Воспроизводимое Linux-окружение

NixOS есть конкретные релизы и их даже можно указать.

И.О. К.О.

Только Debian. Именно они первыми стали продвигать принцип «воспроизводимых билдов» в опенсорсе.

Собирай debian из снапшота (http://snapshot.debian.org/) при помощи debootstrap. Свои конфиги в системе контроля версий держи.

Посмотрел NixOS, слоган которого «Reproducible builds and deployments». С одной стороны я могу указать список пакетов в configuration.nix, но с другой, если я подсуну конфиг на новую машину, то далеко не факт, что мне установятся те же самые версии пакетов, ведь актуальные версии в репозиториях могли измениться.

Можешь указать конкретную версию nixpkgs, и тогда будут ставиться всегда те же самые версии пакетов. При использовании flakes это происходит по-умолчанию из коробки. Тогда сборка правда будет (почти) полностью повторяемой, за исключением стремных особенностей железа (например, из-за разного количества ядер иногда незначительно отличаются результаты). Но даже это не так важно, если твой софт будет скачиваться с бинарных кэшей, а это скорее всего будет так.

Может быть я что-то не понимаю, но разве пакеты не обновляются в рамках одного релиза? Допустим, релиз выходит раз в пол года, а FireFox или там Telegram обновляются раз в неделю. Они будут старые до следующего релиза или как?

Естественно, они обновляются, но старые остаются и их можно ставить, указав не просто название пакета, а ещё и его версию.

Настроил эталон, сделал из него tar.gz и развернул там где надо. Всё. Воспроизводимый значит всё фиксированное, значит никакие варианты кроме прямого копирования не катят (или сборка из фиксированных исходников тут это роли не играет). Есть ещё вариант с dd из эталона, но это не всегда оптимально

Однако, для одного репозитория доступна только одна версия пакета, т.е. если у меня в официальных репах лежит nginx 1.18.0-6, то в этой репе уже нет 1.18.0-3.

Чушь, посмотри на репу icinga, там есть все последние версии. В apt по умолчанию ставится свежайшая версия, но можно указать конкретную.

Именно они первыми стали продвигать принцип «воспроизводимых билдов» в опенсорсе.

Это вообще про другое.

и я точно уверен, что окружение не поменяется

Чтобы хакерам работу облегчить?

хочется чтобы все было прозрачно, так сказать, configuration as a code.

Слишком высокая сложность для десктопа с сомнительным результатом, просто ставь систему как все или клонируй и не выделывайся)

С одной стороны можно попробовать фигурно порегулять выхлоп dpkg -l, там вроде версии есть, и ваять скрипт восстановления с учётом версий, а с другой автор прав: в большинстве случаев никакой проблемы нет)

Может быть я что-то не понимаю, но разве пакеты не обновляются в рамках одного релиза?

Разверни параллельно на ста компьютерах. Одновременно обнови и у тебя в результате будет сто одинаковых дистров от версий установленных бинарников до файлов настроек.

Если у тебя там более странные задачи их стоит озвучить.

Что если по каким-то причинам обновление прямо сейчас невозможно? Допустим, перед обновлением необходимо провести анализ того, что поменялось и оценить возможные риски обновления. Пока этого не произошло - необходимо продолжать работать на текущих версиях пакетов, при этом нужно настроить еще несколько рабочих станций так, чтобы версии пакетов совпадали с образцом. Отсюда и задача про воспроизводимый дистрибутив.

Может быть я что-то не понимаю, но разве пакеты не обновляются в рамках одного релиза?

Он видимо имел в виду не такой релиз, о котором ты пишешь, а коммит в git для nixpkgs. То есть в NixOS можно выбрать любой коммит nixpkgs (за любой день грубо говоря) и ставить пакеты соответствующие ему.

Что если по каким-то причинам обновление прямо сейчас невозможно?

Тогда тебе 100% нужна NixOS. Обновленная версия системы там ставится параллельно со старой, при загрузке в GRUB ты можешь выбрать грузиться в старую или в обновленную. Когда ты удебился, что обновленная работает, можно удалить старую.

Насколько я понимаю, это не решает мою проблему: да, я в любой момент могу откатиться назад на предыдущий набор пакетов, но это именно что предыдущее состояние, а не какое-то конкретное. Т.е. это не nginx, tmux и vim конкретных версий, а набор пакетов, которые были до последнего обновления.

Т.е. это не nginx, tmux и vim конкретных версий, а набор пакетов, которые были до последнего обновления.

Не совсем понял в чем проблема. У тебя до обновления был набор пакетов определенных версий. Он остается. А надо как?

Нужно вручную задавать конкретную версию каждого приложения?

Но то другое нужно для этого, иначе зачем?

Оно нужно, чтобы ты мог доверять мейнтейнерам дистрибутива. Либо если ты сам собираешь дистрибутив из исходников и хочешь, чтобы при каждой сборке получались одинаковые бинарники. В любом случае для воспроизводимых инсталляций есть только Nix/Guix. Debian тут вообще никаким боком.

Правильно, а зачем мне при каждой сборке из исходников получать одинковые бинарники? Это ведь не потому, что я сам себе не доверяю, а для чего-то нужно. Вот я всегда считал что для того, чтобы получить повторно собираемую систему.

Повторяю ещё раз: в Debian и других традиционных дистрибутивах это нужно для повышения доверия. Воспроизводимость инсталляции там околонулевая.

Воспроизводимость инсталляции там околонулевая.

Это предубеждение. Дистрибутивы бывают не только rolling, и Debian как раз не роллинг, и это неспроста, за этим подходом стоит идея.

Ты под чем?

А что насчет десктопных дистрибутивов?

А с десктопными так не выйдет, например переткнутая в другой комп система с блобом невидии вряд ли будет работать точно так же.

Про NixOS уже сказали. Со стороны ФС помимо dd можно также попробовать снепшоты на btrfs или zfs