Системный журнал — практичная база знаний по VPS и Linux
security • 12 минут

Ubuntu на IBM Z и LinuxONE: безопасность, мониторинг и контейнеризация в мейнфреймовой среде

Введение

Ubuntu Server уже десять лет доступен на архитектуре s390x, используемой в мейнфреймах IBM Z и IBM LinuxONE. Это сотрудничество Canonical и IBM началось в 2015 году на конференции LinuxCon, а первый релиз — Ubuntu 16.04 LTS — вышел 21 апреля 2016 года. Благодаря этому предприятия получили возможность запускать привычный Ubuntu‑стек непосредственно на специализированном железе, которое обрабатывает львиную долю мировых финансовых транзакций и поддерживает критически важные системы в банковской и медицинской сферах.

Способы развертывания на мейнфрейме

Ubuntu поддерживает несколько моделей размещения workloads на IBM Z и LinuxONE:

  • LPAR — логические разделы, позволяющие изолировать экземпляры ОС на уровне аппаратной платформы;
  • z/VM — классическая виртуализация мейнфрейма, где каждый гость работает в своей виртуальной машине;
  • KVM — гипервизор с открытым кодом, интегрированный в ядро Linux, удобный для создания множества VM;
  • LXD и OCI‑контейнеры — лёгкая изоляция приложений, совместимая с инструментами облачной разработки;

Эти варианты дают возможность эффективно использовать ресурсы мощного scale‑up сервера, запуская десятки изолированных Linux‑окружений на одном физическом устройстве, что снижает уровень незадействованной мощности и упрощает консолидацию дата‑центров.

Безопасность и соответствие требованиям

Платформа IBM Z уже известна своими строгими требованиями к защите данных. Ubuntu дополняет аппаратные механизмы следующими возможностями:

  • Поддержка Secure Boot гарантирует, что в процессе загрузки выполняются только подписанные компоненты ядра и модулей;
  • IBM Secure Execution (TEE) создаёт доверенную среду выполнения, защищающую данные в использовании от даже привилегированного ПО;
  • Интеграция с модулем Crypto Express 8S позволяет использовать постквантовые алгоритмы ML‑KEM и ML‑DSA, готовя системы к будущим криптографическим угрозам;
  • Встроенная поддержка FIPS 140‑2 и других отраслевых сертификатов упрощает прохождение аудитов в государственном и финансовом секторах;
  • Canonical предлагает Ubuntu Pro с расширенным сроком поддержки безопасности — до 15 лет для LTS‑релизов, что включает своевременные патчи для тысяч открытых пакетов.

Дополнительно, функция Kernel Livepatch позволяет применять критические обновления ядра без перезагрузки, что минимизирует простои в режиме 24/7.

Мониторинг и управление обновлениями

Для поддержания высокой доступности важно иметь прозрачную картину состояния системы. В Ubuntu на IBM Z можно быстро развернуть классические стек мониторинга:

# Установка Prometheus node exporter и Grafana
sudo apt-get update
sudo apt-get install -y prometheus-node-exporter grafana
sudo systemctl enable --now prometheus-node-exporter
sudo systemctl enable --now grafana-server

После этого метрики CPU, памяти, ввода‑вывода и сетевого трафика будут доступны через веб‑интерфейс Grafana, где можно настроить оповещения о превышении порогов. Кроме того, система journalctl в сочетании с systemd предоставляет централизованный журнал событий, который удобно передавать в SIEM‑решения для корреляции с данными безопасности.

Контейнеризация и облачные подходы

Ubuntu на мейнфрейме предоставляет готовые образы для различных сценариев:

  • Образ для традиционной установки на bare metal или в LPAR;
  • Облачные образы (QCOW2, VMDK) для использования с KVM, OpenStack или другими гипервизорами;
  • LXD‑контейнеры, которые позволяют быстро изолировать приложения без издержек полной виртуализации;
  • OCI‑образы, совместимые с Docker и Kubernetes, что упрощает перенос существующих микросервисов на мейнфрейм.

Пример запуска простого веб‑сервиса в OCI‑контейнере:

# Получение официального образа nginx
sudo podman pull docker.io/library/nginx:stable
# Запуск контейнера с маппингом порта 8080 на хосте
sudo podman run -d --name nginx-demo -p 8080:80 docker.io/library/nginx:stable

Podman, как часть Ubuntu, работает без демона и хорошо интегрируется с systemd через пользовательские юниты, что упрощает управление жизненным циклом контейнеров в enterprise‑окружении.

Резервное копирование и восстановление

Даже в highly‑available среде необходимы надёжные бэкапы. На IBM Z удобно использовать комбинацию файловой системы XFS (или ext4) с инструментом rsync или специализированным решением вроде Bacula:

# Ежедневный инкрементальный бэкап каталога /var/www
sudo rsync -a --delete --link-dest=/srv/backups/www/latest /var/www /srv/backups/www/$(date +%Y-%m-%d)
sudo ln -sf $(date +%Y-%m-%d) /srv/backups/www/latest

Для обеспечения целостности бэкапов можно добавить проверку контрольных сумм (sha256sum) и хранить копии в отдельном LPAR или на ленточной библиотеке, что соответствует требованиям долгосрочного архивирования.

Заключение

Десятилетнее сотрудничество Canonical и IBM показало, что Ubuntu может служить надёжной основой для критически важных workloads на мейнфреймах IBM Z и IBM LinuxONE. Платформа сочетает в себе:

  • Долгосрочную поддержку и регулярные релизы LTS;
  • Аппаратную совместимость с новейшими процессорами Telum® II и акселераторами Spyre™;
  • Широкий набор средств защиты — от Secure Boot и TEE до постквантовой криптографии и FIPS;
  • Возможности бесшовного обновления ядра через Livepatch;
  • Гибкие варианты развертывания: от логических разделов до контейнеров OCI и LXD;
  • Инструменты мониторинга, журналирования и резервного копирования, привычные администраторам Linux.

Для предприятий, которые планируют расширять использование открытого ПО в условиях высокой нагрузки и строгого регулирования, Ubuntu на IBM Z предлагает проверенный путь к модернизации инфраструктуры без потери производительности и безопасности.