IncusOS: цілеспрямована операційна система для контейнерів і віртуальних машин

Після більш ніж року розробки команда Incus офіційно оголосила про загальну доступність IncusOS — цілеспрямованої, незмінної операційної системи, створеної спеціально для роботи з Incus контейнерним та віртуальним машинним менеджером.

Основи IncusOS на базі Debian 13

IncusOS побудована на основі Debian 13 “Trixie” і інтегрує останній ядро Linux, ZFS та Incus, побудовані на Zabbly. Використовуються просунуті функції systemd, такі як mkosi, sysext та sysupdate, для управління створенням образів, шаруванням програм та атомарними оновленнями.

Переваги використання IncusOS

Основна мета операційної системи — створення контрольованого середовища, ідеального для запуску виробничих навантажень контейнерів і віртуальних машин без ризику відхилення системи або помилок конфігурації.

Операційна система використовує схему розділення A/B (також взяту у StemOS та Vanilla OS), що дозволяє безперервно повернути систему до попередньої версії у разі помилок. Усі розділи є лише для читання та криптографічно підписані, що гарантує цілісність системи.

Безпека IncusOS

У сфері безпеки IncusOS впроваджує UEFI Secure Boot та використовує TPM 2.0 для вимірювання завантаження та шифрування дисків. Коренева файлова система використовує шифрування LUKS на базі TPM та ZFS, що забезпечує безпеку, навіть якщо є фізичний доступ до системи.

Ще один важливий момент — на відміну від загальносистемних дистрибутивів Linux, IncusOS не надає доступу до оболонки, ані локально, ані віддалено. Вся управлінська діяльність відбувається виключно через API Incus, автентифіковане за допомогою сертифікатів клієнтів TLS або OIDC, що суттєво зменшує поверхню атаки та надає централізоване управління на основі API.

Вимоги до обладнання та установка

Операційна система в першу чергу призначена для запуску на сучасному «голому» обладнанні — серверах, які підтримують TPM та Secure Boot, з останніх п’яти років. Однак її також можна запускати у віртуальній машині, що забезпечує легку оцінку або інтеграцію з існуючими середовищами.

Установка повністю здійснюється через настроюваний образ, створений за допомогою онлайн-інструмента проекту, який вбудовує конфігурацію та довірені сертифікати. Оскільки немає інтерактивного інсталятора, конфігурація системи (“seed”) автоматично застосовується при першому запуску.

Підтримка зберігання і мережі в IncusOS

Підтримка зберігання в IncusOS зосереджена на ZFS, з автоматичною налаштовуванням пулів для локальних дисків і гнучкими варіантами конфігурації для складних топологій зберігання. Операційна система також підтримує Ceph, Fiber Channel, NVMe-over-TCP, iSCSI та кластеризований LVM, забезпечуючи сумісність з широким спектром систем зберігання. Підтримка Linstor планується в майбутніх випусках.

У мережевій сфері IncusOS пропонує VLAN-обізнане мостування, агрегацію ліній, LLDP, інтеграцію OVS/OVN та вбудовану підтримку Tailscale (з підтримкою Netbird, що з’явиться найближчим часом). Також підтримуються функції корпоративного рівня, такі як проксі-сервери з автентифікацією Kerberos, надійний NTP та віддалений syslog через UDP, TCP або TLS.

Центр управління в IncusOS

Управління в IncusOS зосереджене навколо Центру операцій (Operations Center), який забезпечує централізоване управління, функції резервного копіювання/відновлення та навіть можливість скидання до заводських налаштувань як для ОС, так і для окремих додатків. Механізм оновлення повністю автоматизований: система перевіряє наявність оновлень кожні шість годин, застосовує оновлення до неактивного розділу та переключається на нього при наступному перезавантаженні.

Для отримання додаткових деталей, посібників з установки та документації відвідайте офіційну сторінку проекту.