Недавно Canonical представила Ubuntu Core 26 — новую версию своей компактной платформы на базе Ubuntu 26.04 LTS. Разработчики сохранили ставку на безопасность и долгую поддержку, но при этом заметно упростили обновление устройств, сборку образов и повседневную работу с системой. ОС предлагает до 15 лет обновлений безопасности, более компактные системные образы и доработанный механизм OTA-обновлений. В релизе появился новый процесс сборки через Chisel, уменьшился размер обновлений благодаря snap-delta и заработал Livepatch для ARM64. Эти изменения упрощают сопровождение устройств, которые должны работать годами без прямого доступа и регулярного обслуживания. Давайте оценим новинку.
Архитектура immutable-системы на snap-компонентах
Ubuntu Core полностью строится вокруг snap-компонентов. Базовая система, ядро Linux и все необходимые сервисы поставляются в виде самодостаточных изолированных блоков. Системные разделы монтируются в режиме только для чтения, что сразу исключает множество случайных или вредоносных вмешательств. Благодаря такой конструкции каждое приложение работает в своей песочнице с жесткими ограничениями прав, а изоляция дополнительно усиливается проверенными механизмами вроде AppArmor.
За счет такого разделения производителям не приходится постоянно возиться с базовой системой. Поддержкой ядра, библиотек и других системных компонентов занимается Canonical, а разработчики устройств могут сосредоточиться на собственном ПО и железе. Раньше при выпуске каждой новой модели приходилось заново собирать и проверять огромный объем вещей, теперь этой работы стало заметно меньше. Особенно это чувствуется в проектах с большим количеством устройств, которые установлены в разных местах и обновляются удаленно.
Подобная схема уже давно используется в системах, которые работают годами без физического доступа и постоянного обслуживания. В Ubuntu Core 26 ее сохранили, но при этом доработали многие технические детали. В результате стало проще понять, за какие части системы отвечает Canonical, а какие компоненты контролирует сам производитель устройства.
Такой набор механизмов создает основу, на которой можно строить надежные долгоживущие решения без постоянного вмешательства в работу оборудования. Файловая система по умолчанию защищена от произвольных правок, а данные пользователя при желании шифруются с использованием TPM. Подобный подход позволяет устройствам сохранять стабильность даже в сложных условиях эксплуатации.
Сборка через Chisel
Главное техническое нововведение релиза — система сборки Chisel. Вместо того чтобы традиционно вырезать лишнее из полноценных пакетов, теперь применяются специальные срезы, каждый из которых содержит только нужные файлы и явно описанные зависимости. Благодаря этому базовый образ стал примерно на семь процентов компактнее предыдущих версий. Каждый элемент в получившейся системе можно однозначно связать с его источником.
Такой подход упрощает разбор проблем и поиск уязвимостей. Если в каком-то компоненте находят ошибку, можно быстро понять, какие части системы она затрагивает и из какого пакета они были собраны. Для проектов с жесткими требованиями по безопасности и сертификации это особенно важно, потому что происхождение каждого файла отслеживается еще на этапе сборки, а не вручную уже после выпуска устройства.
Кроме того, единый подход к описанию срезов упрощает поддержку разных аппаратных платформ. Образы для x86_64 и ARM64 создаются из одних и тех же определений, что снижает вероятность расхождений между ними. В результате устройства выходят одновременно легче и предсказуемее в поведении. Это особенно ценно для edge-решений, где каждый лишний файл влияет на энергопотребление и скорость загрузки.
Обновления по воздуху с минимальным влиянием на работу
В Ubuntu Core 26 уменьшили размер OTA-обновлений. Формат snap-delta теперь передает не весь пакет целиком, а только изменения между версиями, поэтому объем загрузки для многих компонентов сократился на 50–90%. Обновления базовых частей системы занимают примерно 1,5 МБ вместо прежних 16 МБ. Для устройств с медленным интернетом или питанием от батареи это помогает экономить трафик, время и заряд.
Процесс первоначальной прошивки тоже стал быстрее и удобнее. Благодаря использованию initramfs-подхода по умолчанию пропускаются лишние перезагрузки, что ускоряет подготовку нового оборудования к работе. Если во время обновления возникают сложности, система автоматически сохраняет предыдущее рабочее состояние. Подобный механизм заметно снижает риски при массовом развертывании и обслуживании.
Особенно важным шагом вперед стало полноценное внедрение Livepatch для архитектуры ARM64. Критические исправления ядра теперь можно устанавливать без остановки устройства. Обновления проходят быстрее и с меньшим влиянием на работу системы, не оказывая лишнюю нагрузку. Это долгожданное улучшение для промышленных контроллеров, систем видеонаблюдения и другого оборудования, которое не имеет права даже на краткосрочный простой.
Интеграция с OP-TEE и ARM TrustZone позволяет хранить ключи шифрования в защищенной среде, недоступной для основной операционной системы. Даже при физическом доступе к устройству получить такие ключи становится значительно сложнее, что повышает защиту чувствительных данных.
Такая архитектура формирует последовательную цепочку доверия, начиная от момента включения. Каждый snap-компонент сопровождается криптографической подписью, а процесс загрузки проверяет целостность на каждом шаге. Для критически важных систем и устройств, работающих с чувствительной информацией, подобные меры становятся необходимой частью архитектуры.
Новые инструменты для разработчиков
Snap Components теперь стали доступны всем разработчикам. Они позволяют выносить объемные или редко используемые части приложения — отладочные символы, переводы, дополнительные драйверы — в отдельные модули. Основной образ остается максимально легким, а функциональность подключается только в тот момент, когда в ней возникает реальная необходимость. Это дает гибкость без ущерба для размера и производительности.
Дисплейный сервер Ubuntu Frame получил поддержку одновременной работы нескольких приложений на одном экране. Появились гибкие схемы размещения окон, что особенно полезно при создании информационных панелей, киосков самообслуживания или терминалов. Добавлены улучшения по доступности и возможность настройки интерфейса под конкретные задачи.
Для мониторинга больших флотов усилили интеграцию с Canonical Observability Stack. Устройства могут отправлять логи и метрики в централизованные системы на базе Prometheus, Loki и Grafana. Snapd REST API теперь полностью соответствует спецификации OpenAPI, что заметно упрощает написание собственных инструментов автоматизации и управления.
Что в итоге
Если вы занимаетесь встраиваемыми системами или промышленным IoT, имеет смысл внимательно изучить новинку. Образы уже доступны для скачивания, а подробная документация помогает быстро собрать первый прототип под свое железо. Для многих проектов Ubuntu Core 26 может стать хорошей основой следующего поколения устройств.
