從 2014 年 6 月起,紅帽長期發展的企業級 Linux 操作系統——Red Hat Enterprise Linux(RHEL)推出 7.0 版,在 2019 年 8 月已發佈到 7.7 版;至於下一代(8.x版),紅帽在 2018 年 11 月發佈 8.0 Beta 測試版,在 2019 年 5 月舉行的全球用戶大會(Red Hat Summit)期間,發表 RHEL 8.0,正式揭開全新企業級 Linux 的序曲。半年之後(2019年11月),他們繼續推出了 8.1 版的 RHEL。
自從紅帽 2019 年度用戶大會宣佈 RHEL 每半年將推出次要更新的週期之後,8.1 版是第一個依循這樣規律發佈的版本,能讓用戶、軟硬件合作廠商能夠更謹慎的接受新版本的推出,儘可能減少重要系統的意外故障與停機。
訂閱產品服務用戶可運用紅帽提供的雲端分析服務,及早得知與處理系統運作問題,同時,也提供選購的智能管理服務
關於這套 Linux 操作系統新版的定位,紅帽強調,RHEL8 是針對混合雲環境的智能型 Linux 平臺,同時能協助企業更快開發與建置現代化應用程序。
舉例來說,如果企業採用新版 RHEL 的軟件訂閱服務,預設將提供紅帽代管的雲端分析服務 Red Hat Insights —— 它將基於紅帽本身所擁有的多種開放技術,主動識別 Red Hat 系統的各種 IT 問題,比如安全性弱點、系統無法穩定執行,以及其他減低可用性、性能的狀況,其中將會運用智能型的規則引擎,比對系統組態信息,以便找出問題,並予以矯正,協助系統管理者避免可能的問題發生,以及系統上線環境的意外停機。
另一個 RHEL8 新增的管理特色,稱為 Red Hat Smart Management,它是附加在 RHEL 的一層服務,能協助 IT 團隊獲得混合雲架構的效益,並將管理複雜度降低。這其中結合了 Red Hat Satellite 這套系統管理解決方案,可涵蓋位於內部網絡的 RHEL 系統(實體服務器或虛擬機),以及身處雲端服務環境的 RHEL 系統,IT 人員可管理 RHEL 的修補程序、組態設定、系統建立,以及服務訂閱。
提供持續更新應用程序的機制
在加速軟件開發的部分,RHEL8 引進了 Application Streams 的概念,能提供多個版本的使用者空間元件(user space components),所以,RHEL 本身所整合提供的程序語言、框架、開發工具,如果採用這樣的模組封裝方式,就能通過 RHEL8 裡面的進行串流傳輸,更頻繁的進行更新,而不影響操作系統核心套件的運作。如此一來,RHEL 可以獲得更多自定彈性,而不會影響平臺底層運作的穩定性或特定部署方式。
對於軟件開發者、IT 維運團隊而言,可將 RHEL8 視為支撐線上應用系統的基本平臺,因為紅帽在這一版的操作系統中,也試圖降低操作的門檻,讓熟悉 Windows 環境的系統管理員、Linux 初學者、新進系統管理者,無需畏懼命令行的操作方式。
舉例來說,在這套操作系統內建的網頁主控臺 web console 中,紅帽將許多複雜的系統管理細部操作予以抽象化,提供直覺、一致的圖形操作界面,來掌握虛擬機的運作狀態與整體性能,讓 IT 人員更容易管理與監控 RHEL 系統。同時,RHEL8 也支持本地升級(in-place upgrades),協助 RHEL7 的執行個體能夠更順暢、有效、適時的轉換到新版本。
強化自動處理機制
8.0 版 RHEL 的另一個新特性,是系統角色(System Roles),這項功能其實在 RHEL 7.4 版就開始出現、7.5 發佈技術預覽、7.6 正式提供,能自動管理與設定 RHEL 系統的複雜操作,其中運用了紅帽的自動化處理平臺 Ansible Automation——在 Ansible Engine 與 Ansible Tower 的軟件平臺中,都可使用系統角色來管理 RHEL。
用戶可通過預先設定的 Ansible 模組,自動執行指定的工作流程,以便處理常見、複雜的系統管理操作。對於新手系統管理員而言,這樣的自動化機制,能夠善用 Linux 環境支持的各種協定之外,還可以減少常見設定問題所導致的人為錯誤。
在稍晚推出的 RHEL 8.1,系統角色也有一些變化。之前紅帽為 RHEL 提供的系統角色,有網絡、時間同步、kdump、Selinux、postfix,用戶可通過它們的設置,簡化這些功能相關的子系統設定流程;而到了 8.1 版,增加儲存的系統角色,企業能用 Ansible 來管理本機服務器的儲存,比如整臺磁碟的檔案系統、LVM 邏輯磁區群組與其檔案系統。
支持最新加密標準與線上核心修補
安全性的確保也是 RHEL 的重要特色,紅帽表示,RHEL8 背後有一套強化的安全開源碼供應鏈,作為後盾,也有充分的安全標準支持,因此,企業可以基於 RHEL 這樣的平臺,放心推動各種創新技術應用,比如 Linux container、Kubernetes、無服務器架構、人工智能(AI),而無需過於憂慮潛在風險。
此外,RHEL8 也支持兩種加密標準的最新版本——OpenSSL 1.1.1、TLS 1.3,有了這樣的加密機制,管理者可通過單一指令,實施整個 Linux 系統的加密保護,並且以此限制針對特定應用程序的政策控管與調校。
以 TLS 為例,RHEL 在 2013 年發行的 6.5 版中,開始支持 TLS 1.2(2008年推出),兩者間隔 5 年之久,到了 RHEL8,對於 TLS 1.3 的支持與該項標準正式推出之間,縮短至 1 年以內。
關於系統更新的部分,RHEL 8.1 支持了不停機的核心修補機制(live kernel patching),能讓系統安全性弱點的修補,儘快跟上不斷變化的威脅態勢,卻不會因此導致過長的系統停機。
目前這項線上修補的更新範圍,是 1 年以內的核心,RHEL 7.6、7.7、8.1,以及下一版 8.2 都會提供,未來紅帽也打算擴大到使用者空間的修補(userspace patching),以便涵蓋到 glibc 與 OpenSSL 程序庫。
live kernel patching,是指新版系統可以直接套用核心層級的更新,以便能夠即時修正重大的通用弱點與漏洞(CVE),不僅讓關鍵應用系統的工作負載能夠更安全的執行,也可減低系統為此重新開機的頻率。而這樣的機制,之前僅提供給訂閱該產品尊榮服務(premium subscription)的用戶,並且需通過人工的方式來交付。
此外,RHEL 8.1 也增加了其他安全性防護,例如,強化的 CVE 修正機制、核心層級的內存保護,以及應用程序白名單。
以 CVE 的處理方式而言,紅帽在 2019 年 10 月宣佈擴大 CVE 修正的涵蓋範圍,將主動支持 RHEL 的近期版本(6、7、8)。在此之前,紅帽對於分類為重大的 CVE,採取選擇性的尊重立場,而他們現在推動新的 CVE 政策,則是希望減少用戶的風險,維持在企業環境部署的穩定度,並且減輕內部信息安全稽核的解析時間。
至於另一項應用程序白名單,RHEL 8.1 的實作方式,是通過 RPM 套件管理員的資料庫,以及由系統管理者所指定的清單,來批准系統可執行的應用程序。
告別 Docker,提供支持開放標準的容器工具模組
在容器應用上,RHEL8 支持 Red Hat container toolkit(Red Hat container tool模組),這套強調輕量、基於開放標準的工具集,可協助用戶建立、執行與共用容器化的應用程序,也能加速容器開發,避免形成過於龐大且不安全的容器 Daemon。
值得注意的是,Red Hat container tool 的出現,是有原因的。紅帽已經將 Docker 容器引擎從 OpenShift 裡面移除,而在 RHEL8 中,也完全移除 Docker 容器引擎與 docker 指令,他們表示,從這個版本之後,RHEL 不再包含、支持 Docker,但用戶還是需要一個指令環境來手動處理容器與映像,於是,紅帽建立了一套工具來實作大部分 docker 指令能做的事情,這裡麵包含了多套開放源代碼軟件,如 podman、skopeo、buildah,以此取代 docker 指令的功能,有了這些軟件,操作系統不需通過持續執行的 Daemon 處理程序,來實作容器引擎。
Podman 是管理容器的工具,本身是完整、非 Daemon 形式容器引擎,能夠取代大部分 Docker 指令的功能,可搭配個別容器與映像使用,能夠針對遵循 OCI 標準的容器與 Pod,處理執行、管理、除錯等工作。它也能兼顧 Docker 命令列的相容性,用戶可通過它來管理容器,執行尋找、啟動、組建與共享的動作,卻不需相依於 Daemon 型態的處理程序,同時,還可改善與 systemd 之間的整合。
Buildah 可用來組建符合 OCI 標準的容器映像,能讓用戶在不需任何 Daemon 或 Docker 環境之下,即可建立與修改容器內容。我們可以保留既有的 dockerfile 工作流程,同時,也能橫越多個映像的層級、內容、提交,進行細部控制。除此之外,在這套軟件當中,我們也能運用位於容器主機環境當中的工具,以便縮減容器映像本身的大小,而非將相關工具加入容器映像。
Skopeo 則能用來複雜容器映像至特定位置,以及從容器登錄服務進行復制,這裡麵包含了映像的簽署與認證機制。通過這套工具與程序庫,開發者可以執行容器映像的檢測、驗證、簽署、傳輸,以及從不同容器登錄服務當中,進行映像的遷移,此外,對於上述兩套軟件與 Kubernetes 輕量容器引擎 CRI-O 均採行的程序庫,它也能予以善用。
而在 RHEL 8 推出之際,紅帽也基於這套操作系統,提供一套可執行於使用者空間的映像,稱為 Red Hat Universal Base Image,能用於組建他們認證的 Linux 容器。不論是否為 RHEL 的服務訂戶,開發人員皆可取得這樣的系統映像,以此建置容器應用程序。而這套容器映像的支持,本身也會涵蓋在 RHEL 產品生命週期中。
關於容器安全性強化,紅帽在後續推出的 RHEL 8.1 裡面,增加了一個名為 udica 的套件,能替容器環境裡面執行的安全強化版 Linux(SELinux)產生控管政策——通過這套工具,用戶能夠針對容器存取儲存、裝置、網絡等主機系統資源的方式,打造適合的安全政策,如此可強化容器部署,對抗違反安全要求的舉動,針對法規遵循的要求,提供簡單的達成方式,並能維持成效。
針對不同的資料中心、雲端服務、應用系統的部署與整合場景,提供不同形式的搭配
在各種雲端服務與應用程序的支持上,紅帽已經針對數千個項目進行 RHEL 相容性驗證,範圍涵蓋應用程序、容器映像、硬件組態,以及雲端服務供應商,而在最新推出的 RHEL8 中,紅帽也將這樣的驗證機制,擴及 Arm 與 Power 運算架構,以及即時應用程序(Red Hat Enterprise Linux for Real Time、Red Hat OpenStack Platform for Real-Time Applications)、SAP 解決方案(Red Hat Enterprise Linux for SAP Solutions)。
除此之外,RHEL8 也是紅帽混合雲解決方案的基礎,可支撐同樣於 2019 年問世的容器服務平臺 Red Hat OpenShift 4,以及雲端基礎架構平臺 Red Hat OpenStack Platform 15。
同時,紅帽收購 CoreOS 公司而繼續發展的容器操作系統——Red Hat Enterprise Linux CoreOS(RHCOS),也是基於 RHEL8 而成的,它能支持 OpenShift 部署。
在虛擬化環境的支持上,RHEL8 也能以操作系統的形態,安裝在虛擬機執行,可支持上述兩種雲端平臺,以及紅帽自家的服務器虛擬化平臺 Red Hat Virtualization 4.3。
產品資訊
Red Hat Enterprise Linux 8.1
- 原廠:Red Hat (02)7743-2972
- 支持運算平臺:64位x86架構、64位Arm架構、IBM Power Systems、IBM Z
- 內存需求:768 MiB
- 硬盤需求:AMD64、Intel 64、64位ARM需2個分割區(/、swap),IBM Power Systems需3個分割區(/、swap、PreP開機分割區,皆為10GiB以上
- 系統基礎核心版本:4.18版
閱讀更多 AI智慧 的文章
關鍵字: Hat Enterprise 雲端
