Инкусос Това е непроменлив системен образ, проектиран изключително за работа с Incus с най-високо ниво на сигурност и надеждност. Базиран на Debian 13 и използващ съвременни инструменти на systemd, той предлага API-центрирано управление, предназначено за центрове за данни и мащабни внедрявания. На практика, Той предлага сигурно зареждане, пълно криптиране на диска и атомни актуализации. така че вашата инфраструктура да е лесна за поддръжка и изключително последователна.
Ако искате да опростите поддръжката и да намалите вариациите между сървърите, този проект е идеален за вас: Всички машини работят с абсолютно един и същ софтуер, малко по малко.Това елиминира отклоненията в конфигурацията и прави мащабирането или повторното предоставяне бързо и лесно. Освен това няма да се налага да се занимавате с локални обвивки: системата се управлява от удостоверени API, точка.
Какво е IncusOS и защо е важно?
IncusOS е непроменяема операционна система, чиято единствена цел е да управлява Incus сигурно и възпроизводимо. Тя е базирана на Минималистичен Debian 13Той включва Zabbly компилации на Linux ядрото, ZFS и самия Incus и използва широко systemd инструменти за изграждане, инсталиране на приложения и прилагане на актуализации. Философията е ясна: колкото по-предсказуема е основата, по-добра за оперативна надеждност.
Проектът е изграден с помощта на mkosi за генериране на образи, sysext за инсталиране на приложения върху непроменливата база и sysupdate като механизъм за актуализиране. В комбинация тези компоненти позволяват на системата да прилага промените атомарно и ако нещо се обърка, върни се без драма благодарение на A/B схема за разделяне.
Модел на сигурност, криптиране и достъп при зареждане на IncusOS
Сигурността е крайъгълният камък. IncusOS активно разчита на UEFI Secure Boot y TPM 2.0 (въпреки че е полезно да се знае уязвимост в подложката) за измерване и защита на веригата за зареждане, както и за активиране на пълно криптиране на диска. Криптирането разчита на TPM както за LUKS, така и за ZFS, като гарантира, че ключовете са свързани с хардуера.
Системата е напълно заключена: Няма локална обвивка или отдалечен достъп чрез SSHАдминистрирането се извършва чрез Incus API, със силно удостоверяване, използващо TLS клиентски сертификати или, ако предпочитате, OIDC външен. Този подход намалява повърхността за атака и намалява риска от неконтролирани промени в производството. Някои подобни проекти за сигурност, като например Predator OSТе изследват подобни модели.
Неизменност и атомни актуализации (A/B)
A/B дизайнът, използван от IncusOS, поддържа два системни дяла: един активен и един резервен. Актуализациите се прилагат към резервния дял, така че при рестартиране, Влезте в новата версия безопасно и обратимоАко бъде открит проблем, можете да се върнете към предишния дял без прекъсване на услугата.
Освен това, всички системни дялове са само за четене и подписаноминимизиране на риска от повреда и осигуряване на целостта. Със sysupdate и sysext, новите версии се доставят контролирано, а приложенията се интегрират чисто и декларативно в базата данни.
Поддържани архитектури и внедряване
IncusOS работи на съвременни компютри amd64 (x86_64) и arm64обхващащ както Intel/AMD, така и ARM хардуер. Това позволява внедряване на физически сървъри от следващо поколение, както и на множество платформи за виртуализация, където производителността и последователността остават приоритет.
Ако се притеснявате за кривата на обучение: официалната документация показва всичко - от инсталирането на гол метал до това как... Стартирайте го на различни платформи за виртуални машиниС други думи, можете да го тествате в лаборатория за минути и, когато сте убедени, да го пуснете в производство такова, каквото е.
Инсталиране и първоначално зареждане на IncusOS: Не е необходим традиционен инсталатор
IncusOS няма стандартен инсталатор. Можете издърпайте го директно от средата Можете или да го запишете сами, или да го инсталирате автоматично на вътрешен диск при първото зареждане. Този процес е предназначен да опрости работата на оператора и да намали потенциалните точки на отказ.
Тъй като няма обвивка, персонализирането се извършва с инструмент за първоначална конфигурация Това позволява, наред с други неща, да се определи кой клиент ще има разрешение да контролира системата. Оттам нататък цялото управление на хоста се извършва чрез API, със задължително удостоверяване, което засилва модела на сигурност.
Ключови характеристики на дизайна на IncusOS
Предложението за стойност съчетава сигурно зареждане, криптиране и заключване на повърхността за управление. Заедно, IncusOS дава приоритет на сигурността, производителността и предвидимосттаСред основните дизайнерски елементи са използването на UEFI Secure Boot, измервания с TPM 2.0, A/B разделяне, система само за четене с подпис и ексклузивно управление на API.
Съхранение: ZFS автомобилна и корпоративна екосистема
Една фабрика създава автоматично създаване на локален ZFS пулподобно на това, което NAS-ориентираните системи харесват ZimaOS за NASс поддръжка за създаване на по-сложни конфигурации на допълнителни дискове. Ако имате нужда от SAN или разширени сценарии, има поддръжка за Fibre Channel и multipath, както и NVMe през TCP и iSCSI.
За взискателни топологии, IncusOS поддържа LVM в клъстер Той обработва тези транспорти и се интегрира с Ceph за софтуерно дефинирано съхранение. Поддръжката на Linstor е планирана за близко бъдеще, което допълнително разширява възможностите за внедряване.
- Автоматично ZFS обединяване и ZFS криптиране, подкрепено от TPM.
- Фиброканал, многопътен пренос, NVMe/TCP и iSCSI.
- Поддръжка на клъстеризирани LVM и Ceph; Linstor на път.
Мрежа: VLAN мостове, агрегиране на връзки и SDN
Мрежата също е много добре поддържана. IncusOS генерира мостове с поддръжка на VLANТова улеснява свързването на контейнери или машини към всеки физически интерфейс на хоста. За наличност и пропускателна способност, поддържа се агрегиране на връзки (както пасивно, така и договорено).
Включва LLDP поддръжка за откриване, корпоративен прокси сървър с KerberosНадежден NTP и отдалечено предаване на лог файлове чрез syslog през UDP, TCP или TLS. За SDN системата интегрира OVS/OVN и също така разполага с вградена поддръжка на Tailscale; Netbird е планиран за близко бъдещеОсвен това има мрежови и защитни решения, като например IPFire за централизирани мрежови функции.
- Мостове и свързване на връзки, съобразени с VLAN.
- LLDP, корпоративен прокси сървър с Kerberos и стабилен NTP.
- Отдалечен системен лог (UDP, TCP, TLS) и SDN с OVS/OVN.
- Вградена интеграция с Tailscale; Netbird идва скоро.
Управление: централизирани операции и гъвкави актуализации
На оперативно ниво, IncusOS може да се управлява централизирано чрез Оперативен центърОсвен това, той ви позволява да извършвате архивиране и възстановяване както на основната системна конфигурация, така и на данните на всяко приложение поотделно.
Ако трябва да се върнете в познато състояние, можете да изпълните фабрично нулиране на цялата система или само на определени приложения. Механизмът за актуализиране също е гъвкав: можете да регулирате честотата, да деактивирате автоматичните актуализации или да дефинирате прозорци за поддръжка, за да прилагате промените плавно.
График за пускане на IncusOS и канали за актуализации
Има два канала за актуализация: stable y testingПо подразбиране съоръженията се намират в стабиленс приблизителен седмичен график за пускане на версии, който включва най-новото стабилно ядро и съответните корекции за сигурност. Тези, които търсят по-актуални актуализации, могат да изберат тестване, който обикновено се актуализира ежедневно.
Системите проверяват за нови версии всеки 6 часаIncus се актуализира автоматично с много кратка API пауза, без да се засягат работещите инстанции, а всички актуализации на базовата система са готови за прилагане при следващото рестартиране. Ако е необходимо, можете да промените тази честота или да деактивирате автоматичните актуализации напълно.
Изграждане на изображения, CI/CD и публикуване
Хранилището на проекта съдържа целия изходен код, използван за изграждане на производствените образи на IncusOS. Когато Налага нов етикет Тагът към хранилището задейства пълно изграждане на изображение, което след това се изтегля и валидира от публикуващия сървър. Полученото изображение след това се показва в канала. testing докато рецензент ръчно не го повиши до stable.
Можете да проверите лог файловете на най-скорошните компилации на Действия на GitHub: изграждане на работен процесФиналните изображения са публикувани в images.linuxcontainers.org/os/, откъдето можете да ги изтеглите или да ги интегрирате във вашия процес на разработка.
За да се гарантира качество, a ежедневен тест Това упражнява голяма част от крайните точки на API и други тестове, които не би било практично да се изпълняват при всяка заявка за изтегляне. Разработката е публично достъпна в GitHub. github.com/lxc/incus-os.
Технологична база и компоненти
Под капака, IncusOS използва олекотена версия на Debian 13 със Zabbly компилации на ядрото, ZFS и Incus, което ви дава достъп до стабилни и последни версии От всички тези компоненти, Systemd предоставя ключовите инструменти: mkosi за генериране на изображения, sysext за внедряване на приложения, sysupdate за актуализации и помощни програми за първоначално разделяне и TPM-подкрепено криптиране.
Проектът съчетава конфигурационни файлове да стартирате mkosi с набор от инструменти и демон за управление на системата, написан на Go. Целият код е публикуван под лиценз Apache 2.0 и в официалната документация има подробни насоки за принос за всеки, който иска да сътрудничи.
Гаранция за последователност и мащабируемост
Една от най-големите силни страни на IncusOS е, че всички сървъри изпълняват абсолютно един и същ код. един и същ набор от битовеНяма вариации между хостовете, което значително опростява ежедневните операции: по-малко изненади, по-малко „това се случва само на този възел“ и по-директен път за мащабиране или преразполагане на десетки или стотици машини, когато е необходимо.
Чрез елиминиране на локалния слой на обвивката и централизиране на управлението в удостоверен API, рискът от отклонение на конфигурацията с течение на времето се намалява. Тази оперативна съгласуваност, с непроменяеми дялове и подписи само за четене, има пряко влияние върху надеждността и в предвидимостта на промените.
Оперативен център и мениджър по миграция
IncusOS служи не само като хост за Incus; може да се използва и като базова система за Оперативен център y Мениджър по миграцияТази комбинация отваря вратата за организирани миграции от среди като VMware към Incus, поддържайки базова система, която е лесна за надграждане, защитена и съобразена с философията на неизменността.
С подробни архиви (основни конфигурационни данни и данни за приложенията), селективни възстановявания и планирани актуализации, триадата Incus + IncusOS + инструменти за управление позволява цялостен подход. контролирани преходи без ненужна болка.
Първи стъпки с IncusOS: документация и файлове за изтегляне
Официалната документация обяснява как да го стартирате физически, как да го тествате... виртуална машина и как да извлечете максимума от всеки компонент (съхранение, работа в мрежа, управление и сигурност). Съобщението за изданието и свързаните с него ресурси са достъпни във форума на Linux Containers: Съобщение за IncusOS, също Те са в GitHub.
За да стигнем директно до същината, изображенията се публикуват след преминаване на валидация на: . Преди това можете да следите състоянието на компилацията в GitHub Actions и когато са готови, изтеглете и ги внедрете във вашата лабораторна или производствена среда.
Ново в екосистемата на Incus
IncusOS се появява като част от естествената еволюция след разделянето на LXD в Incus. Самият ръководител на проекта Стефан Грабер представи IncusOS след повече от година разработка, описвайки го като модерна и непроменяща се среда специално проектиран за работа с Incus, с атомни A/B актуализации и стабилна защита, базирана на Secure Boot и TPM.
Минималистичният подход на Debian 13, комбиниран със ZFS (OpenZFS) и широкото използване на systemd инструменти за компилиране, инсталиране и актуализации, завършва платформа, която по дизайн... Работи изцяло чрез API с TLS удостоверяване на сертификат или чрез външен OIDC.
Уроци от непроменящия се свят в други системи
Подобни идеи се обсъждат в екосистемата на BSD от години (например в NanoBSD). Имаше предложения за актуализиране на базовата система, както zfs получаватгенериране на нова „среда за зареждане“ и активирането ѝ при следващото зареждане. Най-голямото препятствие е, че fstab трябва да се намира в корена, който се влачи /etc към главната файлова система и предотвратява повторното използване на една и съща база във всяко внедряване.
Apple реши подобен проблем, като отдели коренен обем и потребителски обемтака че първият да може да локализира локалната конфигурация на добре познато място. Във FreeBSD идеята беше също така да се хомогенизират конфигурациите на базовата система с UCL и да се позволи подписани включваниясвързване на този подпис към защитената верига за зареждане. Целта е същата като тази, която преследва IncusOS: непроменлива база, която консумира конфигурация на променлив том само ако е правилно удостоверена.
Прозрачност на жизнения цикъл и лицензиране
Проектът публикува всичките си произведения под лиценза Apache 2.0С насоките за принос, налични в документацията, това позволява на операторите и разработчиците да разберат как се сглобяват изображенията, да прегледат кода на демона за управление на Go и да участват в работния процес за маркиране, компилиране и популяризиране в различните канали.
Комбинацията от ежедневно CI, наблягащо на API, и ръчно популяризиране на testing a stable и подписването на системните дялове води до по-предсказуем жизнен цикъл. С други думи, рискът от регресия е намален в продукцията и вие получавате контрол върху това кога и как да прилагате промените.
IncusOS предлага модерен и прагматичен подход към Incus хостовете: сигурност при зареждане с TPM и Secure Boot, пълно криптиране на диска, система само за четене и обратими A/B актуализации; мрежова свързаност и съхранение, готови за корпоративни решения; 100% API-базирано управление; и прозрачен процес на изграждане и тестване. С два канала за актуализация, проверки на всеки 6 часа и отворено пускане на образи и лог файлове за изграждане, Резултатът е солидна, последователна и много лесна за работа платформа. за всеки, който иска да внедри и мащабира инфраструктура на Incus.
