После более чем года разработки команда Incus официально объявила о выходе IncusOS – специально разработанной неизменяемой операционной системы, предназначенной для запуска контейнеров и менеджера виртуальных машин.
Построенная на базе Debian 13 Trixie, IncusOS включает в себя новейшее ядро Linux, ZFS и сборки Incus от Zabbly. Она использует расширенные возможности Systemds, включая mkosi, sysext и sysupdate- для создания образов, наслоения приложений и атомарных обновлений.
Основное назначение – быть жестко контролируемой средой, идеально подходящей для запуска контейнеров и ВМ производственного уровня без риска зависания системы или ползовательских ошибок при настройке.
В IncusOS используется схема разделов A/B (также принятая в StemOS и Vanilla OS), позволяющая системе плавно откатываться к предыдущей версии, если что-то пошло не так. Все разделы доступны только для чтения и имеют криптографическую подпись, гарантирующую целостность системы.
Что касается безопасности, то IncusOS поддерживает UEFI Secure Boot и использует TPM 2.0 для измерения загрузки и шифрования диска. Корневая файловая система использует шифрование LUKS и ZFS с поддержкой TPM, что гарантирует, что даже в случае получения физического доступа система останется в безопасности.
И еще кое-что очень важное – в отличие от дистрибутивов Linux общего назначения, IncusOS не предоставляет доступа к оболочке, ни локального, ни удаленного. Вместо этого все управление осуществляется исключительно через Incus API, аутентифицированный с помощью клиентских сертификатов TLS или OIDC, что значительно сокращает площадь атак и обеспечивает централизованное управление на основе API.
ОС в первую очередь предназначена для работы на современном «голом» оборудовании – серверах примерно последних пяти лет, поддерживающих TPM и Secure Boot. Однако она может работать и на виртуальных машинах, что упрощает ее оценку и интеграцию в существующие среды.
Установка осуществляется полностью через образ, созданный с помощью онлайн-кастомизатора образов проекта, в который встраиваются конфигурация и доверенные сертификаты. Поскольку интерактивная программа установки отсутствует, конфигурация системы (или seed) автоматически применяется при первой загрузке.
Поддержка систем хранения в IncusOS основана на ZFS, с автоматической настройкой пула для локальных дисков и гибкими возможностями конфигурации для сложных топологий хранения. ОС также поддерживает Ceph, Fiber Channel, NVMe-over-TCP, iSCSI и кластеризованный LVM, обеспечивая совместимость с широким спектром систем хранения. Поддержка Linstor запланирована на будущие релизы.
Что касается сетевых возможностей, то IncusOS предлагает мосты с поддержкой VLAN, агрегацию каналов, LLDP, интеграцию OVS/OVN и встроенную поддержку Tailscale (скоро появится Netbird). Она также поддерживает такие функции корпоративного уровня, как прокси-серверы с аутентификацией Kerberos, надежный NTP и удаленный syslog по UDP, TCP или TLS.
Управление в IncusOS сосредоточено вокруг операционного центра, который обеспечивает централизованный контроль, резервное копирование/восстановление и даже сброс к заводским настройкам как для ОС, так и для отдельных приложений. Механизм обновления полностью автоматизирован: система проверяет наличие обновлений каждые шесть часов, применяет их к неактивному разделу и переключается на него при следующей перезагрузке.
Более подробную информацию, руководство по установке и документацию можно найти на официальной странице проекта.
Комментарии (0)