SUSE 發布了 ALP“Piz Bernina”(Adaptable Linux Platform)的第三個原型,定位為 SUSE Linux Enterprise 發行版開發的延續。 ALP 之間的主要區別在於將發行版的核心基礎分為兩部分:在硬件之上運行的精簡“主機操作系統”和專注於在容器和虛擬機中運行的應用程序支持層。 ALP 最初是使用開放式開發流程開發的,其中中間構建和測試結果對所有人公開。
第三個原型包括兩個獨立的分支,它們在目前的形式上在填寫方面很接近,但未來它們將向不同的應用領域發展,並在提供的服務上有所不同。 對於測試,可以使用 Bedrock 分支,它專注於在服務器系統中的使用,以及 Micro 分支,專為構建雲系統(cloud-native)和運行微服務而設計。 就緒程序集是為 x86_64 架構(基岩、微型)準備的。 此外,為 Aarch64、PPC64le 和 s390x 架構提供構建腳本(Bedrock、Micro)。
ALP 的體系結構是基於在“主機操作系統”環境中開發的,支持和控制設備所需的最低限度。 建議所有應用程序和用戶空間組件不在混合環境中運行,而是在單獨的容器或在“主機操作系統”之上運行並相互隔離的虛擬機中運行。 該組織將允許用戶專注於應用程序和從低級系統環境和硬件抽象工作流。
SLE Micro 產品基於 MicroOS 項目的開發,用作“主機操作系統”的基礎。 對於集中管理,提供了 Salt(預裝)和 Ansible(可選)配置管理系統。 Podman 和 K3s (Kubernetes) 工具包可用於運行隔離容器。 容器化系統組件包括 yast2、podman、k3s、cockpit、GDM(GNOME Display Manager)和 KVM。
在系統環境的特性中,提到了默認使用磁盤加密(FDE,全盤加密)以及在 TPM 中存儲密鑰的能力。 根分區以只讀模式掛載,在運行過程中不會改變。 環境使用原子更新安裝機制。 與 Fedora 和 Ubuntu 中使用的基於 ostree 和 snap 的原子更新不同,在 ALP 中,不是構建單獨的原子圖像和部署額外的交付基礎設施,而是使用常規包管理器和 Btrfs 文件系統中的快照機制。
提供了一種用於自動安裝更新的可配置模式(例如,您可以啟用僅針對關鍵漏洞的修復程序的自動安裝或返回手動確認安裝更新)。 支持實時補丁更新 Linux 內核,無需重啟或暫停工作。 為了保持系統的生存能力(自我修復),最後的穩定狀態使用 Btrfs 快照固定(如果在應用更新或更改設置後檢測到異常,系統會自動轉移到之前的狀態)。
該平台使用多版本軟件堆棧,允許您通過使用容器同時使用不同版本的工具和應用程序。 例如,您可以通過分離不兼容的依賴項來運行依賴於不同版本的 Python、Java 和 Node.js 的應用程序。 基本依賴項以 BCI(基本容器映像)集的形式出現。 用戶可以在不影響其他環境的情況下創建、更新和刪除軟件堆棧。
對於安裝,使用 D-Installer 安裝程序,其中用戶界面與 YaST 的內部組件分離,並且可以使用各種前端,包括通過 Web 界面管理安裝的前端。 支持在單獨的容器中運行 YaST 客戶端(引導程序、iSCSIClient、Kdump、防火牆等)。
第三個ALP原型的主要變化:
- 為機密計算提供可信執行環境(Trusted Execution Environment),讓您使用隔離、加密和虛擬機安全地處理數據。
- 應用硬件和運行時證明來驗證運行任務的完整性。
- 支持機密虛擬機(CVM,Confidential Virtual Machine)的基礎。
- 集成對 NeuVector 平台的支持,以檢查容器的安全性、確定是否存在易受攻擊的組件並檢測惡意活動。
- 除了 x390_86 和 aarch64 之外,還支持 s64x 架構。
- 能夠在安裝階段使用 TPMv2 中的密鑰存儲啟用全盤加密(FDE,全盤加密),並且無需在首次啟動時輸入密碼。 對常規分區和 LVM(邏輯捲管理器)分區加密的等效支持。
來源: opennet.ru