IncusOS: новая неизменяемая система Linux, созданная для работы с Incus
После более чем года разработки команда Incus официально объявила о выпуске IncusOS — специализированной неизменяемой операционной системы, разработанной специально для запуска менеджера контейнеров и виртуальных машин Incus.
IncusOS, созданная на базе Debian 13 «Trixie», объединяет в себе новейшее ядро Linux, ZFS и сборки Incus от Zabbly. Она использует расширенные функции systemd, в том числе mkosi, sysext, и sysupdate, для создания образов, наложения приложений и атомарных обновлений.
Основная задача ОС — обеспечить строго контролируемую среду, идеально подходящую для запуска рабочих нагрузок в контейнерах и виртуальных машинах без риска сбоя системы или ошибок при ручной настройке.
В ОС используется схема разделов A/B (также применяемая в StemOS и Vanilla OS), которая позволяет системе беспрепятственно возвращаться к предыдущей версии, если что-то идёт не так. Все разделы доступны только для чтения и имеют криптографическую подпись, что гарантирует целостность системы.
Что касается безопасности, IncusOS поддерживает UEFI Secure Boot и использует TPM 2.0 для измерения времени загрузки и шифрования диска. Корневая файловая система использует шифрование LUKS и ZFS с поддержкой TPM, что гарантирует безопасность системы даже в случае получения физического доступа.
И ещё кое-что очень важное: в отличие от дистрибутивов Linux общего назначения, IncusOS не предоставляет доступ к оболочке ни локально, ни удалённо. Вместо этого всё управление осуществляется исключительно через Incus API с аутентификацией по клиентским сертификатам TLS или OIDC, что значительно снижает вероятность атак и обеспечивает централизованное управление на основе API.
Операционная система в первую очередь предназначена для работы на современном «голом железе» — серверах, выпущенных примерно за последние пять лет и поддерживающих TPM и безопасную загрузку. Однако она также может работать внутри виртуальной машины, что упрощает её оценку или интеграцию в существующие среды.
Установка выполняется полностью с помощью настроенного образа, созданного с помощью онлайн-инструмента для настройки образов проекта, который содержит конфигурацию и доверенные сертификаты. Поскольку интерактивный установщик отсутствует, конфигурация системы (или «начальные данные») автоматически применяется при первой загрузке.
Поддержка хранилищ в IncusOS основана на ZFS с автоматической настройкой пула для локальных дисков и гибкими параметрами конфигурации для сложных топологий хранилищ. ОС также поддерживает Ceph, Fibre Channel, NVMe-over-TCP, iSCSI и кластерные LVM, что обеспечивает совместимость с широким спектром серверных хранилищ. Поддержка Linstor запланирована для будущих выпусков.
Что касается сетевых возможностей, IncusOS предлагает коммутацию с поддержкой VLAN, агрегацию каналов, LLDP, интеграцию с OVS/OVN и встроенную поддержку Tailscale (скоро появится Netbird). Она также поддерживает функции корпоративного уровня, такие как прокси-серверы с аутентификацией Kerberos, надежный NTP и удаленный системный журнал через UDP, TCP или TLS.
Управление в IncusOS осуществляется через Центр управления, который обеспечивает централизованное управление, функции резервного копирования и восстановления, а также возможность сброса настроек до заводских как для ОС, так и для отдельных приложений. Механизм обновления полностью автоматизирован: система проверяет наличие обновлений каждые шесть часов, применяет обновления к неактивному разделу и переключается на него при следующей перезагрузке.
Более подробную информацию, инструкции по установке и документацию можно найти на официальной странице проекта: https://linuxcontainers.org/incus-os/.
Редактор: AndreyEx
