Стефан Грабе (Stéphane Graber), лидер проекта Linux Containers, один из создателей инструментария LXC, член управляющего технического совета Ubuntu и участник команд, отвечающих за выпуск релизов Ubuntu, представил новый Linux-дистрибутив IncusOS. IncusOS предоставляет атомарно обновляемый системный образ для создания серверов, централизованное управление которыми осуществляется при помощи инструментария Incus (форк LXD). Дистрибутив развивается под эгидой проекта Linux Containers, отвечающего за разработку инструментариев LXC и Incus. Наработки проекта написаны на языке Go и распространяются под лицензией Apache 2.0...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64203
Это – начало конца. Сегодня Linux Containers выпускает дистрибутив, а завтра что? Redhat выпустит Windows 12?
Хвост виляет собакой, как говорится. Собака лает, караван идёт.
Караван лает, собаки идут.
- на урезанном окружении Debian 13
- отсутствует командная оболочка и традиционные возможности для управления из командной строки или удалённого подключения по SSHоно точно надо отдельным репом?
Это как "одноразовые семена". Нужно "посеяться" - иди на поклон. Дистрибутивы сам размножить не можешь.
Наоборот это идеальный вариант. Операционка это запускалка софта. Здесь во главу угла поставили софт и выпустили готовый к использованию из коробки софт.
Обновим атомарно пол системы, а чтобы было не так больно лакернем это безобразие ништяками ZFS. Хитрый план раскрыт!
Почти Виндуз Сервер Кор. Шаг влево, шаг вправо - система не запустится. Если что-либо нужно добавить на основной системе, вэлкам к господам Грабе и Поттерингу на поклон. Иначе как без ЭсЭсЭйч удаленно настраивать. А, типа есть веб интерфейс. Ок, а всякие ансиблы и т.д. тоже через РЕСТ подключаться должны. Ну даже не знаю, для кого это? Для локальных админов, которые недавно админили Виндуз, и которые ни про какие ансиблы не слышали?
Добавь в свой ансибл пару рест команд для доступа и всё делов то.
>Почти Виндуз СерверТак и есть. Новость пахнет призраком Винды.
Так не нужно тебе ни влево - ни вправо. Много ты дополнительного софта через SSH на esxi устанавливаешь? И как оно опосля - запускается?
Ну вот и здесь примерно так же. Если вдруг зачем-то прям НАДО что-то закастомить - берешь и собираешь новый образ, благо генератор для сборки - есть. Что-то пошло не так? Раскатываешь ноду заново и не думаешь.
Такое в последнее время можно сказать "магистральное направление развития" - suse linux micro, talos linux - для кубикообразных, гипервизоры с KVM для полноценной виртуализации - сейчас вот это вот для LXC\LXD.
Не очень понимаю, зачем оно (Разница в производительности по сравнению с классической виртуализацией наверно будет - но не настолько значительная, чтоб огород городить, да и обкатана она си-ии-ильно лучше и всяких ништяков окрест - HA, FT, live migration и т.д. - может оно и появится "за деньги" но пока?).
Cloud init же. Ну и Terraform провайдер можно написать — наверное когда-нибудь он таки появится сам собой.
Talos Linux как-то справляется же.
> Наработки проекта написаны на языке Go
> базируются на урезанном окружении Debian 13 и ядре Linux из репозитория Zabbly, формирующего пакеты с "ванильными" версиями ядра для Debianбубунтообразный франкендебиан с тулзами на языке, версия которого в дебиане традиционно отстаёт на пару major-ов. Отличный план, ребята, надёжный как швейцарские часы.
Эээээ... а вот тебе не пофиг?
c89 в ядре никого не колебала, да и c11 тоже новизной не блещет
А что в процессорах появилась какая-то принципиально новая сущность для хранения данных вместо регистров или способ обращения к памяти поменялся на ментальный вместо адресного?
> А что в процессорах появилась какая-то принципиально новая сущность для хранения данных
> вместо регистров или способ обращения к памяти поменялся на ментальный вместо
> адресного?А в go чего такого добавилось? Чай, не iphone 15, с которым одни (д)нище-броды ходят, а приличному человеку и в коробке из под ботинок держать зазорно, да?
> А в go чего такого добавилось?Ну например, в большинстве дистров, go сейчас 1.24, последняя версия 1.25 в которую наконец официально занесли быструю сериализацию/десериализацию json (от 3х до 10 раз быстрее предыдущей), неплохо перепилил quic (хотя и без CVE не обошлось). Это из того что сам использую, а там и улучшения в шедулере (туда не закапывался) и новые типы коллекций в стандартной поставке. Вобщем развиваются. В дебиане совсем противоположный подход.
>> А в go чего такого добавилось?
> Ну например, в большинстве дистров, go сейчас 1.24, последняя версия 1.25 в
> которую наконец официально занесли быструю сериализацию/десериализацию json (от 3х до
> 10 раз быстрее предыдущей), неплохо перепилил quic (хотя и без
> CVE не обошлось). Это из того что сам использую, а там
> и улучшения в шедулере (туда не закапывался) и новые типы коллекций
> в стандартной поставке. Вобщем развиваются. В дебиане совсем противоположный подход.И ЧО? Вот у тебя есть API, написанная ну скажем на 1.22 - чем тебе это мешает этой самой API'шкой пользоваться?
"От трех до десяти" это конечно замечательно - но предполагаю на задачах "управления гипервизором" (А lxc это скорее "легковесная виртуализация", нежели "контейнерная изоляция" - и срок жизни lxc-контейнера как правило си-иии-иильно больше) разница будет такая большая, вот прям разтакая большая - что просто в микроскоп не заметная...Я понимаю, сейчас вообще модно "есть только одна версия - ПОСЛЕДНЯЯ!" и "ааа, она не обновлялась уже две недели, проклятые луддиты рас-рас-рас!" - но надо ж и голову иногда включать...
>Для переноса контейнеров и виртуальных машин из других систем, таких как VMware vCenter, предоставляется Migration Manager.
>Поддерживается установка образа IncusOS как поверх оборудования, так и в виртуальных машинах под управлением платформ libvirt, Incus, Proxmox, VirtualBox и VMware.Гипервизор, запущенный в виртуалке, запускает контейнер.
Шикарная штука, надо будет где-нибудь попробовать. Как раз есть две стойки под списание, пусть попыхтят напоследок.
Тебе не нравится — отойди, не мешай наслаждаться.
Это ж один-в-один Талос https://www.talos.dev/
Вроде https://www.suse.com/products/micro/ эти успели раньше ).
Переходил на talos с него после, гм, известных событий - в общем, то-на-то, но suse как-то человекообразней показалась.
Зузе микро это же переименованный Rancher? Тогда еще CoreOS можно вспомнить. Но емнип, они в отличии от Talos имели минимальную консоль для настройки. Здесь же только удаленное управление и только в кластере.
> Зузе микро это же переименованный Rancher? Тогда еще CoreOS можно вспомнить. Но
> емнип, они в отличии от Talos имели минимальную консоль для настройки.
> Здесь же только удаленное управление и только в кластере.Не, это microos, поверх которой был еще suse alp
https://www.suse.com/c/revolutionizing-linux-distributions-w.../
и управлялось они salt'ом прям из коробки, а ssh если не путаю - не было by design. Впрочем, её я не проектировал - только перенос нагрузки на talos, так что могу ошибаться.
Отсутствует командная оболочка и традиционные возможности для управления из командной строки, зато все операции управления и настройки производятся только через REST API. Neo UNIX way! :(
neo win way какой-то
Странно, что инструмент Матрицы назвали именем борца с Матрицей.
Да потому что борец с матрицей был не настоящий, а такая же утилита.
Какая-то вундервафля. Если дело пойдёт дальше по пути такого усложнения, потом им придётся поверх прикручивать ИИ, ибо без него с этим работать будет невоможно, слишком много всяких нюансов, которые сложно держать в голове.
атомик для k8s прекрасно.
На SOHO deb? вы уверены???
поттернинг? ну на фиг...
>На SOHO deb? вы уверены???Чем тебе деб не нравится? Убунта уже давно обскакала все дистрибутивы и стала номер один, особенно для мелкого и среднего бизнеса.
Вместо того, чтобы пилить проброс USB в LXC контейнер, они вот на это ненужно время тратят.
как в анекдоте:
...
- Где потерял?
- Там, в кустах.
- А почему тут ищешь?!
- Тут светлее.
Возможно потому, что USB "деньгами не пахнет"...
Разморозьтесь) уж тыщу лет проброс работает, сам регулярно использую на lxd серваках. Там даже tpm можно пробрасывать не говоря уж про usb
Попробуйте пробросить USB wi-fi адаптер, само устройство USB действительно появится в контейнере, но вот сетвого интерфейса там не будет.
вот в тему лениного mkosi и в целом его "трустед бут ворлд"..
слабо представляю, как людям в это вникать, не имея опыта работы с сб, тпм, люксом, дм-* без всех этих наворотов.
я вот не так давно прям в его афигенную концепцию вникала, потому примерно понимаю, что под копотом делается. но вот если б мне дали подобную систему и я б до этого не делала несколько раз что-то подобное в "традиционном" стиле .. ну, пойди что-то не так, закончилось бы переустановкой.
а "не так" что-то пойдет обязательно - вся ленина система представляет собой гору костылей, приколоченных друг к другу (можно в целом сказать обо всем и везде так) и с массой очень сомнительных решений. вот о последнем поподробнее.
из того, что прям сразу на ум приходит - его подход в духе "воркс он май машин".
достаточно взглянуть на то, как реализован бут каунтинг и система автовосстановления - каждый ребут сд-бут засоряет /efi разного рода мусором, за собой не подтирая. иногда подтирает, но далеко не всегда. я вот точно уже не помню, что произойти должно, что б не подтер. но там шансы около 50/50, что засорит и подтереть потом даже вам, ничего не сломав, не даст. и когда у вас вдруг лопнет /ефи и вы загрузитесь со флешки, отключив сб и подтерев за сд-бутом, загрузившись обратно, вы либо получите отказ от тпм'а, либо отказ от пораженного чисткой его хлама сд-бута.
соответственно, фиг куда откатитесь уже. и естественно, само не откатится.
что б нормально за ним почистить, надо предугадать разрыв /ефи, почистить из системы .. не забываем, у нас рут в ро, а система обновляется атомарно. удачи все ручками перемонтировать, не вызвав припадок у еще десятка служб сд .. и запрячь сд'шный тпм-о-криптсетап-о-д перезалить ключи в тпм.
и вот такая пляска (часто хлеще) чуть ли не при каждой внештатной ситуации. коих будет много, стоит лишь начать в долгосрок крутить систему (а как мы поняли из истории с бут-каунтнингом, система может даже сама вас вынудить ее крутить), ибо костылей много и идея сама большая, все учесть тяжело.
и короче .. я к тому, что для человека, который это все знает только по манам системд, все остается "черной коробкой". и есть такое чувство, что любая поломка закончится переустановкой.
это вот еще к тому, что линукс стал таки сложнее - что б все это асилить под копотом, надо в разы больше времени/желания, чем во времена инит=/бин/сш.
> и короче .. я к тому, что для человека, который это все знает только по манам системд, все остается "черной коробкой". и есть такое чувство, что любая поломка закончится переустановкой.И в данном случае - это абсолютно нормально, т.к. ровным счетом "ничегошеньки" ценного в самой системе у тебя и нет, а "ценный workload" by design должен переехать на соседнюю ноду без твоего непосредственного вмешательства - в чем, с-на и смысл подобных вещей.
это здесь мб.
а вот поцтеринг предлагает концепцию неубиваемой ос, к.-я и сама себя починит и сломать не даст и вообще интегрити верифаед.
> это здесь мб.
> а вот поцтеринг предлагает концепцию неубиваемой ос, к.-я и сама себя починит
> и сломать не даст и вообще интегрити верифаед.Ну, по ремонтопригодности неквалифицированным персоналом в полевых условиях мерседес уазику конечно уступает...
> слабо представляю, как людям в это вникать, не имея опыта работы с сб, тпм, люксом, дм-* без всех этих наворотов.Вникак вак и во всё вообще: читая документацию, экспериментируя, общаясь на эти и смежные темы с другими людьми, пока не начнёт получаться. Ну или можете заплатить тому, у кого этот опыт уже есть.
>>Для получения загрузочного образа применяется online-генераторЧто-то напоминает. Ах да, когда скачиваешь что-то, а тебе в комплекте в инсталлер суют яндыкс или хром.
Я правильно понимаю, что A/B обновления не используют снапшоты, а тратят место на два раздела?
> тратят местоУ тебя там что, SD карточка на 512 мегабайт?
В Android используют разделы. Но тут могли переделать на снимки. В любом случае в ZFS дедупликация сработает.
Непанятна!!!
А вчем фишка атомарного обновления? И слово такое подобрали, как-то только запутывает.
Атомарное обновление это обновление всего разом, всех пакетов, так чтоля?
Lxc в proxmox мне нравится. Но кажется это шибко промышленная штука.
А без сабжа его там нет что ли?
Не понятно как сие сочетается с лицензией ядра?
SSH нет и поэтому не взломают, да?
SSH вообще не очень-то и нужен для администрирования систем, особенно в годных коммерческих клаудах. И таки да, существенно снижает поверхность атаки и лишает малограмотных сисадминов возможности поменять конфиги на сервер в обход автоматизации. Привыкшим везде логиниться вручную и делать sudo su - root это ломает шаблон. Кто-то адаптируется, кто-то увольняется.
> sudo su - rootСмысл так писать, когда sudo -i делает то же самое, но в одну команду, короче по смыслу.
Спроси у тех, кто так пишет. И у тех, кто на древние системы логинится.
A/B обновления, как в Android. Непонятно зачем OverlayFS, когда уже используют ZFS. Например, Docker можно на ZFS перевести. Неплохой конкурент NixOS, в которой меня смущают остатки файлов отдельно от пакетов Nix.
Название весьма неблагозвучное.- Какая у тебя система на компе установлена?
- Инкусос.
- Чего чего? :)
Да норм вся, инклюзивный сос же))д
Все ждали вендекапца, но он пришел не с той стороны.
Ещё чуть урезать ядро, довпихнуть цифровые подписи всего и вся и винда покажется поприятнее.
А всё что? Классиков нужно было слушать - "если слишком заворачивать - провернетесь и окажетесь с другой стороны".