi YaSTning ichki komponentlaridan ajratilgan va turli xil frontendlardan, shu jumladan veb-interfeys orqali o'rnatishni boshqarish uchun frontenddan foydalanish mumkin. YaST mijozlarini (bootloader, iSCSIClient, Kdump, xavfsizlik devori va boshqalar) alohida konteynerlarda bajarish qo'llab-quvvatlanadi.
Uchinchi ALP prototipidagi asosiy o'zgarishlar:
- Maxfiy hisoblash uchun ishonchli ijro muhitini ta'minlash, izolyatsiya, shifrlash va virtual mashinalar yordamida ma'lumotlarni xavfsiz qayta ishlash imkonini beradi.
- Amalga oshirilayotgan vazifalarning yaxlitligini tekshirish uchun apparat va ish vaqti sertifikatidan foydalanish.
- Maxfiy virtual mashinalarni qo'llab-quvvatlash uchun asos (CVM, Confidential Virtual Machine).
- Konteynerlar xavfsizligini tekshirish, zaif komponentlar mavjudligini aniqlash va zararli faoliyatni aniqlash uchun NeuVector platformasini qo'llab-quvvatlash integratsiyasi.
- x390_86 va aarch64 ga qo'shimcha ravishda s64x arxitekturasini qo'llab-quvvatlash.
- O'rnatish bosqichida TPMv2 da saqlangan kalitlar bilan va birinchi yuklash paytida parolni kiritish shartisiz to'liq diskli shifrlashni (FDE, Full Disk Encryption) yoqish imkoniyati. Oddiy bo'limlar va LVM (Logical Volume Manager) bo'limlarini shifrlash uchun ekvivalent yordam.
Manba: opennet.ru