SUSE 发布了 ALP 平台的第三个原型“Piz Bernina”(Adaptable Linux Platform),定位为 SUSE Linux Enterprise 发行版开发的延续。 ALP 之间的主要区别是将核心发行版分为两部分:用于在硬件之上运行的精简“主机操作系统”和用于支持应用程序的层,旨在在容器和虚拟机中运行。 ALP 最初是使用开放开发流程开发的,其中中间构建和测试结果向所有人公开。
第三个原型包括两个独立的分支,它们目前的形式内容相似,但未来它们将向不同的应用领域方向发展,提供的服务也会有所不同。 面向服务器系统的Bedrock分支和用于构建云原生系统和运行微服务的Micro分支已可供测试。 现成的程序集是为 x86_64 架构(Bedrock、Micro)准备的。 此外,还提供适用于 Aarch64、PPC64le 和 s390x 架构的汇编脚本(Bedrock、Micro)。
ALP 架构基于环境“主机操作系统”中的开发,该环境是支持和管理设备所需的最低限度。 建议不要在混合环境中运行所有应用程序和用户空间组件,而是在“主机操作系统”之上运行并相互隔离的单独容器或虚拟机中运行。 该组织将允许用户专注于应用程序并抽象工作流程,远离底层系统环境和硬件。
SLE Micro 产品基于 MicroOS 项目的开发,被用作“主机操作系统”的基础。 对于集中管理,提供配置管理系统 Salt(预装)和 Ansible(可选)。 Podman 和 K3s (Kubernetes) 工具可用于运行隔离的容器。 放置在容器中的系统组件包括 yast2、podman、k3s、cockpit、GDM(GNOME Display Manager)和 KVM。
在系统环境的功能中,提到了默认使用磁盘加密(FDE,全磁盘加密)以及在 TPM 中存储密钥的能力。 根分区以只读模式挂载,在运行过程中不会改变。 该环境使用原子更新安装机制。 与 Fedora 和 Ubuntu 中使用的基于 ostree 和 snap 的原子更新不同,ALP 在 Btrfs 文件系统中使用标准包管理器和快照机制,而不是构建单独的原子映像并部署额外的交付基础设施。
有一种自动安装更新的可配置模式(例如,您可以启用仅自动安装关键漏洞的补丁或返回手动确认更新安装)。 支持实时补丁更新 Linux 内核,无需重新启动或停止工作。 为了保持系统的生存能力(自我修复),使用 Btrfs 快照记录最后的稳定状态(如果在应用更新或更改设置后检测到异常,系统将自动转移到之前的状态)。
该平台使用多版本软件堆栈——由于容器的使用,您可以同时使用不同版本的工具和应用程序。 例如,您可以运行使用不同版本的 Python、Java 和 Node.js 作为依赖项的应用程序,从而分离不兼容的依赖项。 基本依赖项以 BCI(基本容器映像)集的形式提供。 用户可以创建、更新和删除软件堆栈,而不影响其他环境。
对于安装,使用 D-Installer 安装程序,其中用户界面与 YaST 的内部组件分离,并且可以使用各种前端,包括用于通过 Web 界面管理安装的前端。 支持在单独的容器中执行 YaST 客户端(引导加载程序、iSCSIClient、Kdump、防火墙等)。
第三个ALP原型的主要变化:
- 为机密计算提供可信执行环境,允许使用隔离、加密和虚拟机安全处理数据。
- 使用硬件和运行时认证来验证正在执行的任务的完整性。
- 支持机密虚拟机(CVM,Confidential Virtual Machine)的基础。
- 集成对 NeuVector 平台的支持,以验证容器的安全性、确定易受攻击组件的存在并识别恶意活动。
- 除了 x390_86 和 aarch64 之外,还支持 s64x 架构。
- 能够在安装阶段使用存储在 TPMv2 中的密钥启用全盘加密(FDE,全盘加密),并且无需在首次启动时输入密码。 同等支持常规分区和 LVM(逻辑卷管理器)分区的加密。
来源: opennet.ru