Ubuntu на IBM Z и LinuxONE: безопасность, мониторинг и контейнеризация в мейнфреймовой среде
Введение
Ubuntu Server уже десять лет доступен на архитектуре s390x, используемой в мейнфреймах IBM Z и IBM LinuxONE. Это сотрудничество Canonical и IBM началось в 2015 году на конференции LinuxCon, а первый релиз — Ubuntu 16.04 LTS — вышел 21 апреля 2016 года. Благодаря этому предприятия получили возможность запускать привычный Ubuntu‑стек непосредственно на специализированном железе, которое обрабатывает львиную долю мировых финансовых транзакций и поддерживает критически важные системы в банковской и медицинской сферах.
Способы развертывания на мейнфрейме
Ubuntu поддерживает несколько моделей размещения workloads на IBM Z и LinuxONE:
- LPAR — логические разделы, позволяющие изолировать экземпляры ОС на уровне аппаратной платформы;
- z/VM — классическая виртуализация мейнфрейма, где каждый гость работает в своей виртуальной машине;
- KVM — гипервизор с открытым кодом, интегрированный в ядро Linux, удобный для создания множества VM;
- LXD и OCI‑контейнеры — лёгкая изоляция приложений, совместимая с инструментами облачной разработки;
Эти варианты дают возможность эффективно использовать ресурсы мощного scale‑up сервера, запуская десятки изолированных Linux‑окружений на одном физическом устройстве, что снижает уровень незадействованной мощности и упрощает консолидацию дата‑центров.
Безопасность и соответствие требованиям
Платформа IBM Z уже известна своими строгими требованиями к защите данных. Ubuntu дополняет аппаратные механизмы следующими возможностями:
- Поддержка Secure Boot гарантирует, что в процессе загрузки выполняются только подписанные компоненты ядра и модулей;
- IBM Secure Execution (TEE) создаёт доверенную среду выполнения, защищающую данные в использовании от даже привилегированного ПО;
- Интеграция с модулем Crypto Express 8S позволяет использовать постквантовые алгоритмы ML‑KEM и ML‑DSA, готовя системы к будущим криптографическим угрозам;
- Встроенная поддержка FIPS 140‑2 и других отраслевых сертификатов упрощает прохождение аудитов в государственном и финансовом секторах;
- Canonical предлагает Ubuntu Pro с расширенным сроком поддержки безопасности — до 15 лет для LTS‑релизов, что включает своевременные патчи для тысяч открытых пакетов.
Дополнительно, функция Kernel Livepatch позволяет применять критические обновления ядра без перезагрузки, что минимизирует простои в режиме 24/7.
Мониторинг и управление обновлениями
Для поддержания высокой доступности важно иметь прозрачную картину состояния системы. В Ubuntu на IBM Z можно быстро развернуть классические стек мониторинга:
# Установка Prometheus node exporter и Grafana
sudo apt-get update
sudo apt-get install -y prometheus-node-exporter grafana
sudo systemctl enable --now prometheus-node-exporter
sudo systemctl enable --now grafana-server
После этого метрики CPU, памяти, ввода‑вывода и сетевого трафика будут доступны через веб‑интерфейс Grafana, где можно настроить оповещения о превышении порогов. Кроме того, система journalctl в сочетании с systemd предоставляет централизованный журнал событий, который удобно передавать в SIEM‑решения для корреляции с данными безопасности.
Контейнеризация и облачные подходы
Ubuntu на мейнфрейме предоставляет готовые образы для различных сценариев:
- Образ для традиционной установки на bare metal или в LPAR;
- Облачные образы (QCOW2, VMDK) для использования с KVM, OpenStack или другими гипервизорами;
- LXD‑контейнеры, которые позволяют быстро изолировать приложения без издержек полной виртуализации;
- OCI‑образы, совместимые с Docker и Kubernetes, что упрощает перенос существующих микросервисов на мейнфрейм.
Пример запуска простого веб‑сервиса в OCI‑контейнере:
# Получение официального образа nginx
sudo podman pull docker.io/library/nginx:stable
# Запуск контейнера с маппингом порта 8080 на хосте
sudo podman run -d --name nginx-demo -p 8080:80 docker.io/library/nginx:stable
Podman, как часть Ubuntu, работает без демона и хорошо интегрируется с systemd через пользовательские юниты, что упрощает управление жизненным циклом контейнеров в enterprise‑окружении.
Резервное копирование и восстановление
Даже в highly‑available среде необходимы надёжные бэкапы. На IBM Z удобно использовать комбинацию файловой системы XFS (или ext4) с инструментом rsync или специализированным решением вроде Bacula:
# Ежедневный инкрементальный бэкап каталога /var/www
sudo rsync -a --delete --link-dest=/srv/backups/www/latest /var/www /srv/backups/www/$(date +%Y-%m-%d)
sudo ln -sf $(date +%Y-%m-%d) /srv/backups/www/latest
Для обеспечения целостности бэкапов можно добавить проверку контрольных сумм (sha256sum) и хранить копии в отдельном LPAR или на ленточной библиотеке, что соответствует требованиям долгосрочного архивирования.
Заключение
Десятилетнее сотрудничество Canonical и IBM показало, что Ubuntu может служить надёжной основой для критически важных workloads на мейнфреймах IBM Z и IBM LinuxONE. Платформа сочетает в себе:
- Долгосрочную поддержку и регулярные релизы LTS;
- Аппаратную совместимость с новейшими процессорами Telum® II и акселераторами Spyre™;
- Широкий набор средств защиты — от Secure Boot и TEE до постквантовой криптографии и FIPS;
- Возможности бесшовного обновления ядра через Livepatch;
- Гибкие варианты развертывания: от логических разделов до контейнеров OCI и LXD;
- Инструменты мониторинга, журналирования и резервного копирования, привычные администраторам Linux.
Для предприятий, которые планируют расширять использование открытого ПО в условиях высокой нагрузки и строгого регулирования, Ubuntu на IBM Z предлагает проверенный путь к модернизации инфраструктуры без потери производительности и безопасности.