СЦ Astra Linux Server

Дерево страниц

Описание

Неизменяемый (иммутабельный) режим Операционной системы специального назначения Astra Linux Special Edition (ALSE) представляет собой режим использования операционной системы, при котором системные и исполняемые файлы, а также настройки ОС не могут быть изменены во время эксплуатации.

Такой режим достигается за счёт формирования файловой системы из предварительно подготовленных неизменяемых образов формата squashfs.

Предполагается, что прикладное ПО в данном режиме запускается исключительно в контейнерах, поэтому при подготовке squashfs-образов предусмотрена возможность добавления средств контейнеризации.

Особенности и преимущества

  • Иммутабельность для системных и исполняемых файлов.
    Поскольку всё прикладное ПО выполняется в контейнерах, это позволяет "заморозить" системные файлы в неизменяемом виде.
  • Компактность.
    Для ОС нужны только базовые компоненты, средства защиты информации и компоненты работы с контейнерами.
  • Изоляция компонентов ОС от прикладного ПО.
    Это позволяет осуществлять обновление ОС и ПО независимо в достаточно широком диапазоне версий.
  • Безопасность.
    • В неизменяемом режиме сохраняются все необходимые средства защиты информации ALSE 1.8;
    • Особенности эксплуатации позволяют ограничить администратора системы конечным набором доступных ему команд и действий;
    • Неизменяемость системных файлов гарантирует защиту от изменения и подмены.

Варианты эксплуатации

  • Отдельный узел. Управление контейнерами осуществляется с помощью инструментария docker.
  • Кластер kubernetes. Управление контейнерами с помощью инструментария kubernetes.

Установка и загрузка ОС

В силу особенностей подготовки образов для неизменяемого режима эксплуатации возможность создания таких образов напрямую через установщик ОС не предусмотрена.

После подготовки образов ОС в неизменяемом режиме возможны 2 способа загрузки ОС:

  1. Сетевая загрузка ОС на физический или виртуальный сервер с использованием архитектуры сетевой загрузки PXE
  2. Загрузка виртуального сервера из QCOW2-образа

Общая схема

Схема взаимодействия компонентов astra-elafris


Для подготовки образов файловой системы в неизменяемом режиме ОС требуется отдельный Сервер под управлением ALSE, оперативное обновление 1.8.4 или новее.

Результат сборки, в зависимости от формата, может быть использован либо для сетевой загрузки, либо для запуска ВМ на гипервизоре.

Узел сборки и Узел сетевой загрузки могут быть размещены на разных серверах, но такая схема взаимодействия не проходила всестороннее тестирование и требует отдельной подготовки и автоматизации.

  • Нет меток