IncusOS

IncusOSは、Incusを安全・確実に動かすことだけを考えて設計されたイミュータブルなOSです。 UEFIセキュアブートやTPMのような、モダンなセキュリティの機能を使って、安全なブート体験とシームレスな完全なディスクの暗号化を提供します。

更新はA/B方式を使ってアトミックに適用され、問題があった場合は簡単に元に戻せます。

システム自身は、ローカルあるいはリモートのシェルを提供せずに完全にロックダウンされ、認証されたREST APIのみがIncusにアクセスし、APIを通してOSを管理します。

IncusOSは、Incusの上にインフラストラクチャーを構築・稼働させることにフォーカスし、下層のインフラストラクチャーを信頼性があり更新が容易であるものにしたい人にとって理想的です。

すべてのIncusOSサーバーは、bit単位で完全に同一なソフトウェアを稼働することが保証され、デプロイメントのばらつきをなくし、大量のサーバーでもスケールや再デプロイを容易にします。

コア機能

主な設計の特徴:

  • 安全なブート(UEFIセキュアブートとTPM 2.0の計測)

  • 完全なディスク暗号化(TPMを使用したLUKSやZFS暗号化)

  • イミュータブル(A/Bパーティション方式、すべてのOSパーティションは読み取り専用で署名される)

  • ロックダウン(APIのみでの管理)

  • モダンなIntel/AMDまたはARMシステムのために設計

ストレージの特徴:

  • 自動のローカルZFSプール

  • 追加のディスク上に複雑なZFSプールを作成することもサポート

  • ファイバーチャネルとマルチパスのサポート

  • NVME-over-TCPのサポート

  • iSCSIのサポート

  • Clustered LVMのサポート(ファイバーチャネル、NVME-over-TCP、iSCSIのいずれかの上に)

  • CephまたはLinstorを使ったソフトウェア定義ストレージのサポート

ネットワークの特徴:

  • VLAN対応の自動ブリッジングによりインスタンスを任意のインターフェースに簡単に取り付け

  • リンクアグリゲーションのサポート(passiveとネゴシエーションの両方)

  • LLDPのサポート

  • エンタープライズプロキシーサーバーのサポート(Kerberos認証を含む)

  • 堅牢なNTPのサポート

  • syslogを使ったリモートロギングのサポート(UDP、TCP、TLS)

  • OVS/OVNを使ったソフトウェア定義ネットワークのサポート

  • Tailscaleをネイティブでサポート(Netbirdも近日対応予定)

管理機能の特徴:

  • オペレーションセンター

  • メインのOS設定と個々のアプリケーションデータの両方のバックアップ/リストアー

  • OS全体または個々のアプリケーションのファクトリーリセット

  • 柔軟なアップデート管理

技術的な詳細

IncusOSは、Debian 13の上に私たちが独自にビルドしたIncusとカーネルを使って構成しています。

Incusそのものを動かすのに加えて、Incusはオペレーションセンターマイグレーションマネージャーを動かすための基礎となるOSとしても使えます。 これにより、VMwareや似たような環境からIncusへの移行を容易にします。

私たちはsystemdのモダンなOS機能を広範囲に使って、イメージを構築し、OSの更新を処理し、初回ブート時のパーティション作成やTPMを使った暗号化などに対処しています。

更新とリリースの頻度

現在私たちはIncusOSに2つの更新チャンネルを提供しています:

  • stable

  • testing

すべてのインストールはデフォルトではstableチャンネルを使用します。このチャンネルでは、Linuxカーネルや重要なセキュリティーの問題の最新の安定版のバグフィクスリリースを含む更新が、通常は週に少なくとも一回あります。

testingチャンネルはもっと頻繁にビルドが提供され、通常は1日に1回更新されます。

IncusOSのシステムはデフォルトでは6時間ごとに更新を確認し、非常に短いAPIのダウンタイムだけで(稼働中のインスタンスには影響なし)自動的にIncus自身を更新し、OSの更新は次回のリブート時にスケジュールします。

更新の頻度を変更したり、自動更新を完全に無効にしたり、アプリケーションの更新を適用するためのスケジュールされたダウンタイムを設定するための設定オプションが利用できます。