在2021年11月,紅帽企業級Linux作業系統Red Hat Enterprise Linux(RHEL)正式發布8.5版,距離上次8.4版推出已有半年之久。

針對採用不同Linux發行版本的系統轉換至RHEL 8.5的需求,紅帽已經在近期RHEL當中提供Convert2RHEL的工具,可取代這些先前Linux版本當中所有的RPM套件,目前能轉換至RHEL 8.5的發行版本,包含CentOS Linux 8.5、Oracle Linux 8.5,可協助企業轉換執行在UEFI之上的其他類型Linux系統,遷移到RHEL。

改善Linux容器應用

在新版RHEL的特色當中,首推便利容器化應用程式使用與管理的多種功能,像是:可原生支援OverlayFS檔案系統,組建非「根使用者」帳號執行的容器(rootless OverlayFS/Overlay FS as a rootless user/Native OverlayFS as a Rootless container user),加快系統映像的建立。

所謂的Rootless container,根據rootlesscontaine.rs的定義,是指讓無特殊權限的使用者也能建立、執行容器,以及透過其他方式管理容器,並涵蓋多種以無特殊權限身分來執行容器的相關工具。而「無特殊權限」是指無任何系統管理權限的使用者,不能要求更多權限來授與其他帳號、安裝軟體套件的使用者。

紅帽表示,過往Rootless容器的運作,是透過執行在使用者空間userspace的OverlayFS來實作,而有了上述新功能,企業可以因為OverlayFS執行在系統核心(原生支援OverlayFS),而能獲得效能改善。而這樣的容器,正是執行Podman與RHEL Containers Tools的所在,所以能持續改善。紅帽表示,RHEL 8.5能具備這樣的機制,主要是因為紅帽在部分系統核心採取向後移植(backports)的作法,以及Podman團隊的貢獻所致,不過他們也提醒大家,運用此功能之前,需清理本機的容器儲存。

而在持續整合/持續開發(CI/CD)的系統,以及其他開發環境中,RHEL 8.5目前可完整支援容器化的Podman的容器引擎。紅帽正式提供RHEL 8 Podman的容器映像,可用於雲端的CI/CD系統、執行在微軟Windows的WSL2子系統、執行在蘋果macOS的Docker Desktop,以及RHEL的第6、7、8版。而且,用戶還能夠運用這套Podman的容器映像,以便開發與執行其他容器映像。

關於Podman容器映像的提供,紅帽在RHEL 8.4當中特別保留了技術預覽版本,以改善使用者體驗,之所以在RHEL 8.5正式提供,主要是因為此時的使用者體驗,已調整到更為精緻的狀態,他們也將這套容器映像添加到Red Hat Universal Base Image 8(UBI 8)當中,以便在各處散布、使用Podman映像。

RHEL 8.5也預設提供容器映像驗證機制,可在系統安裝時,查核容器映像的完整性,確認所用得這些映像,是從紅帽管理的容器映像服務Red Hat Container Registry拉取出來的,確保它們在完成數位簽署之後未經任何竄改。

有了這項驗證功能,應可改善軟體供應鏈安全,可涵蓋完全公開發布至多數環境的狀況,尤其是上線環境的伺服器。在RHEL 8.5當中,紅帽已部署預設的安全政策,用戶若透過紅帽管理的系統映像登錄服務,像是:registry.access.redhat.com或registry.redhat.io,拉取的系統映像,可透過上述容器安全政策的實施,進行GPG(GNU Privacy Guard)簽章的查核。事實上,紅帽多年來都在產生與發布GPG簽章,但過去用戶須設定才會去驗證這些簽章,現在RHEL 8.5搭配Podman的最新版本之後,這些簽章預設都會進行驗證。

此外,新版RHEL也具備原生整合cgroup2(Control Groups V2)的能力,IT團隊可透過處理程序的定義,來提升系統資源的利用率。若是在RHEL的環境執行Podman下,可支援在系統開機時進入cgroup2的執行模式,用戶能根據自身需求來選擇容器執行的方式為runc,或是crun。

RHEL 8預設使用runc,以及cgroup1(Control Groups V1),但cgroup1不能用於無根使用者的模式(rootless mode),也無法支援階層式控管,而且還面臨限制使用的問題,例如,若有處理程序被批准修改cgroup檔案系統,它就能逃脫cgroup的禁制,連帶也因此限制cgroup1搭配Podman與容器的應用。

相對地,若是使用cgroup2與Podman,企業就能管理無根使用者的cgroups(一般使用者帳號),而且,cgroup2也支援階層控管,能將使用者置入特定的cgroup,將其與其他控制群組區隔開來、再放到個別容器當中。

簡化系統管理與部署

面對維運多雲環境的應用需求,RHEL 8.5增設更多類型的系統角色(System roles),像是微軟SQL Server、VPN、Postfix。基本上,系統角色是一組用於RHEL的預設組態,可協助IT團隊更簡易、快速支援特定類型工作負載,可涵蓋雲端至邊緣運算等多種IT環境。

以微軟SQL Server的RHEL系統角色而言,IT與資料庫管理者面對這套資料庫管理系統的使用,能夠以自動化處理的方式,更輕鬆地執行安裝、設定、調校等作業,以符合不同用戶的需求。

而在VPN系統角色上,企業可在RHEL系統當中,以此縮短設定VPN隧道的時間,提升組態一致性,降低因錯誤設置衍生的資安事故風險。

關於Postfix系統角色的運用,顧名思義,可用於Posfix郵件伺服器,企業可略過手動設定的步驟,獲取自動的系統安裝、設置組態,以及執行等功能,也能在此指派自定的組態,以便透過更標準的方式來妥善控制Postfix的運作。

在自動化處理與管理功能上,RHEL 8.5還提供更多工具,可協助用戶將原本需手動完成的工作轉為自動執行,以更大規模進行部署,並且簡化日常的系統管理作業。

就自動化而言,RHEL 8.5的用戶可運用紅帽旗下的Ansible軟體平臺,以便控制伺服器IPMI遠端管理介面的設定,舉凡像是系統的耗電狀態,以及硬碟儲存裝置的開機順序。

而在效能監控管理上,紅帽也強化RHEL內建網頁主控臺的效能量測器,可協助IT人員找出多種效能層面的問題,例如,若想了解CPU、硬碟或網路等層面的效能是否出現問題,RHEL 8.5的網頁主控臺提供進階的量測功能,可協助用戶找出問題所在,同時,相關量測資訊也能更容易地匯出,傳至以豐富圖表著稱的開原碼系統狀態監控軟體Grafana,進行彙整呈現。

可監控多達1千臺伺服器的運作效能

在效能監控上,RHEL 8.5的效能輔助操作(Performance Co-Pilot,PCP),可支援大型環境的應用──1千個節點的效能測量數值蒐集。紅帽針對這個軟體套件重新定義分支的參考基準(rebased),使用了5.3.1版,因此獲得更好的延展性,進而設置足以監控1千臺主機的PCP環境。

除了本機記錄之外,目前紅帽還提供三種PCP大規模部署架構,分別是:去中心化記錄(Decentralized logging)、

集中化記錄(Centralized logging)、

聯邦記錄-多臺pmlogger伺服器組成的群組(Federated - multiple pmlogger farms)。

而在RHEL 8.5網頁主控臺的效能測量頁面當中,紅帽也整合了systemd Journal的日誌記錄,管理者可藉此了解導致效能變差的應用程式項目。

提供更多強化資安防護機制

關於資安與政策的遵循,RHEL 8.5也蘊含了許多功能,可在部署新系統或管理既有基礎架構之際,協助企業完成相關的管理工作。首先是關於系統核心的不停機漏洞修補(Kernel live patching),可用於所有RHEL的小改版(minor releases)──用戶等待每6個月,也就是新版的系統核心發布之後,可以在RHEL的小改版當中,也能使用不停機漏洞修補。

紅帽認為,對於努力維護資安的用戶而言,RHEL系統這項功能提供了更多彈性,因為若要套用關鍵與重要的漏洞修補,整臺伺服器系統並不需要經歷重新啟動的過程。

而在系統核心不停機修補的設定方式上,現在IT人員能直接在RHEL網頁主控臺進行管理工作,可提供簡化的操作介面、套用相關的更新程式,而不需要透過命令列形式(輸入指令),降低重大維護作業執行的複雜度。

針對身分管理的事件稽核需求,RHEL 8.5提供強化的系統安全服務背景程式記錄(System Security Services Daemon,SSSD)功能,IT人員可存取這當中的使用者身分認證記錄,即能掌握完成相關程序的時間、錯誤狀況、認證流程,以及組態設定。在此項功能上,紅帽也特別提升搜尋的功能,協助系統管理者在使用者身分認證的基礎架構之內,可以更輕鬆地分析效能或組態設定問題。

在網路時間同步協定(NTP)的安全性確保,RHEL 8.5已正式套用網路時間防護(Network Time Security,NTS)的標準,能在NTP伺服器之間的連接,提供基於密碼學的認證機制,可預防發生中間人攻擊,避免重要的時間同步服務因此受創。

提供豐富、新穎的程式開發平臺支援

在應用程式開發環境的部分,RHEL 8.5支援Java與.NET兩大平臺的長期支援版本,分別是:OpenJDK 17(Open Java Development Kit 17)、.NET 6。

以OpenJDK 17而言,企業能以此來開發現代化的應用程式,並運用這套程式語言的新增特色,像是:強化的偽隨機亂數產生器(pseudo-random number generator),可做為許多密碼學處理的共通基礎;代數資料型別,以簡化複雜資料的建模;強制實施精確的浮點運算統一處理,對於數字敏感型的應用程式,提供更好的預測能力。

除此之外,針對OpenJDK 17本身,紅帽也提供基於RHEL通用基礎映像格式(UBI)而成的容器環境,能讓開發團隊透過新穎的做法,對應用程式進行測試與升級,並將其用於CI/CD流程。若將其搭配最新版的JDK Mission Control,企業能更輕鬆地監控與剖析Java應用程式執行狀態,以強化效能。

而支援.NET 6的部分,是紅帽先前從.NET 5開始統合相關開發環境的最終環節。而在這個版本的.NET框架之中,不只適用於64位元x86架構,也能用於64位元Arm架構,以及IBM Z架構(IBM Z伺服器、LinuxONE、s390x),並且內含新版的程式語言,像是C# 10、F# 6,能讓開發者得以運用最新的程式語言特色,來建立最符合現代潮流的應用程式,例如透過C# 10新增的極簡應用程式介面(minimal API),開發人員只需撰寫少量程式碼,就能組建網站應用程式。

同時,奠基在.NET Core 5之上,.NET 6在基礎程式庫、記憶體資源回收(Garbage Collection)與即時(Just-In-Time,JIT)編譯器上,提供多種效能改進機制,例如,C#可支援改良的診斷功能,以及幾個新推出的API,像是WebSocket壓縮,以及簡化的加解密處理。

產品資訊

Red Hat Enterprise Linux 8.5
●原廠:Red Hat
●建議售價:廠商未提供
●支援運算平臺:64位元x86架構、64位元Arm架構、IBM Power Systems Little Endian、IBM Z
●記憶體需求:1.5 GiB
●硬碟分割區需求:/boot、/home、swap為1 GiB起,/為10 GiB起,/boot/efi為200 MiB,PreP為4到8 MiB
●系統基礎核心版本:4.18.0-326版

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】

熱門新聞

Advertisement