从 2014 年 6 月起,红帽长期发展的企业级 Linux 操作系统——Red Hat Enterprise Linux(RHEL)推出 7.0 版,在 2019 年 8 月已发布到 7.7 版;至于下一代(8.x版),红帽在 2018 年 11 月发布 8.0 Beta 测试版,在 2019 年 5 月举行的全球用户大会(Red Hat Summit)期间,发表 RHEL 8.0,正式揭开全新企业级 Linux 的序曲。半年之后(2019年11月),他们继续推出了 8.1 版的 RHEL。
自从红帽 2019 年度用户大会宣布 RHEL 每半年将推出次要更新的周期之后,8.1 版是第一个依循这样规律发布的版本,能让用户、软硬件合作厂商能够更谨慎的接受新版本的推出,尽可能减少重要系统的意外故障与停机。
订阅产品服务用户可运用红帽提供的云端分析服务,及早得知与处理系统运作问题,同时,也提供选购的智能管理服务
关于这套 Linux 操作系统新版的定位,红帽强调,RHEL8 是针对混合云环境的智能型 Linux 平台,同时能协助企业更快开发与建置现代化应用程序。
举例来说,如果企业采用新版 RHEL 的软件订阅服务,预设将提供红帽代管的云端分析服务 Red Hat Insights —— 它将基于红帽本身所拥有的多种开放技术,主动识别 Red Hat 系统的各种 IT 问题,比如安全性弱点、系统无法稳定执行,以及其他减低可用性、性能的状况,其中将会运用智能型的规则引擎,比对系统组态信息,以便找出问题,并予以矫正,协助系统管理者避免可能的问题发生,以及系统上线环境的意外停机。
另一个 RHEL8 新增的管理特色,称为 Red Hat Smart Management,它是附加在 RHEL 的一层服务,能协助 IT 团队获得混合云架构的效益,并将管理复杂度降低。这其中结合了 Red Hat Satellite 这套系统管理解决方案,可涵盖位于内部网络的 RHEL 系统(实体服务器或虚拟机),以及身处云端服务环境的 RHEL 系统,IT 人员可管理 RHEL 的修补程序、组态设定、系统建立,以及服务订阅。
提供持续更新应用程序的机制
在加速软件开发的部分,RHEL8 引进了 Application Streams 的概念,能提供多个版本的使用者空间元件(user space components),所以,RHEL 本身所整合提供的程序语言、框架、开发工具,如果采用这样的模组封装方式,就能通过 RHEL8 里面的进行串流传输,更频繁的进行更新,而不影响操作系统核心套件的运作。如此一来,RHEL 可以获得更多自定弹性,而不会影响平台底层运作的稳定性或特定部署方式。
对于软件开发者、IT 维运团队而言,可将 RHEL8 视为支撑线上应用系统的基本平台,因为红帽在这一版的操作系统中,也试图降低操作的门槛,让熟悉 Windows 环境的系统管理员、Linux 初学者、新进系统管理者,无需畏惧命令行的操作方式。
举例来说,在这套操作系统内建的网页主控台 web console 中,红帽将许多复杂的系统管理细部操作予以抽象化,提供直觉、一致的图形操作界面,来掌握虚拟机的运作状态与整体性能,让 IT 人员更容易管理与监控 RHEL 系统。同时,RHEL8 也支持本地升级(in-place upgrades),协助 RHEL7 的执行个体能够更顺畅、有效、适时的转换到新版本。
强化自动处理机制
8.0 版 RHEL 的另一个新特性,是系统角色(System Roles),这项功能其实在 RHEL 7.4 版就开始出现、7.5 发布技术预览、7.6 正式提供,能自动管理与设定 RHEL 系统的复杂操作,其中运用了红帽的自动化处理平台 Ansible Automation——在 Ansible Engine 与 Ansible Tower 的软件平台中,都可使用系统角色来管理 RHEL。
用户可通过预先设定的 Ansible 模组,自动执行指定的工作流程,以便处理常见、复杂的系统管理操作。对于新手系统管理员而言,这样的自动化机制,能够善用 Linux 环境支持的各种协定之外,还可以减少常见设定问题所导致的人为错误。
在稍晚推出的 RHEL 8.1,系统角色也有一些变化。之前红帽为 RHEL 提供的系统角色,有网络、时间同步、kdump、Selinux、postfix,用户可通过它们的设置,简化这些功能相关的子系统设定流程;而到了 8.1 版,增加储存的系统角色,企业能用 Ansible 来管理本机服务器的储存,比如整台磁碟的档案系统、LVM 逻辑磁区群组与其档案系统。
支持最新加密标准与线上核心修补
安全性的确保也是 RHEL 的重要特色,红帽表示,RHEL8 背后有一套强化的安全开源码供应链,作为后盾,也有充分的安全标准支持,因此,企业可以基于 RHEL 这样的平台,放心推动各种创新技术应用,比如 Linux container、Kubernetes、无服务器架构、人工智能(AI),而无需过于忧虑潜在风险。
此外,RHEL8 也支持两种加密标准的最新版本——OpenSSL 1.1.1、TLS 1.3,有了这样的加密机制,管理者可通过单一指令,实施整个 Linux 系统的加密保护,并且以此限制针对特定应用程序的政策控管与调校。
以 TLS 为例,RHEL 在 2013 年发行的 6.5 版中,开始支持 TLS 1.2(2008年推出),两者间隔 5 年之久,到了 RHEL8,对于 TLS 1.3 的支持与该项标准正式推出之间,缩短至 1 年以内。
关于系统更新的部分,RHEL 8.1 支持了不停机的核心修补机制(live kernel patching),能让系统安全性弱点的修补,尽快跟上不断变化的威胁态势,却不会因此导致过长的系统停机。
目前这项线上修补的更新范围,是 1 年以内的核心,RHEL 7.6、7.7、8.1,以及下一版 8.2 都会提供,未来红帽也打算扩大到使用者空间的修补(userspace patching),以便涵盖到 glibc 与 OpenSSL 程序库。
live kernel patching,是指新版系统可以直接套用核心层级的更新,以便能够即时修正重大的通用弱点与漏洞(CVE),不仅让关键应用系统的工作负载能够更安全的执行,也可减低系统为此重新开机的频率。而这样的机制,之前仅提供给订阅该产品尊荣服务(premium subscription)的用户,并且需通过人工的方式来交付。
此外,RHEL 8.1 也增加了其他安全性防护,例如,强化的 CVE 修正机制、核心层级的内存保护,以及应用程序白名单。
以 CVE 的处理方式而言,红帽在 2019 年 10 月宣布扩大 CVE 修正的涵盖范围,将主动支持 RHEL 的近期版本(6、7、8)。在此之前,红帽对于分类为重大的 CVE,采取选择性的尊重立场,而他们现在推动新的 CVE 政策,则是希望减少用户的风险,维持在企业环境部署的稳定度,并且减轻内部信息安全稽核的解析时间。
至于另一项应用程序白名单,RHEL 8.1 的实作方式,是通过 RPM 套件管理员的资料库,以及由系统管理者所指定的清单,来批准系统可执行的应用程序。
告别 Docker,提供支持开放标准的容器工具模组
在容器应用上,RHEL8 支持 Red Hat container toolkit(Red Hat container tool模组),这套强调轻量、基于开放标准的工具集,可协助用户建立、执行与共用容器化的应用程序,也能加速容器开发,避免形成过于庞大且不安全的容器 Daemon。
值得注意的是,Red Hat container tool 的出现,是有原因的。红帽已经将 Docker 容器引擎从 OpenShift 里面移除,而在 RHEL8 中,也完全移除 Docker 容器引擎与 docker 指令,他们表示,从这个版本之后,RHEL 不再包含、支持 Docker,但用户还是需要一个指令环境来手动处理容器与映像,于是,红帽建立了一套工具来实作大部分 docker 指令能做的事情,这里面包含了多套开放源代码软件,如 podman、skopeo、buildah,以此取代 docker 指令的功能,有了这些软件,操作系统不需通过持续执行的 Daemon 处理程序,来实作容器引擎。
Podman 是管理容器的工具,本身是完整、非 Daemon 形式容器引擎,能够取代大部分 Docker 指令的功能,可搭配个别容器与映像使用,能够针对遵循 OCI 标准的容器与 Pod,处理执行、管理、除错等工作。它也能兼顾 Docker 命令列的相容性,用户可通过它来管理容器,执行寻找、启动、组建与共享的动作,却不需相依于 Daemon 型态的处理程序,同时,还可改善与 systemd 之间的整合。
Buildah 可用来组建符合 OCI 标准的容器映像,能让用户在不需任何 Daemon 或 Docker 环境之下,即可建立与修改容器内容。我们可以保留既有的 dockerfile 工作流程,同时,也能横越多个映像的层级、内容、提交,进行细部控制。除此之外,在这套软件当中,我们也能运用位于容器主机环境当中的工具,以便缩减容器映像本身的大小,而非将相关工具加入容器映像。
Skopeo 则能用来复杂容器映像至特定位置,以及从容器登录服务进行复制,这里面包含了映像的签署与认证机制。通过这套工具与程序库,开发者可以执行容器映像的检测、验证、签署、传输,以及从不同容器登录服务当中,进行映像的迁移,此外,对于上述两套软件与 Kubernetes 轻量容器引擎 CRI-O 均采行的程序库,它也能予以善用。
而在 RHEL 8 推出之际,红帽也基于这套操作系统,提供一套可执行于使用者空间的映像,称为 Red Hat Universal Base Image,能用于组建他们认证的 Linux 容器。不论是否为 RHEL 的服务订户,开发人员皆可取得这样的系统映像,以此建置容器应用程序。而这套容器映像的支持,本身也会涵盖在 RHEL 产品生命周期中。
关于容器安全性强化,红帽在后续推出的 RHEL 8.1 里面,增加了一个名为 udica 的套件,能替容器环境里面执行的安全强化版 Linux(SELinux)产生控管政策——通过这套工具,用户能够针对容器存取储存、装置、网络等主机系统资源的方式,打造适合的安全政策,如此可强化容器部署,对抗违反安全要求的举动,针对法规遵循的要求,提供简单的达成方式,并能维持成效。
针对不同的资料中心、云端服务、应用系统的部署与整合场景,提供不同形式的搭配
在各种云端服务与应用程序的支持上,红帽已经针对数千个项目进行 RHEL 相容性验证,范围涵盖应用程序、容器映像、硬件组态,以及云端服务供应商,而在最新推出的 RHEL8 中,红帽也将这样的验证机制,扩及 Arm 与 Power 运算架构,以及即时应用程序(Red Hat Enterprise Linux for Real Time、Red Hat OpenStack Platform for Real-Time Applications)、SAP 解决方案(Red Hat Enterprise Linux for SAP Solutions)。
除此之外,RHEL8 也是红帽混合云解决方案的基础,可支撑同样于 2019 年问世的容器服务平台 Red Hat OpenShift 4,以及云端基础架构平台 Red Hat OpenStack Platform 15。
同时,红帽收购 CoreOS 公司而继续发展的容器操作系统——Red Hat Enterprise Linux CoreOS(RHCOS),也是基于 RHEL8 而成的,它能支持 OpenShift 部署。
在虚拟化环境的支持上,RHEL8 也能以操作系统的形态,安装在虚拟机执行,可支持上述两种云端平台,以及红帽自家的服务器虚拟化平台 Red Hat Virtualization 4.3。
产品资讯
Red Hat Enterprise Linux 8.1
- 原厂:Red Hat (02)7743-2972
- 支持运算平台:64位x86架构、64位Arm架构、IBM Power Systems、IBM Z
- 内存需求:768 MiB
- 硬盘需求:AMD64、Intel 64、64位ARM需2个分割区(/、swap),IBM Power Systems需3个分割区(/、swap、PreP开机分割区,皆为10GiB以上
- 系统基础核心版本:4.18版
閱讀更多 AI智慧 的文章
關鍵字: Hat Enterprise 云端
