Dieser Abschnitt beschreibt neue Features und wesentliche Verbesserungen, die in Red Hat Enterprise Linux 7.1 eingeführt wurden.
Red Hat Enterprise Linux 7.1 steht als einzelnes Kit auf den folgenden Architekturen zur Verfügung:
In dieser Release vereint Red Hat Verbesserungen für Server und Systeme sowie für das Red Hat Open-Source-Erlebnis im Allgemeinen.
1.1. Red Hat Enterprise Linux für POWER, Little Endian
Red Hat Enterprise Linux 7.1 führt Unterstützung für Little Endian auf IBM Power Systems Servern ein, die IBM POWER8 Prozessoren verwenden. Bislang wurde in Red Hat Enterprise Linux 7 lediglich eine Big-Endian-Variante für IBM Power Systems angeboten. Die Unterstützung für Little Endian auf POWER8-basierten Servern soll die Portabilität von Applikationen zwischen 64-Bit Intel kompatiblen Systemen (x86_64) und IBM Power Systems verbessern.
Separate Installationsmedien werden für die Installation von Red Hat Enterprise Linux auf IBM Power Systems Servern im Little-Endian-Modus angeboten. Diese Medien stehen im Download-Bereich des Red Hat Kundenportals zur Verfügung.
Nur IBM POWER8 prozessorbasierte Server werden mit Red Hat Enterprise Linux für POWER, Little Endian, unterstützt.
Derzeit wird Red Hat Enterprise Linux für POWER, Little Endian, nur als KVM-Gast unter Red Hat Enteprise Virtualization für Power unterstützt. Eine Installation direkt auf der Hardware ("bare metal") wird derzeit nicht unterstützt.
Der
GRUB2-Bootloader wird auf dem Installationsmedium und für den Netzwerk-Boot verwendet. Der
Installation Guide wurde aktualisiert mit Anweisungen zum Einrichten eines Netzwerk-Bootservers für IBM Power Systems Clients unter Verwendung von
GRUB2.
Alle Softwarepakete für IBM Power Systems stehen sowohl für die Little-Endian-Variante als auch für die Big-Endian-Variante von Red Hat Enterprise Linux für POWER zur Verfügung.
Pakete, die für Red Hat Enterprise Linux für POWER, Little Endian, erstellt wurden, verwenden den Architekturcode ppc64le, zum Beispiel gcc-4.8.3-9.ael7b.ppc64le.rpm.
Kapitel 2. Installation und Bootvorgang
2.1. Installationsprogramm
Das Red Hat Enterprise Linux Installationsprogramm Anaconda wurde weiterentwickelt, um den Installationsvorgang für Red Hat Enterprise Linux 7.1 zu verbessern.
Benutzeroberfläche
Die grafische Installationsoberfläche enthält nun einen zusätzlichen Bildschirm, der die Konfiguration des Kdump Kernel-Crash-Dump-Mechanismus während der Installation ermöglicht. Bislang wurde dies nach der Installation während der Ersteinrichtung vorgenommen, die jedoch ohne grafische Benutzeroberfläche nicht zugänglich war. Jetzt kann Kdump während der Installation auch auf Systemen ohne grafische Benutzerumgebung konfiguriert werden. Sie erreichen den neuen Bildschirm vom Hauptmenü des Installationsprogramms (Zusammenfassung der Installation).
Der Bildschirm zur manuellen Partitionierung wurde überarbeitet, um das Benutzererlebnis zu verbessern. Einige Konfigurationsoptionen wurden an andere Stellen auf dem Bildschirm verlegt.
Auf dem Bildschirm Netzwerk & Hostname des Installationsprogramms können Sie nun eine Netzwerk-Bridge konfigurieren. Klicken Sie dazu auf die Schaltfläche + unten in der Schnittstellenliste, wählen Sie Bridge aus dem Menü und konfigurieren Sie die Bridge im Dialog Bridge-Verbindung bearbeiten, der daraufhin erscheint. Dieser Dialog wird vom NetworkManager gestellt und wird im Red Hat Enterprise Linux 7.1 Networking Guide vollständig dokumentiert.
Mehrere neue Kickstart-Optionen wurden ebenfalls für die Bridge-Konfiguration hinzugefügt. Siehe unten für Details.
Das Installationsprogramm verwendet nicht länger mehrere Konsolen, um Protokolle anzuzeigen. Stattdessen werden alle Protokolle in tmux-Fenstern in der virtuellen Konsole 1 (tty1) angezeigt. Um die Protokolle während der Installation anzuzeigen, drücken Sie Strg+Alt+F1, um zu tmux zu wechseln, und nutzen Sie anschließend Strg+b X, um zwischen verschiedenen Fenstern zu wechseln (ersetzen Sie dazu X durch die Nummer des gewünschten Fensters, die jeweils unten im Bildschirm angezeigt wird).
Um zurück zur grafischen Oberfläche zu gelangen, drücken Sie Strg+Alt+F6.
Die Befehlszeilenschnittstelle für Anaconda beinhaltet nun eine vollständige Hilfe. Um die Hilfe einzusehen, geben Sie auf einem System mit installiertem anaconda-Paket den Befehl anaconda -h ein. Die Befehlszeilenschnittstelle ermöglicht Ihnen das Ausführen des Installationsprogramms auf einem bereits installierten System, was nützlich für Installationen von einem Festplattenimage ist.
Kickstart-Befehle und -Optionen
Der Befehl logvol hat eine neue Option namens --profile=. Verwenden Sie diese Option, um den Namen des Konfigurationsprofils anzugeben, das für „thin“ logische Datenträger verwendet werden soll. Falls verwendet, wird der Name ebenfalls in die Metadaten des logischen Datenträgers aufgenommen.
Standardmäßig lauten die verfügbaren Profile default und thin-performance und sind im Verzeichnis /etc/lvm/profile definiert. Auf der man-Seite von lvm(8) finden Sie weitere Informationen.
Die Option --autoscreenshot des Kickstart-Befehls autostep wurde korrigiert und speichert nun ordnungsgemäß einen Screenshot pro Bildschirm in das Verzeichnis /tmp/anaconda-screenshots, sobald der jeweilige Bildschirm verlassen wird. Nach Abschluss der Installation werden diese Screenshots in das Verzeichnis /root/anaconda-screenshots verlegt.
Der Befehl liveimg unterstützt nun eine Installation von tar-Dateien sowie von Festplatten-Images. Das tar-Archiv muss das root-Dateisystem des Installationsmediums enthalten und der Dateiname mus auf .tar, .tbz, .tgz, .txz, .tar.bz2, .tar.gz oder .tar.xz enden.
Mehrere neue Optionen wurden zum network-Befehl zur Konfiguration von Netzwerk-Bridges hinzugefügt. Diese Optionen lauten:
--bridgeslaves=: Wird diese Option verwendet, wird die Netzwerk-Bridge unter dem mittels der Option --device= angegebenen Namen erstellt und die Geräte, die in der Option --bridgeslaves= definiert sind, werden zur Bridge hinzugefügt. Zum Beispiel:
network --device=bridge0 --bridgeslaves=em1
--bridgeopts=: Eine optionale, kommagetrennte Liste mit Parametern für die Bridge-Schnittstelle. Verfügbare Werte sind stp, priority, forward-delay, hello-time, max-age und ageing-time. Weitere Informationen über diese Parameter finden Sie auf der man-Seite für nm-settings(5).
Der Befehl autopart hat eine neue Option namens --fstype. Diese Option ermöglicht es Ihnen, das standardmäßige Dateisystem (xfs) zu ändern, wenn Sie die automatische Partitionierung in einer Kickstart-Datei verwenden.
Mehrere neue Features wurden zu Kickstart hinzugefügt für verbesserte Docker-Unterstützung. Darunter:
repo --install: Diese neue Option speichert die angegebene Repository-Konfiguration auf dem installierten System im Verzeichnis /etc/yum.repos.d/. Ohne diese Option steht ein in der Kickstart-Datei konfiguriertes Repository lediglich während der Installation zur Verfügung, nicht aber auf dem installierten System.
bootloader --disabled: Diese Option verhindert die Installation eines Bootloaders.
%packages --nocore: Eine neue Option für den Abschnitt %packages einer Kickstart-Datei, die das System daran hindert, die Paketgruppe @core zu installieren. Dies ermöglicht die Installation von extrem einfachen Systemen zum Einsatz mit Containern.
Bitte beachten Sie, dass die beschriebenen Optionen nur sinnvoll sind in Kombination mit Docker-Containern und dass diese Optionen in Allzweckinstallationen zu unbrauchbaren Systemen führen können.
Anaconda-Entropie
In Red Hat Enterprise Linux 7.1 sammelt Anaconda Entropie, falls die Festplatte verschlüsselt werden soll, um mögliche Sicherheitsrisiken zu vermeiden, die andernfalls entstehen könnten, falls ein verschlüsseltes Format für Daten mit einer geringen Entropie erstellt wird. Aus diesem Grund wartet Anaconda, bis genug Entropie gesammelt wurde, und gibt dem Benutzer Hinweise zur Verkürzung der Wartezeit.
Integrierte Hilfe im grafischen Installationsprogramm
Jeder Bildschirm in der grafischen Benutzeroberfläche des Installationsprogramms und der
Ersteinrichtung verfügt nun über eine
Hilfe-Schaltfläche in der rechten oberen Ecke. Ein Klick auf diese Schaltfläche öffnet den Abschnitt des
Installation Guide, der sich auf den jeweiligen Bildschirm bezieht, im
Yelp-Hilfebrowser.
Installationsmedien für IBM Power Systems verwenden nun den GRUB2-Bootloader anstelle des bislang angebotenen yaboot-Bootloaders. Für die Big-Endian-Variante von Red Hat Enterprise Linux für POWER wird GRUB2 empfohlen, yaboot kann jedoch auch verwendet werden. Die neu eingeführte Little-Endian-Variante erfordert GRUB2 zum Booten.
Der
Installation Guide wurde aktualisiert mit Anweisungen zum Einrichten eines Netzwerk-Bootservers für IBM Power Systems unter Verwendung von
GRUB2.
LVM Cache
In Red Hat Enterprise Linux 7.1 wird der LVM-Cache voll unterstützt. Dieses Feature ermöglicht es Benutzern, logische Datenträger zu erstellen mit einem kleinen, schnellen Gerät als Cache für größere, langsamere Geräte. Werfen Sie einen Blick auf die man-Seite lvm(8) für Informationen über die Erstellung von logischen Cache-Datenträgern.
Beachten Sie die folgenden Einschränkungen bei der Verwendung der Cache Logical Volumes (LV):
Bei dem Cache LV muss es sich um ein Gerät der höchsten Ebene handeln. Es kann nicht als Thin-Pool-LV, als Image eines RAID-LVs oder als anderer Sub-LV-Typ verwendet werden.
Die Eigenschaften des Cache LVs können nach dem Erstellen nicht mehr geändert werden. Um die Eigenschaften des Caches zu ändern, entfernen Sie den Cache und erstellen Sie ihn mit den gewünschten Eigenschaften neu.
Verwaltung von Storage Arrays mittels libStorageMgmt-API
Red Hat Enterprise Linux 7.1 unterstützt die Verwaltung von Storage Arrays mit libStorageMgmt voll. libStorageMgmt ist eine Programmierschnittstelle unabhängig vom Storage Array. Sie liefert eine stabile und konsistente API, die es Entwicklern ermöglicht, befehlsorientiert verschiedene Storage Arrays zu verwalten und die bereitgestellten Features der Hardwarebeschleunigung zu nutzen. Systemadministratoren können libStorageMgmt auch zur manuellen Speicherverwaltung und zur Automatisierung von Speicherverwaltungsaufgaben per Befehlszeile nutzen. Bitte beachten Sie, dass das Targetd-Plugin nicht voll unterstützt wird und nach wie vor eine Technologievorschau ist.
NetApp Filer (ontap 7-Modus)
Nexenta (nur nstor 3.1.x)
SMI-S, für die folgenden Anbieter:
Unterstützung für LSI Syncro
Red Hat Enterprise Linux 7.1 enthält Code im
megaraid_sas-Treiber, um LSI Syncro CS HA-DAS-Treiber (High-Availability Direct-Attached Storage) zu aktivieren. Der
megaraid_sas-Treiber wird für bereits aktivierte Adapter vollständig unterstützt, die Verwendung dieses Treibers für Syncro CS steht dagegen als Technologievorschau zur Verfügung. Support für diesen Adapter erhalten Sie direkt von LSI (Ihrem Systemintegrator) oder vom Systemanbieter. Benutzer, die Syncro CS auf Red Hat Enterprise Linux 7.1 einsetzen, werden dazu ermutigt, Red Hat und LSI ihr Feedback zu geben. Weitere Informationen über LSI Syncro CS Lösungen finden Sie unter
http://www.lsi.com/products/shared-das/pages/default.aspx.
LVM-Programmierschnittstelle
Red Hat Enterprise Linux 7.1 stellt die neue LVM-Programmierschnittstelle als Technologievorschau zur Verfügung. Diese API wird dazu verwendet, um bestimmte Aspekte von LVM abzufragen und zu steuern.
In der lvm2app.h-Header-Datei finden Sie weitere Informationen.
DIF/DIX-Unterstützung
DIF/DIX ist ein neuer Zusatz zum SCSI-Standard und als Technologievorschau in Red Hat Enterprise Linux 7.1 enthalten. DIF/DIX erhöht die Größe des üblicherweise verwendeten 512-Byte-Festplattenblocks von 512 auf 520 Bytes, indem das Data Integrity Field (DIF) hinzugefügt wurde. Das DIF speichert den Prüfsummenwert für den Datenblock, der vom Host Bus Adapter (HBA) berechnet wird, wenn ein Schreibvorgang erfolgt. Das Speichergerät bestätigt anschließend die Prüfsumme und speichert sowohl die Daten als auch die Prüfsumme. Umgekehrt kann die Prüfsumme während eines Lesevorgangs vom Speichergerät und vom empfangenden HBA gelesen werden.
Verbesserte device-mapper-multipath Syntax-Fehlerprüfung und Ausgabe
Das device-mapper-multipath-Tool wurde verbessert, um die multipath.conf-Datei zuverlässiger zu prüfen. Wenn multipath.conf Zeilen enthält, die sich nicht analysieren lassen, so meldet device-mapper-multipath jetzt einen Fehler und die betreffenden Zeilen werden ignoriert, um eine fehlerhafte Analyse zu vermeiden.
Außerdem wurden die folgenden Platzhalterausdrücke für den Befehl
multipathd show paths format hinzugefügt:
Es ist nun einfacher, Multipaths mit spezifischen Fibre Channel Hosts, Zielen und deren Ports zu verknüpfen, was es Benutzern ermöglicht, ihre Speicherkonfiguration wirksamer zu verwalten.
Unterstützung für Btrfs-Dateisystem
Das Btrfs (B-Tree) Dateisystem wird in Red Hat Enterprise Linux 7.1 als Technologievorschau unterstützt. Dieses Dateisystem bietet fortgeschrittene Funktionen zur Verwaltung, Zuverlässigkeit und Skalierbarkeit. Es ermöglicht Benutzern das Erstellen von Snapshots und unterstützt die Komprimierung und integrierte Geräteverwaltung.
Unterstützung für Parallel NFS
Parallel NFS (pNFS) ist ein Teil des NFS v4.1 Standards, der Clients den direkten und parallelen Zugriff auf Speichergeräte gestattet. Die pNFS-Architektur kann die Skalierbarkeit und Leistung von NFS-Servern für die üblichen Workloads verbessern.
pNFS definiert drei verschiedene Speicherprotokolle oder Layouts: Dateien, Objekte und Blöcke. Der Red Hat Enterprise Linux 7.1 Client unterstützt das Dateilayout vollständig und die Block- und Objektlayouts als Technologievorschau.
Red Hat arbeitet weiterhin mit Partnern und Open-Source-Projekten zusammen, um neue pNFS-Layouttypen zu qualifizieren und um in Zukunft volle Unterstützung für mehr Layouttypen anbieten zu können.
Unterstützung für Ceph-Blockgeräte
Die Module libceph.ko und rbd.ko wurden zum Red Hat Enterprise Linux 7.1 Kernel hinzugefügt. Diese RBD-Kernel-Module ermöglichen es einem Linux-Host, ein Ceph-Blockgerät als ein reguläres Festplattengerät zu sehen, das in einem Verzeichnis eingehängt und mit einem standardmäßigen Dateisystem wie z. B. XFS oder ext4 formatiert werden kann.
Beachten Sie, dass das CephFS-Modul ceph.ko derzeit in Red Hat Enterprise Linux 7.1 nicht unterstützt wird.
Nebenläufige Flash-MCL-Updates
Microcode Level Upgrades (MCL) sind in Red Hat Enterprise Linux 7.1 auf der IBM System z Architektur aktiviert. Diese Upgrades können angewendet werden ohne Auswirkungen auf I/O-Operationen des Flash-Speichermediums, während Benutzer über das geänderte Flash-Hardware-Servicelevel informiert werden.
Dynamisches Kernel-Patching
Red Hat Enterprise Linux 7.1 führt kpatch, ein dynamisches Kernel-Patch-Dienstprogramm, als Technologievorschau ein. Das kpatch-Dienstprogramm ermöglicht Benutzern das Verwalten einer Sammlung von binären Kernel-Patches, die dazu genutzt werden können, den Kernel dynamisch zu patchen ohne Neustart. Beachten Sie, dass kpatch nur auf AMD64 und Intel 64 Architekturen unterstützt wird.
Crashkernel mit mehr als 1 CPU
Red Hat Enterprise Linux 7.1 ermöglicht das Booten von Crashkernel mit mehr als einer CPU. Diese Funktion wird als Technologievorschau unterstützt.
dm-era-Ziel
Red Hat Enterprise Linux 7.1 führt das dm-era Device-Mapper-Ziel als Technolgievorschau ein. dm-era beobachtet, welche Blöcke innerhalb eines benutzerdefinierten Zeitraums, genannt "Ära", geschrieben wurden. Jede Ära-Zielinstanz führt die aktuelle Ära als gleichmäßig fortlaufenden 32-Bit-Zähler. Dieses Ziel ermöglicht es Backup-Software nachzuverfolgen, welche Blöcke seit dem letzten Backup verändert wurden. Es ermöglicht auch eine teilweise Invalidierung von Cache-Inhalten, um die Cache-Kohärenz nach dem Zurücksetzen auf einen Anbieter-Snapshot wiederherzustellen. Das dm-era-Ziel wird voraussichtlich in erster Linie mit dem dm-cache-Ziel verknüpft.
Cisco VIC Kernel-Treiber
Der Cisco VIC Infiniband Kernel-Treiber wurde zu Red Hat Enterprise Linux 7.1 als Technologievorschau hinzugefügt. Dieser Treiber ermöglicht die Verwendung von Remote Directory Memory Access (RDMA)-ähnlichen Semantiken auf proprietären Cisco-Architekturen.
Verbesserte Entropie-Verwaltung in hwrng
Die Unterstützung für den paravirtualisierten Hardware-RNG (hwrng) für Linux-Gäste per virtio-rng wurde in Red Hat Enterprise Linux 7.1 verbessert. Bislang musste der rngd-Daemon innerhalb des Gasts gestartet und an den Entropie-Pool des Gast-Kernels verwiesen werden. In Red Hat Enterprise Linux 7.1 ist dieser manuelle Schritt nicht mehr nötig. Ein neuer khwrngd-Thread sammelt Entropie vom virtio-rng-Gerät, falls die Gast-Entropie unter einen bestimmten Wert sinkt. Dass dieser Prozess transparent gemacht wurde, hilft allen Red Hat Enterprise Linux Gästen dabei, die verbesserten Sicherheitsvorteile zu nutzen, die der paravirtualisierte Hardware-RNG von KVM-Hosts mit sich bringt.
Verbesserung an der Leistung der Scheduler-Lastverteilung
Bislang führte der Scheduler-Lastverteilungs-Code die Lastverteilung für alle untätigen CPUs aus. In Red Hat Enterprise Linux 7.1 erfolgt die Lastverteilung auf untätige CPUs nur dann, wenn die CPU für die Lastverteilung fällig ist. Dieses neue Verhalten reduziert die Lastverteilung auf CPUs, die nicht untätig sind, und reduziert somit die Menge an unnötiger Arbeit für den Scheduler, dessen Leistung sich infolgedessen verbessert.
Verbesserte newidle-Balance im Scheduler
Das Verhalten des Schedulers wurde geändert, sodass er nicht länger im newidle-Balance-Code nach ausführbaren Tasks sucht, was zu verbesserter Leistung führt.
HugeTLB unterstützt 1 GB Huge-Page-Zuweisung pro Knoten
Red Hat Enterprise Linux 7.1 enthält nun Unterstützung für die Zuweisung sehr großer Speicherseiten zur Laufzeit, wodurch die Benutzer von 1 GB hugetlbfs angeben können, auf welchem NUMA-Knoten (Non-Uniform Memory Access) die 1 GB zur Laufzeit zugewiesen werden sollen.
Neuer MCS-basierter Sperrmechanismus
Red Hat Enterprise Linux 7.1 führt einen neuen Sperrmechanismus namens MCS-Sperren ein. Dieser neue Sperrmechanismus verringert deutlich den spinlock-Overhead in großen Systemen, wodurch spinlocks im Allgemeinen effizienter in Red Hat Enterprise Linux 7.1 arbeitet.
Prozessstapelgröße erhöht von 8 KB auf 16 KB
Ab Red Hat Enterprise Linux 7.1 wurde die Größe des Kernel-Prozessstapels erhöht von 8 KB auf 16 KB, um großen Prozessen zu helfen, die Stapelplatz benötigen.
uprobe- und uretprobe-Features aktiviert in perf und systemtap
In Red Hat Enterprise Linux 7.1 funktionieren die uprobe- und uretprobe-Features ordnungsgemäß mit dem perf-Befehl und dem systemtap-Skript.
End-To-End-Datenkonsistenzprüfung
End-To-End-Datenkonsistenzprüfung auf IBM System z wird vollständig unterstützt in Red Hat Enterprise Linux 7.1. Dies verbessert die Datenintegrität und verhindert die Beschädigung und den Verlust von Daten effektiver als bisher.
DRBG auf 32-Bit-Systemen
In Red Hat Enterprise Linux 7.1 wurde der Deterministic Random Bit Generator (DRBG) aktualisiert und funktioniert nun auch auf 32-Bit-Systemen.
Unterstützung für große Crashkernel-Größen
Der Kernel-Crash-Dumping-Mechanismus Kdump wird nun in Red Hat Enterprise Linux 7.1 auf Systemen mit viel Arbeitsspeicher (über 4 TB) vollständig unterstützt.
Kapitel 6. Virtualisierung
Erhöhung der maximalen Anzahl von vCPUs in KVM
Die maximal unterstützte Anzahl an virtuellen CPUs (vCPUs) in einem KVM-Gast wurde auf 240 erhöht. Dies erhöht die Anzahl virtueller Recheneinheiten, die ein Benutzer einem Gast zuweisen kann und verbessert somit das Leistungspotenzial.
Unterstützung für neue Intel Core Instruktionen der 5ten Generation in QEMU-, KVM- und libvirt-API
Bei Red Hat Enterprise Linux 7.1 wurde dem QEMU-Hypervisor, dem KVM-Kernelcode und der libvirt-API Unterstützung für neue Intel Core Prozessoren hinzugefügt. Dies ermöglicht KVM-Gästen die Verwendung der folgenden Instruktionen und Features: ADCX, ADOX, RDSFEED, PREFETCHW und Supervisor Mode Access Prevention (SMAP).
USB 3.0 Unterstützung für KVM-Gäste
Red Hat Enterprise Linux 7.1 bietet verbesserte USB-Unterstützung, indem USB 3.0 Hostadapter (xHCI) Emulation als Technologievorschau hinzugefügt wird.
Kompression für den Befehl dump-guest-memory
Bei Red Hat Enterprise Linux 7.1 unterstützt der Befehl dump-guest-memory Crash-Dump-Kompression. Dies ermöglicht es Benutzern, die den Befehl virsh dump nicht verwenden können, weniger Festplattenplatz für Gast-Crash-Dumps aufzuwenden. Außerdem kostet das häufige Speichern eines komprimierten Gast-Crash-Dumps weniger Zeit als das Speichern eines nicht komprimierten.
Open Virtual Machine Firmware
Die Open Virtual Machine Firmware (OVMF) ist als eine Technologievorschau in Red Hat Enterprise Linux 7.1 verfügbar. OVMF ist eine sichere UEFI-Boot-Umgebung für Gäste in AMD64 und Intel 64.
Leistungsverbesserungen des Netzwerks bei Hyper-V
Mehrere neue Features des Hyper-V Netzwerktreibers werden unterstützt, um die Leistung des Netzwerks zu verbessern. Zum Beispiel werden jetzt Receive-Side Scaling, Large Send Offload, Scatter/Gather I/O unterstützt und der Netzwerkdurchlauf ist erhöht.
hypervfcopyd in hyperv-daemons
Der hypervfcopyd-Daemon wurde den hyperv-daemons-Paketen hinzugefügt. hypervfcopyd ist eine Implementierung der Dateikopierdienstfunktionalität für Linux-Gäste, die auf einem Hyper-V 2012 R2 Host laufen. Er gestattet es dem Host, eine Datei zum Linux-Gast zu kopieren (über VMBUS).
Neue Features in libguestfs
Red Hat Enterprise Linux 7.1 stellt eine Reihe neuer Features in libguestfs vor, einen Satz von Tools für den Zugriff und das Bearbeiten von Festplattenimages virtueller Maschinen.
Neue Tools
virt-customize – ein neues Tool für das Anpassen von Festplattenimages virtueller Maschinen. Verwenden Sie virt-customize zur Installation von Paketen, für die Bearbeitung von Konfigurationsdateien, die Ausführung von Skripten und die Einstellung von Passwörtern.
virt-log – ein neues Tool für das Auflisten von Protokolldateien von Gästen. Das Tool virt-log unterstützt eine Vielfalt an Gästen, darunter traditionelles Linux, Journal verwendendes Linux und das Windows-Ereignisprotokoll.
virt-v2v – ein neues Tool für die Umwandlung von Gästen eines fremden Hypervisors für den Betrieb in KVM, verwaltet durch libvirt, OpenStack, oVirt, Red Hat Enterprise Virtualization (RHEV) und mehrere andere Ziele. Derzeit kann virt-v2v Red Hat Enterprise Linux und Windows-Gäste konvertieren, die auf Xen und VMware ESX laufen.
Verbesserte Block-I/O-Leistung mittels virtio-blk-data-plane
Die virtio-blk-data-plane I/O-Virtualisierungsfunktionalität wird in Red Hat Enterprise Linux 7.1 voll unterstützt. Diese Funktionalität erweitert QEMU, um Platten-I/O in einem dedizierten Thread durchzuführen, der für I/O-Leistung optimiert ist.
Flight Recorder Tracing
SystemTap-basiertes Tracing wurde in Red Hat Enterprise Linux 7.1 eingeführt. SystemTap-basiertes Tracing ermöglicht Benutzern die automatische Aufzeichnung von qemu-kvm-Daten, so lange der Gastrechner in Betrieb ist. Dies bietet eine zusätzliche Möglichkeit der Fehlersuche bei qemu-kvm-Problemen, die flexibler ist als qemu-kvm Core-Dumps.
Steuerung der Speicherzuweisung in NUMA-Knoten
Der <memnode> wurde für die <numatune>-Einstellung in der Domänen-XML-Konfiguration von libvirt hinzugefügt. Dies ermöglicht es Benutzern, Speichereinschränkungen für jeden Non-Uniform Memory Access (NUMA) Knoten des Gast-Betriebssystems zu steuern, was eine Leistungsoptimierung für qemu-kvm gestattet.
Dynamischer Token-Timeout für Corosync
Die Option token_coefficient wurde zur Corosync Cluster Engine hinzugefügt. Der Wert für token_coefficient wird nur dann verwendet, wenn der Abschnitt nodelist angegeben ist und mindestens drei Knoten enthält. In diesem Fall wird der Token-Timeout folgendermaßen berechnet:
[Token + (Anzahl der Knoten - 2)] * token_coefficient
Dies ermöglicht eine Skalierung des Clusters, ohne jedes Mal manuell den Token-Timeout anpassen zu müssen, wenn ein neuer Knoten hinzugefügt wird. Der Standardwert lautet 650 Millisekunden, kann jedoch auf 0 gesetzt werden, wodurch dieses Feature effektiv deaktiviert wird.
Dieses Feature erlaubt Corosync das dynamische Hinzufügen und Entfernen von Knoten.
Verbesserungen an Corosync-Tie-Breaker
Das Quorum-Feature auto_tie_breaker von Corosync wurde verbessert, um Optionen für eine flexiblere Konfiguration und Änderung von Tie-Breaker-Knoten zu ermöglichen. Benutzer können nun entweder eine Liste von Knoten auswählen, die im Falle einer Aufspaltung des Clusters in gleichgroße Hälften ein Quorum bewahren, oder aber festlegen, dass der Knoten mit der niedrigsten bzw. höchsten Knoten-ID das Quorum bewahrt.
Verbesserungen an Red Hat High Availability
Für die Red Hat Enterprise Linux 7.1 Release unterstützt das Red Hat High Availability Add-On die folgenden Features. Informationen über diese Features finden Sie im Handbuch High Availability Add-On Reference.
Der Befehl pcs resource cleanup kann nun den Ressourcenstatus und den failcount für alle Ressourcen zurücksetzen.
Sie können den Parameter lifetime zu dem Befehl pcs resource move angeben, um festzulegen, wie lange die Resourcenbeschränkung, die dieser Befehl erstellt, wirksam sein soll.
Sie können den Befehl pcs acl dazu verwenden, um mittels Access Control Lists (ACLs) Berechtigungen für lokale Benutzer einzustellen, die Leseberechtigungen oder Lese- und Schreibberechtigungen für die Cluster-Konfiguration gewähren.
Der Befehl pcs constraint unterstützt nun die Konfiguration spezieller Optionen für die Beschränkungen zusätzlich zu allgemeinen Ressourcenoptionen.
Der Befehl pcs resource create unterstützt den Parameter disabled um anzuzeigen, dass die erstellte Ressource nicht automatisch gestartet wird.
Der Befehl pcs cluster quorum unblock verhindert, dass der Cluster beim Feststellen des Quorums auf alle Knoten wartet.
Mithilfe der Parameter before und after des Befehls pcs resource create können Sie die Reihenfolge der Ressourcengruppe konfigurieren.
Mit den Optionen backup und restore des Befehls pcs config können Sie die Cluster-Konfiguration in einem Tarball sichern und die Cluster-Konfiguration von diesem Backup auf allen Knoten wiederherstellen.
Kapitel 8. Compiler und Werkzeuge
Hot-Patching-Unterstützung für Linux auf System z Binärdateien
GNU Compiler Collection (
GCC) implementiert Unterstützung für Patching im laufenden Betrieb von Multi-Thread-Code für Linux auf System z Binärdaten. Die Auswahl bestimmter Funktionen zum Hot Patching wird aktiviert mithilfe eines „Funktionsattributs“ und Hot Patching für alle Funktionen kann aktiviert werden mit der Befehlszeilenoption
-mhotpatch.
Wird das Hot Patching aktiviert, hat dies negative Auswirkungen auf den Softwareumfang und die Leistung. Es wird daher empfohlen, Hot Patching nur für bestimmte Funktionen zu aktivieren, nicht für alle Funktionen.
Die Hot-Patching-Unterstützung für Linux auf System z Binärdaten war eine Technologievorschau für Red Hat Enterprise Linux 7.0. In der Red Hat Enterprise Linux 7.1 Release wird dieses Feature nun vollständig unterstützt.
Verbesserungen an dem Performance Application Programming Interface (PAPI)
Red Hat Enterprise Linux 7 enthält das
Performance Application Programming Interface (
PAPI).
PAPI ist eine Spezifikation für plattformübergreifende Schnittstellen zu Hardware-Leistungszählern auf modernen Mikroprozessoren. Diese Zähler existieren als kleine Gruppe von Registern, die Ereignisse zählen, die das Auftreten bestimmter Signale einer Prozessorfunktion darstellen. Die Überwachung dieser Ereignisse dient einer Vielzahl von Zwecken rund um die Analyse und Optimierung der Applikationsleistung.
In Red Hat Enterprise Linux 7.1 wurden
PAPI und die zugehörigen
libpfm-Bibliotheken verbessert, um Unterstützung für IBM Power 8, Applied Micro X-Gene, ARM Cortex A57 und ARM Cortex A53 Prozessoren zu bieten. Darüber hinaus wurden für Intel Haswell, Ivy Bridge und Sandy Bridge Prozessoren die Ereignisgruppen aktualisiert.
OProfile
OProfile ist ein systemweiter Profiler für Linux-Systeme. Das Profiling läuft transparent im Hintergrund und Profildaten können zu jedem Zeitpunkt gesammelt werden. In Red Hat Enterprise Linux 7.1 wurde OProfile verbessert, um Unterstützung für die folgenden Prozessorfamilien zu bieten: Intel Atom Prozessor C2XXX, 5th Generation Intel Core Prozessoren, IBM Power8, AppliedMicro X-Gene und ARM Cortex A57.
OpenJDK8
Red Hat Enterprise Linux 7.1 implementiert die java-1.8.0-openjdk-Pakete als Technologievorschau, welche die neueste Version des Open Java Development Kits (OpenJDK), OpenJDK8, enthalten. Diese Pakete bieten eine vollständig konforme Implementierung von Java SE 8 und können parallel zu vorhandenen java-1.7.0-openjdk-Paketen verwenden werden, die weiterhin in Red Hat Enterprise Linux 7.1 zur Verfügung stehen.
Java 8 bringt zahlreiche neue Verbesserungen ein wie z. B. Lambda-Ausdrücke, Standardmethoden, eine neue Stream-API für Sammlungen, JDBC 4.2, Hardware-AES-Unterstützung, usw. OpenJDK8 enthält zudem zahlreiche Leistungsverbesserungen und Fehlerbehebungen.
sosreport ersetzt snap
Das veraltete snap-Tool wurde aus dem Paket powerpc-utils entfernt. Dessen Funktionalität wurde in das sosreport-Tool integriert.
GDB-Unterstützung für Little Endian 64-Bit PowerPC
Red Hat Enterprise Linux 7.1 implementiert Unterstützung für die 64-Bit PowerPC Little-Endian-Architektur im GNU Debugger (GDB).
Tuna-Verbesserungen
Tuna ist ein Tool, das zur Einstellung von Scheduler-Parametern wie z. B. der Scheduler-Richtlinie, RT-Priorität und CPU-Affinität verwendet werden kann. In Red Hat Enterprise Linux 7.1 wurde die
Tuna-Benutzeroberfläche verbessert, um nun beim Start das root-Passwort abzufragen, damit der Benutzer nicht den Desktop als root ausführen muss, um die
Tuna-Benutzeroberfläche aufzurufen. Weitere Informationen über
Tuna finden Sie im
Tuna User Guide.
Trusted Network Connect
Red Hat Enterprise Linux 7.1 führt die Funktionalität für Trusted Network Connect als Technologievorschau ein. Trusted Network Connect wird mit vorhandenen Lösungen zur Network Access Control (NAC) wie TLS, 802.1X oder IPsec verwendet, um Endpoint Posture Assessment zu integrieren. Dabei werden Systeminformationen vom Endpunkt gesammelt wie z. B. Konfigurationseinstellungen des Betriebssystems, installierte Pakete und mehr zur Integritätsmessung. Trusted Network Connect dient zum Abgleich dieser Messwerte mit den Richtlinien zum Netzwerkzugriff, bevor es dem Endpunkt gestattet wird, auf das Netzwerk zuzugreifen.
SR-IOV-Funktionalität im qlcnic-Treiber
Unterstützung für Single-Root I/O Virtualisierung (SR-IOV) wurde zum qlcnic Treiber als Technologievorschau hinzugefügt. Support für diese Funktionalität wird direkt von QLogic bereitgestellt und Kunden werden dazu ermutigt, QLogic und Red Hat ihr Feedback mitzuteilen. Andere Funktionalitäten im qlcnic-Treiber bleiben vollständig unterstützt.
Berkeley-Paketfilter
Unterstützung für einen auf dem Berkeley-Paketfilter (BPF) basierenden
Traffic Classifier wurde zu Red Hat Enterprise Linux 7.1 hinzugefügt. BPF wird bei der Paketfilterung für Paket-Sockets, für das Sandboxing im sicheren Modus (
Secure Computing Mode oder kurz
seccomp) und in Netfilter verwendet. BPF hat eine Just-in-Time-Implementierung für die wichtigsten Architekturen und verfügt über eine umfassende Syntax zur Erstellung von Filtern.
Verbesserte Stabilität des Taktgebers
In der Vergangenheit haben Tests gezeigt, dass eine Deaktivierung der Tickless-Kernel-Funktion die Stabilität der Systemuhr deutlich verbessern konnte. Der Tickless-Kernel-Modus kann deaktiviert werden, indem Sie nohz=off zu den Kernel-Bootparametern hinzufügen. Allerdings haben neue Verbesserungen am Kernel in Red Hat Enterprise Linux 7.1 die Stabilität der Systemuhr sehr verbessert, sodass der Unterschied in der Stabilität mit bzw. ohne Verwendung des Parameters nohz=off für die meisten Benutzer nun sehr viel geringer sein sollte. Dies ist hilfreich für Applikationen zur Zeitsynchronisation, die PTP und NTP verwenden.
libnetfilter_queue-Pakete
Das Paket libnetfilter_queue wurde zu Red Hat Enterprise Linux 7.1 hinzugefügt. libnetfilter_queue ist eine Userspace-Bibliothek, die eine API für Pakete bietet, die vom Kernel-Paketfilter in die Warteschlange platziert wurden. Es ermöglicht den Empfang von Paketen aus der Warteschlange vom Kernel-Subsystem nfnetlink_queue, die Analyse der Pakete, das Umschreiben der Paket-Header und die Einspeisung geänderter Pakete.
Verbesserungen am Teaming
Das Paket libteam wurde in Red Hat Enterprise Linux 7.1 aktualisiert auf Version 1.14-1. Es liefert eine Reihe von Fehlerbehebungen und Verbesserungen. Insbesondere kann teamd nun automatisch durch systemd neu erzeugt werden, was die Zuverlässigkeit insgesamt verbessert.
Treiber für die Intel-QuickAssist-Technologie
Der Treiber für die Intel QuickAssist Technology (QAT) wurde zu Red Hat Enterprise Linux 7.1 hinzugefügt. Der QAT-Treiber unterstützt QuickAssist-Hardware, die es kryptografischer Hardware ermöglicht, die Kryptografie auf einem System zu handhaben.
LinuxPTP-Timemaster-Unterstützung für Failover zwischen PTP und NTP
Das Paket linuxptp wurde in Red Hat Enterprise Linux 7.1 aktualisiert auf Version 1.4. Es liefert eine Reihe von Fehlerbehebungen und Verbesserungen. Insbesondere bietet es Unterstützung für Failover zwischen PTP-Domains und NTP-Quellen unter Verwendung der timemaster-Applikation. Wenn es mehrere PTP-Domains auf dem Netzwerk gibt oder ein Wechsel zu NTP notwendig ist, kann das timemaster-Programm dazu genutzt werden, die Systemuhr mit allen verfügbaren Zeitquellen zu synchronisieren.
Netzwerk-Initscripts
Unterstützung für benutzerdefinierte VLAN-Namen wurde in Red Hat Enterprise Linux 7.1 hinzugefügt. Verbesserte Unterstützung für IPv6 in GRE-Tunnels wurde hinzugefügt; die innere Adresse bleibt nun über Neustarts hinweg bestehen.
TCP Delayed ACK
Unterstützung für einen konfigurierbaren TCP Delayed ACK (verzögerten ACK) wurde zum Paket iproute in Red Hat Enterprise Linux 7.1 hinzugefügt. Dies kann durch den Befehl ip route quickack aktiviert werden.
NetworkManager
Die Bonding-Option lacp_rate wird nun in Red Hat Enterprise Linux 7.1 unterstützt. Der NetworkManager wurde dahingehend verbessert, dass nun eine einfache Umbenennung von Geräten möglich ist, wenn Master-Schnittstellen mit Slave-Schnittstellen umbenannt werden.
Darüber hinaus wurde eine Prioritätseinstellung zur Auto-Connect-Funktion des NetworkManagers hinzugefügt. Falls mehr als ein möglicher Kandidat zur automatischen Verbindung verfügbar ist, wählt der NetworkManager die Verbindung mit der höchsten Priorität. Falls alle verfügbaren Verbindungen dieselben Prioritätswerte haben, fällt der NetworkManager auf das Standardverhalten zurück und wählt die zuletzt aktive Verbindung aus.
Netzwerk-Namensräume und VTI
Unterstützung für
Virtual Tunnel Interfaces (
VTI) mit Netzwerk-Namensräumen wurde in Red Hat Enterprise Linux 7.1 hinzugefügt. Dies ermöglicht es, Datenverkehr von einem VTI zwischen verschiedenen Namensräumen zu übertragen, wenn Pakete eingekapselt oder entkapselt werden.
Alternativer Konfigurationsspeicher für das MemberOf-Plugin
Die Konfiguration des MemberOf-Plugins für den 389 Directory Server kann nun in einem Suffix gespeichert werden, das einer Back-End-Datenbank zugewiesen ist. Dadurch kann die Konfiguration des MemberOf-Plugins repliziert werden, was es dem Benutzer vereinfacht, in einer replizierten Umgebung eine konsistente Konfiguration des MemberOf-Plugins zu bewahren.
Kapitel 10. Linux-Container mit Docker-Format
Docker ist ein Open-Source-Projekt, das die Bereitstellung von Applikationen innerhalb von Linux-Containern automatisiert und dazu in der Lage ist, eine Applikation samt deren Laufzeitabhängigkeiten in einen Container zu packen. Es bietet ein Docker-Befehlszeilentool zur Lebenszyklusverwaltung von imagebasierten Containern. Linux-Container ermöglichen eine schnelle Bereitstellung von Applikationen, vereinfachte Tests, Verwaltung und Fehlersuche bei verbesserter Sicherheit. Die Verwendung von Red Hat Enterprise Linux 7 mit Docker ermöglicht Kunden eine gesteigerte Effizienz ihrer Mitarbeiter, eine schnellere Bereitstellung von Applikationen von Drittanbietern, eine flexiblere Entwicklungsumgebung und eine knappere Verwaltung von Ressourcen.
Red Hat Enterprise Linux 7.1 enthält Docker 1.3.2, was eine Reihe von neuen Features beinhaltet.
Digital Signature Verification wurde in Docker als Technologievorschau eingeführt. Die Docker-Engine wird nun automatisch die Herkunft und Integrität aller offiziellen Repositorys anhand digitaler Signaturen prüfen.
Der Befehl docker exec ermöglicht es, innerhalb eines Docker-Containers Prozesse zu erzeugen mittels der Docker-API.
Der Befehl docker create erstellt einen Container, erzeugt jedoch keinen Prozess darin. Dies verbessert die Lebenzyklusverwaltung des Containers.
Red Hat liefert Docker-Basis-Images zur Erstellung von Applikationen auf sowohl Red Hat Enterprise Linux 6 als auch Red Hat Enterprise Linux 7.
Linux-Container im Docker-Format werden unterstützt zur Ausführung auf Hosts mit aktiviertem SELinux. SELinux wird nicht unterstützt, wenn sich das Verzeichnis /var/lib/docker/ auf einem Datenträger befindet, welches das B-tree-Dateisystem (Btrfs) verwendet.
10.1. Komponenten von Docker-Containern
Docker funktioniert mit den folgenden grundlegenden Komponenten:
Container – eine Applikations-Sandbox. Jeder Container basiert auf einem Image, das die notwendigen Konfigurationsdaten enthält. Wenn Sie einen Container von einem Image starten, wird eine schreibbare Schicht über diesem Image hinzugefügt. Jedes Mal, wenn Sie einen Container festschreiben (mithilfe des Befehls docker commit), wird eine neue Image-Schicht hinzugefügt, um Ihre Änderungen zu speichern.
Image – eine statische Momentaufnahme der Container-Konfiguration. Ein Image ist eine schreibgeschützte Ebene, die niemals verändert wird. Alle Änderungen werden in der obersten, schreibbaren Ebene vorgenommen und können nur als neues Image gespeichert werden. Jedes Image hängt von einem oder mehreren darunterliegenden Images ab.
Plattform-Image – ein Image ohne darunterliegendes Image. Plattform-Images definieren die Laufzeitumgebung, Pakete und Dienstprogramme, die für die Container-Applikation zur Ausführung erforderlich sind. Das Plattform-Image ist schreibgeschützt, alle Änderungen werden also in den kopierten, darüber liegenden Images abgebildet. Ein Beispiel dieser Schichten sehen Sie in
Abbildung 10.1, „Image-Schichten im Docker-Format“.
Registry – ein Repository mit Images. Registrys sind öffentliche oder private Repositorys, die Images zum Download bereithalten. Einige Registrys erlauben Benutzern auch das Hochladen von Images, um diese anderen Benutzern zur Verfügung zu stellen.
Dockerfile – eine Konfigurationsdatei mit Anweisungen zur Erstellung von Docker-Images. Dockerfiles bieten einen Weg zum Automatisieren, Wiederverwenden und Teilen von Erstellungsverfahren.
10.2. Vorteile bei der Verwendung von Docker
Docker implementiert eine API zur Container-Verwaltung, ein Image-Format und die Möglichkeit zur Verwendung einer entfernten Registry zum Teilen von Containern. Von diesem Schema profitieren sowohl Entwickler als auch Systemadministratoren mit Vorteilen wie z. B.:
Schnelle Bereitstellung von Applikationen – Container enthalten lediglich die minimalen Laufzeitanforderungen für die Applikation, was deren Größe reduziert und eine schnelle Bereitstellung ermöglicht.
Portabilität zwischen Rechnern – eine Applikation und sämtliche Abhängigkeiten können in einen einzigen Container gebündelt werden, der unabhängig von der Host-Version des Linux-Kernels, der Plattformdistribution oder dem Bereitstellungsmodell ist. Dieser Container kann auf einen anderen Rechner, auf dem Docker läuft, übertragen werden und dort ohne Kompatibilitätsprobleme ausgeführt werden.
Versionskontrolle und Wiederverwendung von Komponenten – Sie können aufeinanderfolgende Versionen eines Containers nachverfolgen, Unterschiede einsehen oder auf frühere Versionen zurücksetzen. Container verwenden Komponenten aus den vorhergehenden Schichten wieder, was sie deutlich schlanker macht.
Teilen – Sie können ein entferntes Repository verwenden, um Ihren Container mit anderen zu teilen. Red Hat stellt zu diesem Zweck ein Registry zur Verfügung, doch es ist auch möglich, ihr eigenes, privates Repository zu konfigurieren.
Geringe Anforderungen und minimaler Overhead – Docker-Images sind in der Regel sehr klein, was eine schnelle Verteilung ermöglicht und die Zeit verringert, die zur Bereitstellung von neuen Applikations-Containern notwendig ist.
Vereinfachte Wartung – Docker verringert den Aufwand und das Risiko von Problemen aufgrund von Abhängigkeiten der Applikationen.
10.3. Vergleich mit virtuellen Maschinen
Virtuelle Maschinen bilden einen gesamten Server ab, mitsamt aller zugehörigen Software- und Wartungsaspekte. Docker-Container ermöglichen eine Isolierung der Applikation und können mit minimalen Laufzeitumgebungen konfiguriert werden. In einem Docker-Container werden der Kernel und Teile der Betriebssysteminfrastruktur gemeinsam verwendet. In einer virtuellen Maschine muss dagegen ein vollständiges Betriebssystem enthalten sein.
Sie können Container schnell und einfach erstellen oder löschen. Virtuelle Maschinen erfordern eine vollständige Installation und benötigen zur Ausführung mehr Rechenressourcen.
Container sind schlank, weshalb auf einem Host-Rechner gleichzeitig mehr Container laufen können als virtuelle Maschinen.
Container können Ressourcen sehr effizient gemeinsam verwenden, wohingegen virtuelle Maschinen isoliert sind. Aus diesem Grund können verschiedene Varianten einer Applikation, die in Containern laufen, dennoch sehr schlank sein. So werden beispielsweise gemeinsam verwendete Binärdateien auf dem System nicht dupliziert.
Virtuelle Maschinen können im laufenden Betrieb migriert werden. Container dagegen können nicht im laufenden Betrieb migriert werden und müssen gestoppt werden, bevor sie von einem Host-Rechner auf einen anderen migriert werden können.
Container können und sollen virtuelle Maschinen nicht in jedem Anwendungsfall ersetzen. Sie sollten Ihre Applikation eingehend untersuchen, um zu beurteilen, welche Vorgehensweise die beste für Ihre Applikation ist.
Siehe
Docker FAQ für weitere Informationen über Linux-Container, Docker, Subskriptionen und Support.
10.4. Verwenden von Docker auf Red Hat Enterprise Linux 7.1
Docker,
Kubernetes und
Docker Registry wurden veröffentlicht im Extras-Channel in Red Hat Enterprise Linux. Sobald der Extras-Channel aktiviert wurde, können diese Pakete wie gewohnt installiert werden. Weitere Informationen über die Installation von Paketen oder die Aktivierung von Channels finden Sie im
System Administrator's Guide.
Red Hat stellt eine Registry mit zertifizierten Docker-Images bereit. Diese Registry liefert grundlegende Images zur Erstellung von Applikationen auf Red Hat Enterprise Linux 6 und Red Hat Enterprise Linux 7 sowie vorgefertigte Lösungen, die auf Red Hat Enterprise Linux 7.1 mit Docker verwendet werden können. Weitere Informationen über die Registry und eine Liste mit verfügbaren Paketen finden Sie unter
Docker Images.
Kapitel 11. Authentifizierung und Interoperabilität
Manuelle Datensicherung und Wiederherstellung
Diese Aktualisierung führt die Befehle
ipa-backup und
ipa-restore für das Identity Management (IdM) ein, mit denen Benutzer ihre IdM-Daten manuell sichern und im Falle eines Hardwarefehlers wiederherstellen können. Weitere Informationen finden Sie auf den man-Seiten für ipa-backup(1) und ipa-restore(1) oder in der
zugehörigen FreeIPA-Dokumentation.
Certificate-Authority-Verwaltungstool
Der Befehl
ipa-cacert-manage renew wurde zum Identity Management (IdM) Client hinzugefügt, sodass die IdM Certification Authority (CA) Datei nun erneuert werden kann. Dies ermöglicht es Benutzern, IdM problemlos zu installieren und einzurichten unter Verwendung eines Zertifikats, das von einer externen CA ausgestellt wurde. Details über dieses Feature finden Sie auf der man-Seite von ipa-cacert-manage(1) oder in der
zugehörigen FreeIPA-Dokumentation.
Feinere Granularität der Zugriffssteuerung
Es ist nun möglich, die Leseberechtigungen für bestimmte Abschnitte in der Identity Management (IdM) Server-Benutzeroberfläche zu steuern. Dies ermöglicht es IdM-Serveradministratoren, den Zugriff auf sensible Inhalte auf ausgewählte Benutzer einzuschränken. Darüber hinaus haben authentifizierte Benutzer des IdM-Servers nicht länger standardmäßig Leseberechtigungen für sämtliche Inhalte. Diese Änderungen verbessern die allgemeine Sicherheit der IdM-Serverdaten. Weitere Details finden Sie in der
zugehörigen FreeIPA-Dokumentation.
Eingeschränkter Domainzugriff für nicht privilegierte Benutzer
Die Option
domains= wurde zum Modul
pam_sss hinzugefügt, was die Option
domains= in der Datei
/etc/sssd/sssd.conf außer Kraft setzt. Diese Aktualisierung fügt zudem die Option
pam_trusted_users hinzu, die es dem Benutzer ermöglicht, eine Liste numerischer UIDs oder Benutzernamen hinzuzufügen, die für den
SSSD-Daemon als vertrauenswürdig gelten sollen, sowie die Option
pam_public_domains und eine Liste mit Domains, auf die auch von nicht vertrauenswürdigen Benutzern zugegriffen werden kann. Diese neuen Optionen ermöglichen die Konfiguration von Systemen, auf denen reguläre Benutzer zwar Zugriff auf bestimmte Applikationen haben, jedoch keine Berechtigung zur Anmeldung auf dem System selbst. Weitere Informationen über dieses Feature finden Sie in der
zugehörigen SSSD-Dokumentation.
SSSD-Integration für das Common Internet File System
Eine optionale Schnittstelle von
SSSD wurde hinzugefügt, um die Art und Weise zu konfigurieren, in der das Dienstprogramm
cifs-utils den ID-Mapping-Prozess durchführt. Infolgedessen kann ein
SSSD-Client nun auf eine CIFS-Freigabe zugreifen mit derselben Funktionalität wie ein Client, auf dem der
Winbind-Dienst läuft. Weitere Informationen finden Sie in der
zugehörigen SSSD-Dokumentation.
Unterstützung für die Migration von WinSync zu Trust
Diese Aktualisierung implementiert den neuen
ID Views Mechanismus zur Benutzerkonfiguration. Dieser Mechanismus ermöglicht die Migration von Identity-Management-Benutzern von einer synchronisationsbasierten
WinSync-Architektur, die von
Active Directory verwendet wird, zu einer Infrastruktur basierend auf Cross-Realm Trusts. Details über
ID Views und den Migrationsvorgang finden Sie in der
zugehörigen FreeIPA-Dokumentation.
Automatische Konfiguration des Data-Providers
Der Befehl ipa-client-install konfiguriert nun standardmäßig SSSD als Data-Provider für den sudo-Dienst. Dieses Verhalten kann deaktiviert werden mithilfe der Option --no-sudo. Darüber hinaus wurde die Option --nisdomain hinzugefügt, um den NIS-Domainnamen für die Identity-Management-Client-Installation festzulegen, und die Option --no_nisdomain wurde hinzugefügt, um das Festlegen des NIS-Domainnamens zu verhindern. Falls keine dieser Optionen verwendet wird, dann wird stattdessen die IPA-Domain verwendet.
Verwendung von AD- und LDAP-Sudo-Providern
Der AD-Provider ist ein Back-End, das zur Verbindung mit einem Active Directory Server verwendet wird. In Red Hat Enterprise Linux 7.1 wird die Verwendung des AD-Sudo-Providers zusammen mit dem LDAP-Provider als Technologievorschau unterstützt. Um den AD-Sudo-Provider zu aktivieren, fügen Sie die Einstellung sudo_provider=ad zum Domain-Abschnitt der sssd.conf-Datei hinzu.
SCAP Security Guide
Das Paket
scap-security-guide wurde in Red Hat Enterprise Linux 7.1 aufgenommen, um Leitlinien zur Sicherheit sowie zugehörige Prüfmechanismen bereitzustellen. Die Leitlinien werden im
Security Content Automation Protocol (
SCAP) spezifiziert, das einen Katalog mit praktischen Ratschlägen zur Systemhärtung enthält. Der
SCAP Security Guide enthält die notwendigen Daten, um die Konformität der Systemsicherheit anhand vorgeschriebener Sicherheitsrichtlinien zu prüfen. Das Paket enthält sowohl eine schriftliche Anleitung als auch einen automatisierten Test. Mit dem automatisierten Test bietet der
SCAP Security Guide eine bequeme und zuverlässige Methode zur regelmäßigen Prüfung der Systemkonformität.
Der Red Hat Enterprise Linux 7.1 Systemadministrator kann das Befehlszeilenprogramm oscap aus dem Paket openscap-utils verwenden, um zu überprüfen, ob das System mit den Leitlinien konform geht. Auf der man-Seite für scap-security-guide(8) finden Sie weitere Informationen.
SELinux-Richtlinie
In Red Hat Enterprise Linux 7.1 wurde die SELinux-Richtlinie verändert. Dienste ohne eigene SELinux-Richtlinie, die bislang in der Domain
init_t ausgeführt wurden, laufen nun in der neuen Domain
unconfined_service_t. Im Kapitel
Unconfined Processes im
SELinux User's and Administrator's Guide für Red Hat Enterprise Linux 7.1 finden Sie mehr Informationen.
Neue Features in OpenSSH
Die Toolreihe OpenSSH wurde aktualisiert auf Version 6.6.1p1, was mehrere neue Features hinsichtlich der Kryptografie einbringt:
Schlüsselaustausch mittels der elliptischen Kurve Diffie-Hellman in Daniel Bernsteins Curve25519 wird nun unterstützt. Diese Methode ist nun der Standard, vorausgesetzt, sowohl der Server als auch der Client unterstützen sie.
Unterstützung für das Signaturschema der elliptischen Kurve Ed25519 als öffentlicher Schlüsseltyp wurde hinzugefügt. Ed25519, das sowohl für Benutzer- als auch für Hostschlüssel verwendet werden kann, bietet eine bessere Sicherheit als ECDSA und DSA sowie eine gute Leistung.
Ein neues Format für private Schlüssel wurde hinzugefügt, das die
bcrypt-Funktion zur Schlüsselerstellung (Key Derivation Function, kurz
KDF) verwendet. Standardmäßig wird dieses Format für
Ed25519-Schlüssel verwendet, kann jedoch auch von anderen Schlüsseltypen angefordert werden.
Eine neue Chiffre zur Datenübertragung namens chacha20-poly1305@openssh.com wurde hinzugefügt. Sie kombiniert Daniel Bernsteins ChaCha20 Stream-Chiffre mit dem Poly1305 Message Authentication Code (MAC).
Neue Features in Libreswan
Die
Libreswan-Implementierung von IPsec
VPN wurde aktualisiert auf Version 3.12, was mehrere neue Features und Verbesserungen einbringt:
Neue Chiffren wurden hinzugefügt.
Die
IKEv2-Unterstützung wurde verbessert (hauptsächlich hinsichtlich
CP-Nutzlasten,
CREATE_CHILD_SA-Anfragen und die neu eingeführte Unterstützung für
Authenticated Header, kurz
AH)
Unterstützung für Zertifizierungsketten wurde in IKEv1 und IKEv2 hinzugefügt.
Die Handhabung von Verbindungen wurde verbessert.
Die Interoperabilität mit OpenBSD-, Cisco- und Android-Systemen wurde verbessert.
Die systemd-Unterstützung wurde verbessert.
Unterstützung für gehashte CERTREQ und Datenstatistiken wurde hinzugefügt.
Neue Features in TNC
Die Trusted Network Connect (TNC) Architektur, die vom strongimcv-Paket bereitgestellt wird, wurde aktualisiert und basiert nun auf strongSwan 5.2.0. Die folgenden neuen Features und Verbesserungen wurden zu TNC hinzugefügt:
Das PT-EAP-Übertragungsprotokoll (RFC 7171) für Trusted Network Connect wurde hinzugefügt.
Das Attestation IMC/IMV-Paar unterstützt nun das IMA-NG-Messformat.
Die Attestation-IMV-Unterstützung wurde verbessert, indem ein neues TPMRA-Arbeitsobjekt implementiert wurde.
Unterstützung für eine JSON-basierte REST API mit SWID IMV wurde hinzugefügt.
Der SWID IMC kann alle installierten Pakete von den dpkg-, rpm-, oder pacman-Paketverwaltern extrahieren mittels swidGenerator, der SWID-Tags gemäß des neuen ISO/IEC 19770-2:2014 Standards generiert.
Die libtls TLS 1.2 Implementierung, die von EAP-(T)TLS und anderen Protokollen verwendet wird, wurde durch Unterstützung des AEAD-Modus erweitert (derzeit auf AES-GCM beschränkt).
Das aikgen-Tool generiert nun einen Attestation Identity Key verbunden mit einem TPM.
Verbesserte IMVs-Unterstützung zum gemeinsamen Verwenden der Access-Requestor-ID, Geräte-ID und Produktinformationen einer Zugriffsanfrage via gemeinamen imv_session-Objekt.
Mehrere Fehler wurden behoben in den vorhandenen Protokollen IF-TNCCS (PB-TNC, IF-M (PA-TNC)) und im OS IMC/IMV-Paar.
Neue Features in GnuTLS
Die GnuTLS-Implementierung der Protokolle SSL, TLS und DTLS wurde aktualisiert auf Version 3.3.8, die eine Reihe neuer Features und Verbesserungen enthält:
Unterstützung für DTLS 1.2 wurde hinzugefügt.
Unterstützung für
Application Layer Protocol Negotiation (
ALPN) wurde hinzugefügt.
Die Leistung von Chiffre-Sets mit elliptischen Kurven wurde verbessert.
Neue Chiffre-Sets RSA-PSK und CAMELLIA-GCM wurden hinzugefügt.
Integrierte Unterstützung für den
Trusted Platform Module (
TPM) Standard wurde hinzugefügt.
Unterstützung für
PKCS#11 Smart Cards und
Hardware Security Modules (
HSM) wurde in vielfacher Hinsicht verbessert.
Die Konformität mit den FIPS 140 Sicherheitsstandards (Federal Information Processing Standards) wurde in vielfacher Hinsicht verbessert.
Unterstützung für vierfach gepufferte OpenGL-Stereo-Visualisierung
GNOME Shell und der Mutter Fenstermanager ermöglichen Ihnen die Verwendung von vierfach gepufferten OpenGL-Stereo-Visualisierungen auf unterstützter Hardware. Um dieses Feature zu verwenden, muss die NVIDIA-Display-Treiberversion 337 oder höher installiert sein.
Online Account Provider
Der neue GSettings-Schlüssel org.gnome.online-accounts.whitelisted-providers wurde zu GNOME Online Accounts (bereitgestellt vom Paket gnome-online-accounts) hinzugefügt. Dieser Schlüssel liefert eine Liste mit Online-Account-Providern, die explizit beim Systemstart geladen werden dürfen. Indem dieser Schlüssel angegeben wird, können Systemadministratoren die gewünschten Provider aktivieren oder gezielt andere Provider deaktivieren.
Kapitel 14. Unterstützung und Pflege
ABRT berechtigtes Micro-Reporting
Bei Red Hat Enterprise Linux 7.1 erhält das Automatic Bug Reporting Tool (ABRT) eine bessere Integration in das Red Hat Kundenportal und kann Micro-Berichte direkt an das Portal senden. Dies ermöglicht es dem ABRT, Benutzern gesammelte Absturzstatistiken zu liefern. Außerdem hat das ABRT die Möglichkeit, die Berechtigungszertifikate oder Portalberechtigungen des Benutzers zur Genehmigung von Micro-Berichten zu verwenden, was die Konfiguration dieses Features erleichtert.
Die integrierte Berechtigung erlaubt es dem ABRT, einem Micro-Bericht mit einem Rich Text zu antworten, das mögliche Schritte zur Behebung der Ursache des Micro-Berichts enthalten kann. Die Berechtigung kann auch zur Aktivierung von Benachrichtigungen zu wichtigen Aktualisierungen zu dem Micro-Berichten verwendet werden, und diese Benachrichtigungen können direkt an Administratoren gesendet werden.
Bitte beachten Sie, dass die Erstattung von Micro-Berichten bei Kunden mit bereits aktivierten ABRT Micro-Berichten in Red Hat Enterprise Linux 7.0 automatisch aktiviert ist.
Kapitel 15. Red Hat Software Collections
Red Hat Software Collections ist ein Red Hat Inhaltsset, das eine Reihe dynamischer Programmiersprachen, Datenbankserver und zugehöriger Pakete bereitstellt, die Sie auf allen unterstützten Releases von Red Hat Enterprise Linux 6 und Red Hat Enterprise Linux 7 auf AMD64 und Intel 64 Architekturen installieren und verwenden können.
Dynamische Sprachen, Datenbankserver und andere Tools, die in Red Hat Software Collections bereitgestellt werden, ersetzen nicht die standardmäßigen Systemtools, die in Red Hat Enterprise Linux enthalten sind, und sind diesen nicht notwendigerweise vorzuziehen.
Red Hat Software Collections verwenden einen abweichenden Paketmechanismus basierend auf dem scl-Dienstprogramm, um eine parallele Gruppe von Paketen bereitzustellen. Diese Gruppe ermöglicht die Verwendung alternativer Paketversionen auf Red Hat Enterprise Linux. Mithilfe des scl-Dienstprogramms können Benutzer jederzeit entscheiden, welche Paketversion sie ausführen möchten.
Red Hat Developer Toolset ist nun Teil der Red Hat Software Collections, enthalten als separate Software Collection. Red Hat Developer Toolset wurde konzipiert für Entwickler, die auf der Red Hat Enterprise Linux Plattform arbeiten. Es bietet aktuelle Versionen der GNU Compiler Collection, GNU Debugger, Eclipse Entwicklungsplattform sowie andere Tools für Entwicklung, Debugging und Leistungsüberwachung.
Siehe
Red Hat Software Collections Dokumentation für eine Liste der im Set enthaltenen Komponenten, die Systemanforderungen, bekannte Probleme, die Verwendung sowie Einzelheiten über die einzelnen Software Collections.
