SUSE lanzo la tercera versión de ALP «Piz Bernina»
SUSE dio a conocer hace poco el lanzamiento del tercer prototipo de la ALP «Piz Bernina» (Plataforma Linux Adaptable), posicionada como una continuación del desarrollo de la distribución SUSE Linux Enterprise.
La diferencia clave entre ALP es la división del marco central de la distribución en dos partes: un «sistema operativo host» simplificado para ejecutarse sobre el hardware y una capa de soporte de aplicaciones enfocada en ejecutarse en contenedores y máquinas virtuales.
ALP se desarrolla inicialmente mediante un proceso de desarrollo abierto, en el que las compilaciones intermedias y los resultados de las pruebas están disponibles públicamente para todos.
El tercer prototipo incluye dos ramas separadas, que en la forma actual están cerca en términos de llenado, pero en el futuro se desarrollarán hacia diferentes áreas de aplicación y se diferenciarán en los servicios prestados. Para las pruebas, está disponible la rama Bedrock, que se centra en el uso en sistemas de servidor y la rama Micro, diseñada para construir sistemas en la nube (nativos de la nube) y ejecutar microservicios.
La arquitectura de ALP se basa en el desarrollo en el «host OS» del entorno, el mínimo necesario para soportar y controlar los equipos. Se propone que todas las aplicaciones y los componentes del espacio de usuario no se ejecuten en un entorno mixto, sino en contenedores separados o máquinas virtuales que se ejecutan sobre el «sistema operativo host» y están aislados entre sí. Esta organización permitirá a los usuarios centrarse en las aplicaciones y los flujos de trabajo abstractos del hardware y el entorno del sistema de bajo nivel.
El producto SLE Micro, basado en los desarrollos del proyecto MicroOS, se utiliza como base para el «sistema operativo host». Para la gestión centralizada, se ofrecen los sistemas de gestión de configuración Salt (preinstalado) y Ansible (opcional). Los kits de herramientas Podman y K3s (Kubernetes) están disponibles para ejecutar contenedores aislados. Los componentes del sistema en contenedores incluyen yast2, podman, k3s, cockpit, GDM (GNOME Display Manager) y KVM.
De las características del entorno del sistema, se menciona el uso predeterminado de cifrado de disco (FDE, Full Disk Encryption) con la capacidad de almacenar claves en el TPM. La partición raíz se monta en modo de solo lectura y no cambia durante la operación. El entorno utiliza el mecanismo de instalación atómica de actualizaciones. A diferencia de las actualizaciones atómicas basadas en ostree y snap utilizadas en Fedora y Ubuntu, en ALP, en lugar de crear imágenes atómicas separadas e implementar una infraestructura de entrega adicional, se utilizan un administrador de paquetes normal y el mecanismo de instantáneas en el sistema de archivos Btrfs.
Ademas de ello, se admiten parches en vivo para actualizar el kernel de Linux sin reiniciar o suspender el trabajo. Para mantener la capacidad de supervivencia del sistema (recuperación automática), el último estado estable se corrige mediante instantáneas Btrfs (en caso de que se detecten anomalías después de aplicar actualizaciones o cambiar la configuración, el sistema se transfiere automáticamente al estado anterior).
De los principales cambios en el tercer prototipo ALP «Piz Bernina»se destacan los siguientes:
- Proporcionar un entorno de confianza (Trusted Execution Environment) para la informática confidencial , lo que le permite procesar datos de forma segura mediante el aislamiento, el cifrado y las máquinas virtuales.
- Aplicación de atestación de tiempo de ejecución y hardware para verificar la integridad de las tareas en ejecución.
- Base para soporte de máquinas virtuales confidenciales (CVM, Confidential Virtual Machine).
- Integre soporte para la plataforma NeuVector para verificar la seguridad de los contenedores, determinar la presencia de componentes vulnerables y detectar actividad maliciosa.
- Compatibilidad con la arquitectura s390x además de x86_64 y aarch64.
- Capacidad para habilitar el cifrado de disco completo (FDE, Full Disk Encryption) en la etapa de instalación con almacenamiento de claves en TPMv2 y sin necesidad de ingresar una frase de contraseña durante el primer arranque. Compatibilidad equivalente tanto para el cifrado de particiones normales como para particiones LVM (Administrador de volúmenes lógicos).
Finalmente, para los que estén interesados en poder conocer más al respecto, pueden consultar los detalles en el siguiente enlace.
Mientras que para los interesados en poder probar el sistema, deben saber que las compilaciones están listas para la arquitectura x86_64 ( Bedrock , Micro). Además, los scripts de compilación están disponibles (Bedrock , Micro ) para las arquitecturas Aarch64, PPC64le y s390x.