Aggregatore GNU/Linux e dintorni

GNU/Linux for everyone and forever

Incus 7.2: il gestore di contenitori e macchine virtuali con supporto SELinux

di ·

Incus

Incus è un sistema avanzato per la gestione di container (ambienti isolati che condividono il kernel del sistema operativo ma funzionano come piccoli sistemi indipendenti) e macchine virtuali (sistemi operativi completi eseguiti in modo isolato tramite un hypervisor).

Il progetto nasce come fork comunitario di LXD (un nuovo progetto creato a partire dal codice sorgente di uno già esistente) avviato dopo che Canonical ha modificato la politica di gestione assumendone il controllo diretto e riducendo in modo significativo il ruolo della community nello sviluppo e nelle decisioni strategiche. A partire da questa base, il nuovo progetto offre un’interfaccia unificata per la gestione di contenitori di sistema, contenitori di applicazioni (OCI) e macchine virtuali, il tutto tramite una API REST potente e intuitiva che consente un controllo avanzato delle risorse.

La manutenzione del progetto è affidata all’organizzazione Linux Containers, che garantisce continuità e apertura nello sviluppo. Il software è disponibile per i sistemi operativi GNU/Linux, con supporto per architetture x86_64, ARM64 e altre piattaforme, mantenendo così un’ampia compatibilità nel panorama delle infrastrutture moderne.

Incus si propone come una soluzione open source per amministrare in modo unificato sia container di sistema sia macchine virtuali, offrendo una gestione scalabile che può andare da un singolo server (un computer progettato per fornire servizi, risorse o applicazioni ad altri dispositivi) fino a un data center (una struttura che ospita centinaia o migliaia di server, sistemi di rete e dispositivi di archiviazione, tutti dedicati all’elaborazione e alla gestione di grandi quantità di dati). In questo modo, Incus permette di gestire infrastrutture di qualsiasi dimensione, da piccoli ambienti locali fino a complessi cluster (gruppi coordinati di più server che lavorano insieme come un’unica piattaforma).

Incus è rilasciato sotto licenza Apache 2.0, che consente l’uso, la modifica e la distribuzione libera del codice sorgente, rendendolo adatto sia a utenti privati che a professionisti IT, sviluppatori e aziende che necessitano di un ambiente flessibile e performante per la virtualizzazione.

Il software è disponibile per i principali sistemi operativi GNU/Linux, tra cui UbuntuDebianFedoraArch Linux e openSUSE, e può essere installato tramite i repository ufficiali delle distribuzioni che lo includono oppure tramite pacchetti software forniti direttamente dal progetto Incus. Incus non è distribuito tramite Flatpak né AppImage, poiché si tratta di un software di sistema che richiede integrazione profonda con il sistema operativo e privilegi elevati.

Incus si rivolge a un pubblico tecnico, in particolare a chi cerca un’alternativa affidabile e orientata alla community per la gestione di ambienti virtualizzati, sia in contesti di sviluppo che di produzione.

La nuova versione stabile Incus 7.2 è stata rilasciata il 26 giugno 2026 e succede alla versione Incus 7.1 rilasciata il 28 maggio 2026.

Novità in Incus 7.2

Incus 7.2 introduce miglioramenti significativi in ambito sicurezza, networking e gestione delle istanze, oltre a correzioni di bug e ottimizzazioni delle prestazioni. Tra le novità principali spicca l’integrazione di SELinux a livello di singola istanza, che consente di applicare vincoli di sicurezza granulari a contenitori e macchine virtuali, isolandoli efficacemente su un medesimo host. La versione risolve inoltre 8 vulnerabilità di sicurezza, di cui 6 classificate come critiche, che includevano problemi di accesso arbitrario a file sul sistema ospite tramite immagini dannose, bypass di restrizioni di progetto e iniezioni di argomenti nella gestione della compressione dei backup.

Integrazione SELinux per istanza

Incus applica ora il confinamento SELinux individualmente a ogni contenitore e macchina virtuale, allocando automaticamente livelli MCS (Multi-Category Security) per isolare le istanze tra loro sullo stesso host. Questa funzionalità è configurabile tramite quattro nuove chiavi di configurazione:

  • security.selinux.domain: consente di sovrascrivere il dominio di processo SELinux.
  • security.selinux.type: permette di modificare il tipo di file SELinux utilizzato per lo storage dell’istanza.
  • security.selinux.level: definisce il livello MCS personalizzato.
  • security.selinux.label_rootfs: controlla il comportamento di etichettatura del filesystem root (auto, always o never).

Il contesto calcolato viene salvato nella chiave volatile.selinux.context, garantendo che l’MCS allocato rimanga stabile anche dopo i riavvii.

Miglioramenti dell’interfaccia a riga di comando

La nuova versione introduce il comando incus default, che semplifica la gestione delle opzioni predefinite dell’interfaccia a riga di comando. Questo permette agli utenti di configurare parametri come il formato di output delle liste, il tipo di console e altre impostazioni di default, senza doverli specificare ogni volta. Ad esempio, è possibile impostare il formato compatto per le liste con incus default set list_format=compact e reimpostare i valori predefiniti con incus default unset list_format.

Inoltre, il comando incus info ora nasconde automaticamente le informazioni sensibili, come chiavi private, certificati e token, a meno che non venga utilizzata l’opzione --show-sensitive. Questo riduce il rischio di esposizione accidentale di dati riservati.

Il comando incus remote set-keepalive permette ora di configurare l’intervallo di keepalive per le connessioni remote, migliorando l’affidabilità delle sessioni persistenti e riducendo il rischio di disconnessioni involontarie in ambienti con latenza variabile.

Configurazione di rete statica per contenitori OCI

I contenitori OCI (Open Container Initiative) possono ora essere configurati con indirizzi di rete statici. Le nuove chiavi di configurazione includono:

  • ipv4.address e ipv6.address: consentono di impostare un indirizzo CIDR statico all’interno del contenitore.
  • ipv4.gateway e ipv6.gateway: definiscono il gateway predefinito.
  • oci.dns.nameservers, oci.dns.domain e oci.dns.search: configurano i server DNS e il dominio di ricerca per il file resolv.conf del contenitore.

Queste opzioni sono valide esclusivamente per contenitori OCI e permettono di disabilitare la configurazione automatica via DHCP se necessario.

Annunci BGP per istanza e indirizzi dinamici nei dispositivi proxy

Le reti bridge gestite ora supportano 2 nuove chiavi di configurazione: bgp.ipv4.instances e bgp.ipv6.instances. Quando attivate, Incus annuncia una route /32 (IPv4) o /128 (IPv6) via BGP per ogni istanza in esecuzione connessa alla rete, ritraendo la route quando l’istanza si ferma. Questo semplifica il routing diretto alle singole istanze in ambienti BGP.

Inoltre, Incus può ora rilevare automaticamente gli indirizzi IP delle istanze monitorando i protocolli ARP (Address Resolution Protocol) e NDP (Neighbor Discovery Protocol) all’avvio, eliminando la necessità di specificare manualmente gli indirizzi nelle configurazioni dei dispositivi proxy. I dispositivi proxy in modalità NAT supportano ora indirizzi di ascolto dinamici e wildcard, rendendo la configurazione più flessibile.

Accesso NBD esteso alle macchine virtuali

È stato aggiunto un nuovo endpoint API (GET /1.0/instances/{name}/nbd) che espone tutti i dischi collegati a una macchina virtuale tramite NBD (Network Block Device), consentendo l’accesso concorrente a tutti i dischi contemporaneamente. Questa funzionalità è particulièrement utile per i sistemi di backup che necessitano di accedere in modo coerente a tutti i dischi di una macchina virtuale. L’esportazione NBD espone anche i bitmap “dirty”, che agevolano la creazione di backup incrementali.

Compressione Btrfs per volumi di storage

Per il driver di storage Btrfs è stata aggiunta la chiave di configurazione btrfs.compression, che mappa alla proprietà compression di Btrfs e accetta valori come zstd, lzo, zlib o none. Questa opzione consente di sovrascrivere le impostazioni di compressione predefinite del filesystem, permettendo di utilizzare un algoritmo diverso o disabilitare completamente la compressione, il che a sua volta consente a Incus di impostare il flag nocow sui dischi delle macchine virtuali.

Altre novità

  • Configurazione dei GUID per dispositivi InfiniBand SR-IOV: I dispositivi InfiniBand che utilizzano il tipo sriov supportano ora le chiavi node_guid e port_guid, che permettono di modificare i GUID corrispondenti alla funzione virtuale allocata all’avvio dell’istanza e di ripristinarli allo stato originale al termine dell’esecuzione.
  • Restrizione dell’origine WebSocket: La nuova chiave di configurazione del server core.https_allowed_websocket_origin consente di specificare un elenco di origini consentite o un wildcard (*) per controllare quali origini sono accettate nelle connessioni WebSocket, utile per ambienti con accesso cross-origin o proxy.
  • Gestione migliorata dei certificati: Il comando incus admin update-certificate permette di sostituire il certificato del server su sistemi standalone (non in cluster), equivalente al comando incus cluster update-certificate per ambienti clusterizzati.
  • Configurazione specifica per sistema operativo: L’interfaccia a riga di comando memorizza ora i dati di configurazione e cache nelle posizioni corrette per ogni sistema operativo. Su macOS viene utilizzata la cartella ~/Library/Application Support/incus/, mentre su Windows viene usata %APPDATA%\incus. La configurazione viene spostata automaticamente alla prima esecuzione.
  • Registrazione delle pulizie differite: Una modifica a livello di repository software introduce la registrazione delle chiamate di pulizia differita, portando a nuovi messaggi di log di livello WARNING (ad esempio per la chiusura di file, socket o corpi di risposta). Questi messaggi non indicano regressioni, ma erano precedentemente scartati senza essere registrati.

Download e Riferimenti

Incus 7.2 è disponibile per il download e l’installazione tramite i canali ufficiali del progetto. Gli utenti possono scaricare i pacchetti software precompilati per la propria distribuzione Linux dal repository software GitHub di Incus. Per l’installazione da sorgente o tramite gestori di pacchetti specifici della distribuzione, sono disponibili le istruzioni dettagliate nella documentazione ufficiale.

Per provare Incus 7.2 senza installazione locale, è possibile utilizzare la piattaforma online che offre un’esperienza pratica con l’ultima versione.

Per consultare il registro completo delle modifiche, è disponibile il changelog (registro delle modifiche) ufficiale. L’annuncio completo della versione è pubblicato sul forum di Linux Containers.

Fonte: https://discuss.linuxcontainers.org/t/incus-7-2-has-been-released/26879
Fonte: https://github.com/lxc/incus/releases/tag/v7.2.0
Fonte: https://linuxiac.com/incus-7-2-container-virtual-machine-manager-released-with-selinux-support/

Visited 1 times, 1 visit(s) today
Se vuoi sostenermi, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che ho nel mio sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul mio negozio online, quelle mancanti possono essere comunque richieste.

Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Tag:

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.