IncusOS: Nová nemenná a bezpečná distribúcia Linuxu pre servery založené na platforme Incus

Kľúčové body:
  • IncusOS je nemenná distribúcia založená na Debiane 13 a navrhnutá na spustenie Incusa.
  • Používa atomické A/B aktualizácie a plné šifrovanie so Secure Boot a TPM 2.0.
  • Administrácia bez konzoly alebo SSH, výlučne cez REST API.
  • Podpora pre ZFS, Ceph, NVMe, VLAN a Tailscale VPN.
  • Dva aktualizačné kanály: stabilný a testovací, s automatizovanou správou.
David Y. NaranjoAktualizované dňa

4 minút

Incusos

Po viac ako roku intenzívneho vývoja, Stéphane Graber, vedúci projektu Linux Containers a spoluzakladateľ LXC, predstavil IncusOS, nová linuxová distribúcia navrhnutá špeciálne na poskytovanie solídneho, bezpečného a nemenného základu pre spustenie Incusa, odnože LXD.

IncusOS je nemenný operačný systém určený výhradne na spustenie Incusa Bezpečne a spoľahlivo. Využíva moderné bezpečnostné funkcie na zabezpečenie bezpečného spúšťania a úplného a neprerušovaného šifrovania disku.

Nemenná a bezpečná architektúra

Jedným z pilierov systému IncusOS je jeho nemenný dizajn, keďže ide o operačný systém Skladá sa z dvoch nezávislých častí: jeden aktívny a druhý určený na prijímanie aktualizácií, ktoré Umožňuje mechanizmus atomickej aktualizácie A/B. Táto metóda zaručuje stabilitu systému a uľahčuje zvrátenie v prípade chyby.

Bezpečnosť zohráva tiež kľúčovú úlohu, pretože IncusOS implementuje UEFI Secure Boot a šifrovanie celého disku prostredníctvom LUKSu, a bezpečné uloženie kľúčov v TPM 2.0. Táto sada zaisťuje spoľahlivý zážitok zo spustenia a komplexnú ochranu pred manipuláciou alebo neoprávneným prístupom.

V radikálnej zmene oproti tradičným distribúciám, IncusOS neponúka lokálny ani vzdialený prístup ku konzoleani neumožňuje správu cez SSH. Všetky konfiguračné operácieadministratíva a dohľad Vykonávajú sa výlučne prostredníctvom REST API od spoločnosti Incus s autentifikáciou pomocou certifikátov TLS alebo OIDC (OpenID Connect).

Incusos

To znamená, Všetky servery s IncusOS sú bit po bitu identické, odstránenie rozdielov medzi prostrediami a zjednodušenie škálovateľnosti alebo masívneho prerozdelenia infraštruktúr.

Integrácia so Systemd a modernými nástrojmi

Vývoj IncusOS vo veľkej miere využíva ekosystém systemd vrátane nástrojov ako:

  • mkosi, na vytváranie obrazu systému.
  • systemd-sysext, ktorý umožňuje inštalovať aplikácie ako rozšírenia systému pomocou OverlayFS.
  • systemd-sysupdate na správu aktualizácií atomického systému.
  • Základné prostredie systému je pripojené v režime iba na čítanie, čo zaisťuje nemennosť a znižuje riziko poškodenia alebo nechcenej úpravy.

Pokročilé možnosti ukladania a siete

Incusos Ponúka pokročilú podporu pre podnikové úložiská a siete. Štandardne vytvára lokálny ZFS pool a umožňuje konfigurovať zložité štruktúry s LVM, Ceph, NVMe cez TCP, iSCSI a Fibre Channel.

V oblasti sietí, Podporuje automatické VLAN a agregáciu liniek, LLDP, OVS/OVN, NTP, vzdialený syslog a VPN integrované ako Tailscale (s budúcou podporou pre Netbird).

Aktualizácie a priebežná údržba

Projekt Udržiava dva aktualizačné kanály:

  • Stabilná verzia, ktorá dostáva týždenné aktualizácie s opravami jadra a bezpečnostnými záplatami.
  • Testovanie, ktoré sa aktualizuje takmer denne o najnovšie vylepšenia a experimentálne funkcie.

Systémy IncusOS Automaticky kontrolujú dostupnosť aktualizácií každých šesť hodínAplikácia záplat bez ovplyvnenia spustených inštancií. Okrem toho si správcovia môžu prispôsobiť frekvenciu aktualizácií alebo definovať plánované obdobia údržby.

Zjednodušená inštalácia a nasadenie

Incusos Nepoužíva interaktívny inštalátorpretože namiesto toho, Používatelia si musia vygenerovať vlastný obrázok pomocou online konfigurátora, kde sú definované všetky inštalačné a počiatočné konfiguračné parametre (seed) vrátane certifikátov, siete a úložiska.

Tento obrázok Dá sa implementovať na modernom fyzickom hardvéri aj vo virtualizovaných prostrediach. vrátane libvirtu, Proxmoxu, VirtualBoxu a VMware.

Keďže je teraz k dispozícii stabilná verzia, vývojový tím plánuje pokračovať v pridávaní funkcií, ako je kompatibilita s Linstorom pre distribuované úložisko a pokročilé webové rozhranie, ktoré umožní kompletnú implementáciu a správu systému bez potreby certifikátov TLS.

Na záver stojí za zmienku, že tento systém aJe distribuovaný pod licenciou Apache 2.0.Zrodil sa s podporou projektu Linux Containers. a jeho cieľom je revolúcia v centralizovanej správe serverov prostredníctvom atomárnych vylepšení a vysoko spoľahlivého prostredia.

Incusos Je dostupný pre architektúry x86_64 a ARM64, a je Postavené na minimálnej báze Debianu 13, spolu s optimalizovaným jadrom Linuxu z repozitárov Zabbly, zdrojom, ktorý integruje vylepšenia pre lepší výkon v kontajnerových prostrediach.

Ak máte záujem dozvedieť sa o ňom viac, podrobnosti si môžete prečítať v nasledujúci odkaz.