The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Третий прототип платформы ALP, идущей на смену SUSE Linux Enterprise

04.04.2023 14:48

Компания SUSE опубликовала третий прототип платформы ALP "Piz Bernina" (Adaptable Linux Platform), позиционируемой как продолжение развития дистрибутива SUSE Linux Enterprise. Ключевым отличием ALP является разделение базовой основы дистрибутива на две части: урезанную "host OS" для работы поверх оборудования и слой для поддержки приложений, ориентированный на запуск в контейнерах и виртуальных машинах. ALP изначально развивается с использованием открытого процесса разработки, при котором промежуточные сборки и результаты тестирования публично доступны всем желающим.

Третий прототип включает в себя две отдельные ветки, которые в текущем виде близки по начинке, но в будущем будут развиваться в направлении разных областей применения и будут отличаться предоставляемыми сервисами. Для тестирования доступна ветка Bedrock, ориентированная на использование в серверных системах, и ветка Micro, рассчитанная для построения облачных систем (cloud-native) и запуска микросервисов. Готовые сборки подготовлены для архитектуры x86_64 (Bedrock, Micro). Дополнительно доступны сборочные сценарии (Bedrock, Micro) для архитектур Aarch64, PPC64le и s390x.

Архитектура ALP основана на развитии в "host OS" окружения, минимально необходимого для поддержки и управления оборудованием. Все приложения и компоненты пространства пользователя предлагается запускать не в смешанном окружении, а в отдельных контейнерах или в виртуальных машинах, выполняемых поверх "host OS" и изолированных друг от друга. Подобная организация позволит пользователям сфокусировать внимание на приложениях и абстрагировать рабочие процессы, отделив их от низкоуровневого системного окружения и оборудования.

В качестве основы для "host OS" задействован продукт SLE Micro, основанный на наработках проекта MicroOS. Для централизованного управления предлагаются системы управления конфигурацией Salt (предустановлена) и Ansible (опция). Для запуска изолированных контейнеров доступны инструментарии Podman и K3s (Kubernetes). Среди системных компонентов, вынесенных в контейнеры, присутствуют yast2, podman, k3s, cockpit, GDM (GNOME Display Manager) и KVM.

Из особенностей системного окружения упоминается использование по умолчанию дискового шифрования (FDE, Full Disk Encryption) с возможностью хранения ключей в TPM. Корневой раздел монтируется в режиме только для чтения и не меняется в процессе работы. В окружении применяется механизм атомарной установки обновлений. В отличие от атомарных обновлений на базе ostree и snap, используемых в Fedora и Ubuntu, в ALP вместо построения отдельных атомарных образов и развёртывания дополнительной инфраструктуры доставки применяются штатный пакетный менеджер и механизм снапшотов в ФС Btrfs.

Предусмотрен настраиваемый режим автоматической установки обновлений (например, можно включить автоустановку только исправлений критических уязвимостей или вернуться к ручному подтверждению установки обновлений). Для обновления ядра Linux без перезапуска и приостановки работы поддерживаются live-патчи. Для поддержания живучести системы (self-healing) осуществляется фиксация последнего стабильного состояние при помощи снапшотов Btrfs (в случае выявление аномалий после применения обновлений или изменения настроек система автоматически переводится в предыдущее состояние).

В платформе применяется многоверсионный программный стек - благодаря применению контейнеров можно одновременно использовать разные версии инструментов и приложений. Например, можно запускать приложения, использующие в зависимостях разные версии Python, Java и Node.js, разделяя несовместимые между собой зависимости. Базовые зависимости поставляются в форме наборов BCI (Base Container Images). Пользователь может создавать, обновлять и удалять программные стеки не затрагивая другие окружения.

Для установки применяется инсталлятор D-Installer (переименован в Agama), в котором пользовательский интерфейс отделён от внутренних компонентов YaST и имеется возможность использования различных фронтэндов, в том числе фронтэнда для управления установкой через web-интерфейс. Поддерживается выполнение клиентов YaST (bootloader, iSCSIClient, Kdump, firewall и т.п.) в отдельных контейнерах.

Основные изменения в третьем прототипе ALP:

  • Предоставление заслуживающего доверия окружения (Trusted Execution Environment) для конфиденциальных вычислений, позволяющее безопасно обрабатывать данные с использованием изоляции, шифрования и виртуальных машин.
  • Применение аппаратной и runtime аттестации для проверки целостности выполняемых задач.
  • Базис для поддержки конфиденциальных виртуальных машин (CVM, Confidential Virtual Machine).
  • Интеграция поддержи платформы NeuVector для проверки безопасности контейнеров, определения наличия уязвимых компонентов и выявления вредоносной активности.
  • Поддержка архитектуры s390x в дополнение к x86_64 и aarch64.
  • Возможность включения на этапе инсталляции полнодискового шифрования (FDE, Full Disk Encryption) с хранением ключей в TPMv2 и без необходимости ввода парольной фразы во время первой загрузки. Эквивалентная поддержка как шифрования обычных разделов, так и разделов LVM (Logical Volume Manager).


  1. Главная ссылка к новости (https://www.suse.com/c/suse-sa...)
  2. OpenNews: Доступен дистрибутив openSUSE Leap Micro 5.3
  3. OpenNews: Планы в отношении следующего поколения дистрибутива SUSE Linux
  4. OpenNews: Опубликован прототип платформы ALP, идущей на смену SUSE Linux Enterprise
  5. OpenNews: Дистрибутив openSUSE предложил протестировать новый инсталлятор
  6. OpenNews: Второй прототип платформы ALP, идущей на смену SUSE Linux Enterprise
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58917-suse
Ключевые слова: suse, alp, microos
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (53) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, IZh. (?), 15:30, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Не так давно ходили слухи, что openSUSE может закончиться на этом, так как SLE делает упор на контейнеры. Но, вроде, продолжение будет: https://www.reddit.com/r/openSUSE/comments/upse7b/future_of_leap_alp_etc/
     
     
  • 2.5, Аноним (5), 16:31, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Будет как референс для контейнера.
     
     
  • 3.20, А (??), 18:08, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Тем более, что Канониклы уже всучивают изоляцию через снэпы. А опыт дохода от магазина Ведроид, где апп тоже изолированы, у всех в голове.

    Плохо это.

     
     
  • 4.42, InuYasha (??), 17:17, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так - и здесь WEF нагадил. Всем контейнеры - и приложениям, и людям.
     

  • 1.3, Аноним (3), 16:15, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    У дистрибутивов строителей проблемы с нейменгом явно.
    Хотя я тоже не могу придумать названия для свои планируемых 30-40 дистрибутивов.
     
     
  • 2.14, Аноним (14), 17:38, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Прокатный камень - больно слоты под контейнеры долбить.
     
     
  • 3.15, Аноним (14), 17:40, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не прокатный а кроватный. Здешний Т9.
     
     
  • 4.24, Аноним (5), 19:38, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда сразу диванный камень.  
     
     
  • 5.25, Аноним (14), 20:18, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Каменное ложе с платным вызовом каменотеса для дырок под контейнер. Порудчики, опять молчать.
     

  • 1.4, Аноним (5), 16:30, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Поддерживаю, путь правильный. Реализацию надо смотреть. Например в контейнерной Федоре может быть такое что апдейт есть он скачивается почти 600 метров, а потом просто не может применится к системе и никак его больше не запустить. Как итог обновить систему тупо нельзя) Штатными средствами обновлдения.  
     
  • 1.9, Аноним (9), 16:57, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Настоящая свобода!
     
     
  • 2.17, Аноним (14), 17:49, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    ... Пусть подождет у входа.
     
  • 2.45, Аноним (45), 22:04, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Arbeit macht frei!
     

  • 1.11, Андрей (??), 17:24, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Офигенно
     
     
  • 2.19, А (??), 18:05, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ... гонять рабочий стол в Кубере.

    Что-то мне подсказывает, что будет куча прокинутых сокетов, не про все вспомнят... И в финале будет всё запушено в отдельном энве, в котором весь софт. Редукция функциональности.

    По аналогии с "для контейнеров все выключают SELinux".

     
     
  • 3.37, К.О. (?), 11:01, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Podman и SELinux отлично дружат, ничего выключать не надо
     

  • 1.18, А (??), 18:02, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А это готово к коммерческому использованию? - типа для ALT нужен пул дорогих инженеров на рядовом саппорте, оперативно фиксящих возникающие проблемы?
     
  • 1.22, Аноним (22), 18:43, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    SUSE продолжает изобретать NixOS. Вот это упорство!
     
     
  • 2.23, Аноним (5), 19:37, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У никсос нет доверенного саппорта, а сусе давно у кого надо партнер.
     
     
  • 3.26, Аноним (14), 20:22, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С которым разделяет каменное ложе.
     
  • 3.58, Аноним (58), 18:15, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только если они наворотят не пойми что и из-за этого уйдут в убыток, то этот самый "кто надо" выбросит их на мороз с такими экспериментами. А пока, по общей реакции на ALP, к этому и идет.
     
  • 2.41, Dmitry (??), 17:04, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Контейнеры в nixos это другое, это не докер
     
     
  • 3.56, Аноним (56), 12:48, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Даже в kubernetes уже пара лет как не докер.
     

  • 1.27, mikhailnov (ok), 20:33, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Я один не могу нормально понять, что они делают?
     
     
  • 2.32, Аноним (32), 23:36, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты не один, кто нибудь может простыми словами обьяснить, что они делают?
     
     
  • 3.33, Аноним (33), 00:13, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Бизнес.
     
     
  • 4.35, пох. (?), 09:10, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Бизнес.

    бизнес это у rhbm. А у этих - х-ня на палочке.
    Где тут деньги и кто так головой апнулся что будет их за это платить?

    Место сузи держалось за счет легаси и старых привычек энтерпрайзов, поведшихся на бесплатный сыр.
    Это - ломает старые привычки и для легаси непригодно. А новый проект если даже и потребуется - сделают на industry standard, а не этом вот.

    Увы, после вышвыривания в свободный полет - сузя летит как-то недалеко да все больше вниз. Ни одного значимого достижения, только проматывание старых.

     
     
  • 5.38, К.О. (?), 11:11, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я просто оставлю это здесь
    https://www.google.com/search?q=suse+capitalization
     
     
  • 6.39, пох. (?), 11:52, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я просто оставлю это здесь
    > https://www.google.com/search?q=suse+capitalization

    это не заработанные деньги. Это деньги ло-хов // финансовых спекулянтов, вложенные в бумажки - в надежде резко разбогатеть когда и если подорожают. Поскольку у них этих денег бесконечное количество, то его не стает меньше от вкладывания в фуфло.

    И по второй твое ссылке видим вот такое:

    2023 $3.02 B -0.47%
    2022 $3.03 B -59.67%
    2021 $7.53 B

    бизнес по продаже фантиков ну прямо претъ в гору. А бизнес по продаже линуксов или услуг - так просто на дне лежит и не шевелится.

    А так-то у SCO тоже была эта...капитализация. Даже в те годы когда там не было уже ни одного программиста и ни одной продажи, а только адвокаты.

     
     
  • 7.44, Аноним (44), 19:14, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Некоторые богатеют на новостях. Пиарщики и финансисты - "страшная сила".
     
  • 6.49, Dima (??), 13:31, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Капитализация ни чего общего с реальным бизнесом не имеет. Спекулянты всем этим рулят.
     
  • 2.61, Аноним (61), 08:08, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по максимально размытым новостям даже на официальном сайте, они и сами не могут понять, что делают. Просто кто-то ляпнул слово "атомарность" (которое на самом деле никто внятно до сих пор не может объяснить), что контейнеры это модно-молодежно, и еще какую-нибудь маркетинговую чушь. И на волне всего этого компания решила закопать дистрибутив.
     

  • 1.34, Neon (??), 01:25, 05/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Рехнулись на контейнерах. Суют их даже туда, где они совершенно не нужны. Нашли, так сказать, философский камень)))
     
     
  • 2.36, пох. (?), 09:13, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Рехнулись на контейнерах. Суют их даже туда, где они совершенно не нужны.
    > Нашли, так сказать, философский камень)))

    каловый. Философский все в золото превращал, а этот - в дерьмо.

     
     
  • 3.43, InuYasha (??), 17:21, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    каловые, вроде как, ИЗ дерьма, так что, этот, тогда уж - фекальный )
     
  • 3.47, Sw00p aka Jerom (?), 09:48, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    убил :))))
     
  • 2.50, Аноним (56), 16:18, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Рехнулись на контейнерах. Суют их даже туда, где они совершенно не нужны.

    Действительно

    > благодаря применению контейнеров можно одновременно использовать разные версии инструментов и приложений. Например, можно запускать приложения, использующие в зависимостях разные версии Python, Java и Node.js, разделяя несовместимые между собой зависимости

    Надо просто запретить все языки, кроме сишки.
    А на сижке запретить динамическую линковку.
    Тогда необходимость в контейнерах отпадет сама собой.

     
     
  • 3.53, пох. (?), 23:38, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Например, можно запускать приложения, использующие в зависимостях разные версии Python, Java и Node.js

    which python
    which python3
    - удивительно, но никакие контейнеры не нужны - кто бы мог подумать и было ли укушенному контейнером чем. virtualenv позволяет еще и в одном питоне собрать сто несовместимых наборов модулей

    JAVA_HOME - не, не слышали.

    Динамическая линковка, сюрприз для укушенного, совершенно не мешает мне держать две разных несовместимых версии openssl и аж три ffmpeg и неплохо помогает в тех случаях, когда версии - совместимые и держать разные незачем.

     
     
  • 4.55, Аноним (56), 12:46, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > virtualenv
    > JAVA_HOME
    > держать две разных несовместимых версии openssl и аж три ffmpeg

    Мы прослушали краткую лекцию "зачем я отрубил себе ноги и начал ходить на руках".
    Что характерно, ответа на вынесенный в заглавии вопрос мы так и не услышали.

     
     
  • 5.57, пох. (?), 13:37, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    наоборот - я совершенно штатными средствами обошелся без вашего хождения на ушах и упаковки пятидесяти разных операционных систем в ненужные контейнеры. И у меня это ни на секунду не вызвало затруднений - ни с явой, ни с питоном.

    Причем за актуальностью этих операционных систем внутри ста тыщ ваших контейнеров никто даже и не собирался следить.

    У меня она - одна.

     
     
  • 6.60, Аноним (56), 02:13, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > У меня она - одна.

    С чем вас и поздравляю.
    Быть админом локалхоста и тратить ощутимую долю времени на сношение с его системой - вполне нормально, никто вас не осуждает.
    Но для тех людей, у которых развертывание и сопровождение боевых систем является работой, никто не будет запариваться с долгой индивидуальной настройкой одной ОС под требования всех рантаймов. Потому что этих ОС, действительно, сотни.
    И за их актуальностью и безопасностью, кстати, следят.

    В общем, если вы в качестве хобби ковыряете свои Жигули в гараже по выходным - это норм.
    Но когда вы предлагаете таким же образом собирать Мерседесы, мотивируя это тем, что конвейер и промышленные роботы являются "ненужными выдумками корпораций" - не обижайтесь, но вы выглядите очень смешно.

     
     
  • 7.63, пох. (?), 22:18, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    кто кто все эти люди и как они собираются уследить за своим миллиардом контейне... большой текст свёрнут, показать
     
     
  • 8.64, Аноним (56), 12:55, 09/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем за этим должны следить люди, если оно прекрасно автоматизируется Не по ... большой текст свёрнут, показать
     
     
  • 9.65, пох. (?), 19:51, 09/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    оно никак не автоматизируется Автоматика не умеет читать рассылки безопасности ... текст свёрнут, показать
     

  • 1.46, Аноньимъ (ok), 03:20, 06/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    БырбырФС на сервер в прод на ссд?
    Хорошенько они там ударились.
     
     
  • 2.48, Аноним (48), 11:56, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Наоборот, собрались смузихлебы с незамутненным тонкостями сознанием. Прочитали и в тырнетах про это, и давай тащить к себе. Похоже, зюзя оказалсь в руках команды нового поколения. Хана легендарному дистру.
     
     
  • 3.51, Онтоним (?), 23:01, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Едва ли. Когда запускаемый код прилетает из инета, как современный, то очень хочется изолировать файлы на диске для одного приложения от файлов для другого приложения.

    Чтоб кто не попадя не копался в своих файлах.

    Отсюда и вся эта изоляция.

     
     
  • 4.52, пох. (?), 23:32, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    просто запускать их от разных пользователей - не, не слышали?

    Впрочем от чуваков у которых закрытый ключ вебсервера лежит внутри приложения я другого и не ожидал.

     
  • 3.54, пох. (?), 23:42, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    да сто лет уже как. Ну ок, десять уже точно. Все полимеры последовательно прогажены - и нормальный установщик, для людей а не роботов т-пых, и yast, и suseconfig. Ни для сервера эта несуразица непригодна, ни для рабочей станции. Ну а для дрисктопа вполне достаточно и обычной винды.

     

  • 1.59, Аноним (59), 19:27, 07/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    два раза пытался установить на железо, установщик однокнопочный, с моей стороны точно косяков нет. Что в первом прототипе что во втором установщик что-то поделал 3 секунды сказал "я всё установил" и вырубился. Естественно ничего он не устанавливает. То ли шутка какая-то, то ли под железо специфическое, то ли еще что.
     
     
  • 2.62, Аноним (61), 08:10, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Новый установщик это вообще позор. По сравнению с ним даже кривой федоровский выглядит вменяемым.
     

  • 1.66, Аноним (66), 21:51, 10/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надеюсь, RHEL так не сломают.
     
     
  • 2.67, пох. (?), 08:15, 11/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    канешна не сломают, у рхел с coreos все нормальное и неполоманное.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру