提供更多輔助容器應用功能，紅帽8.5版企業級Linux OS出爐

在2021年11月，紅帽企業級Linux作業系統Red Hat Enterprise Linux（RHEL）正式發布8.5版，距離上次8.4版推出已有半年之久。

針對採用不同Linux發行版本的系統轉換至RHEL 8.5的需求，紅帽已經在近期RHEL當中提供Convert2RHEL的工具，可取代這些先前Linux版本當中所有的RPM套件，目前能轉換至RHEL 8.5的發行版本，包含CentOS Linux 8.5、Oracle Linux 8.5，可協助企業轉換執行在UEFI之上的其他類型Linux系統，遷移到RHEL。

改善Linux容器應用

在新版RHEL的特色當中，首推便利容器化應用程式使用與管理的多種功能，像是：可原生支援OverlayFS檔案系統，組建非「根使用者」帳號執行的容器（rootless OverlayFS／Overlay FS as a rootless user／Native OverlayFS as a Rootless container user），加快系統映像的建立。

所謂的Rootless container，根據rootlesscontaine.rs的定義，是指讓無特殊權限的使用者也能建立、執行容器，以及透過其他方式管理容器，並涵蓋多種以無特殊權限身分來執行容器的相關工具。而「無特殊權限」是指無任何系統管理權限的使用者，不能要求更多權限來授與其他帳號、安裝軟體套件的使用者。

紅帽表示，過往Rootless容器的運作，是透過執行在使用者空間userspace的OverlayFS來實作，而有了上述新功能，企業可以因為OverlayFS執行在系統核心（原生支援OverlayFS），而能獲得效能改善。而這樣的容器，正是執行Podman與RHEL Containers Tools的所在，所以能持續改善。紅帽表示，RHEL 8.5能具備這樣的機制，主要是因為紅帽在部分系統核心採取向後移植（backports）的作法，以及Podman團隊的貢獻所致，不過他們也提醒大家，運用此功能之前，需清理本機的容器儲存。

而在持續整合／持續開發（CI/CD）的系統，以及其他開發環境中，RHEL 8.5目前可完整支援容器化的Podman的容器引擎。紅帽正式提供RHEL 8 Podman的容器映像，可用於雲端的CI/CD系統、執行在微軟Windows的WSL2子系統、執行在蘋果macOS的Docker Desktop，以及RHEL的第6、7、8版。而且，用戶還能夠運用這套Podman的容器映像，以便開發與執行其他容器映像。

關於Podman容器映像的提供，紅帽在RHEL 8.4當中特別保留了技術預覽版本，以改善使用者體驗，之所以在RHEL 8.5正式提供，主要是因為此時的使用者體驗，已調整到更為精緻的狀態，他們也將這套容器映像添加到Red Hat Universal Base Image 8（UBI 8）當中，以便在各處散布、使用Podman映像。

RHEL 8.5也預設提供容器映像驗證機制，可在系統安裝時，查核容器映像的完整性，確認所用得這些映像，是從紅帽管理的容器映像服務Red Hat Container Registry拉取出來的，確保它們在完成數位簽署之後未經任何竄改。

有了這項驗證功能，應可改善軟體供應鏈安全，可涵蓋完全公開發布至多數環境的狀況，尤其是上線環境的伺服器。在RHEL 8.5當中，紅帽已部署預設的安全政策，用戶若透過紅帽管理的系統映像登錄服務，像是：registry.access.redhat.com或registry.redhat.io，拉取的系統映像，可透過上述容器安全政策的實施，進行GPG（GNU Privacy Guard）簽章的查核。事實上，紅帽多年來都在產生與發布GPG簽章，但過去用戶須設定才會去驗證這些簽章，現在RHEL 8.5搭配Podman的最新版本之後，這些簽章預設都會進行驗證。

此外，新版RHEL也具備原生整合cgroup2（Control Groups V2）的能力，IT團隊可透過處理程序的定義，來提升系統資源的利用率。若是在RHEL的環境執行Podman下，可支援在系統開機時進入cgroup2的執行模式，用戶能根據自身需求來選擇容器執行的方式為runc，或是crun。

RHEL 8預設使用runc，以及cgroup1（Control Groups V1），但cgroup1不能用於無根使用者的模式（rootless mode），也無法支援階層式控管，而且還面臨限制使用的問題，例如，若有處理程序被批准修改cgroup檔案系統，它就能逃脫cgroup的禁制，連帶也因此限制cgroup1搭配Podman與容器的應用。

相對地，若是使用cgroup2與Podman，企業就能管理無根使用者的cgroups（一般使用者帳號），而且，cgroup2也支援階層控管，能將使用者置入特定的cgroup，將其與其他控制群組區隔開來、再放到個別容器當中。

簡化系統管理與部署

面對維運多雲環境的應用需求，RHEL 8.5增設更多類型的系統角色（System roles），像是微軟SQL Server、VPN、Postfix。基本上，系統角色是一組用於RHEL的預設組態，可協助IT團隊更簡易、快速支援特定類型工作負載，可涵蓋雲端至邊緣運算等多種IT環境。

以微軟SQL Server的RHEL系統角色而言，IT與資料庫管理者面對這套資料庫管理系統的使用，能夠以自動化處理的方式，更輕鬆地執行安裝、設定、調校等作業，以符合不同用戶的需求。

而在VPN系統角色上，企業可在RHEL系統當中，以此縮短設定VPN隧道的時間，提升組態一致性，降低因錯誤設置衍生的資安事故風險。

關於Postfix系統角色的運用，顧名思義，可用於Posfix郵件伺服器，企業可略過手動設定的步驟，獲取自動的系統安裝、設置組態，以及執行等功能，也能在此指派自定的組態，以便透過更標準的方式來妥善控制Postfix的運作。

在自動化處理與管理功能上，RHEL 8.5還提供更多工具，可協助用戶將原本需手動完成的工作轉為自動執行，以更大規模進行部署，並且簡化日常的系統管理作業。

就自動化而言，RHEL 8.5的用戶可運用紅帽旗下的Ansible軟體平臺，以便控制伺服器IPMI遠端管理介面的設定，舉凡像是系統的耗電狀態，以及硬碟儲存裝置的開機順序。

而在效能監控管理上，紅帽也強化RHEL內建網頁主控臺的效能量測器，可協助IT人員找出多種效能層面的問題，例如，若想了解CPU、硬碟或網路等層面的效能是否出現問題，RHEL 8.5的網頁主控臺提供進階的量測功能，可協助用戶找出問題所在，同時，相關量測資訊也能更容易地匯出，傳至以豐富圖表著稱的開原碼系統狀態監控軟體Grafana，進行彙整呈現。

可監控多達1千臺伺服器的運作效能

在效能監控上，RHEL 8.5的效能輔助操作（Performance Co-Pilot，PCP），可支援大型環境的應用──1千個節點的效能測量數值蒐集。紅帽針對這個軟體套件重新定義分支的參考基準（rebased），使用了5.3.1版，因此獲得更好的延展性，進而設置足以監控1千臺主機的PCP環境。

除了本機記錄之外，目前紅帽還提供三種PCP大規模部署架構，分別是：去中心化記錄（Decentralized logging）、

集中化記錄（Centralized logging）、

聯邦記錄－多臺pmlogger伺服器組成的群組（Federated - multiple pmlogger farms）。

而在RHEL 8.5網頁主控臺的效能測量頁面當中，紅帽也整合了systemd Journal的日誌記錄，管理者可藉此了解導致效能變差的應用程式項目。

提供更多強化資安防護機制

關於資安與政策的遵循，RHEL 8.5也蘊含了許多功能，可在部署新系統或管理既有基礎架構之際，協助企業完成相關的管理工作。首先是關於系統核心的不停機漏洞修補（Kernel live patching），可用於所有RHEL的小改版（minor releases）──用戶等待每6個月，也就是新版的系統核心發布之後，可以在RHEL的小改版當中，也能使用不停機漏洞修補。

紅帽認為，對於努力維護資安的用戶而言，RHEL系統這項功能提供了更多彈性，因為若要套用關鍵與重要的漏洞修補，整臺伺服器系統並不需要經歷重新啟動的過程。

而在系統核心不停機修補的設定方式上，現在IT人員能直接在RHEL網頁主控臺進行管理工作，可提供簡化的操作介面、套用相關的更新程式，而不需要透過命令列形式（輸入指令），降低重大維護作業執行的複雜度。

針對身分管理的事件稽核需求，RHEL 8.5提供強化的系統安全服務背景程式記錄（System Security Services Daemon，SSSD）功能，IT人員可存取這當中的使用者身分認證記錄，即能掌握完成相關程序的時間、錯誤狀況、認證流程，以及組態設定。在此項功能上，紅帽也特別提升搜尋的功能，協助系統管理者在使用者身分認證的基礎架構之內，可以更輕鬆地分析效能或組態設定問題。

在網路時間同步協定（NTP）的安全性確保，RHEL 8.5已正式套用網路時間防護（Network Time Security，NTS）的標準，能在NTP伺服器之間的連接，提供基於密碼學的認證機制，可預防發生中間人攻擊，避免重要的時間同步服務因此受創。

提供豐富、新穎的程式開發平臺支援

在應用程式開發環境的部分，RHEL 8.5支援Java與.NET兩大平臺的長期支援版本，分別是：OpenJDK 17（Open Java Development Kit 17）、.NET 6。

以OpenJDK 17而言，企業能以此來開發現代化的應用程式，並運用這套程式語言的新增特色，像是：強化的偽隨機亂數產生器（pseudo-random number generator），可做為許多密碼學處理的共通基礎；代數資料型別，以簡化複雜資料的建模；強制實施精確的浮點運算統一處理，對於數字敏感型的應用程式，提供更好的預測能力。

除此之外，針對OpenJDK 17本身，紅帽也提供基於RHEL通用基礎映像格式（UBI）而成的容器環境，能讓開發團隊透過新穎的做法，對應用程式進行測試與升級，並將其用於CI/CD流程。若將其搭配最新版的JDK Mission Control，企業能更輕鬆地監控與剖析Java應用程式執行狀態，以強化效能。

而支援.NET 6的部分，是紅帽先前從.NET 5開始統合相關開發環境的最終環節。而在這個版本的.NET框架之中，不只適用於64位元x86架構，也能用於64位元Arm架構，以及IBM Z架構（IBM Z伺服器、LinuxONE、s390x），並且內含新版的程式語言，像是C# 10、F# 6，能讓開發者得以運用最新的程式語言特色，來建立最符合現代潮流的應用程式，例如透過C# 10新增的極簡應用程式介面（minimal API），開發人員只需撰寫少量程式碼，就能組建網站應用程式。

同時，奠基在.NET Core 5之上，.NET 6在基礎程式庫、記憶體資源回收（Garbage Collection）與即時（Just-In-Time，JIT）編譯器上，提供多種效能改進機制，例如，C#可支援改良的診斷功能，以及幾個新推出的API，像是WebSocket壓縮，以及簡化的加解密處理。

產品資訊

Red Hat Enterprise Linux 8.5
●原廠：Red Hat
●建議售價：廠商未提供
●支援運算平臺：64位元x86架構、64位元Arm架構、IBM Power Systems Little Endian、IBM Z
●記憶體需求：1.5 GiB
●硬碟分割區需求：/boot、/home、swap為1 GiB起，/為10 GiB起，/boot/efi為200 MiB，PreP為4到8 MiB
●系統基礎核心版本：4.18.0-326版

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】