IncusOS és una imatge de sistema immutable pensada exclusivament per executar Incus amb el màxim nivell de seguretat i fiabilitat. Sobre la base de Debian 13 i aprofitant les eines modernes de systemd, proposa una experiència d'administració centrada en API i dissenyada per a centres de dades i desplegaments a gran escala. A la pràctica, ofereix arrencada segura, xifrat total de disc i actualitzacions atòmiques perquè la teva infraestructura sigui fàcil de mantenir i extremadament consistent.
Si el que voleu és simplificar el suport i reduir variacions entre servidors, aquest projecte t'encaixa com un guant: totes les màquines corren exactament el mateix programari, bit a bit, el que elimina desviacions de configuració i facilita escalar o reaprovisionar en minuts. A més, no et barallaràs amb shells locals: el sistema es governa per API autenticada i punt.
Què és IncusOS i per què importa?
IncusOS és un sistema operatiu immutable que té com a objectiu únic executar Incus de forma segura i reproduïble. S'assenta a Debian 13 minimalista, incorpora compilacions Zabbly del nucli Linux, de ZFS i del mateix Incus, i fa un ús intensiu d'eines de systemd per construir, instal·lar aplicacions i aplicar actualitzacions. La filosofia és clara: com més predictible sigui la base, millor per a la fiabilitat operativa.
El projecte es construeix amb mkosi per generar les imatges, sysext per instal·lar aplicacions sobre la base immutable i sysupdate com a motor dactualitzacions. En combinació, aquestes peces permeten que el sistema apliqui canvis de forma atòmica i, si alguna cosa no surt bé, tornis enrere sense drames gràcies a un esquema de particions A/B.
Seguretat d'arrencada, xifratge i model d'accés d'IncusOS
La seguretat és el pilar. IncusOS es recolza de manera activa a Arrencada segura UEFI y TPM 2.0 (encara que convé conèixer la vulnerabilitat a shim) per mesurar i assegurar la cadena d'arrencada, a més d'habilitar el xifratge complet de disc. El xifratge se sustenta en TPM tant per a LUKS com per a ZFS, assegurant que les claus quedin lligades al maquinari.
El sistema està completament bloquejat: no hi ha shell local ni accés remot per SSH. L'administració es fa a través de l'API d'Incus, amb una autenticació forta mitjançant certificats de client TLS o, si ho prefereixes, OIDC extern. Aquest enfocament redueix la superfície d'atac i disminueix el risc de canvis no controlats en producció. Alguns projectes similars de seguretat, com Predator US, exploren models semblants.
Immutabilitat i actualitzacions atòmiques (A/B)
El disseny A/B que utilitza IncusOS manté dues particions del sistema: una activa i una altra de reserva. Les actualitzacions s'apliquen a la partició inactiva perquè, en reiniciar, entris a la nova versió de forma segura i reversible. Si es detecta un problema, podeu tornar a la partició anterior sense pèrdua de servei.
A més, totes les particions del sistema estan en només lectura i signades, minimitzant el risc de corrupció i assegurant la integritat. Amb sysupdate i sysext, les noves versions arriben de manera controlada i les aplicacions s'encaixen de manera declarativa i neta sobre la base.
Arquitectures suportades i desplegament
IncusOS funciona en equips moderns de amd64 (x86_64) i arm64, abastant tant maquinari Intel/AMD com ARM. Això permet desplegar-lo en servidors físics de darrera generació i també en múltiples plataformes de virtualització, on el rendiment i la coherència segueixen sent la prioritat.
Si us preocupa la corba d'aprenentatge: la documentació oficial mostra des de la instal·lació en bar metall fins a com arrencar-lo en diferents plataformes de màquina virtual. És a dir, pots provar-ho al laboratori en minuts i, quan et convencis, portar-ho tal qual a producció.
Instal·lació i primera arrencada d'IncusOS: sense instal·lador tradicional
A IncusOS no hi ha un instal·lador a l'ús. Pots arrencar-ho directament des del medi on ho escriguis o deixar que, en la primera arrencada, s'instal·li automàticament en un disc intern. És un procés pensat per simplificar la vida de l'operador i reduir punts de fallida.
Com que no hi ha shell, la personalització es realitza amb una eina de configuració inicial que permet, entre altres coses, definir quin client tindrà permís per controlar el sistema. A partir d'aquí tot el govern del host es realitza per API, amb autenticació obligatòria, reforçant el model de seguretat.
Característiques principals del disseny d'IncusOS
La proposta de valor combina arrencada segura, xifrada i bloqueig de la superfície d'administració. En conjunt, IncusOS prioritza seguretat, rendiment i previsibilitat. Entre els pilars del disseny hi ha l'ús de UEFI Secure Boot, mesuraments amb TPM 2.0, particions A/B, sistema en només lectura signat i l'administració exclusiva per API.
Emmagatzematge: ZFS automàtic i ecosistema enterprise
De fàbrica es crea un pool ZFS local de forma automàtica, similar al que ofereixen sistemes orientats a NAS com ZimaOS per a NAS, amb suport per elaborar configuracions més complexes en discos addicionals. Si necessites SAN o escenaris avançats, hi ha suport per a Fibre Channel i multipath, així com per a NVMe over TCP i iSCSI.
Per a topologies exigents, IncusOS admet LVM a clúster sobre aquests transports i s'integra amb Ceph per a emmagatzematge definit per programari. Està previst afegir compatibilitat amb Linstor properament, cosa que ampliarà encara més les opcions de desplegament.
- Pool ZFS automàtic i xifrat ZFS recolzat per TPM.
- Fibre Channel, multipath, NVMe/TCP i iSCSI.
- LVM en clúster i suport Ceph; Linstor en camí.
Xarxa: ponts VLAN, agregació d'enllaços i SDN
La xarxa també ve molt cuidada. IncusOS genera bridges amb suport de VLAN, facilitant connectar contenidors o màquines a qualsevol interfície física que tinguis al host. Per a disponibilitat i amplada de banda, hi ha compatibilitat amb agregació d'enllaços (tant passiva com negociada).
Inclou suport LLDP per a descobriment, proxy corporatiu amb Kerberos, NTP robust i enviament de logs a remot via syslog a UDP, TCP o TLS. Per a SDN, el sistema integra OVS/OVN, i també compta amb suport nadiu de Tailscale; Netbird està previst properament. A més, hi ha solucions de xarxa i seguretat com IPFire per a funcions de xarxa centralitzades.
- Ponts VLAN-aware i bonding denllaços.
- LLDP, proxy empresarial amb Kerberos i NTP robust.
- Syslog remot (UDP, TCP, TLS) i SDN amb OVS/OVN.
- Integració nativa amb Tailscale; Netbird arribarà aviat.
Gestió: operacions centralitzades i actualitzacions flexibles
A nivell d'operació, IncusOS es pot gestionar de forma central a través de Centre d'operacions. A més, permet fer còpies de seguretat i restauracions tant de la configuració principal del sistema com de les dades de cada aplicació per separat.
Si necessites tornar a un estat conegut, pots executar un restabliment de fàbrica del sistema complet o únicament de certes aplicacions. El mecanisme d'actualització també és flexible: podeu ajustar freqüència, desactivar automàtiques o definir finestres de manteniment per aplicar canvis sense sobresalts.
Ritme de llançaments i canals d'actualització d'IncusOS
Hi ha dos canals d'actualització: stable y testing. Per defecte, les instal·lacions se situen a estable, amb una cadència aproximada setmanal que incorpora el darrer nucli estable i pegats de seguretat rellevants. Qui busqui més frescor pot optar per les proves, que sol actualitzar cada dia.
Els sistemes comproven si hi ha noves versions cada 6 hores. Incus s'actualitza automàticament amb una aturada d'API molt breu, sense afectar les instàncies en execució, i qualsevol actualització del sistema base es queda preparada per aplicar-se al següent reinici. Si ho necessiteu, podeu canviar aquesta freqüència o desactivar completament les actualitzacions automàtiques.
Construcció, CI/CD i publicació d'imatges
El repositori del projecte conté totes les fonts utilitzades per construir les imatges de producció de IncusOS. Quan es empeny una nova etiqueta (tag) al repositori, es desencadena una compilació completa de la imatge, que després és descarregada i validada pel servidor de publicació. La imatge resultant s'exposa al canal testing fins que un revisor la promou manualment a stable.
Pots consultar els registres de les compilacions més recents a Accions de GitHub: workflow de build. Les imatges finals es publiquen a images.linuxcontainers.org/os/, des d'on pots descarregar-les o integrar-les a la teva pipeline.
Per assegurar qualitat, s'executa també una prova diària que exercita gran part dels endpoints de l'API i altres tests que no seria pràctic córrer a cada pull request. El desenvolupament passa a la vista a GitHub: github.com/lxc/incus-os.
Base tecnològica i components
Sota el capó, IncusOS fa servir un Debian 13 minimitzat amb compilacions Zabbly de kernel, ZFS i Incus, cosa que et dóna accés a versions estables i recents de tots aquests components. Systemd aporta les eines clau: mkosi per generar imatges, sysext per al desplegament d'aplicacions, sysupdate per a actualitzacions i utilitats per al particionament inicial i el xifratge recolzat per TPM.
El projecte combina arxius de configuració per dirigir mkosi amb un conjunt d'eines i un dimoni de gestió del sistema escrits a Go. Tot el codi es publica sota llicència Apache 2.0 i hi ha pautes detallades de contribució en la documentació oficial per a qui vulgui col·laborar.
Garantia de consistència i escalabilitat
Una de les grans cartes de IncusOS és que tots els servidors executen exactament el mateix conjunt de bits. No hi ha variacions entre hosts, cosa que simplifica a enrabiar l'operació diària: menys sorpreses, menys “només passa en aquest node” i un camí més directe per escalar o reimplantar desenes o centenars de màquines quan calgui.
En eliminar la capa d'intèrpret d'ordres local i centralitzar la gestió en API autenticada, es redueix el risc de “drift” de configuració amb el pas del temps. Aquesta coherència operativa, amb particions immutables en només lectura i signatures, té un impacte directe en la fiabilitat i en la previsibilitat dels canvis.
Operacions Center i Migration Manager
IncusOS no només serveix de host per a Incus; també es pot utilitzar com a sistema base per Centre d'operacions y Migration Manager. Aquesta combinació obre la porta a migracions ordenades des d'entorns com VMware cap a Incus, mantenint un sistema subjacent fàcil d'actualitzar, segur i alineat amb la filosofia immutable.
Amb backups granulars (configuració principal i dades d'aplicació), restabliments selectius i actualitzacions programables, el trinomi Incus + IncusOS + eines de gestió permet plantejar transicions controlades sense dolors innecessaris.
Com començar amb IncusOS: documentació i descàrregues
La documentació oficial explica com arrencar en físic, com provar-ho com màquina virtual i com treure partit a cada component (emmagatzematge, xarxa, gestió i seguretat). L'anunci de llançament i recursos relacionats estan disponibles al fòrum de Linux Containers: anunci d'IncusOS. També són a GitHub.
Si vas al gra, les imatges es publiquen després de superar la validació a: . Abans podràs seguir l'estat de construcció a GitHub Actions i, quan estiguin a punt, descarregar-les i implantar-les al teu laboratori o entorn productiu.
Novetat dins de l'ecosistema Incus
IncusOS arriba com a part de l'evolució natural després del fork de LXD a Incus. El propi líder del projecte, Stéphane Graber, va presentar IncusOS després de més d'un any de desenvolupament, descrivint-lo com un entorn modern i immutable especialment dissenyat per executar Incus, amb actualitzacions atòmiques A/B i una postura de seguretat robusta basada en Secure Boot i TPM.
L'enfocament minimalista de Debian 13, combinat amb ZFS (OpenZFS) i un ús intensiu de les eines de systemd per a compilació, instal·lació i actualització, remata una plataforma que, per disseny, s'opera completament via API amb autenticació de certificats TLS o mitjançant OIDC extern.
Lliçons del món immutable en altres sistemes
A l'ecosistema BSD s'han debatut idees similars des de fa anys (per exemple, a NanoBSD). Hi va haver propostes perquè el sistema base s'actualitzés com zfs receive, generant una nova “boot environment” i activant-la en la següent arrencada. El més gran escull allà és que fstab ha de residir a l'arrel, cosa que arrossega /etc al filesystem arrel i impedeix reutilitzar exactament la mateixa base a cada desplegament.
Apple va abordar un problema semblant separant volum arrel i volum d'usuari, de manera que el primer pugui localitzar la configuració local en un lloc ben conegut. A FreeBSD també es va plantejar homogeneïtzar configuracions del sistema base amb UCL i permetre inclusions signades, encadenant aquesta firma a la cadena d'arrencada segura. L'objectiu és el mateix que persegueix IncusOS: una base immutable que només consumeixi configuració del volum mutable si aquesta està correctament autenticada.
Transparència del cicle de vida i llicència
El projecte publica tota la seva feina sota la llicència Apache 2.0, amb guies de contribució disponibles a la documentació. Això permet a operadors i desenvolupadors entendre com s'acoblen les imatges, revisar el codi del dimoni de gestió a Go i participar en el flux de treball d'etiquetatge, compilació i promoció entre canals.
La combinació de CI diària que estressa l'API, la promoció manual de testing a stable i la signatura de les particions de sistema produeix un cicle de vida més predictible. En altres paraules, es redueix el risc de regressions en producció i es guanya control sobre quan i com aplicar canvis.
IncusOS aporta un enfocament modern i pragmàtic als hosts d´Incus: seguretat d´arrencada amb TPM i Secure Boot, xifrat total de disc, sistema de només lectura i actualitzacions A/B reversibles; xarxa i emmagatzematge llestos per a empresa; administració cent per cent per API; i un pipeline de construcció i proves transparent. Amb dos canals d'actualització, comprovacions cada 6 hores i publicació oberta d'imatges i logs de compilació, el resultat és una plataforma sòlida, coherent i molt fàcil d'operar per a qualsevol que busqui desplegar i escalar infraestructura sobre Incus.
