Partie I. Nouvelles fonctionnalités
Cette partie décrit les nouvelles fonctionnalités et améliorations majeures offertes par Red Hat Enterprise Linux 7.1.
Chapitre 1. Architectures
Red Hat Enterprise Linux 7.1 est disponible en tant que kit unique sur les architectures suivantes :
Dans cette version, Red Hat offre des améliorations pour les serveurs et les systèmes, ainsi qu'une amélioration de l'expérience du logiciel libre de Red Hat dans son ensemble.
1.1. Red Hat Enterprise Linux pour POWER, Little Endian
Red Hat Enterprise Linux 7.1 offre la prise en charge little endian sur les serveurs IBM Power Systems utilisant les processeurs IBM POWER8. Auparavant, avec Red Hat Enterprise Linux 7, seule la variante big endian était offerte pour IBM Power Systems. La prise en charge de little endian sur serveurs basés POWER8 vise à améliorer la portabilité des applications entre les systèmes compatibles Intel 64 bits (x86_64) et les systèmes IBM Power Systems.
Des supports d'installatation séparés sont offerts pour installer Red Hat Enterprise Linux sur des serveurs IBM Power Systems en mode little endian. Ces supports sont disponibles à partir de la section Téléchargement du Portail Client Red Hat.
Seuls les serveurs basés sur processeurs IBM POWER8 sont pris en charge avec Red Hat Enterprise Linux pour POWER, little endian.
Actuellement, Red Hat Enterprise Linux pour POWER, little endian est uniquement pris en charge en tant qu'invité KVM sous Red Hat Enteprise Virtualization for Power. Les installations sur matériel bare metal ne sont pas prises en charge pour le moment.
Le chargeur de démarrage
GRUB2 est utilisé sur le support d'installation et pour le démarrage réseau. Le
Guide d'installation a été mis à jour avec des instructions pour paramétrer un serveur de démarrage réseau pour les clients IBM Power Systems utilisant
GRUB2.
Tous les paquets logiciels pour IBM Power Systems sont disponibles pour les variantes little endian et big endian de Red Hat Enterprise Linux pour POWER.
Les paquets créés pour Red Hat Enterprise Linux pour POWER, little endian utilisent le code d'architecture ppc64le - par exemple, gcc-4.8.3-9.ael7b.ppc64le.rpm.
Chapitre 2. Installation et démarrage
L'installateur Red Hat Enterprise Linux, Anaconda, a été amélioré afin d'obtenir un meilleur processus d'installation pour Red Hat Enterprise Linux 7.1.
Interface
L'interface de l'installateur graphique contient désormais un écran supplémentaire qui active la configuration du mécanisme de vidage sur incident du noyau Kdump pendant l'installation. Précédemment, celle-ci était configurée après l'installation, à l'aide de l'utilitaire firstboot, qui n'était pas accessible sans une interface graphique. Désormais, vous pouvez configurer Kdump comme faisant partie du processus d'installation sur les systèmes sans environnement graphique. Le nouvel écran est accessible à partir du menu principal de l'installateur (Sommaire de l'installation).
L'écran de partitionnement manuel a été reconçu pour améliorer l'expérience utilisateur. Certaines commandes ont été déplacées dans différents emplacements sur l'écran.
Vous pouvez désormais configurer un pont réseau dans l'écran Nom d'hôte & Réseau de l'installateur. Pour ce faire, veuillez cliquer sur le bouton + en bas de la liste des interfaces, sélectionnez Bridge à partir du menu, et configurez le pont dans la boîte de dialogue Modifier la connexion du pont qui apparaît après. Cette boîte de dialogue est fournie par NetworkManager et est entièrement documentée dans le Guide de mise en réseau Red Hat Enterprise Linux 7.1.
Plusieurs nouvelles options Kickstart ont aussi été ajoutée pour la configuration du pont. Veuillez voir ci-dessous pour les détails.
L'installateur n'utilise plus de multiples consoles pour afficher les enregistrements. À la place, tous ces enregistrements se trouvent dans des volets tmux dans la console virtuelle 1 (tty1). Pour accéder aux enregistrements pendant l'installation, appuyez sur Ctrl+Alt+F1 pour basculer sur tmux, puis utilisez Ctrl+b X pour basculer entre différentes fenêtres (remplacez X par le numéro d'une fenêtre en particulier comme affiché en bas de l'écran).
Pour revenir à l'interface graphique, appuyez sur Ctrl+Alt+F6.
L'interface de ligne de commande d'Anaconda inclut désormais une aide complète. Pour l'afficher, veuillez utiliser la commande anaconda -h sur un système avec le paquet anaconda installé. L'interface de ligne de commande vous permet d'exécuter l'installateur sur un système installé, ce qui est utile pour les installations d'images de disque.
Commandes et options Kickstart
La commande logvol possède une nouvelle option : --profile=. Veuillez utiliser cette option pour spécifier un nom de profil de configuration à utiliser avec les volumes logiques fins. Si utilisé, le nom sera aussi inclut dans les métadonnées pour le volume logique.
Par défaut, les profils disponibles sont default et thin-performance et sont définis dans le répertoire /etc/lvm/profile. Veuillez consulter la page man lvm(8) pour obtenir des informations supplémentaires.
L'option --autoscreenshot de la commande Kickstart autostep a été corrigée, et enregistre désormais correctement une capture d'écran de chaque écran dans le répertoire /tmp/anaconda-screenshots lors de la fermeture de celui-ci. Une fois l'installation terminée, ces captures d'écran sont déplacées dans /root/anaconda-screenshots.
La commande liveimg prend désormais en charge les installation à partir de fichiers tar ainsi que les images de disque. L'archive tar doit contenir le système de fichier root du support d'installation, et le nom du fichier doit se terminer par .tar, .tbz, .tgz, .txz, .tar.bz2, .tar.gz, ou .tar.xz.
Plusieurs nouvelles options ont été ajoutés à la commande network pour configurer les ponts réseau. Ces options sont :
--bridgeslaves= : Lorsque cette option est utilisée, le pont réseau avec le nom de périphérique spécifié à l'aide de l'option --device= sera créée et les périphériques définis dans l'option --bridgeslaves= seront ajoutés au pont. Par exemple :
network --device=bridge0 --bridgeslaves=em1
--bridgeopts= : Liste des paramètres de l'interface liée par pont séparés par des virgules. Les valeurs disponibles sont stp, priority, forward-delay, hello-time, max-age, et ageing-time. Pour obtenir des informations sur ces paramètres, veuillez consulter la page man nm-settings(5).
La commande autopart possède une nouvelle option option, --fstype. Cette option vous permet de modifier le type de système de fichiers par défaut (xfs) lors de l'utilisation du partitionnement automatique dans un fichier Kickstart.
Plusieurs nouvelles fonctionnalités ont été ajoutées à Kickstart pour offrir une meilleure prise en charge de Docker. Ces fonctionnalités incluent :
repo --install : Cette nouvelle option enregiste la configuration du référentiel sur le système installé dans le répertoire /etc/yum.repos.d/. Sans utiliser cette option, un référentiel configuré dans un fichier Kickstart sera uniquement disponible pendant le processus d'installation, et non sur le système installé.
bootloader --disabled : Cette option empêchera le chargeur de démarrage d'être installé.
%packages --nocore : Une nouvelle option pour la section %packages d'un fichier Kickstart qui empêche le système d'installer le groupe de paquets @core. Ceci active l'installation extrêmement minimale de systèmes pour une utilisation avec des conteneurs.
Veuillez remarquer que les options décrites sont uniquement utilse lorsque combinées à des conteneurs Docker, et l'utilisation d'options sur une installation à but général pourrait résulter en un système inutilisable.
Entropie Anaconda
Dans Red Hat Enterprise Linux 7.1, Anaconda rassemble l'entropie si le disque est chiffré afin d'empêcher tout problème possible de sécurité, qui pourrait résulter de la création d'un format chiffré pour des données avec un faible degré d'entropie. Ainsi, Anaconda attend jusqu'à ce que suffisament d'entropie soit rassemblée lors de la création d'un format chiffré et suggère à l'utilisateur comment réduire le temps d'attente.
Aide intégrée dans l'installateur graphique
Chaque écran dans l'interface graphique de l'installateur et dans l'utilitaire
Initial Setup possède désormais un bouton d'
Aide dans le coin en haut à droite. Cliquer sur ce bouton ouvre une section du
Guide d'installation concernant l'écran actuel en utilisant le navigateur d'aide
Yelp.
2.2. Chargeur de démarrage
Le support d'installation pour IBM Power Systems utilise désormais le chargeur de démarrage GRUB2 à la place de yaboot, qui était précédemment offert. Pour la variante big endian de Red Hat Enterprise Linux sur POWER, GRUB2 est recommandé mais yaboot peut aussi être utilisé. La nouvelle variante, little endian, requiert le démarrage GRUB2.
Le
Guide d'installation a été mis à jour avec des instructions pour paramétrer un serveur de démarrage réseau pour systèmes IBM Power Systems utilisant
GRUB2.
Cache LVM
À partir de Red Hat Enterprise Linux 7.1, le cache LVM est totalement pris en charge. Cette fonctionnalité permet aux utilisateurs de créer des volumes logiques avec un petit périphérique rapide agissant en tant que cache pour les périphériques plus lents et de plus grande taille. Veuillez consulter la page du manuel lvm(8) pour obtenir des informations supplémentaires sur la création de volumes logiques de cache.
Remarquez les restrictions suivantes sur l'utilisation de volumes logiques de cache (LV) :
Le volume logique du cache doit être un périphérique de haut niveau. Il ne peut pas être utilisé en tant que pool dynamique, image de volume logique RAID, ou comme tout autre type de sous-volume logique.
Les propriétés du volume logique de cache ne peuvent pas être modifiées après leur création. Pour modifier les propriétés du cache, supprimez le cache puis recréez-le avec les propriétés souhaitées.
Gestion de matrices de stockage avec l'API libStorageMgmt
Avec Red Hat Enterprise Linux 7.1, la gestion de matrices de stockage avec libStorageMgmt, une interface de programmation indépendante des matrices de stockage, est totalement prise en charge. L'interface de programmation fournie est stable, cohérente et permet aux développeurs de gérer de manière programmatique différentes matrices de stockage et d'utiliser les fonctionnalités accélérées par le matériel fournies. Les administrateurs système peuvent également utiliser libStorageMgmt pour configurer le stockage manuellement et pour automatiser les tâches de gestion du stockage avec l'interface de ligne de commande incluse. Veuillez remarquer que le greffon Targetd n'est pas totalement pris en charge et reste un aperçu technologique.
NetApp Filer (ontap 7-Mode)
Nexenta (nstor 3.1.x uniquement)
SMI-S, pour les fournisseurs suivants :
Prise en charge de LSI Syncro
Red Hat Enterprise Linux 7.1 inclut le code dans le pilote
megaraid_sas pour activer les adaptateurs HA-DAS (« High Availability Direct Attached Storage ») LSI Syncro CS. Malgré le fait que le pilote
megaraid_sas est entièrement pris en charge pour les adaptateurs précédemment activés, l'utilisation de ce pilote pour Syncro CS est uniquement disponible en tant qu'aperçu technologique. La prise en charge de cet adaptateur sera fourni directement par LSI, votre intégrateur système ou votre fournisseur système. Les utilisateurs déployant Syncro CS sur Red Hat Enterprise Linux 7.1 sont encouragés à donner des commentaires et suggestions à Red Hat et LSI. Pour obtenir des informations supplémentaires sur les solutions LSI Syncro CS, veuillez vous rendre sur
http://www.lsi.com/products/shared-das/pages/default.aspx.
Interface de programmation d'application LVM
Red Hat Enterprise Linux 7.1 présente la nouvelle API LVM en tant qu'aperçu technologique. Cette API est utilisée pour effectuer des requêtes et contrôler certains aspects de LVM.
Veuillez consulter le fichier d'en-tête lvm2app.h pour obtenir des informations supplémentaires.
Prise en charge DIF/DIX
DIF/DIX est une nouvelle addition au standard SCSI et un aperçu technologique dans Red Hat Enterprise Linux 7.1. DIF/DIX augmente la taille de bloc de disque habituelle de 512 octets à 520 octets, ajoutant le DIF (« Data Integrity Field »). Le DIF stocke une valeur de checksum pour le bloc de données qui est calculé par l'adaptateur de bus hôte (HBA, de l'anglais « Host Bus Adapter ») lorsqu'une opération d'écriture se produit. Puis, le périphérique de stockage confirme le checksum à la réception et stocke les données et le checksum. Similairement, lorsqu'une opération d'écriture se produit, le checksum peut être vérifié par le périphérique de stockage et par le HBA de réception.
Vérification et sortie d'erreurs de syntaxe device-mapper-multipath améliorée
L'outil device-mapper-multipath a été amélioré pour vérifier le fichier multipath.conf de manière plus fiable. Par conséquent, si multipath.conf contient une ligne ne pouvant pas être analysée de manière syntaxique, device-mapper-multipath rapporte une erreur et ignore ces lignes afin d'éviter qu'une analyse syntaxique incorrecte ne soit effectuée.
En outre, les expressions génériques suivantes ont été ajoutées à la commande
multipathd show paths format :
%N et %n pour les noms des nœuds globaux Fibre Channel (« Fibre Channel World Wide Node Names ») de l'hôte et de la cible, respectivement.
%R et %r pour les noms des ports globaux Fibre Channel (« Fibre Channel World Wide Port Names ») de l'hôte et de la cible, respectivement.
Il est désormais plus facile d'associer des périphériques multipaths à des hôtes et des cibles Fibre Channel et leurs ports, ce qui permet aux utilisateurs de gérer leur configuration du stockage de manière plus efficace.
Chapitre 4. Systèmes de fichiers
Prise en charge du système de fichiers Btrfs
Le système de fichiers Btrfs (B-Tree) est pris en charge en tant qu'aperçu technologique dans Red Hat Enterprise Linux 7.1. Ce système de fichier offre des fonctionnalités de gestion, fiabilité et évolutivité avancées. Il permet aux utilisateurs de créer des instantanés, et active la compression et la gestion de périphériques intégrée.
Prise en charge de NFS parallèle
NFS parallèle (pNFS) fait partie du standard NFS v4.1 qui permet aux clients d'accéder à des périphériques de stockage directement et en parallèle. L'architecture pNFS peut améliorer l'évolutivité et les performances des serveurs NFS pour plusieurs charges de travail communes.
pNFS définit trois différents protocoles ou dispositions de stockage : les fichiers, les objets, et les blocs. Le client Red Hat Enterprise Linux 7.1 prend totalement en charge la disposition des fichiers, et les dispositions des blocs et des objets sont prises en charge en tant qu'aperçus technologiques.
Red Hat continue à travailler avec les projets open source et de ses partenaires afin de qualifier de nouveaux types de disposition pNFS et pour fournir une prise en charge totale sur davantage de types de dispositions dans le futur.
Prise en charge des périphériques blocs Ceph
Les modules libceph.ko et rbd.ko ont été ajoutés au noyau Red Hat Enterprise Linux 7.1. Ces modules de noyau RBD permettent à un hôte Linux de voir un périphérique bloc Ceph en tant qu'entrée de périphérique de disque normale, pouvent être montée sur un répertoire et formatée avec un système de fichiers standard, tel que XFS ou ext4.
Remarquez que le module CephFS, ceph.ko, n'est pas actuellement pris en charge sur Red Hat Enterprise Linux 7.1.
Mises à jour concurrentes Flash MCL
Les mises à jour du niveau de microcode (MCL) sont activées dans Red Hat Enterprise Linux 7.1 sur l'architecture IBM System z. Ces mises à niveau peuvent être appliquées sans impact sur les opérations d'E/S sur le support de stockage flash et notifie les utilisateurs du niveau de service du matériel flash modifié.
Correctifs dynamiques du noyau
Red Hat Enterprise Linux 7.1 présente kpatch, un « utilitaire de correction du noyau » dynamique, en tant qu'aperçu technologique. L'utilitaire kpatch permet aux utilisateurs de gérer une collection de correctifs du noyau binaires pouvant être utilisés pour corriger le noyau dynamiquement, sans avoir à effectuer de redémarrage. Veuillez remarquer que kpatch est pris en charge pour une exécution sur architectures AMD64 et Intel 64 uniquement.
Crashkernel avec plus d'un CPU
Red Hat Enterprise Linux 7.1 active le démarrage de crashkernel avec plus d'un CPU. Cette fonction est prise en charge en tant qu'aperçu technologique.
Cible dm-era
Red Hat Enterprise Linux 7.1 présente la cible du mappeur de périphériques dm-era en tant qu'aperçu technologique. dm-era conserve une trace des blocs écrits pendant une période définie par l'utilisateur, nommée une « ère » (de l'anglais, « era »). Chaque ère cible maintient l'ère actuelle comme compteur 32 bits augmentant de manière monotone. Cette cible permet au logiciel de sauvegarde de vérifier quels blocs ont été modifiés depuis la dernière sauvegarde. Elle permet aussi d'effectuer une invalidation partielle du contenu d'un cache pour restaurer la cohérence du cache après avoir restauré selon l'instantané du revendeur. Il est principalement prévu que la cible dm-era soit couplée avec la cible dm-cache.
Pilote de noyau Cisco VIC
Le pilote de noyau Infiniband Cisco VIC a été ajouté à Red Hat Enterprise Linux 7.1 en tant qu'aperçu technologique. Ce pilote permet l'utilisation de sémantiques similaires à RDMA (« Remote Directory Memory Access ») sur architectures propriétaires Cisco.
Gestion de l'entropie améliorée dans hwrng
La prise en charge RNG de matériel paravirtualisé (hwrng) pour invités Linux via virtio-rng a été améliorée dans Red Hat Enterprise Linux 7.1. Précédemment, le démon rngd devait être démarré à l'intérieur de l'invité et dirigé vers le pool d'entropie du noyau. À partir de Red Hat Enterprise Linux 7.1, l'étape manuelle est supprimée. Un nouveau thread khwrngd cherche l'entropie à partir du périphérique virtio-rng si l'entropie de l'invité tombe sous un niveau spécifique. Le fait de rendre ce processus transparent aide tous les invités Red Hat Enterprise Linux à tirer profit des bénéfices de sécurité offerts par le RNG matériel paravirtualisé fournit par les hôtes KVM.
Amélioration des performances d'équilibrage des charges du planificateur
Précédemmant, le code d'équilibrage des charges du planificateur équilibrait tous les CPU inactifs. Dans Red Hat Enterprise Linux 7.1, l'équilibrage des charges pour le compte d'un CPU inactif est uniquement effectué lorsque le CPU doit effectuer l'équilibrage des charges. Ce nouveau comportement réduit le taux d'équilibrage des charges sur les CPU actifs et par conséquent la quantité de travail non nécessaire effectué par le planificateur, ce qui améliore ses performances.
Équilibrage newidle amélioré dans le planificateur
Le comportement du planificateur a été modifié pour arrêter de rechercher des tâches dans le code d'équilibrage newidle s'il y a des tâches exécutables, ce qui conduit à de meilleures performances
HugeTLB prend en charge l'allocation Huge Page 1 Go par nœud
Red Hat Enterprise Linux 7.1 a ajouté la prise en charge de l'allocation de pages gigantesque lors du runtime, ce qui permet aux utilisateurs de hugetlbfs de 1 Go de spécifier le nœud NUMA (« Non-Uniform Memory Access ») qui devrait être alloué pendant le runtime.
Nouveau mécanisme de verrouillage basé MCS
Red Hat Enterprise Linux 7.1 présente un nouveau mécanisme de verrouillage, le verrouillage MCS. Ce nouveau mécanisme de verrouillage réduit l'alourdissement spinlock dans les systèmes de grande taille, ce qui rend spinlocks plus efficace dans Red Hat Enterprise Linux 7.1.
Augmentation de la taille de la pile de processus de 8 Ko à 16 Ko
À partir de Red Hat Enterprise Linux 7.1, la taille de la pile de processus du noyau a augmenté de 8 Ko à 16 Ko afin d'aider les processus de grande taille à utiliser l'espace de la pile.
Fonctionnalités uprobe et uretprobe activées dans perf et systemtap
Avec Red Hat Enterprise Linux 7.1, les fonctionnalités uprobe et uretprobe fonctionnent correctement avec la commande perf et le script systemtap.
Vérification de la cohérence des données dun bout à l'autre
La vérification de la cohérence de données d'un bout à l'autre sur IBM System z est totalement prise en charge dans Red Hat Enterprise Linux 7.1. Ceci améliore l'intégrité des données et empêche la corruption et la perte des données de manière plus efficace.
DRBG sur systèmes 32 bits
Avec Red Hat Enterprise Linux 7.1, DRBG (« Deterministic Random Bit Generator ») a été mis à jour pour fonctionner sur des systèmes 32 bits.
Prise en charge des crashkernel de grande taille
Le mécanisme de vidage sur incident du noyau Kdump sur les systèmes à mémoire de grande taille (plus de 4 To) est désormais totalement pris en charge sur Red Hat Enterprise Linux 7.1.
Chapitre 6. Virtualisation
Nombre maximum de vCPU dans KVM augmenté
Le nombre maximum de CPU virtuels (vCPU) dans un invité KVM a été augmenté jusqu'à 240. Ceci augmente la quantité d'unités de traitement virtuel qu'un utilisateur peut assigner à l'invité, ce qui améliore le potentiel de performance.
Prise en charge des nouvelles instructions Intel Core de 5ème génération dans QEMU, KVM, et l'API libvirt
Avec Red Hat Enterprise Linux 7.1, la prise en charge des processeurs Intel Core de 5ème génération a été ajouté à l'hyperviseur QEMU, le code du noyau KVM, et l'API libvirt. Ceci permet aux invités KVM d'utiliser les instructions et fonctionnalités suivantes : ADCX, ADOX, RDSFEED, PREFETCHW, et SMAP (« Supervisor Mode Access Prevention »).
Prise en charge USB 3.0 pour les invités KVM
Red Hat Enterprise Linux 7.1 offre une prise en charge USB améliorée grâce à l'ajout de l'émulation USB 3.0 hostadapter (xHCI) en tant qu'aperçu technologique.
Compression pour la commande dump-guest-memory
Avec Red Hat Enterprise Linux 7.1, la commande dump-guest-memory prend en charge la compression du vidage sur incident. Ceci permet aux utilisateurs qui ne peuvent pas utiliser la commande virsh dump de nécessiter moins d'espace disque pour les vidages sur incident des invités. En outre, l'enregistrement fréquent de vidages sur incident compressés d'un invité prend moins de temps que l'enregistrement d'un vidage non compressé.
Microprogramme Open Virtual Machine Firmware
OMVF (« Open Virtual Machine Firmware ») est disponible en tant qu'aperçu technologique dans Red Hat Enterprise Linux 7.1. OVMF est un environnement de démarrage sécurisé UEFI pour invités AMD64 et Intel 64.
Amélioration des performances réseau sur Hyper-V
Plusieurs nouvelles fonctionnalités du pilote réseau Hyper-V sont prises en charge pour améliorer les performances réseau. Par exemple, la mise à l'échelle côté réception, la décharge d'envois de grande taille, les E/S de ventilation/regroupement sont désormais pris en charge, et le débit réseau est augmenté.
hypervfcopyd dans hyperv-daemons
Le démon hypervfcopyd a été ajouté aux paquets hyperv-daemons. hypervfcopyd est une implémentation d'une fonctionnalité de service de copie de fichier pour un invité Linux exécuté sur hôte Hyper-V 2012 R2. Il permet à l'hôte de copier un fichier (sur VMBUS) dans l'invité Linux.
Nouvelles fonctionnalités dans libguestfs
Red Hat Enterprise Linux 7.1 présente un certain nombre de fonctionnalités dans libguestfs, un ensemble d'outils pour accéder et modifier des images de disque de machines virtuelles.
Nouveaux outils
virt-customize — nouvel outil pour personnaliser des images de disque de machines virtuelles. Veuillez utiliser virt-customize pour installer des paquets, modifier des fichiers de configuration, exécuter des scripts et pour définir des mots de passe.
virt-log — nouvel outil pour répertorier les fichiers journaux des invités. L'outil virt-log prend en charge toute une variété d'invités, y compris Linux traditionnell, Linux utilisant un journal, et le journal d'événements Windows.
virt-v2v — nouvel outil pour convertir les invités d'un hyperviseur étranger pour qu'ils puissent fonctionner sur KVM, géré par libvirt, OpenStack, oVirt, Red Hat Enterprise Virtualization (RHEV), plusieurs autres cibles. Actuellement, virt-v2v peut convertir des invités Red Hat Enterprise Linux et Windows fonctionnant sur Xen et VMware ESX.
Performances des E/S de bloc améliorées à l'aide de virtio-blk-data-plane
La fonctionnalité de virtualisation des E/S virtio-blk-data-plane est désormais totalement prise en charge sur Red Hat Enterprise Linux 7.1. Cette functionalité étend QEMU pour effectuer des E/S de disque dans un thread optimisé pour les performances des E/S.
Suivi de l'enregistreur de vol
Un suivi basé SystemTap a été présenté dans Red Hat Enterprise Linux 7.1. Le suivi basé SystemTap permet aux utilisateurs de capturer des données qemu-kvm automatiquement, tant que la machine invitée fonctionne. Ceci fournit une voie supplémentaire pour enquêter sur les problèmes qemu-kvm plus flexible que les vidages sur incidents qemu-kvm.
Contrôle de l'allocation de mémoire des nœuds NUMA
<memnode> a été ajouté au paramètre <numatune> dans la configuration du domaine XML de libvirt. Ceci permet aux utilisateurs de contrôler les restrictions de mémoire pour chaque nœud NUMA (« Non-Uniform Memory Access ») du système d'exploitation invité, ce qui permet l'optimisation des performances pour qemu-kvm.
Délai d'expiration dynamique des jetons pour Corosync
L'option token_coefficient a été ajoutée à Corosync Cluster Engine. La valeur de token_coefficient est uniquement utilisée lorsque la section nodelist est spécifiée et contient au moins trois nœuds. Dans une telle situation, le délai d'expiration est calculé comme suit :
[jeton + (quantité de nœuds - 2)] * token_coefficient
Ceci permet au cluster de se mettre à l'échelle sans avoir à modifier le délai d'expiration du jeton à chaque fois qu'un nouveau nœud est ajouté. La valeur par défaut est de 650 millisecondes, mais peut être paramétrée sur 0, résultant ainsi par la suppression de cette fonctionnalité.
Cette fonctionnalité permet à Corosync de gérer l'ajout et la suppression dynamique de nœuds.
Amélioration du Tie Breaker Corosync
La fonctionnalité du quorum auto_tie_breaker de Corosync a été améliorée afin de fournir des options permettant la configuration et des modifications des nœuds tie breaker plus flexible. Les utilisateurs peuvent désormais sélectionner une liste de nœuds qui conserveront le quorum en cas de scission équitable du cluster, ou choisir qu'un quorum sera conservé par le nœud avec l'ID de nœud le plus bas ou le plus haut.
Améliorations de Red Hat High Availability
Avec Red Hat Enterprise Linux 7.1, le module complémentaire Red Hat High Availability prend désormais en charge les fonctionnalités suivantes. Pour obtenir des informations sur ces fonctionnalités, veuillez consulter le manuel Référence du module complémentaire High Availability.
La commande pcs resource cleanup peut désormais réinitialiser le statut d'une ressource et failcount pour toutes les ressources.
Vous pouvez spécifier un paramètre lifetime avec la commande pcs resource move afin d'indiquer la période pendant laquelle la contrainte de cette ressource restera en place.
Vous pouvez utiliser la commande pcs acl pour définir les permissions des utilisateurs locaux afin qu'ils puissent avoir accès en lecture seule ou en lecture-écriture à la configuration du cluster en utilisant des listes de contrôle d'accès (ACL).
La commande pcs constraint prend désormais en charge la configuration d'options de contrainte spécifiques en plus des options des ressources générales.
La commande pcs resource create prend en charge le paramètre disabled pour indiquer que la ressources créée n'est pas lancée automatiquement.
La commande pcs cluster quorum unblock empêche le cluster d'attendre tous les nœuds lors de l'établissement du quorum.
Vous pouvez configurer l'ordre du groupe de ressources avec les paramètres before (« avant ») et after (« après ») de la commande pcs resource create.
Vous pouvez sauvegarder la configuration du cluster dans un fichier tarball et restaurer les fichiers de configuration du cluster sur tous les nœuds avec les options backup et restore de la commande pcs config.
Chapitre 8. Compilateur et outils
Prise en charge de l'application à chaud de correctifs Linux sur binaires System z
GCC (« GNU Compiler Collection ») implémente la prise en charge de l'application en ligne de correctifs de code multithread pour sur binaires System z. La sélection de fonctions spécifiques pour l'application à chaud de correctifs est activée par l'utilisation d'un « attribut de fonction » et l'application à chaud de correctifs pour toutes les fonctions peut être activée à l'aide de l'option de ligne de commande
-mhotpatch.
L'activation de l'application à chaud de correctifs a un impact négatif sur la taille et les performances des logiciels. Ainsi, il est recommandé d'utiliser l'application à chaud de correctifs pour des fonctions spécifiques plutôt que de l'activer pour toutes les fonctions.
La prise en charge de l'application à chaud de correctifs Linux sur binaires System z était un Aperçu Technologique sur Red Hat Enterprise Linux 7.0. Avec la sortie de Red Hat Enterprise Linux 7.1, celle-ci est désormais totalement prise en charge.
Amélioration de l'interface de programmation PAPI
Red Hat Enterprise Linux 7 inclut l'interface de programmation
PAPI (
Performance Application Programming Interface).
PAPI est une spécification pour les compteurs d'interfaces multiplateforme et compteurs de performances du matériel sur microprocesseurs modernes. Ces compteurs existent en tant qu'ensemble de registres de petite taille comptant les événements, qui sont des occurrences de signaux spécifiques liés à la fonction d'un processeur. La surveillance de ces événements compte une variété d'usages dans l'analyse des performances et le réglages d'applications.
Dans Red Hat Enterprise Linux 7.1
PAPI et les bibliothèques
libpfm ont été améliorés afin de fournir la prise en charge des processeurs IBM Power 8, Applied Micro X-Gene, ARM Cortex A57, et ARM Cortex A53. En outre, les ensembles des événements ont été mis à jour sur les processeurs Intel Haswell, Ivy Bridge, et Sandy Bridge.
OProfile
OProfile est un profileur global pour les systèmes Linux. Le profilage est exécuté de manière transparente en arrière-plan et les données du profil peuvent être collectées à tout moment. Dans Red Hat Enterprise Linux 7.1, OProfile a été amélioré afin de fournir la prise en charge des familles de processeurs suivantes : Intel Atom Processor C2XXX, processeurs Intel Core de 5ème génération, IBM Power8, AppliedMicro X-Gene, et ARM Cortex A57.
OpenJDK8
En tant qu'aperçu technologique, Red Hat Enterprise Linux 7.1 offre les paquets java-1.8.0-openjdk, qui contiennent la dernière version du kit de développement OpenJDK (« Open Java Development Kit »), OpenJDK8. Ces paquets offrent une implémentation totalement conforme de Java SE 8 et peuvent être utilisés en parallèle avec les paquets java-1.7.0-openjdk, qui restent disponibles sur Red Hat Enterprise Linux 7.1.
Java 8 offre de nombreuses améliorations, comme les expressions Lambda, les méthodes par défaut, une nouvelle interface de programmation Stream pour les collections, JDBC 4.2, la prise en charge du matériel AES, et bien plus encore. En plus de améliorations, OpenJDK8 contient de nombreuses autres mises à jour de performance et correctifs de bogues.
sosreport remplace snap
L'outil snap, déconseillé, a été supprimé du paquet powerpc-utils. Sa fonctionnalité a été intégrée à l'outil sosreport.
Prise en charge GDB pour Little-Endian 64-bit PowerPC
Red Hat Enterprise Linux 7.1 implémente la prise en charge de l'architecture 64-bit PowerPC little-endian dans GDB (« GNU Debugger »).
Amélioration de Tuna
Tuna est un outil qui peut être utilisé pour ajuster les réglages des planificateurs, comme la politique de planificateur, la priorité RT, et les affinités du CPU. Avec Red Hat Enterprise Linux 7.1, l'interface utilisateur graphique
Tuna a été améliorée et requiert une autorisation root lors de son lancement. Ainsi, l'utilisateur n'est pas obligé d'exécuter le bureau en tant qu'utilisateur root pour invoquer l'interface utilisateur graphique
Tuna. Pour obtenir des informations supplémentaires sur
Tuna, veuillez consulter le
Guide de l'utilisateur Tuna.
Chapitre 9. Mise en réseau
Trusted Network Connect
Red Hat Enterprise Linux 7.1 présente la fonctionnalité Trusted Network Connect en tant qu'apeçu technologique. Trusted Network Connect est utilisé avec des solutions NAC (« Network Access Control ») actuelles, telles que TLS, 802.1X, ou IPsec pour intégrer l'évaluation de posture des points d'arrivée ; c'est-à-dire, de collecter les informations système d'un point d'arrivée (comme les paramètres de configuration du système d'exploitation, les paquets installés et autres que l'on nomme des mesures d'intégrité). Trusted Network Connect est utilisé pour vérifier ces mesures et politiques d'accès réseau avant d'autoriser le point d'arrivée à accéder au réseau.
Fonctionnalité SR-IOV dans le pilote qlcnic
La prise en charge de SR-IOV (« Single-Root I/O virtualization ») a été ajoutée au pilote qlcnic en tant qu'aperçu technologique. La prise en charge de cette fonctionnalité sera directement fournie par QLogic et nous encourageons nos clients à faire suivre leurs commentaires à QLogic et à Red Hat. Les autres fonctionnalités du pilote qlcnic restent entièrement prises en charge.
Filtre de paquets Berkeley
La prise en charge des
traffic classifier (classifieurs de trafic) basés BPF (« Berkeley Packet Filter ») a été ajoutée à Red Hat Enterprise Linux 7.1. BPF est utilisé lors du filtrage des paquets pour les sockets de paquets, pour la mise en bac à sable dans le
mode de traitement sécurisé (
seccomp), et dans Netfilter. BPF possède une implémentation à la volée pour les architectures les plus importantes ainsi qu'une syntaxe riche pour la création de filtres.
Amélioration de la stabilité de l'horloge
Précédemment, les résultats de tests indiquaient que la désactivation de la capacité de noyau sans tic pouvait fortement améliorer la stabilité de l'horloge du système. Le mode sans tic du noyau peut être désactivé en ajoutant nohz=off aux paramètres des options de démarrage du noyau. Cependant, de récentes améliorations appliquées au noyau dans Red Hat Enterprise Linux 7.1 ont fortement amélioré la stabilité de l'horloge du système et la différence de stabilité de l'horloge avec ou sans nohz=off devrait être bien moindre pour la plupart des utilisateurs. Ceci est utile pour les applications de synchronisation du temps utilisant PTP et NTP.
Paquets libnetfilter_queue
Le paquet libnetfilter_queue a été ajout à Red Hat Enterprise Linux 7.1. libnetfilter_queue est une bibliothèque de l'espace utilisateur fournissant une interface de programmation aux paquets mis en file d'attente par le filtre des paquets du noyau. Il permet la réception des paquets en attente en provenance du sous-système nfnetlink_queue du noyau, mais aussi l'analyse des paquets, la ré-écriture des en-têtes de paquets et la réinjection des paquets altérés.
Amélioration des associations (teaming)
Le paquet libteam a été mis à jour à la version 1.14-1 dans Red Hat Enterprise Linux 7.1. Il fournit un certain nombre d'améliorations et de correctifs de bogues. Plus particulièrement, teamd peut désormais être automatiquement régénéré par systemd, ce qui améliore sa stabilité générale.
Pilote Intel QuickAssist Technology
Le pilote Intel QuickAssist Technology (QAT) a été ajouté à Red Hat Enterprise Linux 7.1. Le pilote QAT active le matériel QuickAssist, qui offre des capacités hardware offload crypto à un système.
Prise en charge de LinuxPTP timemaster pour basculements entre PTP et NTP
Le paquet linuxptp a été mis à jour à la version 1.4 dans Red Hat Enterprise Linux 7.1. Il fournit un certain nombre de correctifs de bogues et d'améliorations. Particulièrement pour le basculement entre domaines PTP et sources NTP utilisant l'application timemaster. Lorsqu'il y a de multiples domaines PTP disponibles sur le réseau, ou lorsqu'un basculement sur NTP est nécessaire, le programme timemaster peut être utilisé pour synchroniser l'horloge du système avec toutes les sources horaires disponibles.
initscripts réseau
La prise en charge des noms VLAN personnalisés a été ajoutée dans Red Hat Enterprise Linux 7.1. La prise en charge améliorée d'IPv6 dans les tunnels GRE a également été ajoutée ; L'adresse interne persiste désormais à travers les redémarrages.
ACK avec délai TCP
La prise en charge d'un ACK avec délai TCP configurable a été ajoutée au paquet iproute dans Red Hat Enterprise Linux 7.1. Celle-ci peut être activée avec la commande ip route quickack.
NetworkManager
L'option de liaison lacp_rate est désormais prise en charge dans Red Hat Enterprise Linux 7.1. NetworkManager a été amélioré afin de changer le nom des périphériques plus facilement lorsque les noms d'interfaces maîtres sont changés avec les noms d'interfaces esclaves.
En outre, un paramètre de priorité a été ajouté à la fonction auto-connect de NetworkManager. Si plus d'un candidat éligible est disponible pour auto-connect, NetworkManager sélectionne la connexion avec la plus haute priorité. Si toutes les connexions disponibles possèdent des valeurs de priorité égales, NetworkManager utilisera le comportement par défaut et sélectionnera la dernière connexion active.
Espaces de noms réseau et VTI
La prise en charge des
VTI (
virtual tunnel interfaces) avec des espaces de noms réseaua été ajoutée dans Red Hat Enterprise Linux 7.1. Ceci permet au trafic en provenance d'un VTI d'être passé entre différents espaces de noms lorsque les paquets sont encapsulés ou désencapsulés.
Stockage de configuration alternatif pour le greffon memberOf
La configuration du greffon MemberOf pour le serveur 389 Directory Server peut désormais être stocké dans un suffixe mappé à une base de données d'arrière-plan. Ceci permet à la configuration du greffon MemberOf d'être répliquée, ce qui, pour un utilisateur, facilite la tâche de maintenance d'une configuration de greffon MemberOf se trouvant dans un environnement répliqué.
Chapitre 10. Conteneurs Linux avec format Docker
Docker est un projet open source qui automatise le déploiement d'applications à l'intérieur de Conteneurs Linux et fournit la capacité d'empaqueter une application avec ses dépendances de runtime dans un conteneur. Un outil de ligne de commande Docker CLI est fourni pour la gestion du cycle de de vie des conteneurs basés sur image. Les conteneurs activent un déploiement d'applications rapide, des tests, mais aussi une maintenance et une résolution de problèmes plus simple, tout en améliorant la sécurité. Utiliser Red Hat Enterprise Linux 7 avec Docker permet d'augmenter l'efficacité du personnel, de déployer des applications de tierce partie plus rapidement, d'activer un environnement de développement plus agile, et de mieux gérer les ressources.
Red Hat Enterprise Linux 7.1 est fourni avec Docker 1.3.2, qui inclut un certain nombre de nouvelles fonctionnalités.
Un système de vérification des signatures numériques, Digital Signature Verification, a été implémenté dans Docker en tant qu'aperçu technologique. Désormais, le moteur Docker vérifiera automatiquement la provenance et l'intégrité de tous les référentiels officiels à l'aide de signatures numériques.
La commande docker exec permet aux processus d'être générés à l'intérieur d'un conteneur Docker utilisant l'interface de programmation Docker.
La commande docker create crée un conteneur mais ne génère pas de processus dedans. Ceci améliore la gestion des cycles de vie des conteneurs.
Red Hat fournit des images Docker de base pour créer des applications sur Red Hat Enterprise Linux 6 et Red Hat Enterprise Linux 7.
Les conteneurs Linux avec format Docker sont pris en charge pour une exécution sur des hôtes avec SELinux activé. SELinux n'est pas pris en charge lorsque le répertoire /var/lib/docker/ est situé sur un volume utilisant le système de fichiers B-tree (Btrfs).
10.1. Composants des conteneurs Docker
Docker fonctionne avec les composants fondamentaux suivants :
Conteneur – application bac à sable. Chaque conteneur est basés sur une image contenant les données de configuration nécessaires. Lorsque vous lancez un conteneur à partir d'une image, une couche inscriptible est ajoutée sur cette image. Chaque fois que vous effectuez une commande commit sur un conteneur (avec la commande docker commit), un nouvelle couche d'image est ajoutée pour stocker vos modifications.
Image – instantané statique de la configuration des conteneurs. Une image est une couche en lecture seule qui n'est jamais modifiée. Tous les changements sont effectués sur la couche inscriptible la plus haute, et peuvent uniquement être enregistrés en créant une nouvelle image. Chaque image dépend d'une ou plusieurs image(s) parente(s).
Image de plateforme – image sans parent. Les images de plateforme définissent l'environnement du runtime, les paquets packages, et les utilitaires nécessaires à l'exécution d'une application de conteneur. L'image de plateforme est accessible en lecture seule, ainsi les changements sont reflétés dans les images copiées empilées dessus. Vous pouvez voir un tel exemple de pile sur
Figure 10.1, « Mise en couche d'image à l'aide du format Docker ».
Registre – référentiel d'images. Les registres sont des référentiels publiques ou privés qui contiennent des images disponibles pour téléchargement. Certains registres permettent aux utilisateurs de téléverser des images afin de les mettre à disponibilité pour d'autres utilisateurs.
Dockerfile – fichier de configuration avec des instructions de création pour les images Docker. Les Dockerfiles offrent une manière d'automatiser, de réutiliser et de partager des procédures de création.
10.2. Avantage de l'utilisation de Docker
Docker offre une interface de programmation pour la gestion de conteneurs, une format d'image, et la possibilité d'utiliser un registre à distance pour partager les conteneurs. Ce schéma bénéficie aux développeurs et aux administrateurs système, présentant des avantages tels que :
Déploiement d'applications rapide – les conteneurs incluent les conditions nécessaires minimales à l'exécution de l'application, réduisant ainsi leurs taille et leurs permettant d'être rapidemment déployés.
Portabilité à travers les ordinateurs – une application et toutes ses dépendances peuvent être regroupées en un seul conteneur indépendant de la version hôte du noyau Linux, de la plateforme de distribution, ou du modèle de déploiement. Ce conteneur peut être transféré vers un autre ordinateur qui exécute Docker, puis exécuté à partir de celui-ci sans problèmes de compatibilité
Contrôle des versions et réutilisation des composants – il est désormais possible de contrôler les versions successives d'un conteneur, d'en inspecter les différences, ou de restaurer les versions précédentes. Les conteneurs réutilisent les composants des couches précédentes, ce qui les rend particulièrement léger.
Partage – vous pouvez utiliser un référentiel à distance pour partager votre conteneur avec d'autres utilisateurs. Red Hat fournit un registre dans ce but, et il est également possible de configurer votre propre référentiel privé.
Empreinte légère et alourdissement minimal – Les images Docker sont habituellement très petites, ce qui permet une livraison rapide et réduit le temps pris pour déployer les nouveaux conteneurs d'applications.
Maintenance simplifiée – Docker réduit les efforts et éles risques de problèmes avec les dépendances d'application.
10.3. Comparaison avec des machines virtuelles
Les machines virtuelles représentent un serveur entier avec toutes les préoccupations associées quant aux logiciels et à la maintenance. Les conteneurs Docker offrent l'isolation d'applications et peuvent être configurés avec un minimum d'environnements d'exécution. Dans un conteneur Docker, le noyau et des parties de l'infrastructure du système d'exploitation sont partagés. Pour la machine virtuelle, un système d'exploitation complet doit être inclus.
Vous pouvez créer ou détruire des conteneurs rapidement et facilement. Les machines virtuelles nécessitent une installation complète et requièrent davantage de ressources de calcul pour s'exécuter.
Les conteneurs sont légers. Ainsi, comparé aux machines virtuelles, un plus grand nombre de conteneurs peuvent être exécutés simultanément sur un ordinateur hôte.
Les conteneurs partagent leurs ressources de manière efficace. Les machines virtuelles sont isolées. Ainsi, de multiples variations d'une application exécutée dans des conteneurs ont aussi la capacité d'être très légères. Par exemple, les binaires partagés ne sont pas dupliqués sur le système.
Les machines virtuelles peuvent être migrées pendant leur exécution. Cependant, les conteneurs ne peuvent pas être migrés pendant leur exécution et doivent être arrêtés avant de pouvoir être déplacés d'un ordinateur hôte à un autre.
Les conteneurs ne remplacent pas les machines virtuelles pour tous les cas d'utilisation. Une évaluation minutieuse est requise afin de déterminer ce qui est le mieux pour votre application.
La
FAQ Docker contient davantage d'informations sur les conteneurs Linux, Docker, les abonnements et la prise en charge.
10.4. Utiliser Docker sur Red Hat Enterprise Linux 7.1
Docker,
Kubernetes, et
Docker Registry ont été publiés en faisant partie du canal Extras dans Red Hat Enterprise Linux. Une fois le canal Extras activé, les paquets peuvent être installés normalement. Pour obtenir des informations supplémentaires sur l'installation de paquets ou sur l'activation de canaux, veuillez consulter le
Guide d'administration système.
Red Hat fournit un registre d'images Docker certifiées. Ce registre fournit des images de base pour la création d'applications sur Red Hat Enterprise Linux 6 et Red Hat Enterprise Linux 7, ainsi que des solutions pré-construites utilisables sur Red Hat Enterprise Linux 7.1 avec Docker. Pour obtenir davantage d'informations sur le registre et une liste des paquets disponibles, veuillez consulter les
Images Docker.
Chapitre 11. Authentification et interopérabilité
Fonctionnalités de sauvegarde et restauration manuelles
Cette mise à jour offre les commandes
ipa-backup et
ipa-restore à IdM (« Identity Management », gestion des identités), ce qui permet aux utilisateurs de sauvegarder leurs données IdM manuellement et de les restaurer en cas d'échec du matériel. Pour obtenir des informations supplémentaires, veuillez consulter les pages du manuel ipa-backup(1) et ipa-restore(1) ou la
Documentation FreeIPA correspondante.
Outil de gestion de l'autorité du certificat
La commande
ipa-cacert-manage renew a été ajoutée au client IdM (« Identity Management »), ce qui rend possible le renouvellementdu fichier CA (« Certificate Authority ») IdM. Ceci permet aux utilisateurs d'installer et paramétrer IdM en douceur à l'aide d'un certificat signé par un CA externe. Pour obtenir des détails sur cette fonctionnalité, veuillez consulter la page du manuel ipa-cacert-manage(1) ou la
Documentation FreeIPA correspondante.
Granularité du contrôle des accès augmentée
Il est désormais possible de réguler les permissions de lecture de sections spécifiques dans l'interface utilisateur du serveur IdM (« Identity Management »). Ceci permet aux administrateurs de serveurs IdM de limiter l'accessibilité de contenus privilégiés aux utilisateurs choisis uniquement. En outre, les utilisateurs authentifiés du serveur IdM n'ont plus les permissions de lecture de tout son contenu par défaut. Ces changements améliorent la sécurité générale des données du serveur IdM. Pour obtenir des détails supplémentaires, veuillez consulter la
Documentation FreeIPA correspondante.
Accès au domaine limité pour les utilisateurs non-privilégiés
L'option
domains= a été ajoutée au module
pam_sss, qui remplace l'option
domains= dans le fichier
/etc/sssd/sssd.conf. En outre, cette mise à jour offre l'option
pam_trusted_users, qui permet à l'utilisateur d'ajouter une liste d'UID numériques ou de noms d'utilisateurs qui sont approuvés par le démon
SSSD, ainsi que l'option
pam_public_domains et une liste des domaines accessibles même pour les utilisateurs non-approuvés. Les ajouts mentionnés permettent la configuration de systèmes sur lesquels les utilisateurs normaux ont la permission d'accéder aux applications spécifiées, mais me possèdent pas de droits de connexion sur le système en soi-même. Pour obtenir des informations supplémentaires sur cette fonctionnalité, veuillez consulter la
Documentation SSSD correspondante.
Intégration SSSD pour CIFS (« Common Internet File System »)
Une interface de plug-in fournie par
SSSD a été ajoutée pour configurer la manière par laquelle l'utilitaire
cifs-utils dirige le processus de mappage d'ID. Par conséquent, un client
SSSD peut désormais accéder à un partage CIFS avec les mêmes fonctionnalités qu'un client exécutant le service
Winbind. Pour obtenir des informations supplémentaires, veuillez consulter la
Documentation SSSD correspondante.
Prise en charge de la migration de WinSync à Trust
Cette mise à jour implémente le nouveau mécanisme de configuration utilisateur
ID Views. Elle permet la migration des utilisateurs IdM (« Identity Management ») depuis l'architecture basée synchronisation
WinSync, utilisée par
Active Directory, vers une infrastructure basée sur les Trusts Cross-Realm. Pour vois les détails d'
ID Views et la procédure de migration, veuillez consulter la
Documentation FreeIPA correspondante.
Configuration du fournisseur de données automatique
Désormais, la commande ipa-client-install configure par défaut SSSD en tant que fournisseur de données du service sudo. Ce comportement peut être désactivé en utilisant l'option --no-sudo. En outre, l'option --nisdomain a été ajoutée pour spécifier le nom de domaine NIS pour l'installation du client IdM, et l'option --no_nisdomain a été ajoutée pour éviter de définir le nom de domaine NIS. Si aucune de ces options n'est utilisée, le domaine IPA sera utilisé la place.
Utilisation des fournisseurs sudo AD et LDAP
Le fournisseur AD est un backend utilisé pour connecter un serveur Active Directory. Dans Red Hat Enterprise Linux 7.1, l'utilisation du fournisseur sudo AD en conjonction avec le fournisseur LDAP est prise en charge en tant qu'aperçu technologique. Pour activer le fournisseur sudo AD, veuillez ajouter le paramètre sudo_provider=ad dans la section du domaine du fichier sssd.conf.
Guide de sécurité SCAP
Le paquet
scap-security-guide a été inclus dans Red Hat Enterprise Linux 7.1. Il fournit les lignes directrices de sécurité et les mécanismes de validation correspondants. Des conseils sont spécifiés dans le protocole
SCAP (
Security Content Automation Protocol), qui constitue un catalogue de conseils de renforcement pratique. Le guide de sécurité
SCAP Security Guide contient les données nécessaires pour vérifier la conformité de la sécurité du système avec les normes de politique de sécurité recommandées. Une description écrite ainsi qu'un test automatisé (sonde) sont compris. En automatisant le test,
SCAP Security Guide permet de vérifier la conformité du système de manière pratique, efficace et régulière.
L'administrateur système Red Hat Enterprise Linux 7.1 peut utiliser l'outil de ligne de commande oscap à partir du paquet openscap-utils pour vérifier que le système est conforme aux directives fournies. Veuillez consulter la page du manuel scap-security-guide(8) pour obtenir des informations supplémentaires.
Stratégie SELinux
Dans Red Hat Enterprise Linux 7.1, la politique SELinux a été modifiée ; des services sans leur politique SELinux qui étaient auparavant exécutés dans le domaine
init_t sont désormais exécutés dans le nouveau domaine
unconfined_service_t. Veuillez consulter le chapitre
Processus non-confinés du
Guide de l'utilisateur et de l'administrateur SELinux de Red Hat Enterprise Linux 7.1.
Nouvelles fonctionnalités dans OpenSSH
L'ensemble d'outils OpenSSH a été mis à jour à la version 6.6.1p1, qui offre plusieurs nouvelles fonctionnalités liées au chiffrement :
L'échange de clé à l'aide de la courbe élliptique Diffie-Hellman dans Curve25519 de Daniel Bernstein est désormais pris en charge. Cette méthode est désormais fournie par défaut et le serveur et le client la prennent en charge.
La prise en charge de l'utilisation du schéma de signature de courbe élliptique Ed25519 en tant que type de clé publique a été ajoutée. Ed25519, qui peut être utilisé pour les clés de l'utilisateur et celles de l'hôtes, offre une meilleure sécurité et de meilleures performance que ECDSA et DSA.
Un nouveau format de clé privée a été ajouté et utilise la fonction de dérivation de clé (
KDF)
bcrypt. Par défaut, ce format est utilisé pour les clés
Ed25519 mais peut également être requis pour d'autres types de clés.
Un nouveau chiffrement de transport, chacha20-poly1305@openssh.com, a été ajouté. Il combine le chiffrement de flux de Daniel Bernstein, ChaCha20, et le code d'authentification de message (MAC) Poly1305.
Nouvelles fonctionnalités dans Libreswan
L'implémentation
Libreswan du
VPN IPsec a été mise à jour à la version 3.12, qui offre plusieurs nouvelles fonctionnalités et améliorations :
De nouveaux chiffrements ont été ajoutés.
La prise en charge
IKEv2 a été améliorée (principalement avec les charges utiles
CP, les requêtes
CREATE_CHILD_SA, et la nouvelle prise en charge d'
AH (
Authenticated Header).
La prise en charge de chaînes de certificats intermédiaires a été ajoutée dans IKEv1 et IKEv2.
La gestion de connexion a été améliorée.
L'interopérabilité a été améliorée avec les systèmes OpenBSD, Cisco, et Android.
La prise en charge de systemd a été améliorée.
La prise en charge a été ajoutée pour CERTREQ haché et les statistiques de trafic.
Nouvelles fonctionnalités dans TNC
L'architecture TNC (« Trusted Network Connect »), fournie par le paquet strongimcv, a été mise à jour et est désormais basée sur strongSwan 5.2.0. Les nouvelles fonctionnalités et améliorations suivantes ont été ajoutées à l'architecture TNC :
Le protocole de transport PT-EAP (RFC 7171) pour « Trusted Network Connect » a été ajouté.
La paire IMC/IMV d'attestation prend désormais en charge le format de mesure IMA-NG.
La prise en charge de l'IMV d'attestation a été améliorée en implémentant un nouvel élément de travail TPMRA.
La prise en charg d'une interface de programmation REST basée JSON avec IMV SWID a été ajoutée.
L'IMC SWID peut extraire tous les paquets installés à parttir de gestionnaires de aquets dpkg, rpm, ou pacman en utilisant swidGenerator, qui génère des balises SWID conformément au nouveau standard ISO/IEC 19770-2:2014.
L'implémentation TLS 1.2 libtls utilisée par EAP-(T)TLS et d'autres protocoles a été étendue par la prise en charge du mode AEAD, actuellement limité à AES-GCM.
L'outil aikgen génère désormais une clé d'identité d'attestation liée à un TPM.
Prise en charge des IMV améliorée pour le partage d'ID de demandeur d'accès, d'ID de périphérique, et d'informations de produits d'un demandeur d'accès via un objet commun imv_session.
Plusieurs bogues ont été corrigés dans les protocoles IF-TNCCS (PB-TNC, IF-M (PA-TNC)), ainsi que dans la paire OS IMC/IMV.
Nouvelles fonctionnalités dans GnuTLS
L'implémentation GnuTLS des protocoles SSL, TLS, et DTLS a été mise à jour à la version 3.3.8, qui offre un certain nombre de nouvelles fonctionnalités et améliorations :
La prise en charge de DTLS 1.2 a été ajoutée.
La prise en charge
ALPN (
Application Layer Protocol Negotiation) a été ajoutée.
Les performances des suites de chiffrement de courbe elliptique ont été améliorées.
De nouvelles suites de chiffrement, RSA-PSK et CAMELLIA-GCM, ont été ajoutées.
La prise en charge native du standard
TPM (
Trusted Platform Module) a été ajoutée.
La prise en charge des cartes smart
PKCS#11 et des modules
HSM (
hardware security modules) a été améliorée de plusieurs manières.
La conformité avec les standards de sécurité FIPS 140 (Federal Information Processing Standards) a été améliorée de plusieurs manières.
Prise en charge de Quad-buffered OpenGL Stereo Visuals
GNOME Shell et le gestionnaire de fenêtres composite Mutter permettent désormais d'utiliser quad-buffered OpenGL stereo visuals sur le matériel pris en charge. Vous devrez posséder le pilote NVIDIA Display Driver version 337 ou une version plus récente afin d'être en mesure d'utiliser cette fonctionnalité correctement.
Fournisseurs de compte en ligne
Une nouvelle clé GSettings org.gnome.online-accounts.whitelisted-providers a été ajoutée aux comptes en ligne GNOME Online Accounts (fournis par le paquet gnome-online-accounts). Cette clé vous donne une liste de fournisseurs de compte en ligne qui sont explicitement autorisés à être chargés lors du démarrage. En spécifiant cette clé, les administrateurs système peuvent activer les fournisseurs appropriés ou en désactiver d'autres de manière sélective.
Chapitre 14. Prise en charge et maintenance
Micro-rapports autorisés par ABRT
Dans Red Hat Enterprise Linux 7.1, ABRT (Automatic Bug Reporting Tool) est mieux intégré au Portail Client Red Hat et est capable d'envoyer des micro-rapports directement au Portail. Ceci permet à ABRT de fournir aux utilisateurs des statistiques de pannes agrégées. En outre, ABRT offre l'option d'utiliser des certificats de droits d'accès ou des informations d'identification de l'utilisateur du Portail pour autoriser les micro-rapports, ce qui simplifie la configuration de cette fonctionnalité.
L'autorisation intégrée permet à ABRT de répondre à un micro-rapport avec un texte riche qui pourrait inclure les étapes à suivre pouvant potentiellement corriger la cause du micro-rapport. L'autorisation peut aussi être utilisée pour activer les notifications des mises à jour importantes liées aux micro-rapports, et ces notifications peuvent être directement envoyées aux administrateurs.
Remarquez que la génération de micro-rapports autorisés est activée automatiquement pour les clients ayant déjà activé les micro-rapports ABRT sur Red Hat Enterprise Linux 7.0.
Chapitre 15. Red Hat Software Collections
Red Hat Software Collections est un ensemble de contenus Red Hat fournissant des langages de programmation dynamiques, des serveurs de base de données et des paquets liés pouvant être installés et utilisés sur toutes les versions prises en charge de Red Hat Enterprise Linux 6 et Red Hat Enterprise Linux 7 sur architectures AMD64 et Intel 64.
Les langages dynamiques, serveurs de bases de données, et autres outils distribués avec Red Hat Software Collections ne remplacent pas les outils système par défaut fournis avec Red Hat Enterprise Linux et ne sont pas utilisés de manière préférentielle.
Red Hat Software Collections utiliser un mécanisme d'empaquetage alternatif basé sur l'utilitaire scl afin de fournir un ensemble de paquets parallèles. Cet ensemble permet l'utilisation de versions de paquets alternatifs sur Red Hat Enterprise Linux. En utilisant l'utilitaire scl, les utilisateurs peuvent choisir à tout moment la version du paquet qu'ils souhaitent exécuter.
Red Hat Developer Toolset fait désormais parte de Red Hat Software Collections, et est inclus en tant que collection de logiciels (« Software Collection ») séparée. Red Hat Developer Toolset est conçu pour les développeurs travaillant sur la plateforme Red Hat Enterprise Linux. Cet ensemble fournit les versions actuelles de GNU Compiler Collection, GNU Debugger, la plateforme de développement Eclipse, ainsi que d'autres outils de développement, de débogage et de surveillance des performances.
Voir la
Documentation Red Hat Software Collections pour les composants inclus dans l'ensemble, les conditions nécessaires du système, problèmes connus, utilisation et les particularités de chaque collection de logiciels.
Voir la
Documentation Red Hat Developer Toolset pour obtenir davantage d'informations sur les composants inclus dans cette collection de logiciels, l'installation, l'utilisation, les problèmes connus, et plus encore.
