5-го ноября Red Hat анонсировал релиз Red Hat Enterprise Linux 8.1 – дистрибутива, готового к самым изощренным корпоративным рабочим нагрузкам. В RHEL 8.1 представлены новые инструменты, живая установка исправлений ядра, новая системная роль и многое другое. Сегодня мы кратко рассмотрим ключевые изменения в RHEL 8.1.
Живая установка исправлений (Live Patching).
RHEL 8.1 стал первым релизом RHEL 8, который получил живую установку исправления ядра (Live Kernel Patches) для критических и отобранных CVE, не требующую премиальной подписки. Они будут распространяться через поток обычного контента и могут быть получены через обновления yum (ранее для этого требовалась премиальная подписка и «ручная доставка»). Цель программы – это минимизация необходимых перезагрузок системы для получения новейших критических обновлений безопасности.
Живые исправления будут выпускаться для релизов с текущим или планируемым потоком EUS и для ядер сроком до одного года. На текущий момент это работает для 7.6, 7.7, 8.1 и планируется для 8.2 после релиза. Живые исправления будут оставаться доступными в рамках периодов расширенной поддержки EUS и E4S, для ядер не старше одного года.
Обратите внимание, что на данный момент — это только установка исправлений ядра. Также Red Hat рассматривает возможность установки исправлений в пользовательском пространстве для библиотек glibc и OpenSSL.
Безопасность.
Когда Red Hat спрашивает своих клиентов об их приоритетах, изменяющиеся требования к безопасности регулярно выходят на первый план. Эта рекомендация на первый взгляд очевидна, но идеальной системы безопасности не существует, поэтому Red Hat продолжает искать пути, которые могут сделать системы более безопасными.
Это могут быть новые компоненты, которые помогут сделать системы более защищенными, более агрессивная политика безопасности или инструменты, которые помогут избежать ловушек безопасности, Red Hat принял более агрессивный подход к улучшению безопасности в RHEL.
Списки разрешенных приложений.
Один из способов усиления безопасности – это ограничение приложений, которые может запускать система. С RHEL 8.1 представлена система списка разрешенных приложений, таким образом администраторы могут добавить определенное приложение, чтобы было разрешено его запускать и запретить все остальные.
Список разрешенных приложений в RHEL 8.1 использует базу данных RPM и список предоставленных администратором приложений.
Обновленная политика CVE.
Технически, это изменение не относится к RHEL 8.1, но, если вы пропустили, оно уже вышло и повлияет на все дальнейшие релизы. 2-го октября Red Hat анонсировал расширение области, подпадающей под CVE, чтобы сократить профиль рисков клиентов и помочь поддерживать превосходную стабильность развертываний.
SELinux для контейнеров.
В ситуациях, когда политики SELinux для контейнеров по умолчанию слишком строги или требуют серьёзных изменений, Red Hat предоставляет Udica, чтобы помочь в генерации настраиваемых политик для контейнеров.
Udica определяет какие возможности Linux необходимы контейнерам и создает правила SELinux, разрешающие все необходимые возможности. Она поддерживает генерацию политик для контейнеров, использующих Podnan и Docker, а также поддержка для CRI-O ожидается в ближайшем будущем.
Контейнеры.
В дополнение к Udica, в RHEL 8.1 присутствует несколько других обновлений, связанных с контейнерами. В первую очередь новые инструменты для управления контейнерами в веб-консоли, как часть работ по упрощению управления RHEL.
Другая возможность – это полная поддержка контейнеров без root-доступа (Rootless), этого и раньше можно было добиться, но в версии 8.1 процедура существенно упростилась. Причина потребности в контейнерах без root-доступа очень проста – запуск контейнеров с меньшими привилегиями, также, как и любого другого процесса.
В идеале на системе устанавливаются необходимые инструменты и приложения при выводе в производственную среду. Но временами требуется устранять неисправности системы и требуются дополнительные инструменты, когда система уже внедрена. Поэтому Red Hat добавил Toolbox в RHEL 8.1 – контейнер с набором инструментов для устранения неисправностей, которые можно развернуть на системе, когда необходимо ее отрегулировать без внесения изменений в состояние системы.
И это сделано очень просто, при помощи команды «yum install toolbox» в качестве метода добавления контейнера на систему с набором инструментов, необходимым для его запуска.
Обновления.
Одним из улучшений в RHEL 8.1 стали расширенные опции для обновления на месте с RHEL 7 до RHEL 8. Вместе с релизом 8.1 Red Hat теперь поддерживает обновление на месте для архитектур ARM 64, pseries и zseries, к уже имеющимся системам x86_64.
Прогнозируемый темп.
Одной из важных особенностей релиза 8.1 стало не что, а когда! Что это значит? Так как пользователи, клиенты, партнеры и все остальные, кто строит планы вокруг релизов RHEL, должны иметь представление о графике будущих релизов, времени ожидания новых возможностей и сроках поддержки нового оборудования, теперь релизы RHEL будут выходить каждые 6 месяцев, один за другим.
Модель на основе времени хорошо работает для разработки. Возможности, которые не успевают подготовить к сроку переносятся на следующий релиз. И следующий релиз выходит уже через 6 месяцев.
На Red Hat Summit в этом году говорилось о планах доставки RHEL с шестимесячным графиком релизов. И вот, спустя 6 месяцев, вышел RHEL 8.1. Дополнительно RHEL 8.1 – это первый минорный релиз, который предлагает Extended Update Support (24 месяца обновлений со дня релиза). Extended Update Support (EUS) будет доступен для минорных релизов в рамках пяти лет Full Support Phase (Фаза полной поддержки со дня релиза мажорной версии).
От себя добавлю, что бета версия RHEL 7.8 уже доступна на портале для клиентов.
Больше подробностей (Insights).
Вместе с релизом RHEL 8.1, Red Hat анонсировал коллекцию новых правил для Red Hat Insights, важной части подписки RHEL. С мая месяца было добавлено более 400 новых правил, которые расширяют значение Insights в подписке RHEL.
Анонсированные правила включают в себя правила для специфических нагрузок, таких как SAP или Microsoft SQL Server, запущенных на RHEL, или связанных с улучшенной производительностью, стабильностью и (конечно) безопасностью между различными версиями RHEL начиная с 6.4 и выше.
Здесь представлен общий обзор новинок RHEL 8.1, подробности можно найти в документации. Ближайшие несколько недель Red Hat планирует представить ключевые планы к RHEL 8.2, я в свою очередь напишу о них здесь же.
Комментариев нет:
Отправить комментарий