IncusOS 是一款基于 Debian 13 “Trixie” 的现代化不可变 Linux 系统,由 Incus 团队打造,经过一年多的开发正式发布。
它专为运行 Incus 容器与虚拟机管理器(Container & VM Manager) 而设计,具备 原子 A/B 更新机制、TPM 安全启动 等企业级安全与可靠性特性。
一、为 Incus 而生的专用系统
与通用 Linux 不同,IncusOS 的目标非常明确:
为生产环境中的容器与虚拟机提供一个稳定、安全、不可篡改的操作基础层。
它集成了:
- 最新 Linux 内核
- ZFS 文件系统支持
- 来自 Zabbly 的 Incus 最新版本
- systemd 的 mkosi、sysext、sysupdate 技术
这些组件共同支撑了镜像构建、应用分层和原子更新,确保系统在更新时零中断、零漂移。
二、原子 A/B 更新与防篡改机制
IncusOS 使用 A/B 分区架构(类似 StemOS、Vanilla OS):
- 系统每次更新会写入备用分区(B)
- 如果更新出现问题,可自动回滚至上一个稳定版本
系统分区为 只读 + 加密签名,进一步保障文件完整性,防止意外修改与恶意篡改。
三、安全性设计:TPM + 安全启动
IncusOS 在安全层面可谓“全副武装”:
- 强制 UEFI Secure Boot
- 集成 TPM 2.0 启动测量与磁盘加密
- LUKS + ZFS 加密
- TPM 支持的根文件系统解锁
即便遭遇物理访问或数据窃取,系统依然能维持完整的安全性。
四、无 Shell 的 API 驱动式管理
与传统 Linux 最大的不同是:
IncusOS 完全移除了 shell 访问权限。
这意味着无论本地还是远程,都无法登录系统 Shell。所有运维行为都通过:
- Incus API
- TLS 客户端证书 / OIDC 认证
完成管理与交互。这种**“API 中心化控制”**设计极大减少了攻击面,同时提升一致性与可审计性。
五、安装与部署:镜像定制 + 自动配置
IncusOS 的安装过程高度自动化:
- 用户通过 在线镜像定制器(image builder) 生成带预配置的 ISO 镜像
- 镜像中包含信任证书与配置文件
- 系统首次启动时自动执行“种子配置(seed)”
- 无需交互式安装程序,特别适合批量部署或云环境集成
该系统可运行在:
- 支持 TPM 与 Secure Boot 的物理服务器(推荐)
- 虚拟机环境,方便测试与集成
六、存储支持:以 ZFS 为核心
IncusOS 默认使用 ZFS 管理存储池,并自动在本地磁盘上创建合适的池结构。
同时兼容多种企业级后端:
- Ceph
- 光纤通道(FC)
- NVMe/TCP
- iSCSI
- 集群式 LVM
未来版本还将加入 Linstor 支持,进一步扩展集群场景。
七、网络能力:为企业环境而生
网络层面,IncusOS 内置丰富功能:
- VLAN 感知桥接
- 链路聚合(Bonding)
- LLDP 邻居发现
- OVS / OVN 集成
- 内置 Tailscale 支持(即将支持 Netbird)
此外,它支持:
- 带 Kerberos 认证的代理服务器
- 精准的 NTP 时间同步
- UDP / TCP / TLS 远程 syslog 日志输出
这使 IncusOS 在多租户与大型基础设施中具备出色的兼容性。
八、集中化管理与自动更新
IncusOS 拥有一个操作中心(Operation Hub),用于集中控制、系统备份与恢复。
它不仅能执行容器级别的备份恢复,还能:
- 一键恢复系统出厂状态
- 执行自动检测与滚动更新
系统默认每 6 小时检测一次更新,自动将补丁写入备用分区,
下次重启时切换到更新后的系统版本,实现原子升级。
IncusOS 的出现,让 Incus 不再只是一个容器管理工具,而拥有了专属的、不可变、安全的运行平台。
对于寻求高稳定性、可验证安全性与零漂移部署的团队来说,它是一个极具前景的新选择。
想了解更多细节、安装指南与配置示例,可访问 IncusOS 官方项目页面。
