IncusOS: Ein neues unveränderliches Linux-System, das für die Ausführung von Incus entwickelt wurde
IncusOS debütiert als modernes, unveränderliches Debian-basiertes System, das speziell für den Betrieb von Incus mit atomaren A/B-Updates und TPM-gesichertem Boot entwickelt wurde.
Eine Übersetzung von 🇬🇧 Linuxiac.com
Nach mehr als einem Jahr Entwicklungszeit hat das Incus-Team offiziell die allgemeine Verfügbarkeit von IncusOS bekannt gegeben – einem speziell entwickelten, unveränderlichen Betriebssystem, das speziell für den Betrieb des Incus-Container- und Virtual-Machine-Managers konzipiert wurde.
IncusOS basiert auf Debian 13 „Trixie“ und integriert den neuesten Linux-Kernel, ZFS und Incus-Builds von Zabbly. Es nutzt die erweiterten Funktionen von systemd – darunter mkosi, sysext und sysupdate – für die Erstellung von Images, das Anwendungs-Layering und atomare Updates.
🎓 Der Hauptzweck des Betriebssystems besteht darin, eine streng kontrollierte Umgebung zu bieten, die sich ideal für die Ausführung von produktionsreifen Container- und VM-Workloads eignet, ohne dass das Risiko von Systemabweichungen oder manuellen Konfigurationsfehlern besteht.
Das Betriebssystem verwendet ein A/B-Partitionsschema (das auch von StemOS und Vanilla OS verwendet wird), wodurch das System bei Problemen nahtlos auf die vorherige Version zurückgesetzt werden kann. Alle Partitionen sind schreibgeschützt und kryptografisch signiert, wodurch die Systemintegrität gewährleistet ist.
Auf der Sicherheitsseite setzt IncusOS UEFI Secure Boot durch und nutzt TPM 2.0 für die Boot-Messung und Festplattenverschlüsselung. Das Root-Dateisystem verwendet TPM-gestützte LUKS- und ZFS-Verschlüsselung, wodurch sichergestellt wird, dass das System auch bei physischem Zugriff sicher bleibt.
Und etwas sehr Wichtiges: Im Gegensatz zu allgemeinen Linux-Distributionen bietet IncusOS keinen Shell-Zugriff, weder lokal noch remote. Stattdessen erfolgt die gesamte Verwaltung ausschließlich über die Incus-API, die über TLS-Client-Zertifikate oder OIDC authentifiziert wird, wodurch die Angriffsfläche drastisch reduziert und gleichzeitig eine zentralisierte, API-basierte Steuerung ermöglicht wird.
Das Betriebssystem ist in erster Linie für den Einsatz auf moderner Bare-Metal-Hardware vorgesehen – also auf Servern, die etwa in den letzten fünf Jahren hergestellt wurden und TPM sowie Secure Boot unterstützen. Es kann jedoch auch in einer virtuellen Maschine ausgeführt werden, wodurch es sich leicht evaluieren oder in bestehende Umgebungen integrieren lässt.
Die Installation erfolgt vollständig über ein benutzerdefiniertes Image, das über den Online-Image-Customizer des Projekts generiert wird und Konfigurationen und vertrauenswürdige Zertifikate enthält. Da es keinen interaktiven Installer gibt, wird die Systemkonfiguration (oder „Seed“) beim ersten Start automatisch angewendet.
Die Speicherunterstützung in IncusOS konzentriert sich auf ZFS, mit automatischer Pool-Einrichtung für lokale Festplatten und flexiblen Konfigurationsoptionen für komplexe Speichertopologien. Das Betriebssystem unterstützt auch Ceph, Fiber Channel, NVMe-over-TCP, iSCSI und geclustertes LVM, wodurch die Kompatibilität mit einer Vielzahl von Speicher-Backends gewährleistet ist. Die Unterstützung für Linstor ist für zukünftige Versionen geplant.
Auf der Netzwerkseite bietet IncusOS VLAN-fähiges Bridging, Link-Aggregation, LLDP, OVS/OVN-Integration und integrierte Tailscale-Unterstützung (Netbird folgt in Kürze). Es unterstützt auch Funktionen der Enterprise-Klasse wie Proxy-Server mit Kerberos-Authentifizierung, robustes NTP und Remote-Syslog über UDP, TCP oder TLS.
Die Verwaltung in IncusOS erfolgt über das Operations Center, das eine zentralisierte Steuerung, Backup-/Wiederherstellungsfunktionen und sogar Optionen zum Zurücksetzen auf die Werkseinstellungen sowohl für das Betriebssystem als auch für einzelne Anwendungen bietet. Der Update-Mechanismus ist vollständig automatisiert: Das System sucht alle sechs Stunden nach Updates, wendet diese auf die inaktive Partition an und wechselt beim nächsten Neustart zu dieser.
Weitere Details, Installationsanleitungen und Dokumentation finden Sie auf der offiziellen Projektseite.
Comments