從2014年6月起,紅帽長期發展的企業級Linux作業系統──Red Hat Enterprise Linux(RHEL)推出7.0版,在2019年8月已發布到7.7版;至於下一代(8.x版),紅帽在2018年11月發布8.0 Beta測試版,在2019年5月舉行的全球用戶大會(Red Hat Summit)期間,發表RHEL 8.0,正式揭開新世代企業級Linux的序曲。半年之後(2019年11月),他們接續推出8.1版的RHEL。

自從紅帽2019年度用戶大會宣布RHEL每半年將推出次要更新的週期之後,8.1版是第一個依循這樣規律發布的版本,能讓用戶、軟硬體合作廠商能夠更謹慎地因應新版本的推出,盡可能地減少重要系統的意外故障與停機。

訂閱產品服務用戶可運用紅帽提供的雲端分析服務,及早得知與處理系統運作問題,同時,也提供選購的智慧管理服務

關於這套Linux作業系統新版的定位,紅帽強調,RHEL8是針對混合雲環境的智慧型Linux平臺,同時能協助企業更快開發與建置現代化應用程式。

舉例來說,若企業採用新版RHEL的軟體訂閱服務,預設將提供紅帽代管的雲端分析服務Red Hat Insights──它將基於紅帽本身所擁有的多種開放技術,主動識別Red Hat系統的各種IT問題,像是安全性弱點、系統無法穩定執行,以及其他減低可用性、效能的狀況,當中將會運用智慧型的規則引擎,比對系統組態資訊,以便找出問題,並且予以矯正,協助系統管理者避免可能的問題發生,以及系統上線環境的意外停機。

另一個RHEL8新增的管理特色,稱為Red Hat Smart Management,它是附加在RHEL的一層服務,能協助IT團隊獲得混合雲架構的效益,並將管理複雜度降低。這當中結合了Red Hat Satellite這套系統管理解決方案,可涵蓋位於內部網路的RHEL系統(實體伺服器或虛擬機器),以及身處雲端服務環境的RHEL系統,IT人員可管理RHEL的修補程式、組態設定、系統建立,以及服務訂閱。

提供持續更新應用程式的機制

在加速軟體開發的部分,RHEL8引進了Application Streams的概念,能提供多個版本的使用者空間元件(user space components),所以,RHEL本身所整合提供的程式語言、框架、開發工具,若採用這樣的模組封裝方式,就能透過RHEL8裡面的進行串流傳輸,更頻繁地進行更新,而不影響作業系統核心套件的運作。如此一來,RHEL可以獲得更多自定彈性,而不會影響平臺底層運作的穩定性或特定部署方式。

對於軟體開發者、IT維運團隊而言,可將RHEL8視為支撐線上應用系統的基本平臺,因為紅帽在這一版的作業系統當中,也試圖降低操作的門檻,讓熟悉Windows環境的系統管理員、Linux初學者、新進系統管理者,無需畏懼命令列的操作方式。

舉例來說,在這套作業系統內建的網頁主控臺web console當中,紅帽將許多複雜的系統管理細部作業予以抽象化,提供直覺、一致的圖形操作介面,來掌握虛擬機器的運作狀態與整體效能,讓IT人員更容易管理與監控RHEL系統。同時,RHEL8也支援就地升級(in-place upgrades),協助RHEL7的執行個體能夠更順暢、有效、適時地轉換到新版本。

強化自動化處理機制

8.0版RHEL的另一個新特性,是系統角色(System Roles),這項功能其實從RHEL 7.4版就開始出現、7.5發布技術預覽、7.6正式提供,能自動管理與設定RHEL系統的複雜作業,當中運用了紅帽的自動化處理平臺Ansible Automation──在Ansible Engine與Ansible Tower的軟體平臺當中,皆可使用系統角色來管理RHEL。

用戶可透過預先設定的Ansible模組,自動執行指定的工作流程,以便處理常見、複雜的系統管理作業。對於新手系統管理員而言,這樣的自動化機制,能夠善用Linux環境支援的各種協定之餘,並且減少常見設定問題所導致的人為錯誤。

在稍晚推出的RHEL 8.1,系統角色也有一些變化。先前紅帽為RHEL提供的系統角色,有網路、時間同步、kdump、Selinux、postfix,用戶可透過它們的設置,簡化這些功能相關的子系統設定流程;而到了8.1版,增加儲存的系統角色,企業能用Ansible來管理本機伺服器的儲存,像是整臺磁碟的檔案系統、LVM 邏輯磁區群組與其檔案系統。

支援最新加密標準與線上核心修補

安全性的確保也是RHEL的重要特色,紅帽表示,RHEL8背後有一套強化的安全開原碼供應鏈,作為後盾,也有充分的安全標準支援,因此,企業可以基於RHEL這樣的平臺,放心推動各種創新技術應用,像是Linux container、Kubernetes、無伺服器架構、人工智慧,而無需過於憂慮潛在風險。

此外,RHEL8也支援兩種加密標準的最新版本──OpenSSL 1.1.1、TLS 1.3,有了這樣的加密機制,管理者可透過單一指令,實施整個Linux系統的加密保護,並且以此限制針對特定應用程式的政策控管與調校。

以TLS為例,RHEL在2013年發行的6.5版當中,開始支援TLS 1.2(2008年推出),兩者間隔5年之久,到了RHEL8,對於 TLS 1.3的支援與該項標準正式推出之間,縮短至1年以內。

關於系統更新的部分,RHEL 8.1支援了不停機的核心修補機制(live kernel patching),能讓系統安全性弱點的修補,盡快跟上不斷變化的威脅態勢,卻不會因此導致過長的系統停機。

目前這項線上修補的更新範圍,是1年以內的核心,RHEL 7.6、7.7、8.1,以及下一版8.2都會提供,未來紅帽也打算擴大到使用者空間的修補(userspace patching),以便涵蓋到glibc與OpenSSL程式庫。

所謂的live kernel patching,是指新版系統可以直接套用核心層級的更新,以便能夠即時修正重大的通用弱點與漏洞(CVE),不僅讓關鍵應用系統的工作負載能夠更安全地執行,也可減低系統為此重新開機的頻率。而這樣的機制,先前僅提供給訂閱該產品尊榮服務(premium subscription)的用戶,並且需透過人工的方式來交付。

此外,RHEL 8.1也增加了其他安全性防護,例如,強化的CVE修正機制、核心層級的記憶體保護,以及應用程式白名單。

以CVE的處理方式而言,紅帽在2019年10月宣布擴大CVE修正的涵蓋範圍,將主動支援RHEL的近期版本(6、7、8)。在此之前,紅帽對於分類為重大的CVE,採取選擇性的尊重立場,而他們現在推動新的CVE政策,則是希望減少用戶的風險,維持在企業環境部署的穩定度,並且減輕內部資安稽核的解析時間。

至於另一項應用程式白名單,RHEL 8.1的實作方式,是透過RPM套件管理員的資料庫,以及由系統管理者所指定的清單,來批准系統可執行的應用程式。

告別Docker,提供支援開放標準的容器工具模組

在容器應用上,RHEL8支援Red Hat container toolkit(Red Hat container tool模組),這套強調輕量、基於開放標準的工具集,可協助用戶建立、執行與共用容器化的應用程式,也能加速容器開發,避免形成過於龐大且不安全的容器Daemon。

值得注意的是,Red Hat container tool的出現,是有原因的。紅帽已經將Docker容器引擎從OpenShift裡面移除,而在RHEL8當中,也完全移除Docker容器引擎與docker指令,他們表示,從這個版本之後,RHEL不再包含、支援Docker,但用戶還是需要一個指令環境來手動處理容器與映像,於是,紅帽建立了一套工具來實作大部分docker指令能做的事情,這裡面包含了多套開放原始碼軟體,像是podman、skopeo、buildah,以此取代docker指令的功能,有了這些軟體,作業系統不需透過持續執行的Daemon處理程序,來實作容器引擎。

Podman是管理容器的工具,本身是完整、非Daemon形式容器引擎,能夠取代大部分Docker指令的功能,可搭配個別容器與映像使用,能夠針對遵循OCI標準的容器與Pod,處理執行、管理、除錯等工作。它也能兼顧Docker命令列的相容性,用戶可透過它來管理容器,執行尋找、啟動、組建與共享的動作,卻不需相依於Daemon型態的處理程序,同時,還可改善與systemd之間的整合。

Buildah可用來組建符合OCI標準的容器映像,能讓用戶在不需任何Daemon或Docker環境之下,即可建立與修改容器內容。我們可以保留既有的dockerfile工作流程,同時,也能橫越多個映像的層級、內容、提交,進行細部控制。除此之外,在這套軟體當中,我們也能運用位於容器主機環境當中的工具,以便縮減容器映像本身的大小,而非將相關工具加入容器映像。

Skopeo則能用來複製容器映像至特定位置,以及從容器登錄服務進行複製,這裡面包含了映像的簽署與認證機制。透過這套工具與程式庫,開發者可以執行容器映像的檢測、驗證、簽署、傳輸,以及從不同容器登錄服務當中,進行映像的搬移,此外,對於上述兩套軟體與Kubernetes輕量容器引擎CRI-O均採行的程式庫,它也能予以善用。

而在RHEL 8推出之際,紅帽也基於這套作業系統,提供一套可執行於使用者空間的映像,稱為Red Hat Universal Base Image,能用於組建他們認證的Linux容器。不論是否為RHEL的服務訂戶,開發人員皆可取得這樣的系統映像,以此建置容器應用程式。而這套容器映像的支援,本身也會涵蓋在RHEL產品生命週期當中。

關於容器安全性強化,紅帽在後續推出的RHEL 8.1裡面,增加了一個名為udica的套件,能替容器環境裡面執行的安全強化版Linux(SELinux)產生控管政策──透過這套工具,用戶能夠針對容器存取儲存、裝置、網路等主機系統資源的方式,打造適合的安全政策,如此可強化容器部署,對抗違反安全要求的舉動,針對法規遵循的要求,提供簡單的達成方式,並能維持成效。

針對不同的資料中心、雲端服務、應用系統的部署與整合場景,提供不同形式的搭配

在各種雲端服務與應用程式的支援上,紅帽已經針對數千個項目進行RHEL相容性驗證,範圍涵蓋應用程式、容器映像、硬體組態,以及雲端服務供應商,而在最新推出的RHEL8當中,紅帽也將這樣的驗證機制,擴及Arm與Power運算架構,以及即時應用程式(Red Hat Enterprise Linux for Real Time、Red Hat OpenStack Platform for Real-Time Applications)、SAP解決方案(Red Hat Enterprise Linux for SAP Solutions)。

除此之外,RHEL8也是紅帽混合雲解決方案的基礎,可支撐同樣於2019年問世的容器服務平臺Red Hat OpenShift 4,以及雲端基礎架構平臺Red Hat OpenStack Platform 15。

同時,紅帽併購CoreOS公司而接續發展的容器作業系統──Red Hat Enterprise Linux CoreOS(RHCOS),也是基於RHEL8而成的,它能支援OpenShift部署。

在虛擬化環境的支援上,RHEL8也能以作業系統的形態,安裝在虛擬機器執行,可支援上述兩種雲端平臺,以及紅帽自家的伺服器虛擬化平臺Red Hat Virtualization 4.3。

產品資訊

Red Hat Enterprise Linux 8.1
●原廠:Red Hat (02)7743-2972
●建議售價:廠商未提供
●支援運算平臺:64位元x86架構、64位元Arm架構、IBM Power Systems、IBM Z
●記憶體需求:768 MiB
●硬碟需求:AMD64、Intel 64、64位元ARM需2個分割區(/、swap),IBM Power Systems需3個分割區(/、swap、PreP開機分割區,皆為10GiB以上
●系統基礎核心版本:4.18版

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容