在x86伺服器平臺的企業級作業系統當中,除了微軟Windows Server之外,還可以選擇Linux,一般人比較熟悉的有Red Hat Enterprise Linux(RHEL),以及SUSE Linux Enterprise等兩大平臺。

這一年來,隨著OpenStack的應用大行其道,採用開放原始碼模式的Linux和虛擬化平臺KVM,連帶跟著水漲船高,當中發展氣勢大幅突破以往的廠商當屬Red Hat,6月終於正式推出了最新版企業級Linux系統──RHEL 7.0。

RHEL是Linux走向商業應用的標竿之一,現行版本有三大分支,一個是2007年推出的5.x版,今年9月已發展到5.11版,接下來,則是在2011年發行的6.x版,今年10月已推出6.6版。第三個分支,則是在6月所新推出的7.0版。

支援Linux Container

與過去版本最顯著的差異在於,RHEL 7已正式支援Linux Container(LXC)技術,當中包含了整個IT業界都熱烈關注的Docker系統,企業可藉此加速應用程式的開發工作進行,針對開發環境的管理與執行,也提供了更勝於以往的可攜性與隔離執行的能力,簡化了發布與使用方式。

有了這樣的機制之後,不論企業是在實體環境、虛擬化平臺,或是雲端服務等各種IT環境下,都可以用它來加速應用程式的開發、開發環境與系統上線環境的部署,並且能簡化相關的測試、維護、問題排除工作,進而提升了軟體安全性,並且增進開發與一般IT人員的工作效率,促成敏捷軟體開發(Agile Development)與資源的緊密整合。

Docker是一套開放原始碼軟體專案,能夠在Linux Container裡面自動部署應用程式,可將應用程式與所相依的執行時期元件打包起來,放到container裡面。該軟體當中,提供了Docker命令列工具,可用來管理Container的生命週期。

就運作架構而言,Docker包含5大基礎元件:容器(Container)、映像(Image)、平臺映像(Platform Image)、註冊服務(Registry)、Docker檔(Dockerfile)。

若要在RHEL 7應用Docker,需透過Extra Packages for Enterprise Linux(EPEL)的套件來取得,因為Docker是EPEL的一部分。而EPEL主要是由Fedora Special Interest Group所主持的軟體專案之一,是基於社群努力的成果,特別針對RHEL這樣的企業級Linux版本所開發、維護與管理的套件,同時涵蓋CentOS、Scientific Linux和Oracle Enterprise Linux。 

Red Hat目前提供Docker和Docker Registry的安裝套件,也提供通過認證Docker映像的正式方案供用戶建置,裡面已經預先整合RHEL 7和Docker。

採用新版Linux核心3.10

RHEL 7所使用的Linux系統核心,則是今年6月推出的3.10版,當中包含了許多新功能,像是動態式核心修補機制(Dynamic kernel Patching),系統不需重開機就能修補Linux核心,另一個則是置換記憶體壓縮(Swap Memory Compression),可大幅減少非必要的I/O存取動作,以提升系統效能。

針對位於同一系統內的NUMA(Non-uniform Memory Access)節點彼此之間的存取,RHEL 7核心也支援處理程序和記憶體的自動重新配置,系統排程作業與記憶體的配置,都可感知到NUMA而進一步調整,可改善效能。

這個核心版本也支援APIC暫存器虛擬化(APIC-Register Virtualization),簡稱為APICv,而且,有一些新推出的處理器也已經內建這樣的硬體功能,如此搭配之後,可改善Hypervisor/虛擬機器監控器(Virtual Machine Monitor,VMM)處理系統中斷請求的能力。

在新版本核心中,RHEL 7也包含了Open vSwitch(OVS)的模組。所謂的Open vSwitch,是一種開放原始碼的多層式軟體式交換器,可作為伺服器虛擬化環境下的虛擬交換器來應用。這樣的交換器,可針對同一臺伺服器主機所執行的多臺VM與實體網路之間,專門提供轉送流量的機制。目前Open vSwitch支援多種網路協定,例如sFlow、NetFlow、PFIX、RSPAN,也提供命令列介面(CLI),並且可用程式化的方式延伸,讓OpenFlow和OVSDB管理協定來控制。

從RHEL 6.4起,在Red Hat Enterprise Linux OpenStack Platform和 Red Hat Enterprise Virtualization當中,都已經內建Open vSwitch核心模組,而該功能只能搭配包含使用者空間套件的Red Hat產品一起使用,因此,若沒有這些套件,Open vSwitch無法作用,也無法用於其他RHEL版本。

預設檔案系統變更為XFS,並開始支援Btrfs

另一個RHEL新版的進展,是關於檔案系統的改進。在RHEL 6預設的檔案系統是ext4,但到了RHEL 7,預設使用的檔案系統改成XFS,但還是可以使用ext4、ext3和ext2等檔案系統。

XFS的最大特色是可提供到高達500TB的儲存空間(檔案系統的容量上限)。這個64位元的新檔案系統具有高度延展性與效能,是由SGI公司在1993年所開發出來的,今年6月之後,大部分Linux版本都開始支援,甚至有些已預設使用XFS。XFS最大可支援到16EB的空間(相當於1600萬TB),可存放8EB(相當於800萬TB)的檔案,而且所提供的目錄架構,可同時容納數千萬個檔案或資料夾項目。

而在RHEL 7環境當中,用戶可以用XFS檔案系統建立500TB的空間,相較之下,若用先前所慣用的ext4檔案系統,最大只能建立50TB空間,此外,RHEL 6雖然也支援XFS,但最大也只能建立到50TB的空間。

就功能而言,XFS目前支援中繼資料的日誌記錄(metadata journaling),提供更快速的系統當機復原能力。而且在磁碟掛載的活動狀態下,該檔案系統可以支援線上重組(defragment)和線上擴展。不過,XFS檔案系統並無法支援縮減容量的作業。

若以執行效能來看,XFS可針對大部分的工作負載提供最佳效能,尤其是高速儲存設備與配備大量運算核心的伺服器環境,而且在執行期間,也會盡可能採取減少處理器密集作業的作法,例如,會透過鎖定共享資源(lock contention)的方式,來達到最佳化。

而延展性的部分,XFS可針對大規模環境的使用,提供強大的支援能力,多年以來,XFS已經實際應用在數百TB儲存的IT環境。在許多關鍵的高階技術社群,XFS也已經應用得很普遍,在Ceph、Gluster等大資料環境,以及OpenStack架構下,相當常見。

在這一版當中,RHEL 也支援新的檔案系統──Btrfs(B-tree file system)。這個檔案系統提供了更豐富的管理機制,可靠度與延展性也大大提升。而且在Btrfs當中,用戶可以建立快照,也支援壓縮與裝置管理整合。

除此之外,RHEL 7也支援業界通用的分散式檔案系統NFS(Network File System)4.1最新版,針對日漸壅塞的網路環境提供更佳存取效能,納入效率更良好的NFS平行運作(Parallel NFS,pNFS)用戶端程式,改善與商用pNFS伺服器之間的整合。有了這項協定的支援,可充分利用在叢集式伺服器的部署。在這個架構下,由於檔案是分散放在多個伺服器上,若要提供檔案平行存取服務,將可因為支援NFS 4.1,而具有更大的負載能力。

簡化不同類型網域彼此信任的作法,增加作業彈性

若要讓微軟Active Directory(AD)使用者,能夠安全存取Windows網域和RHEL網域,以往比較複雜,現在RHEL 7簡化了相關作法,可使跨網域的信任( cross-realm trusts)變得更有彈性,這也有助於RHEL系統能在異質資料中心環境裡面,與既有的身分認證機制共存。

在實作上,RHEL 7提供了幾種相關的方法,例如,在信任樹系當中,現在可以支援多個AD網域;對於信任樹系當中,個別AD網域下的使用者存取權限,可以基於各網域的層級,自行停用或啟用;對於信任的AD網域,管理者可手動定義POSIX的使用者與群組身分辨識,取代了過去的身分自動配置。

此外,信任網域下的AD使用者與群組資訊,可經由LDAP compatibility tree機制匯出,供傳統的POSIX系統使用;而透過這種方式匯出的AD使用者資訊,相對地,也能在LDAP身分管理伺服器上執行驗證。因此,不論是透過Identity Management,IdM)身分管理或信任的AD使用者資訊,均能以一致的方式讓舊有的POSIX系統存取。

強化資料中心環境的資源與效能管理機制

在系統的執行與管理方式上,RHEL 7也有不少新作法。例如沿用多個版本的系統初始化機制SysV和Upstart,現在已由systemd所取代,可掌管系統服務、處理程序、安全性與系統運作的資源,但systemd還是可以相容於SysV和Linux標準初始指令碼。

Systemd具備了許多功能,像是更主動、積極的平行處理能力,以及可運用socket和D-Bus的啟動機制來啟動服務;同時,服務的啟動也可支援隨選即執行的模式,並且可管理控制群組(Control Group,cgroups),以有效掌控系統資源;此外,systemd也可因應系統狀態(system state)的管理,可建立相關的快照,並且回復到指定時間點的系統狀態。

在系統效能的管理上,RHEL 7提供剖析(Profile)、調校(Tunnign)與量測(Instrumentation)等功能,並更新相關工具,例如oprofile、papi和 elfutils,改善它們的效能、功能,並且變得更輕便。

此外,RHEL 7還支援Performance Co-Pilot(PCP)、SystemTap和Valgrind。以PCP為例,它可提供系統層級效能量測的資料整併、歸檔與分析功能,包含工具、服務和函式庫,它本身很小,且支援分散式架構,能做到集中化分析,特別適合針對複雜系統環境來應用。

而關於SystemTap,RHEL7內建了2.4新版,可支援純使用者空間的指令碼執行,對於探測Java程式和VM的能力,也變得更豐富、更有效率。

至於Valgrind,它是一套作為量測效能的框架,包含許多剖析應用程式效能的工具,而RHEL隨附的是3.9.0版,比RHEL 6所提供3.8.1版還要好,可支援IBM PowerPC運算架構所用的硬體交易式記憶體(Hardware Transactional Memory),以及支援多種處理器架構的指令集,例如Intel的AVX2、IBM Power8(Power ISA 2.07)和System z的十進位制浮點運算,並改善了建模向量指令(modeling vector instructions)。

強化DDoS攻擊防護、開始支援40GbE和802.11d超高速網路規格

這一兩年以來,DDoS網路攻擊非常猖獗,重創了許多重要網站服務,如何做好相關防護的需求,也連帶影響了RHEL新版所包含的功能,在7.0版當中,RHEL內建了SYNPROXY模組,可協助系統防護常見的SYN-ACK floods和ACK-floods洪水攻擊,也可以對抗SYN-ACK洪水攻擊。這個模組可在Socket進入接聽(listen)狀態鎖定時,先行過濾偽冒的SYN-ACK 和ACK封包。

而在網路防火牆功能方面,RHEL 7開始在firewalld的服務當中,提供動態管理的防火牆功能(Dynamic Firewall Daemon),並且支援以區域(zone)方式來設置信任網路範圍,以便管理每一個網路連線和介面。

這裡也支援IPv4和IPv6的防火牆設定,以及橋接乙太網路、區分出執行時期與永久使用的個別設定選項。同時,RHEL的網路防護上,也提供專供特定系統服務或應用程式所使用的網路介面,方便管理者直接新增防火牆規則。

而在支援的網路服務安全性上,RHEL 7提供了兩種新的DNSSEC套件,它們分別是可提供快取與DNSSEC驗證機制的Unbound DNS伺服器,以及可重新設定本地的Unbound DNS伺服器的dnssec-trigger,提升驗證DNS相關資訊真實性與完整性的能力,可預防DNS在系統之間相互查詢時,遭遇到竊聽或通訊攔截等型態的中間人攻擊(man-in-the-middle attacks)。

針對新興的網路存取技術,RHEL 7也開始支援更高速的技術規格,例如40 Gb的有線網路介面,亦即802.3ba──目前可相容於Intel的XL710、Mellanox的ConnectX-2 EN/ConnectX-3 EN/ConnectX-3 Pro EN、Emulex的OCe14401-NX/ OCm14401-NX-OCP,以及Solarflare Flareon Ultra SFN7042Q/SFN7042Q。透過這樣的支援,為應用系統提供更快速的網路存取能力。而且,RHEL隨附的網路卡驅動程式與硬體控制工具ethtool,執行時,現在也可顯示40GbE網路介面的資料傳輸率 

除了針對有線高速網路規格提供支援,RHEL 7對於下一代Wi-Fi無線網路標準802.11ad也有所著墨。隨著市面上出現越來越多802.11ac的網路設備與端點裝置,新一代無線區域寬頻應用正在起飛的階段,Red Hat卻已經將眼光看到再下一代的網路標準,而且是在企業級Linux最新版提供支援。

802.11ad是由WiGig(Wireless Gigabit Alliance)聯盟所主推的Wi-Fi網路傳輸標準,這項規格目前發展到1.1版,所以802.11ad又稱為WiGig 1.1,所應用的頻段是60 GHz,它最大的特色是可提供高達7Gb/s的資料傳輸能力,相當於802.11n規格的50倍,而RHEL 7現在已經內建對應的驅動程式,主要是針對採用Atheros WIL6210晶片的無線網路卡。

提供OpenLMI基礎架構管理機制

在整體系統管理的機制上,RHEL 7也引進了新的架構──OpenLMI(Open Linux Management Infrastructure),它可同時針對多個版本的RHEL系統,來提供通用的管理介面,而且是基於既有的工具來達成管理的目的。

OpenLMI提供了一套抽象層,將系統管理相關的工作任務,以及底層系統運作的複雜程序,統一起來並將上述項目全部隱藏其中,而且,舉凡硬體、作業系統與系統服務等項目,皆可用它來設定、管理、監控,以達到簡化系統設定與管理作業的效果。

基本上,OpenLMI裡面提供了一整套的系統管理代理程式、控制器、用戶端程式與指令碼。其中,代理程式可安裝在那些需要控管的實體伺服器或虛擬機器上,然後再由OpenLMI控制器來管理這些代理程式,並提供相關介面,而用戶端程式或指令碼的作用是,經由控制器來呼叫系統管理代理程式,若要呼叫系統管理功能,可利用命令列介面,或是C/C++、Python或Java,等程式語言。

Docker的映像層疊架構,由上而下,依序可區分為容器(Container)、映像(Image)、平臺映像(Platform Image)。

RHEL裡面提供了軟體交換器Open vSwitch(OVS),這樣的交換器,可用於替代既有的Linux軟體橋接機制,也能轉送VM與實體、邏輯網路之間的流量。OVS也支援應用程式與租用環境下的網路流量隔離機制,當中主要運用了網路疊層/封裝技術,例如GRE、VXLAN,以及802.1Q的VLAN標記。

 

在防火牆的圖形化設定介面上,我們可以看到RHEL 7支援不同的網路區域(Zone)區分,有助於簡化管理各個網路埠介面所啟用的網路服務、連線方式與相關設定。

RHEL 7包含了OpenLMI基礎架構管理框架,是基於多種業界標準的開放原始碼軟體專案,當中有幾個重要元件:
一、系統管理代理程式,又稱為LMI Providers或CIM Providers,可安裝在需監控的IT系統上。
二、OpenLMI controller,又稱為OpenLMI object broker,負責管理所有的代理程式,並為它們提供存取介面。
三、用戶端程式或指令碼:作用是經由OpenLMI object broker,來呼叫LMI Providers。

 

產品資訊

●建議售價:

Red Hat Enterprise Linux Server標準支援為34,277元(雙處理器插槽、支援2臺VM,服務等級5x8)

Red Hat Enterprise Linux Server進階支援為55,727元(雙處理器插槽、支援2臺VM,服務等級7x24)

Red Hat Enterprise Linux for Virtual Datacenters標準支援為85,757元(雙處理器插槽、支援VM數量不限,服務等級5x8)

Red Hat Enterprise Linux for Virtual Datacenters標準支援為139,382元(雙處理器插槽、支援VM數量不限,服務等級7x24)

●代理商:聚碩科技(02)8797-8260

●支援伺服器平臺:x86、x86-64(AMD64與Intel 64)、IBM Power 7、IBM System z

 

 


Advertisement

更多 iThome相關內容