Описание

Неизменяемый (иммутабельный) режим Операционной системы специального назначения Astra Linux Special Edition (ALSE) представляет собой режим использования операционной системы, при котором системные и исполняемые файлы, а также настройки ОС не могут быть изменены во время эксплуатации.

Такой режим достигается за счёт формирования файловой системы из предварительно подготовленных неизменяемых образов формата squashfs.

Предполагается, что прикладное ПО в данном режиме запускается исключительно в контейнерах, поэтому при подготовке squashfs-образов предусмотрена возможность добавления средств контейнеризации.

Особенности и преимущества

• Иммутабельность для системных и исполняемых файлов.
  Поскольку всё прикладное ПО выполняется в контейнерах, это позволяет "заморозить" системные файлы в неизменяемом виде.
• Компактность.
  Для ОС нужны только базовые компоненты, средства защиты информации и компоненты работы с контейнерами.
• Изоляция компонентов ОС от прикладного ПО.
  Это позволяет осуществлять обновление ОС и ПО независимо в достаточно широком диапазоне версий.
• Безопасность.
  
  • В неизменяемом режиме сохраняются все необходимые средства защиты информации ALSE 1.8;
  • Особенности эксплуатации позволяют ограничить администратора системы конечным набором доступных ему команд и действий;
  • Неизменяемость системных файлов гарантирует защиту от изменения и подмены.

Варианты эксплуатации

• Отдельный узел. Управление контейнерами осуществляется с помощью инструментария docker.
• Кластер kubernetes. Управление контейнерами с помощью инструментария kubernetes.

Установка и загрузка ОС

В силу особенностей подготовки образов для неизменяемого режима эксплуатации возможность создания таких образов напрямую через установщик ОС не предусмотрена.

После подготовки образов ОС в неизменяемом режиме возможны 2 способа загрузки ОС:

1. Сетевая загрузка ОС на физический или виртуальный сервер с использованием архитектуры сетевой загрузки PXE
2. Загрузка виртуального сервера из QCOW2-образа

Общая схема

Для подготовки образов файловой системы в неизменяемом режиме ОС требуется отдельный Сервер под управлением ALSE, оперативное обновление 1.8.4 или новее.

Результат сборки, в зависимости от формата, может быть использован либо для сетевой загрузки, либо для запуска ВМ на гипервизоре.

Узел сборки и Узел сетевой загрузки могут быть размещены на разных серверах, но такая схема взаимодействия не проходила всестороннее тестирование и требует отдельной подготовки и автоматизации.