Неизменяемый режим Astra Linux для контейнерных сред
«Группа Астра» представила неизменяемый (immutable) режим работы Astra Linux Server, который предназначен для запуска прикладного ПО в контейнерах с использованием Docker, Podman или Kubernetes. Он позволяет организовать инфраструктуру как код, снизить затраты на развертывание и обновление ОС, повысить удобство администрирования. Неизменяемый режим Astra Linux Server в первую очередь предназначен для организаций, развертывающих контейнерные среды на собственной инфраструктуре.
Неизменяемый режим – это подход к построению ОС, при котором базовая файловая система остается неизменной во время работы. Системные компоненты, исполняемые файлы и настройки ОС формируются из предварительно подготовленных образов и не могут быть изменены в процессе эксплуатации. Все прикладное ПО запускается исключительно в контейнерах. Это упрощает аудит, сопровождение и масштабирование контейнерных сред.
Подобный подход уже реализован в ряде зарубежных Linux-дистрибутивов – Fedora CoreOS, openSUSE MicroOS, Ubuntu Core и других. Astra Linux Server предлагает собственную реализацию, адаптированную под российские требования к защите информации, с сохранением всех встроенных средств защиты Astra Linux Special Edition 1.8, сертифицированных ФСТЭК России.
Неизменяемый режим существенно снижает поверхность атаки: в состав образа входят только необходимые компоненты ядра, средства защиты и инструменты контейнеризации. Системные файлы защищены от вредоносного ПО, несанкционированных изменений и ошибок администратора. Действия администратора в рабочем режиме ограничены, что обеспечивает дополнительный контроль над состоянием ОС. Режим поддерживает работу в полностью закрытых контурах без постоянного доступа к внешним репозиториям.
Режим поддерживает работу как отдельных узлов с Docker и Podman, так и полноценных Kubernetes-кластеров. По данным исследования State of DevOps Russia 2025, на stand-alone режимы Docker и Podman приходится 80,1% сценариев использования контейнеров, при этом доля респондентов, не использующих оркестраторы, сократилась с 24 до 14,6%.
Развертывание возможно по сети через PXE на физические или виртуальные серверы, а также из подготовленных QCOW2-образов. Конфигурации образов можно хранить в git-репозитории, реализуя подход «инфраструктура как код» (Infrastructure as Code). Обновление базовой системы и контейнеризированного ПО выполняется независимо друг от друга, что позволяет разграничить зоны ответственности команд, отвечающих за инфраструктурный и прикладной слои.
Неизменяемый режим Astra Linux Server ориентирован на enterprise-сегмент – организации с большим парком серверов, высокими нагрузками и потребностью в масштабировании (финансовый сектор, промышленность, здравоохранение, транспортную отрасль и госсектор).
Неизменяемый режим уже доступен действующим пользователям и входит в состав Astra Linux Server.