紅帽企業級Linux OS邁入7.x新世代，開始內建Docker

在x86伺服器平臺的企業級作業系統當中，除了微軟Windows Server之外，還可以選擇Linux，一般人比較熟悉的有Red Hat Enterprise Linux（RHEL），以及SUSE Linux Enterprise等兩大平臺。

這一年來，隨著OpenStack的應用大行其道，採用開放原始碼模式的Linux和虛擬化平臺KVM，連帶跟著水漲船高，當中發展氣勢大幅突破以往的廠商當屬Red Hat，6月終於正式推出了最新版企業級Linux系統──RHEL 7.0。

RHEL是Linux走向商業應用的標竿之一，現行版本有三大分支，一個是2007年推出的5.x版，今年9月已發展到5.11版，接下來，則是在2011年發行的6.x版，今年10月已推出6.6版。第三個分支，則是在6月所新推出的7.0版。

支援Linux Container

與過去版本最顯著的差異在於，RHEL 7已正式支援Linux Container（LXC）技術，當中包含了整個IT業界都熱烈關注的Docker系統，企業可藉此加速應用程式的開發工作進行，針對開發環境的管理與執行，也提供了更勝於以往的可攜性與隔離執行的能力，簡化了發布與使用方式。

有了這樣的機制之後，不論企業是在實體環境、虛擬化平臺，或是雲端服務等各種IT環境下，都可以用它來加速應用程式的開發、開發環境與系統上線環境的部署，並且能簡化相關的測試、維護、問題排除工作，進而提升了軟體安全性，並且增進開發與一般IT人員的工作效率，促成敏捷軟體開發（Agile Development）與資源的緊密整合。

Docker是一套開放原始碼軟體專案，能夠在Linux Container裡面自動部署應用程式，可將應用程式與所相依的執行時期元件打包起來，放到container裡面。該軟體當中，提供了Docker命令列工具，可用來管理Container的生命週期。

就運作架構而言，Docker包含5大基礎元件：容器（Container）、映像（Image）、平臺映像（Platform Image）、註冊服務（Registry）、Docker檔（Dockerfile）。

若要在RHEL 7應用Docker，需透過Extra Packages for Enterprise Linux（EPEL）的套件來取得，因為Docker是EPEL的一部分。而EPEL主要是由Fedora Special Interest Group所主持的軟體專案之一，是基於社群努力的成果，特別針對RHEL這樣的企業級Linux版本所開發、維護與管理的套件，同時涵蓋CentOS、Scientific Linux和Oracle Enterprise Linux。 

Red Hat目前提供Docker和Docker Registry的安裝套件，也提供通過認證Docker映像的正式方案供用戶建置，裡面已經預先整合RHEL 7和Docker。

採用新版Linux核心3.10

RHEL 7所使用的Linux系統核心，則是今年6月推出的3.10版，當中包含了許多新功能，像是動態式核心修補機制（Dynamic kernel Patching），系統不需重開機就能修補Linux核心，另一個則是置換記憶體壓縮（Swap Memory Compression），可大幅減少非必要的I/O存取動作，以提升系統效能。

針對位於同一系統內的NUMA（Non-uniform Memory Access）節點彼此之間的存取，RHEL 7核心也支援處理程序和記憶體的自動重新配置，系統排程作業與記憶體的配置，都可感知到NUMA而進一步調整，可改善效能。

這個核心版本也支援APIC暫存器虛擬化（APIC-Register Virtualization），簡稱為APICv，而且，有一些新推出的處理器也已經內建這樣的硬體功能，如此搭配之後，可改善Hypervisor/虛擬機器監控器（Virtual Machine Monitor，VMM）處理系統中斷請求的能力。

在新版本核心中，RHEL 7也包含了Open vSwitch（OVS）的模組。所謂的Open vSwitch，是一種開放原始碼的多層式軟體式交換器，可作為伺服器虛擬化環境下的虛擬交換器來應用。這樣的交換器，可針對同一臺伺服器主機所執行的多臺VM與實體網路之間，專門提供轉送流量的機制。目前Open vSwitch支援多種網路協定，例如sFlow、NetFlow、PFIX、RSPAN，也提供命令列介面（CLI），並且可用程式化的方式延伸，讓OpenFlow和OVSDB管理協定來控制。

從RHEL 6.4起，在Red Hat Enterprise Linux OpenStack Platform和 Red Hat Enterprise Virtualization當中，都已經內建Open vSwitch核心模組，而該功能只能搭配包含使用者空間套件的Red Hat產品一起使用，因此，若沒有這些套件，Open vSwitch無法作用，也無法用於其他RHEL版本。

預設檔案系統變更為XFS，並開始支援Btrfs

另一個RHEL新版的進展，是關於檔案系統的改進。在RHEL 6預設的檔案系統是ext4，但到了RHEL 7，預設使用的檔案系統改成XFS，但還是可以使用ext4、ext3和ext2等檔案系統。

XFS的最大特色是可提供到高達500TB的儲存空間（檔案系統的容量上限）。這個64位元的新檔案系統具有高度延展性與效能，是由SGI公司在1993年所開發出來的，今年6月之後，大部分Linux版本都開始支援，甚至有些已預設使用XFS。XFS最大可支援到16EB的空間（相當於1600萬TB），可存放8EB（相當於800萬TB）的檔案，而且所提供的目錄架構，可同時容納數千萬個檔案或資料夾項目。

而在RHEL 7環境當中，用戶可以用XFS檔案系統建立500TB的空間，相較之下，若用先前所慣用的ext4檔案系統，最大只能建立50TB空間，此外，RHEL 6雖然也支援XFS，但最大也只能建立到50TB的空間。

就功能而言，XFS目前支援中繼資料的日誌記錄（metadata journaling），提供更快速的系統當機復原能力。而且在磁碟掛載的活動狀態下，該檔案系統可以支援線上重組（defragment）和線上擴展。不過，XFS檔案系統並無法支援縮減容量的作業。

若以執行效能來看，XFS可針對大部分的工作負載提供最佳效能，尤其是高速儲存設備與配備大量運算核心的伺服器環境，而且在執行期間，也會盡可能採取減少處理器密集作業的作法，例如，會透過鎖定共享資源（lock contention）的方式，來達到最佳化。

而延展性的部分，XFS可針對大規模環境的使用，提供強大的支援能力，多年以來，XFS已經實際應用在數百TB儲存的IT環境。在許多關鍵的高階技術社群，XFS也已經應用得很普遍，在Ceph、Gluster等大資料環境，以及OpenStack架構下，相當常見。

在這一版當中，RHEL 也支援新的檔案系統──Btrfs（B-tree file system）。這個檔案系統提供了更豐富的管理機制，可靠度與延展性也大大提升。而且在Btrfs當中，用戶可以建立快照，也支援壓縮與裝置管理整合。

除此之外，RHEL 7也支援業界通用的分散式檔案系統NFS（Network File System）4.1最新版，針對日漸壅塞的網路環境提供更佳存取效能，納入效率更良好的NFS平行運作（Parallel NFS，pNFS）用戶端程式，改善與商用pNFS伺服器之間的整合。有了這項協定的支援，可充分利用在叢集式伺服器的部署。在這個架構下，由於檔案是分散放在多個伺服器上，若要提供檔案平行存取服務，將可因為支援NFS 4.1，而具有更大的負載能力。

簡化不同類型網域彼此信任的作法，增加作業彈性

若要讓微軟Active Directory（AD）使用者，能夠安全存取Windows網域和RHEL網域，以往比較複雜，現在RHEL 7簡化了相關作法，可使跨網域的信任（ cross-realm trusts）變得更有彈性，這也有助於RHEL系統能在異質資料中心環境裡面，與既有的身分認證機制共存。

在實作上，RHEL 7提供了幾種相關的方法，例如，在信任樹系當中，現在可以支援多個AD網域；對於信任樹系當中，個別AD網域下的使用者存取權限，可以基於各網域的層級，自行停用或啟用；對於信任的AD網域，管理者可手動定義POSIX的使用者與群組身分辨識，取代了過去的身分自動配置。

此外，信任網域下的AD使用者與群組資訊，可經由LDAP compatibility tree機制匯出，供傳統的POSIX系統使用；而透過這種方式匯出的AD使用者資訊，相對地，也能在LDAP身分管理伺服器上執行驗證。因此，不論是透過Identity Management，IdM）身分管理或信任的AD使用者資訊，均能以一致的方式讓舊有的POSIX系統存取。

強化資料中心環境的資源與效能管理機制

在系統的執行與管理方式上，RHEL 7也有不少新作法。例如沿用多個版本的系統初始化機制SysV和Upstart，現在已由systemd所取代，可掌管系統服務、處理程序、安全性與系統運作的資源，但systemd還是可以相容於SysV和Linux標準初始指令碼。

Systemd具備了許多功能，像是更主動、積極的平行處理能力，以及可運用socket和D-Bus的啟動機制來啟動服務；同時，服務的啟動也可支援隨選即執行的模式，並且可管理控制群組（Control Group，cgroups），以有效掌控系統資源；此外，systemd也可因應系統狀態（system state）的管理，可建立相關的快照，並且回復到指定時間點的系統狀態。

在系統效能的管理上，RHEL 7提供剖析（Profile）、調校（Tunnign）與量測（Instrumentation）等功能，並更新相關工具，例如oprofile、papi和 elfutils，改善它們的效能、功能，並且變得更輕便。

此外，RHEL 7還支援Performance Co-Pilot（PCP）、SystemTap和Valgrind。以PCP為例，它可提供系統層級效能量測的資料整併、歸檔與分析功能，包含工具、服務和函式庫，它本身很小，且支援分散式架構，能做到集中化分析，特別適合針對複雜系統環境來應用。

而關於SystemTap，RHEL7內建了2.4新版，可支援純使用者空間的指令碼執行，對於探測Java程式和VM的能力，也變得更豐富、更有效率。

至於Valgrind，它是一套作為量測效能的框架，包含許多剖析應用程式效能的工具，而RHEL隨附的是3.9.0版，比RHEL 6所提供3.8.1版還要好，可支援IBM PowerPC運算架構所用的硬體交易式記憶體（Hardware Transactional Memory），以及支援多種處理器架構的指令集，例如Intel的AVX2、IBM Power8（Power ISA 2.07）和System z的十進位制浮點運算，並改善了建模向量指令（modeling vector instructions）。

強化DDoS攻擊防護、開始支援40GbE和802.11d超高速網路規格

這一兩年以來，DDoS網路攻擊非常猖獗，重創了許多重要網站服務，如何做好相關防護的需求，也連帶影響了RHEL新版所包含的功能，在7.0版當中，RHEL內建了SYNPROXY模組，可協助系統防護常見的SYN-ACK floods和ACK-floods洪水攻擊，也可以對抗SYN-ACK洪水攻擊。這個模組可在Socket進入接聽（listen）狀態鎖定時，先行過濾偽冒的SYN-ACK 和ACK封包。

而在網路防火牆功能方面，RHEL 7開始在firewalld的服務當中，提供動態管理的防火牆功能（Dynamic Firewall Daemon），並且支援以區域（zone）方式來設置信任網路範圍，以便管理每一個網路連線和介面。

這裡也支援IPv4和IPv6的防火牆設定，以及橋接乙太網路、區分出執行時期與永久使用的個別設定選項。同時，RHEL的網路防護上，也提供專供特定系統服務或應用程式所使用的網路介面，方便管理者直接新增防火牆規則。

而在支援的網路服務安全性上，RHEL 7提供了兩種新的DNSSEC套件，它們分別是可提供快取與DNSSEC驗證機制的Unbound DNS伺服器，以及可重新設定本地的Unbound DNS伺服器的dnssec-trigger，提升驗證DNS相關資訊真實性與完整性的能力，可預防DNS在系統之間相互查詢時，遭遇到竊聽或通訊攔截等型態的中間人攻擊（man-in-the-middle attacks）。

針對新興的網路存取技術，RHEL 7也開始支援更高速的技術規格，例如40 Gb的有線網路介面，亦即802.3ba──目前可相容於Intel的XL710、Mellanox的ConnectX-2 EN/ConnectX-3 EN/ConnectX-3 Pro EN、Emulex的OCe14401-NX/ OCm14401-NX-OCP，以及Solarflare Flareon Ultra SFN7042Q/SFN7042Q。透過這樣的支援，為應用系統提供更快速的網路存取能力。而且，RHEL隨附的網路卡驅動程式與硬體控制工具ethtool，執行時，現在也可顯示40GbE網路介面的資料傳輸率 

除了針對有線高速網路規格提供支援，RHEL 7對於下一代Wi-Fi無線網路標準802.11ad也有所著墨。隨著市面上出現越來越多802.11ac的網路設備與端點裝置，新一代無線區域寬頻應用正在起飛的階段，Red Hat卻已經將眼光看到再下一代的網路標準，而且是在企業級Linux最新版提供支援。

802.11ad是由WiGig（Wireless Gigabit Alliance）聯盟所主推的Wi-Fi網路傳輸標準，這項規格目前發展到1.1版，所以802.11ad又稱為WiGig 1.1，所應用的頻段是60 GHz，它最大的特色是可提供高達7Gb/s的資料傳輸能力，相當於802.11n規格的50倍，而RHEL 7現在已經內建對應的驅動程式，主要是針對採用Atheros WIL6210晶片的無線網路卡。

提供OpenLMI基礎架構管理機制

在整體系統管理的機制上，RHEL 7也引進了新的架構──OpenLMI（Open Linux Management Infrastructure），它可同時針對多個版本的RHEL系統，來提供通用的管理介面，而且是基於既有的工具來達成管理的目的。

OpenLMI提供了一套抽象層，將系統管理相關的工作任務，以及底層系統運作的複雜程序，統一起來並將上述項目全部隱藏其中，而且，舉凡硬體、作業系統與系統服務等項目，皆可用它來設定、管理、監控，以達到簡化系統設定與管理作業的效果。

基本上，OpenLMI裡面提供了一整套的系統管理代理程式、控制器、用戶端程式與指令碼。其中，代理程式可安裝在那些需要控管的實體伺服器或虛擬機器上，然後再由OpenLMI控制器來管理這些代理程式，並提供相關介面，而用戶端程式或指令碼的作用是，經由控制器來呼叫系統管理代理程式，若要呼叫系統管理功能，可利用命令列介面，或是C/C++、Python或Java,等程式語言。

Docker的映像層疊架構，由上而下，依序可區分為容器（Container）、映像（Image）、平臺映像（Platform Image）。

RHEL裡面提供了軟體交換器Open vSwitch（OVS），這樣的交換器，可用於替代既有的Linux軟體橋接機制，也能轉送VM與實體、邏輯網路之間的流量。OVS也支援應用程式與租用環境下的網路流量隔離機制，當中主要運用了網路疊層／封裝技術，例如GRE、VXLAN，以及802.1Q的VLAN標記。

在防火牆的圖形化設定介面上，我們可以看到RHEL 7支援不同的網路區域（Zone）區分，有助於簡化管理各個網路埠介面所啟用的網路服務、連線方式與相關設定。

RHEL 7包含了OpenLMI基礎架構管理框架，是基於多種業界標準的開放原始碼軟體專案，當中有幾個重要元件：
一、系統管理代理程式，又稱為LMI Providers或CIM Providers，可安裝在需監控的IT系統上。
二、OpenLMI controller，又稱為OpenLMI object broker，負責管理所有的代理程式，並為它們提供存取介面。
三、用戶端程式或指令碼：作用是經由OpenLMI object broker，來呼叫LMI Providers。