IncusOS: új, változtathatatlan Linux-rendszer az Incus futtatásához

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

Több mint egy évnyi fejlesztés után az Incus csapata bejelentette az IncusOS általános elérhetőségét – egy kifejezetten az Incus konténer- és virtuálisgép-kezelő (container & virtual machine manager) futtatására tervezett, immutábilis (változtathatatlan) Linux operációs rendszert. Az IncusOS alapja a Debian 13 „Trixie”, amelyhez a legújabb Linux kernel, ZFS és Incus build-ek a Zabbly forrásaiból származnak. A rendszer teljes mértékben kihasználja a systemd modern szolgáltatásait – többek között a mkosi, sysext és sysupdate komponenseket –, amelyek lehetővé teszik az atomikus frissítéseket, a rétegezett alkalmazáskezelést és az automatizált lemezképkészítést.

Az IncusOS elsődleges célja egy stabil, jól kontrollált futtatókörnyezet biztosítása, amely ideális konténeres és virtuális gépes munkaterhelések számára. A rendszer így elkerüli a „rendszerelsodródást” (system drift) és a kézi konfigurációs hibákat.

A/B partíciós séma és aláírt rendszerképek

Az IncusOS az úgynevezett A/B partíciós sémát alkalmazza – ugyanazt a modellt, amelyet a StemOS és a Vanilla OS is használ. Ez lehetővé teszi, hogy hibás frissítés esetén a rendszer automatikusan visszatérjen az előző, stabil verzióhoz. Minden rendszerpartíció csak olvasható (read-only) és kriptográfiailag aláírt, így a rendszer integritása garantált.

Fejlett biztonság: Secure Boot, TPM 2.0 és titkosított fájlrendszer

Biztonsági szempontból az IncusOS UEFI Secure Bootot használ, és a TPM 2.0 modult is kihasználja a bootfolyamat méréséhez és a lemeztitkosításhoz. A gyökérfájlrendszer TPM-alapú LUKS és ZFS titkosítással működik, ami biztosítja, hogy fizikai hozzáférés esetén se lehessen a rendszer adataihoz jutni.

Az IncusOS egyik legérdekesebb tulajdonsága, hogy nem biztosít sem helyi, sem távoli shell hozzáférést. A teljes rendszerkezelés kizárólag az Incus API-n keresztül történik, TLS kliens tanúsítványokkal vagy OIDC (OpenID Connect) hitelesítéssel. Ezzel a megoldással az IncusOS minimálisra csökkenti a támadási felületet, miközben központosított, API-alapú felügyeletet kínál.

Hardver- és virtualizációs támogatás

Az operációs rendszert elsősorban modern, TPM- és Secure Boot-képes szerverekhez tervezték (az elmúlt öt év hardvergenerációihoz). Ugyanakkor az IncusOS virtuális gépben is futtatható, ami megkönnyíti a tesztelést és integrációt már meglévő infrastruktúrákba.

A telepítés teljes egészében egy online képgeneráló eszközön keresztül zajlik, amely a felhasználó által megadott konfigurációt és tanúsítványokat beépíti az image-be. Mivel nincs interaktív telepítő, az úgynevezett „seed” (kezdeti beállítás) automatikusan alkalmazásra kerül az első indításkor.

ZFS-alapú tárolás és széleskörű hálózati támogatás

A tárolórendszer középpontjában a ZFS áll, automatikus lemezkészlettel és rugalmas konfigurációval, amely alkalmas összetett tárolási topológiák kialakítására is. Emellett támogatott a Ceph, Fibre Channel, NVMe-over-TCP, iSCSI és a clusterelt LVM is. A jövőbeni verziókhoz Linstor támogatást is ígérnek.

Hálózati téren az IncusOS VLAN-tudatos hídkapcsolatokat, link aggregációt, LLDP-t, valamint OVS/OVN integrációt kínál. Beépített Tailscale támogatással érkezik, és Netbird integráció is várható. A vállalati környezetek számára pedig elérhetők olyan funkciók, mint a Kerberos-hitelesítésű proxy, robosztus NTP, valamint távoli syslog UDP, TCP vagy TLS protokollon keresztül.

Központi felügyelet és automatikus frissítések

Az IncusOS menedzsmentje az úgynevezett Operations Center köré épül, amely központi vezérlést, biztonsági mentést, visszaállítást, sőt gyári visszaállítást is lehetővé tesz, akár az egész rendszerre, akár egyes alkalmazásokra. A frissítési folyamat teljesen automatizált: a rendszer hatóránként ellenőrzi a frissítéseket, majd azokat a inaktív partícióra telepíti, és a következő újraindításkor aktiválja.

További információk

Részletes dokumentáció, telepítési útmutató és lemezkép-készítő az IncusOS hivatalos oldalán érhető el, forráskódja a Github-kódtárolóban található.

Mi az az Incus?

Az Incus egy modern, nyílt forráskódú konténer- és virtuális gépkezelő platform, amely a korábban ismert LXD projektből vált ki. Lehetővé teszi több gép és környezet egyidejű kezelését, egységes CLI- és REST API-felülettel, akár konténereket, akár VM-eket futtatunk. A rendszer jól skálázható fejlesztői, tesztelési és éles környezetekben is. Az Incus remek alternatíva az LXD-hez vagy Proxmoxhoz, különösen akkor, ha egy rugalmas, saját klaszterezett konténeres vagy VM-es környezetet szeretne létrehozni tisztán parancssoros vagy API-alapú vezérléssel. Az új funkciók még közelebb hozzák a professzionális DevOps és CI/CD környezetek igényeihez.

Mi az IncusOS?

Az IncusOS egy immutábilis (változtathatatlan/alapvetően állandó) Linux-operációs rendszer, amelyet kifejezetten arra terveztek, hogy a Incus konténer- és virtuális gép menedzsment platformon fusson. A projekt az Linux Containers (LXC) Project keretében valósult meg, a fejlesztője ‎Stéphane Graber.

Fő jellemzők

Az IncusOS-nak több olyan tulajdonsága van, amely kifejezetten infrastruktúra-, adatközpont- vagy szerver-környezetekhez teszi alkalmassá:

  • Immutable rendszer: Az OS partíciók „A/B” szekvenciával működnek, azaz frissítéskor az egyik partíciót váltja, s hiba esetén vissza tud térni a korábbira.
  • Biztonság-központú kialakítás: Kötelező az UEFI Secure Boot és a TPM 2.0 modul használata a boot folyamat és a lemez­titkosítás támogatására.
  • Teljes lemez­titkosítás: A rendszer ZFS alapú fájlrendszerrel működik, a lemezek LUKS-kal titkosíthatók, és a TPM modul segíti a biztonságos bootot és az integritás mérését.
  • Korlátozott hozzáférés: Az operációs rendszer nem kínál „hagyományos” shell-hozzáférést (sem helyi, sem SSH), hanem kizárólag az Incus API-n keresztül lehet menedzselni.
  • Konténer és VM környezetre optimalizált: A rendszer célja, hogy az Incus platform futására legyen ideális, stabil és skálázható hátteret nyújtson.

Mikor lehet jó választás?

Az IncusOS akkor lehet ideális, ha az alábbi szempontok jellemzők a környezetére:

  • Szerver- vagy adatközpont környezetben dolgozik, ahol megbízhatóság, skálázhatóság, és automatizálhatóság a cél.
  • Használja az Incus konténer/VM menedzsmentplatformot, vagy ezt tervezi.
  • Fontos a minimális rendszer-eltérés (minden gépen „bit-bit-ben ugyanaz” szoftververzióval) a konszisztencia érdekében. (Ez is az egyik célja az OS-nek.)
  • A hardver viszonylag modern: UEFI Secure Boot, TPM 2.0, legalább ~50 GiB tárhely, stb.

Mikor nem ideális?

  • Ha Ön inkább asztali/laptop környezetben dolgozik, ahol rugalmas shell-hozzáférés, napi fejlesztés vagy interaktív munkamenet szükséges. Az IncusOS korlátozásokat tartalmaz (például nincs hagyományos shell hozzáférés) – ez tudatos választás a biztonság és üzemeltethetőség érdekében.
  • Ha a hardver nem támogat UEFI Secure Boot-ot vagy TPM 2.0-t, akkor telepítés vagy működés problémás lehet.
  • Ha a cél nem kifejezetten konténer/VM „host” menedzsment, hanem általános asztali használat, akkor célszerű lehet más disztribúciót választani.