Tras más de un año de intenso desarrollo, Stéphane Graber, líder del proyecto Linux Containers y cocreador de LXC, ha presentado IncusOS, una nueva distribución Linux diseñada específicamente para ofrecer una base sólida, segura e inmutable sobre la que ejecutar Incus, la bifurcación de LXD.
IncusOS es un sistema operativo inmutable diseñado exclusivamente para ejecutar Incus de forma segura y fiable. Utiliza funciones de seguridad modernas para proporcionar una experiencia de arranque segura y un cifrado de disco completo y sin interrupciones.
Una arquitectura inmutable y segura
Uno de los pilares de IncusOS es su diseño inmutable, ya que es un sistema operativo se compone de dos particiones independientes: una activa y otra destinada a recibir las actualizaciones, lo que permite un mecanismo de actualización atómica A/B. Este método garantiza la estabilidad del sistema y facilita la reversión en caso de error.
La seguridad también ocupa un lugar central, ya que IncusOS implementa UEFI Secure Boot, cifrado de disco completo mediante LUKS, y almacenamiento seguro de claves en TPM 2.0. Este conjunto asegura una experiencia de arranque confiable y una protección integral frente a manipulaciones o accesos no autorizados.
En un cambio radical frente a las distribuciones tradicionales, IncusOS no ofrece acceso a la consola local o remota, ni permite gestión por SSH. Todas las operaciones de configuración, administración y supervisión se realizan exclusivamente a través de la API REST de Incus, con autenticación mediante certificados TLS o OIDC (OpenID Connect).
De esta forma, todos los servidores que ejecutan IncusOS son idénticos bit a bit, eliminando discrepancias entre entornos y simplificando la escalabilidad o reimplementación masiva de infraestructuras.
Integración con systemd y herramientas modernas
El desarrollo de IncusOS hace un uso intensivo del ecosistema systemd, incluyendo herramientas como:
- mkosi, para la creación de imágenes del sistema.
- systemd-sysext, que permite instalar aplicaciones como extensiones del sistema superpuestas mediante OverlayFS.
- systemd-sysupdate, para gestionar las actualizaciones atómicas del sistema.
- El entorno base del sistema se monta en modo solo lectura, garantizando la inmutabilidad y reduciendo riesgos de corrupción o modificación no deseada.
Capacidades de almacenamiento y red avanzadas
IncusOS ofrece soporte avanzado para almacenamiento y redes empresariales. De forma predeterminada, crea un pool ZFS local y permite configurar estructuras complejas con LVM, Ceph, NVMe sobre TCP, iSCSI y Fibre Channel.
En el ámbito de redes, soporta VLAN automáticas, agregación de enlaces, LLDP, OVS/OVN, NTP, syslog remoto, y VPN integradas como Tailscale (con compatibilidad futura con Netbird).
Actualizaciones y mantenimiento continuo
El proyecto mantiene dos canales de actualización:
- Stable, que recibe actualizaciones semanales con correcciones del kernel y parches de seguridad.
- Testing, que se actualiza casi a diario con las últimas mejoras y funciones experimentales.
Los sistemas IncusOS verifican automáticamente la disponibilidad de actualizaciones cada seis horas, aplicando parches sin afectar a las instancias en ejecución. Además, los administradores pueden personalizar la frecuencia de actualización o definir períodos de mantenimiento planificados.
Instalación y despliegue simplificados
IncusOS no utiliza un instalador interactivo, ya que en su lugar, los usuarios deben generar una imagen personalizada mediante un configurador en línea, donde se definen todos los parámetros de instalación y configuración inicial (semilla), incluyendo certificados, red y almacenamiento.
Esta imagen puede implementarse tanto en hardware físico moderno como en entornos virtualizados, incluyendo libvirt, Proxmox, VirtualBox y VMware.
Con la versión estable ya disponible, el equipo de desarrollo planea continuar añadiendo funcionalidades, como la compatibilidad con Linstor para almacenamiento distribuido y una interfaz web avanzada que permitirá la implementación y gestión completa del sistema sin necesidad de certificados TLS.
Finalmente, cabe mencionar que este sistema es distribuido bajo licencia Apache 2.0, nace con el respaldo del proyecto Linux Containers y tiene como objetivo revolucionar la gestión centralizada de servidores mediante actualizaciones atómicas y un entorno de alta fiabilidad.
IncusOS se encuentra disponible para arquitecturas x86_64 y ARM64, y está construido sobre una base mínima de Debian 13, junto con el kernel de Linux optimizado desde los repositorios de Zabbly, una fuente que integra mejoras para un rendimiento superior en entornos de contenedores.
Si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.
Continúar leyendo...