IncusOS es una imagen de sistema inmutable pensada exclusivamente para ejecutar Incus con el máximo nivel de seguridad y fiabilidad. Sobre la base de Debian 13 y aprovechando las herramientas modernas de systemd, propone una experiencia de administración centrada en API y diseñada para centros de datos y despliegues a gran escala. En la práctica, ofrece arranque seguro, cifrado total de disco y actualizaciones atómicas para que tu infraestructura sea fácil de mantener y extremadamente consistente.

Si lo que quieres es simplificar el soporte y reducir variaciones entre servidores, este proyecto te encaja como un guante: todas las máquinas corren exactamente el mismo software, bit a bit, lo que elimina desviaciones de configuración y facilita escalar o reaprovisionar en minutos. Además, no te vas a pelear con shells locales: el sistema se gobierna por API autenticada y punto.

¿Qué es IncusOS y por qué importa?

IncusOS es un sistema operativo inmutable cuyo objetivo único es ejecutar Incus de forma segura y reproducible. Se asienta en Debian 13 minimalista, incorpora compilaciones Zabbly del kernel Linux, de ZFS y del propio Incus, y hace un uso intensivo de herramientas de systemd para construir, instalar aplicaciones y aplicar actualizaciones. La filosofía es clara: cuanto más predecible sea la base, mejor para la fiabilidad operativa.

El proyecto se construye con mkosi para generar las imágenes, sysext para instalar aplicaciones sobre la base inmutable y sysupdate como motor de actualizaciones. En combinación, estas piezas permiten que el sistema aplique cambios de forma atómica y, si algo no sale bien, vuelvas atrás sin dramas gracias a un esquema de particiones A/B.

Seguridad de arranque, cifrado y modelo de acceso de IncusOS

La seguridad es el pilar. IncusOS se apoya de manera activa en UEFI Secure Boot y TPM 2.0 (aunque conviene conocer la vulnerabilidad en shim) para medir y asegurar la cadena de arranque, además de habilitar el cifrado completo de disco. El cifrado se sustenta en TPM tanto para LUKS como para ZFS, asegurando que las claves queden ligadas al hardware.

El sistema está completamente bloqueado: no existe shell local ni acceso remoto por SSH. La administración se hace a través de la API de Incus, con autenticación fuerte mediante certificados de cliente TLS o, si lo prefieres, OIDC externo. Este enfoque reduce superficie de ataque y disminuye el riesgo de cambios no controlados en producción. Algunos proyectos similares de seguridad, como Predator OS, exploran modelos parecidos.

Inmutabilidad y actualizaciones atómicas (A/B)

El diseño A/B que emplea IncusOS mantiene dos particiones del sistema: una activa y otra de reserva. Las actualizaciones se aplican a la partición inactiva para que, al reiniciar, entres en la nueva versión de forma segura y reversible. Si se detecta un problema, puedes volver a la partición anterior sin pérdida de servicio.

Además, todas las particiones del sistema están en solo lectura y firmadas, minimizando el riesgo de corrupción y asegurando la integridad. Con sysupdate y sysext, las nuevas versiones llegan de forma controlada y las aplicaciones se encajan de manera declarativa y limpia sobre la base.

Arquitecturas soportadas y despliegue

IncusOS funciona en equipos modernos de amd64 (x86_64) y arm64, abarcando tanto hardware Intel/AMD como ARM. Esto permite desplegarlo en servidores físicos de última generación y también en múltiples plataformas de virtualización, donde el rendimiento y la coherencia siguen siendo la prioridad.

Si te preocupa la curva de aprendizaje: la documentación oficial muestra desde la instalación en bare metal hasta cómo arrancarlo en distintas plataformas de máquina virtual. Es decir, puedes probarlo en laboratorio en minutos y, cuando te convenzas, llevarlo tal cual a producción.

Instalación y primer arranque de IncusOS: sin instalador tradicional

En IncusOS no hay un instalador al uso. Puedes arrancarlo directamente desde el medio en el que lo escribas o dejar que, en el primer arranque, se instale de forma automática en un disco interno. Es un proceso pensado para simplificar la vida del operador y reducir puntos de fallo.

Como no hay shell, la personalización se realiza con una herramienta de configuración inicial que permite, entre otras cosas, definir qué cliente tendrá permiso para controlar el sistema. A partir de ahí, todo el gobierno del host se realiza por API, con autenticación obligatoria, reforzando el modelo de seguridad.

Características principales del diseño de IncusOS

La propuesta de valor combina arranque seguro, cifrado y bloqueo de la superficie de administración. En conjunto, IncusOS prioriza seguridad, rendimiento y previsibilidad. Entre los pilares del diseño están el uso de UEFI Secure Boot, mediciones con TPM 2.0, particiones A/B, sistema en solo lectura firmado y la administración exclusiva por API.

Almacenamiento: ZFS automático y ecosistema enterprise

De fábrica se crea un pool ZFS local de forma automática, similar a lo que ofrecen sistemas orientados a NAS como ZimaOS para NAS, con soporte para elaborar configuraciones más complejas en discos adicionales. Si necesitas SAN o escenarios avanzados, hay soporte para Fibre Channel y multipath, así como para NVMe over TCP e iSCSI.

Para topologías exigentes, IncusOS admite LVM en clúster sobre esos transportes y se integra con Ceph para almacenamiento definido por software. Está previsto añadir compatibilidad con Linstor próximamente, lo que ampliará aún más las opciones de despliegue.

• Pool ZFS automático y cifrado ZFS respaldado por TPM.
• Fibre Channel, multipath, NVMe/TCP e iSCSI.
• LVM en clúster y soporte Ceph; Linstor en camino.

Red: puentes VLAN, agregación de enlaces y SDN

La red también viene muy cuidada. IncusOS genera bridges con soporte de VLAN, facilitando conectar contenedores o máquinas a cualquier interfaz física que tengas en el host. Para disponibilidad y ancho de banda, hay compatibilidad con agregación de enlaces (tanto pasiva como negociada).

Incluye soporte LLDP para descubrimiento, proxy corporativo con Kerberos, NTP robusto y envío de logs a remoto vía syslog en UDP, TCP o TLS. Para SDN, el sistema integra OVS/OVN, y también cuenta con soporte nativo de Tailscale; Netbird está previsto próximamente. Además, existen soluciones de red y seguridad como IPFire para funciones de red centralizadas.

• Puentes VLAN-aware y bonding de enlaces.
• LLDP, proxy empresarial con Kerberos y NTP robusto.
• Syslog remoto (UDP, TCP, TLS) y SDN con OVS/OVN.
• Integración nativa con Tailscale; Netbird llegará pronto.

Gestión: operaciones centralizadas y actualizaciones flexibles

A nivel de operación, IncusOS puede gestionarse de forma central a través de Operations Center. Además, permite realizar copias de seguridad y restauraciones tanto de la configuración principal del sistema como de los datos de cada aplicación por separado.

Si necesitas volver a un estado conocido, puedes ejecutar un restablecimiento de fábrica del sistema completo o únicamente de ciertas aplicaciones. El mecanismo de actualización también es flexible: puedes ajustar frecuencia, desactivar automáticas o definir ventanas de mantenimiento para aplicar cambios sin sobresaltos.

Ritmo de lanzamientos y canales de actualización de IncusOS

Hay dos canales de actualización: stable y testing. Por defecto, las instalaciones se sitúan en stable, con una cadencia aproximada semanal que incorpora el último kernel estable y parches de seguridad relevantes. Quien busque más frescura puede optar por testing, que suele actualizarse a diario.

Los sistemas comprueban si hay nuevas versiones cada 6 horas. Incus se actualiza automáticamente con un parón de API muy breve, sin afectar a las instancias en ejecución, y cualquier actualización del sistema base se queda preparada para aplicarse en el siguiente reinicio. Si lo necesitas, puedes cambiar esa frecuencia o desactivar completamente las actualizaciones automáticas.

Construcción, CI/CD y publicación de imágenes

El repositorio del proyecto contiene todas las fuentes utilizadas para construir las imágenes de producción de IncusOS. Cuando se empuja una nueva etiqueta (tag) al repositorio, se desencadena una compilación completa de la imagen, que después es descargada y validada por el servidor de publicación. La imagen resultante se expone en el canal testing hasta que un revisor la promueve manualmente a stable.

Puedes consultar los registros de las compilaciones más recientes en GitHub Actions: workflow de build. Las imágenes finales se publican en images.linuxcontainers.org/os/, desde donde puedes descargarlas o integrarlas en tu pipeline.

Para asegurar calidad, se ejecuta también una prueba diaria que ejercita gran parte de los endpoints de la API y otros tests que no sería práctico correr en cada pull request. El desarrollo ocurre a la vista en GitHub: github.com/lxc/incus-os.

Base tecnológica y componentes

Bajo el capó, IncusOS emplea un Debian 13 minimizado con compilaciones Zabbly de kernel, ZFS e Incus, lo que te da acceso a versiones estables y recientes de todos esos componentes. Systemd aporta las herramientas clave: mkosi para generar imágenes, sysext para el despliegue de aplicaciones, sysupdate para actualizaciones y utilidades para el particionado inicial y el cifrado respaldado por TPM.

El proyecto combina archivos de configuración para dirigir mkosi con un conjunto de herramientas y un demonio de gestión del sistema escritos en Go. Todo el código se publica bajo licencia Apache 2.0 y existen pautas detalladas de contribución en la documentación oficial para quien quiera colaborar.

Garantía de consistencia y escalabilidad

Una de las grandes bazas de IncusOS es que todos los servidores ejecutan exactamente el mismo conjunto de bits. No hay variaciones entre hosts, lo que simplifica a rabiar la operación diaria: menos sorpresas, menos “solo pasa en este nodo” y un camino más directo para escalar o reimplantar decenas o cientos de máquinas cuando haga falta.

Al eliminar la capa de shell local y centralizar la gestión en API autenticada, se reduce el riesgo de “drift” de configuración con el paso del tiempo. Esta coherencia operativa, con particiones inmutables en solo lectura y firmas, tiene un impacto directo en la fiabilidad y en la previsibilidad de los cambios.

Operaciones Center y Migration Manager

IncusOS no solo sirve de host para Incus; también se puede usar como sistema base para Operations Center y Migration Manager. Esta combinación abre la puerta a migraciones ordenadas desde entornos como VMware hacia Incus, manteniendo un sistema subyacente fácil de actualizar, seguro y alineado con la filosofía inmutable.

Con backups granulares (configuración principal y datos de aplicación), restablecimientos selectivos y actualizaciones programables, el trinomio Incus + IncusOS + herramientas de gestión permite plantear transiciones controladas sin dolores innecesarios.

Cómo empezar con IncusOS: documentación y descargas

La documentación oficial explica cómo arrancar en físico, cómo probarlo como máquina virtual y cómo sacarle partido a cada componente (almacenamiento, red, gestión y seguridad). El anuncio de lanzamiento y recursos relacionados están disponibles en el foro de Linux Containers: anuncio de IncusOS. También están en GitHub.

Si vas al grano, las imágenes se publican tras superar la validación en: . Antes podrás seguir el estado de construcción en GitHub Actions y, cuando estén listas, descargarlas e implantarlas en tu laboratorio o entorno productivo.

Novedad dentro del ecosistema Incus

IncusOS llega como parte de la evolución natural tras el fork de LXD a Incus. El propio líder del proyecto, Stéphane Graber, presentó IncusOS tras más de un año de desarrollo, describiéndolo como un entorno moderno e inmutable especialmente diseñado para ejecutar Incus, con actualizaciones atómicas A/B y una postura de seguridad robusta basada en Secure Boot y TPM.

El enfoque minimalista de Debian 13, combinado con ZFS (OpenZFS) y un uso intensivo de las herramientas de systemd para compilación, instalación y actualización, remata una plataforma que, por diseño, se opera enteramente vía API con autenticación de certificados TLS o mediante OIDC externo.

Lecciones del mundo inmutable en otros sistemas

En el ecosistema BSD se han debatido ideas similares desde hace años (por ejemplo, en NanoBSD). Hubo propuestas para que el sistema base se actualizara como zfs receive, generando una nueva “boot environment” y activándola en el siguiente arranque. El mayor escollo allí es que fstab debe residir en la raíz, lo que arrastra /etc al filesystem raíz e impide reutilizar exactamente la misma base en cada despliegue.

Apple abordó un problema parecido separando volumen raíz y volumen de usuario, de modo que el primero pueda localizar la configuración local en un lugar bien conocido. En FreeBSD también se planteó homogeneizar configuraciones del sistema base con UCL y permitir inclusiones firmadas, encadenando esa firma a la cadena de arranque segura. El objetivo es el mismo que persigue IncusOS: una base inmutable que solo consuma configuración del volumen mutable si esta está correctamente autenticada.

Transparencia del ciclo de vida y licencia

El proyecto publica todo su trabajo bajo la licencia Apache 2.0, con guías de contribución disponibles en la documentación. Esto permite a operadores y desarrolladores entender cómo se ensamblan las imágenes, revisar el código del demonio de gestión en Go y participar en el flujo de trabajo de etiquetado, compilación y promoción entre canales.

La combinación de CI diaria que estresa la API, la promoción manual de testing a stable y la firma de las particiones de sistema produce un ciclo de vida más predecible. En otras palabras, se reduce el riesgo de regresiones en producción y se gana control sobre cuándo y cómo aplicar cambios.

IncusOS aporta un enfoque moderno y pragmático a los hosts de Incus: seguridad de arranque con TPM y Secure Boot, cifrado total de disco, sistema de solo lectura y actualizaciones A/B reversibles; red y almacenamiento listos para empresa; administración cien por cien por API; y un pipeline de construcción y pruebas transparente. Con dos canales de actualización, comprobaciones cada 6 horas y publicación abierta de imágenes y logs de compilación, el resultado es una plataforma sólida, coherente y muy fácil de operar para cualquiera que busque desplegar y escalar infraestructura sobre Incus.