Parte I. caratteristiche di
Questa sezione descrive le nuove funzionalità e i miglioramenti più importanti introdotti con il Red Hat Enterprise Linux 7.1.
Red Hat Enterprise Linux 7.1 è disponibile come kit singolo sulle seguenti architetture
Con questa release Red Hat propone miglioramenti al server, ai sistemi e all'esperienza generale della open source di Red Hat.
1.1. Red Hat Enterprise Linux for POWER, Little Endian
Red Hat Enterprise Linux 7.1 introduce il supporto little endian sui server IBM Power Systems utilizzando processori IBM POWER8. In precedenza con Red Hat Enterprise Linux 7 era disponibile solo la variante big endian per IBM Power Systems. Il supporto per little endian sui server basati su POWER8, migliora l'intercambiabilità delle applicazioni tra sistemi a 64-bit di Intel (x86_64
) e IBM Power Systems.
In modalità little endian sono disponibili alcuni dispositivi separati per l'installazione di Red Hat Enterprise Linux su server IBM Power Systems. Questi dispositivi sono disponibili dalla sezione Download del Portale clienti di Red Hat.
Con Red Hat Enterprise Linux for POWER, little endian sono supportati solo server basati su processori IBM POWER8.
Attualmente Red Hat Enterprise Linux for POWER, little endian è solo supportato come guest KVM in Red Hat Enteprise Virtualization for Power. L'installazione su hardware bare metal non è attualmente supportata.
Il
GRUB2 boot loader viene usato sul dispositivo di installazione per l'avvio di rete. La
Installation Guide è stata aggiornata con le informazioni su come impostare un server per l'avvio di rete per client IBM Power Systems che utilzzano
GRUB2.
Tutti i pacchetti software per IBM Power Systems sono dispobinili per entrambe le varianti little endian e big endian di Red Hat Enterprise Linux for POWER.
Con i pacchetti compilati per Red Hat Enterprise Linux for POWER, little endian utilizza il codice per l'architettura ppc64le
- per esempio, gcc-4.8.3-9.ael7b.ppc64le.rpm.
Capitolo 2. Installazione e avvio
2.1. Programma di installazione
L'installer di Red Hat Enterprise Linux, Anaconda, è stato aggiornato e ora è possibile avere un miglior processo d'installazione per Red Hat Enterprise Linux 7.1.
Interfaccia
L'interfaccia grafica dell'installer ora presenta una schermata aggiuntiva che permette di configurare il meccanismo di crash dumping del kernel Kdump durante l'installazione. In precedenza la configurazione veniva eseguita dopo l'installazione utilizzando firstboot, il quale non era accessibile senza una interfaccia grafica. Ora è possibile configurare Kdump come parte del processo d'installazione sui sistemi senza un ambiente grafico. La nuova schermata è disponibile dal menu principale dell'installer (Sommario installazione).
La schermata di partizionamento manuale è stata modificata in modo da migliorare l'esperienza dell'utente. Alcuni controlli sono stati spostati in altre posizioni.
È ora possibile configurare un bridge di rete nella schermata Rete & Hostname dell'installer. Per fare questo selezionare + nella parte bassa dell'elenco, selezionare Bridge dal menu e configurare il bridge nel dialogo Modifica connessione del bridge. Questo dialogo è reso disponibile tramite NetworkManager ed è completamente documentato nella Red Hat Enterprise Linux 7.1 Networking Guide.
Sono state aggiunte nuove opzioni Kickstart per la configurazione del bridge. Consultare le informazioni di seguito riportate.
L'installer non utilizza più console multiple per la visualizzazione dei log, tutti i log sono disponibili in tmux tramite la console virtuale 1 (tty1
). Per consultare i log durante l'installazione, premere Ctrl+Alt+F1 per selezionare tmux, e successivamente utilizzare Ctrl+b X
per selezionare le finestre desiderate (sostituire X
con il numero di una finestra desiderata come riportato nella parte bassa della schermata).
Per selezionare l'interfaccia grafica premere Ctrl+Alt+F6.
L'interfaccia a linea di comando per Anaconda include ora le informazioni d'aiuto. Per visualizzarle usare anaconda -h
su un sistema con il pacchetto anaconda installato. L'interfaccia a linea di comando permette all'utente di eseguire l'installer su un sistema installato, utile per le installazioni dell'immagine del disco.
Opzioni e comandi di kickstart
Il comando logvol
presenta una nuova opzione: --profile=
. Utilizzare questa opzione per specificare il nome del profilo di configurazione da usare con thin logical volume. Se usato, il nome verrà incluso nei metadati per il volume logico.
Per impostazione predefinita i profili disponibili sono default
e thin-performance
, e vengono definiti nella directory /etc/lvm/profile
. Consultare la pagina man lvm(8)
per informazioni aggiuntive.
L'opzione --autoscreenshot
del comando autostep
è stato corretto, ora è in grado di salvare uno screenshot di ogni schermata nella directory /tmp/anaconda-screenshots
. Dopo il completamente dell'installazione gli screenshot verranno spostati in /root/anaconda-screenshots
.
Il comando liveimg
ora supporta una installazione dai file tar e dalle immagini del disco. Il tar archive deve contenere il file system root del dispositivo d'installazione, e il nome del file deve terminare con .tar
, .tbz
, .tgz
, .txz
, .tar.bz2
, .tar.gz
o .tar.xz
.
Sono state aggiunte diverse opzioni al comando network
per la configurazione dei bridge di rete. Queste opzioni sono:
--bridgeslaves=
: quando si utilizza questa opzione verrà creato un bridge di rete con il nome del dispositivo specificato con l'opzione --device=
. I dispositivi definiti nell'opzione --bridgeslaves=
verranno aggiunti al bridge. Per esempio:
network --device=bridge0 --bridgeslaves=em1
--bridgeopts=
: Un elenco opzionale di parametri separati da virgole per l'interfaccia del bridge. I valori possibili sono stp
, priority
, forward-delay
, hello-time
, max-age
e ageing-time
. Per informazioni sui parametri consultare le pagine man di nm-settings(5)
.
Il comando autopart
ha una nuova opzione, --fstype
. Questa opzione permette di modificare il tipo di file system predefinito (xfs
) quando si utilizza il partizionamento automatico in un file Kickstart.
Sono state aggiunte al Kickstart nuove funzioni per un miglior supporto di Docker. Esse includono:
repo --install
: Questa nuova opzione salva la configurazione del repository sul sistema installato all'interno della directory /etc/yum.repos.d/
. Se questa opzione non viene utilizzata, il repository configurato in un file Kickstart risulterà disponibile solo durante il processo d'installazione e non sul sistema installato.
bootloader --disabled
: Questa opzione impedirà l'installazione del boot loader.
%packages --nocore
: Una nuova opzione per la sezione %packages
di un file Kickstart la quale impedisce al sistema di installare il gruppo di pacchetti @core
. Questa impostazione installa un sistema minimo per un utilizzo dei container.
Le opzioni descritte sono utili solo se utilizzate insieme ai container di Docker, il loro utilizzo con una installazione generica può risultare in un sistema non utilizzabile.
Entropia di Anaconda
Con Red Hat Enterprise Linux 7.1 Anaconda raccoglie le informazioni sull'entropia per la cifratura del disco, impedendo la verifica di possibili problematiche sulla sicurezza. Queste problematiche possono essere causate dalla creazione di un formato cifrato, per dati con un elevato grado di entropia. Per questo motivo Anaconda attende fino a quando è disponibile sufficiente entropia durante la creazione di un formato cifrato, e indica all'utente come ridurre il tempo di attesa.
Aiuto interno nell'installer grafico
In ogni schermata dell'interfaccia grafica dell'installer, e nell'utilità
Initial Setup, è ora disponibile il pulsante
Aiuto nell'angolo in alto sulla destra. La selezione di questo pulsate permetterà la visualizzazione della sezione relativa alla
Installation Guide per la schermata corrente che utilizza il browser
Yelp.
Il dispositivo d'installazione per IBM Power Systems utilizza ora il boot loader GRUB2 al posto di yaboot. Per la variante big endian di Red Hat Enterprise Linux per POWER, viene preferito GRUB2 anche se è possibile utilizzare ancora yaboot. La nuova variante di little endian ha bisogno di GRUB2 per l'avvio.
L'
Installation Guide è stata aggiornata con le informazioni necessarie all'impostazione di un server per l'avvio di rete per IBM Power Systems con
GRUB2.
Cache LVM
Con Red Hat Enterprise Linux 7.1 la cache in LVM è completamente supportata. Questa funzione permette agli utenti di creare volumi logici con un dispositivo piccolo ma veloce, il quale si comporta come una cache per dispositivi più grandi e lenti. Consultare la pagina man di lvm(8)
per informazioni su come creare i cache logical volume.
Di seguito sono riportate le restrizioni sull'utilizzo di cache logical volume (LV):
La cache LV deve essere un dispositivo di livello superiore, non può essere usata come thin-pool LV, immagine di un RAID LV o qualsiasi altro tipo di LV secondario.
Le proprietà di una cache LV non possono essere modificate dopo la creazione. Per la modifica delle proprietà, rimuovere la cache e ricrearla con le proprietà desiderate.
Gestione array di archiviazione con libStorageMgmt API
Con Red Hat Enterprise Linux 7.1 è supportata la gestione di array di archiviazione con libStorageMgmt
, una API indipendente per l'array di archiviazione. L'API disponibile è stabile e uniforme e permette agli sviluppatori di gestire in modo programmatico diversi array, usufruendo altresì delle caratteristiche di accelerazione hardware fornite. Gli amministratori di sistemi possono utilizzare libStorageMgmt
per configurare manualmente lo storage e automatizzare i compiti di gestione con il Command Line Interface incluso. Da ricordare che il plug-in Targetd
non è completamente supportato e rimane una Anteprima di tecnologia.
Filtro NetApp (ontap 7-Mode)
Nexenta (solo nstor 3.1.x)
SMI-S, per i seguenti rivenditori:
Supporto per LSI Syncro
Red Hat Enterprise Linux 7.1 include il codice nel driver
megaraid_sas
per abilitare gli adattatori LSI Syncro CS high-availability direct-atteched storage (HA-DAS). Mentre il driver
megaraid_sas
è completamente supportato per adattatori precedenti abilitati, l'uso di questi driver per Syncro CS è disponibile come Anteprima di Tecnologia. Il supporto per questo adattatore verrà fornito direttamente da LSI, l'integratore del sistema, o dal rivenditore. Incoraggiamo gli utenti che implementano Syncro CS su Red Hat Enterprise Linux 7.1, di inviare il proprio feedback a Red Hat e LSI. Per maggiori informazioni sulle soluzioni LSI Syncro CS, consultare
http://www.lsi.com/products/shared-das/pages/default.aspx.
LVM Application Programming Interface
Red Hat Enterprise Linux 7.1 introduce la nuova LVM application programming interface (API) come Anteprima di Tecnologia. Questa API viene usata per interrogare e controllare alcuni aspetti di LVM.
Per maggiori informazioni consultare il file d'intestazione lvm2app.h
.
Supporto DIF/DIX
DIF/DIX è una nuova caratteristica per lo SCSI Standard ed è una Anteprima di Tecnologia in Red Hat Enterprise Linux 7.1. DIF/DIX aumenta la dimensione del blocco del disco 512-byte da 512 a 520 byte, e aggiunge un Data Integrity Field (DIF). Il DIF archivia un valore checksum per il blocco dati calcolato dall'Host Bus Adapter (HBA) in presenza di un processo di scrittura. Il dispositivo di archiviazione conferma il valore del checksum in ricezione, archiviando sia i dati che il checksum. In presenza di una operazione di lettura, il checksum può essere verificato dal dispositivo di archiviazione e dall'HBA in ricezione.
Output e controllo errore della sintassi del device-mapper-multipath migliorati
device-mapper-multipath
è stato migliorato per la verifica più efficace del file multipath.conf
. Ne risulta che se multipath.conf
presenta una riga che non può essere analizzata, device-mapper-multipath
riporta l'errore ignorando la riga, evitando così una analisi incorretta.
Sono state aggiunte anche le seguenti espressioni wildcard per il comando
multipathd show paths format
:
Ora è più semplice associare i multipath con host Fibre Channel specifici, target e rispettive porte, permettendo una gestione più efficiente della configurazione dello storage.
Supporto per il file system Btrfs
Il file system Btrfs
(B-Tree) è supportato come Anteprima di tecnologia in Red Hat Enterprise Linux 7.1, esso offre funzionalità avanzate di gestione, affidabilità e scalabilità. Permette altresì agli utenti di creare istantanee e di avere una gestione del dispositivo integrato e processi di compressione.
Supporto di Parallel NFS
Il Parallel NFS (pNFS) è parte dello standard v4.1 di NFS il quale permette ai client di accedere ai dispositivi di archiviazione direttamente ed in parallelo. L'architettura di pNFS migliora la scalabilità e le prestazioni associate con i server NFS con diversi carichi di lavoro.
pNFS definisce tre protocolli di archiviazione: file, oggetti e blocchi. Il client Red Hat Enterprise Linux 7.1 supporta il layout dei file, mentre quelli per gli oggetti e per i blocchi sono supportati come Anteprima di tecnologia.
Red Hat continua a lavorare insieme ai suoi partner e con i progetti della open source, per riconoscere nuovi tipi di layout pNFS e per fornire un supporto futuro ad un numero maggiore di layout.
Supporto per i dispositivi a blocchi Ceph
I moduli libceph.ko
e rbd.ko
sono stati aggiunti al kernel di Red Hat Enterprise Linux 7.1. I suddetti moduli permettono ad un host di Linux di riconoscere un dispositivo a blocchi Ceph come voce del dispositivo a disco regolare, da montare su una directory formattata con un file system standard, ad esempio XFS
o ext4
.
Da notare che il modulo CephFS, ceph.ko
, non è attualmente supportato in Red Hat Enterprise Linux 7.1.
Aggiornamenti simultanei Flash MCL
In Red Hat Enterprise Linux 7.1 i Microcode level upgrades (MCL) sono abilitati sulle architetture IBM System z, e possono essere applicati senza interessare le operazioni I/O sul supporto di memorizzazione flash e notificare agli utenti i cambiamenti sul livello del servizio hardware.
Patch del kernel dinamico
Red Hat Enterprise Linux 7.1 introduce kpatch, una "utilità di patch del kernel" dinamico, come Anteprima di tecnologia. kpatch permette agli utenti di gestire una raccolta di patch del kernel binario utilizzabili per un patch dinamico del kernel senza il riavvio. Da notare che kpatch è supportato solo per architetture AMD64 e Intel 64.
Crashkernel con più di una 1 CPU
Red Hat Enterprise Linux 7.1 permette l'avvio di crashkernel con più di una CPU. Questa funzione è supportata come Anteprima di Tecnologia.
Target dm-era
Red Hat Enterprise Linux 7.1 introduce il target del device-mapper dm-era come Anteprima di Tecnologia. dm-era tiene traccia dei blocchi usati per la scrittura all'interno di un periodo di tempo definito dall'utente chiamato "era". Ogni istanza target "era", conserva l'era corrente come contatore ad incremento costante a 32-bit. Questo target permette ad un software di backup di sapere quale blocco è stato modificato dall'ultimo backup. Esso Permette altresì un annullamento parziale dei contenuti di una cache, per ripristinare la coerenza della cache dopo il ripristino ad una istantanea del rivenditore. Il target dm-era deve essere usato insieme con il target dm-cache.
Driver del kernel Cisco VIC
Il driver del kernel Cisco VIC Infiniband è stato aggiunto al Red Hat Enterprise Linux 7.1 come Anteprima di tecnologia. Questo driver permette l'uso di semantiche simili al Remote Directory Memory Access (RDMA) su architetture Cisco proprietarie.
Migliaramento gestione entropia in hwrng
In Red Hat Enterprise Linux 7.1 è stato migliorato il supporto di hardware RNG (hwrng) paravirtualizzato per i guest Linux tramite virtio-rng. In precedenza il demone rngd
aveva la necessità di essere riavviato all'interno del guest, e direzionato nel pool dell'antropia del kernel. Con Red Hat Enterprise Linux 7.1, è stata rimossa la fase manuale. Un nuovo thread khwrngd
è in grado di ottenere l'antropia dal dispositivo virtio-rng
, se il livello di antropia del guest è inferiore a un valore specifico. La trasparenza di questo processo apporta benefici sulla sicurezza a tutti i guest di Red Hat Enterprise Linux, grazie alla disponibilità di hardware RNG paravirtualizzato fornito dagli host KVM.
Miglioramento prestazioni Load-Balancing dello Scheduler
In precedenza il load-balancing dello Scheduler veniva effettuato per tutte le CPU inattive. Con Red Hat Enterprise Linux 7.1 il load balancing "idle" per una CPU inattiva, viene eseguito solo quando la CPU stessa è stata programmata per il load balancing. Questo nuovo comportamento riduce il tasso di load balancing su CPU non inattive e di conseguenza la quantità non necessaria di lavoro svolto dallo scheduler, migliorando così le prestazioni.
newidle Balance migliorato nello scheduler
È stato modificato il comportamento dello scheduler in modo da arrestare le ricerche di compiti nel newidle
balance code, se in presenza di compiti eseguibili, migliorando così le prestazioni generali.
HugeTLB supporta l'allocazione di pagine 1GB Huge per-nodo
Red Hat Enterprise Linux 7.1 permette ora di supportare l'allocazione di pagine molto grandi durante il runtime. In questo modo l'utente di hugetlbfs
da 1GB è in grado di specificare il nodo Non-Uniform Memory Access (NUMA) al quale assegnare 1GB durante il runtime.
Nuovo meccanismo di locking basato su MCS
Red Hat Enterprise Linux 7.1 introduce un nuovo meccanismo di locking, MCS lock. Questo nuovo meccanismo riduce sensibilmente l'overhead di spinlock
nei sistemi molto grandi, aumentando così l'efficienza di spinlocks
con Red Hat Enterprise Linux 7.1.
Dimensione Stack del processo aumentata da 8KB a 16KB
Iniziando con Red Hat Enterprise Linux 7.1, la dimensione dello stack del processo del kernel è stata aumentata da 8KB a 16KB per assistere i processi molto grandi che utilizzano memoria sullo stack.
Funzionalità uprobe e uretprobe abilitate in perf e systemtap
Con Red Hat Enterprise Linux 7.1, le funzionalità uprobe
e uretprobe
funzionano correttamente con il comando perf
e lo script systemtap
.
Controllo consistenza dati End-To-End
Con Red Hat Enterprise Linux 7.1 è ora supportato il controllo della consistenza dei dati End-To-End. Così facendo è stata migliorata l'integrità dei dati impedendone la loro corruzione e/o perdita.
DRBG su sistemi a 32-Bit
Con Red Hat Enterprise Linux 7.1, il deterministic random bit generator (DRBG) è stato aggiornato per poter operare su sistemi a 32-bit.
Supporto per dimensioni crashkernel molto grandi
Il meccanismo di crash dumping del kernel Kdump su sistemi con memoria molto grande (maggiore di 4TB), è ora completamente supportato in Red Hat Enterprise Linux 7.1.
Capitolo 6. Virtualizzazione
Aumentato il numero massimo di vCPU in KVM
Il numero massimo di virtual CPU (vCPU) supportate in un guest KVM è stato aumentato a 240. Questa impostazione aumenta la quantità di unità di processazione virtuali che un utente è in grado di assegnare al guest. Così facendo è possibile aumentare le prestazioni.
Supporto 5th Generation Intel Core New Instructions in QEMU, KVM e libvirt API
In Red Hat Enterprise Linux 7.1 è stato aggiunto il supporto per i processori 5th Generation Intel Core all'hypervisor QEMU, KVM kernel code e libvirt
API. Ciò permette ai guest KVM di usare le seguenti istruzioni e funzionalità: ADCX, ADOX, RDSFEED, PREFETCHW e supervisor mode access prevention (SMAP).
Supporto USB 3.0 per guest KVM
Red Hat Enterprise Linux 7.1 introduce un supporto USB migliorato attraverso l'emulazione USB 3.0 hostadapter (xHCI) come Anteprima di tecnologia.
Compressione per il comando dump-guest-memory
Con Red Hat Enterprise Linux 7.1 il comando dump-guest-memory
supporta ora la compressione crash dump. Questa impostazione permette agli utenti non in grado di utilizzare virsh dump
, di usare una quantità minore di spazio del disco fisso per operazioni crash dump del guest. Altresì, la memorizzazione di un crash dump compresso del guest richiderà una quantità di tempo minore rispetto alla stessa operazione con un crash dump non compresso.
Open Virtual Machine Firmware
L'Open Virtual Machine Firmware (OVMF) è disponibile come Anteprima di tecnologia in Red Hat Enterprise Linux 7.1. OVMF è un ambiente per l'avvio sicuro UEFI per guest AMD64 e Intel 64.
Migliorate le prestazioni di rete su Hyper-V
Sono ora supportate nuove funzionalità del driver di rete Hyper-V per il miglioramento delle prestazioni di rete. Per esempio, Receive-Side Scaling, Large Send Offload, Scatter/Gather I/O sono ora supportati; è stato altresì aumentato il throughput della rete.
hypervfcopyd in hyperv-daemons
Il demone hypervfcopyd
è stato aggiunto ai pacchetti hyperv-daemons. hypervfcopyd
è una implementazione della funzionalità del servizio di copiatura del file per i guest di Linux eseguiti su host Hyper-V 2012 R2. Ora un host sarà in grado di copiare un file (attraverso VMBUS) nel guest di Linux.
Nuove funzioni in libguestfs
Red Hat Enterprise Linux 7.1 introduce un certo numero di nuove funzioni in libguestfs
, un insieme di strumenti per l'accesso e la modifica delle immagini del disco di una macchina virtuale.
Nuovi strumenti
virt-v2v
— un nuovo strumento per la conversione dei guest da un hypervisor esterno per l'esecuzione su KVM, gestito da libvirt, OpenStack, oVirt, Red Hat Enterprise Virtualization (RHEV) e altri target. Attualmente virt-v2v è in grado di convertire guest Red Hat Enterprise Linux e Windows in esecuzione su Xen e VMware ESX.
Prestazioni I/O del blocco migliorate utilizzando virtio-blk-data-plane
In Red Hat Enterprise Linux 7.1, la funzionalità di virtualizzazione I/O virtio-blk-data-plane
è completamente supportata. Con questa funzionalità QEMU esegue il disk I/O in un thread specifico ottimizzato per le prestazioni I/O.
Flight Recorder Tracing
È stato introdotto con Red Hat Enterprise Linux 7.1 il tracciamento basato su SystemTap
. Il tracciamento basato su SystemTap
permette agli utenti di catturare automaticamente i dati qemu-kvm se la macchina guest è in esecuzione. Ciò permette di avere parametri aggiuntivi per l'analisi di problematiche qemu-kvm, e risulta essere più flessibile rispetto ai core dump di qemu-kvm.
Controllo assegnazione memoria con il nodo NUMA
<memnode>
è stato aggiunto per <numatune>
nella configurazione XML del dominio di libvirt
. Questa impostazione permette agli utenti di controllare i limiti della memoria per ogni nodo Non-Uniform Memory Access (NUMA) del sistema operativo del guest, ottimizzando le prestazioni di qemu-kvm.
Dynamic Token Timeout per Corosync
È stata aggiunta l'opzione token_coefficient
al Corosync Cluster Engine
. token_coefficient
viene usato solo quando si specifica la sezione nodelist
e sono presenti un minimo di tre nodi. In questa setuazione il timeout del token è il seguente:
[token + (amount of nodes - 2)] * token_coefficient
Ciò permette una modifica del cluster senza cambiare manualmente il timeout ogni qualvolta viene aggiunto un nuovo nodo. Il valore predefinito è 650 millisecondi, ma può essere impostato su 0 per una sua rimozione.
Questa funzione permette a Corosync
di gestire l'aggiunta e la rimozione dinamiche dei nodi.
MIglioramenti del Corosync Tie Breaker
auto_tie_breaker
di Corosync
è stato migliorato, ora è possibile utilizzare le opzioni necessarie per processi di modifica e configurazione più flessibili dei nodi tie breaker. Gli utenti sono ora in grado di selezionare un elenco di nodi per garantire un quorum in presenza di una condizione cluster split, oppure se mantenere un quorum su un nodo con l'ID più basso o più alto.
Miglioramenti al Red Hat High Availability
Grazie alla release di Red Hat Enterprise Linux 7.1, Red Hat High Availability Add-On
supporta ora le seguenti funzionalità. Per informazioni aggiuntive consultare il manuale High Availability Add-On Reference.
Il comando pcs resource cleanup
è in grado ora di resettare lo stato e failcount
per tutte le risorse.
È possibile specificare un parametro lifetime
per il comando pcs resource move
, e indicare così il periodo di tempo per un vincolo delle risorse, permesso a questo comando.
Usare il comando pcs acl
per impostare i permessi degli utenti locali abilitandoli ad un accesso, di sola lettura o sola scrittura, alla configurazione del cluster tramite l'access control list (ACL).
Il comando pcs constraint
supporta ora la configurazione di opzioni specifiche oltre a quelle generali per le risorse.
Il comando pcs resource create
supporta il parametro disabled
per indicare che la risorsa creata non sarà automaticamente avviata.
Il comando pcs cluster quorum unblock
impedisce al cluster di attendere tutti i nodi quando stabilisce un quorum.
È possibile configurare l'ordine del gruppo di risorse con i parametri before
e after
del comando pcs resource create
.
È possibile eseguire il backup della configurazione del cluster usando un tarball e ripristinando i file di configurazione del cluster su tutti i nodi dal backup, con le opzioni backup
e restore
del comando pcs config
.
Capitolo 8. Compiler e strumenti
Supporto hot-patching per Linux sui binari System z
GNU Compiler Collection (
GCC) rende possibile il supporto per l'on-line patching dei codici multi-thread di Linux su binari System z. La selezione di funzioni specifiche per l'hot-patching viene abilitata utilizzando un "attributo della funzione", così facendo è possibile abilitare hot-patching per tutte le funzioni usando l'opzione della linea di comando
-mhotpatch
.
L'uso di hot-patching ha un impatto negativo sulle prestazioni e sulla dimensione del software. Per questo motivo è consigliato usare hot-patching solo per funzioni specifiche.
Su Red Hat Enterprise Linux 7.0, hot-patching sui binari System z per Linux era una Anteprima di tecnologia. Con la disponibilità di Red Hat Enterprise Linux 7.1 ora è completamente supportato.
Miglioramenti Performance Application Programming Interface
Red Hat Enterprise Linux 7 include la
Performance Application Programming Interface (
PAPI).
PAPI è una specifica per le interfacce multi-piattaforma per i contatori delle prestazioni hardware su microprocessori moderni. I suddetti contatori sono disponibili come un insieme di registratori in grado di contare gli eventi, i quali rappresentano il numero di segnali specifici relativi alla funzione di un processore. Il controllo di questi eventi può essere utilizzato in una varietà di modi durante il processo di ottimizzazione e analisi delle prestazioni.
Con Red Hat Enterprise Linux 7.1
PAPI e le librerie
libpfm
relative, sono stati migliorati per il supporto dei processori IBM Power 8, Applied Micro X-Gene, ARM Cortex A57, e ARM Cortex A53. In aggiunta, gli insieme di eventi sono stati aggiornati per i processori Intel Haswell, Ivy Bridge e Sandy Bridge.
OProfile
OProfile è un profiler per i sistemi Linux. Il profiling viene eseguito in modo trasparente nel background, e i dati possono essere raccolti in ogni istante. Con Red Hat Enterprise Linux 7.1 OProfile è stato aggiornato per rendere disponibile il supporto alle seguenti famiglie di processori: Intel Atom Processor C2XXX, 5th Generation Intel Core Processors, IBM Power8, AppliedMicro X-Gene e ARM Cortex A57.
OpenJDK8
Come Anteprima di tecnologia Red Hat Enterprise Linux 7.1 presenta i pacchetti java-1.8.0-openjdk con l'ultimissima versione di Open Java Development Kit (OpenJDK), OpenJDK8. Questi pacchetti forniscono una implementazione conforme di Java SE 8, e possono essere usati in parallelo con i pacchetti java-1.7.0-openjdk esistenti, ancora disponibili in Red Hat Enterprise Linux 7.1.
Java 8 rende disponibili numerosi miglioramenti, come ad esempio le espressioni Lambda, i metodi predefiniti, un nuovo insieme di API, JDBC 4.2 e il supporto hardware AES e altro ancora. Oltre ai miglioramenti sopra indicati, OpenJDK8 apporta numerosi aggiornamenti sulle prestazioni e altre correzioni.
sosreport sostituisce snap
snap è stato rimosso dal pacchetto powerpc-utils, le sue funzionalità sono state integrate in sosreport.
Supporto GDB per Little-Endian 64-bit PowerPC
Red Hat Enterprise Linux 7.1 implementa il supporto per l'architettura a 64-bit PowerPC little-endian in GNU Debugger (GDB).
Miglioramento di Tuna
Tuna
è uno strumento utilizzabile per il miglioramento dei parametri dello scheduler come la politica, la priorità RT e l'affinità della CPU. Con Red Hat Enterprise Linux 7.1 la GUI di
Tuna
è stata migliorata per richiedere l'autorizzazione ai permessi root quando avviata, in questo modo l'utente non avrà la necessità di eseguire il desktop come utente root per invocare la GUI di
Tuna
. Per maggiori informazioni su
Tuna
consultare la
Tuna User Guide.
Trusted Network Connect
Red Hat Enterprise Linux 7.1 introduce il Trusted Network Connect come Anteprima di Tecnologia. Il Trusted Network Connect viene usato con soluzioni network access control (NAC), come ad esempio TLS, 802.1X, o IPsec, per integrare le informazioni relative al sistema (come ad esempio le impostazioni del sistema operativo, i pacchetti installati e altro, definiti come misure di integrità). Il Trusted Network Connect viene usato per verificare queste informazioni con le politiche di accesso alla rete, prima di permettere al sistema in questione di accedere alla rete.
Funzione SR-IOV nel driver qlcnic
È stato aggiunto al driver qlcnic
come Anteprima di Tecnologia il supporto per il Single Root I/O virtualization (SR-IOV). Il supporto per questa funzione verrà fornito direttamente da QLogic. Esortiamo gli utenti a fornire il loro feedback a QLogic e Red Hat. Altre funzioni presenti nel driver qlcnic sono ancora supportate.
Berkeley Packet Filter
È stato aggiunto a Red Hat Enterprise Linux 7.1. il supporto per un Berkeley Packet Filter (BPF) based
traffic classifier. BPF viene usato durante il filtro dei pacchetti per i socket, per sand-boxing in
secure computing mode (
seccomp), e con Netfilter. BPF una implementazione "just-in-time" per le architetture più importanti e presenta una sintassi ricca per la compilazione dei filtri.
Stabilità migliorata dell'orologio
I risultati di alcuni test precedentemente eseguiti indicavano che disabilitando la capacità tickless del kernel si migliorava sensibilmente la stabilità dell'orologio del sistema. La modalità tickless può essere disabilitata aggiungendo nohz=off
ai parametri per l'opzione d'avvio del kernel. Tuttavia l'implementazione di nuovi miglioramenti del kernel con la release di Red Hat Enterprise Linux 7.1, hanno apportato una maggiore stabilità dell'orologio del sistema, e la differenza in stabilità con o senza nohz=off
dovrebbe essere minima per la maggior parte degli utenti. Ciò è molto utile per applicazioni per la sincronizzazione dell'ora con PTP
e NTP
.
Pacchetti libnetfilter_queue
È stato aggiunto a Red Hat Enterprise Linux 7.1 il pacchetto libnetfilter_queue. libnetfilter_queue
è una libreria per lo spazio utente in grado di fornire una API ai pacchetti messi in coda dal filtro del kernel. Esso è in grado di abilitare la ricezione dei pacchetti messi in coda dal sottosistema nfnetlink_queue
del kernel, l'analisi dei pacchetti, la modifica delle intestazioni dei pacchetti e il reinserimento dei pacchetti modificati.
Miglioramenti collaborazione
Il pacchetto libteam è stato aggiornato alla versione 1.14-1
in Red Hat Enterprise Linux 7.1. Sono ora disponibili diverse correzioni e miglioramenti, in particolare, teamd
può essere rigenerato automaticamente da systemd
, aumentandone notevolmente l'affidabilità.
Driver Intel QuickAssist Technology
Il driver Intel QuickAssist Technology (QAT) è stato aggiunto al Red Hat Enterprise Linux 7.1, ed è in grado di abilitare l'hardware di QuickAssist il quale rende disponibile per il sistema, le capacità di crittografia per l'offload dell'hardware.
Supporto LinuxPTP timemaster per il failover tra PTP e NTP
Il pacchetto linuxptp è stato aggiornato alla versione 1.4
in Red Hat Enterprise Linux 7.1. Sono ora disponibili diverse correzioni e miglioramenti, in particolare, supporto per il failover tra i domini PTP
e i sorgenti NTP
che utilizzano l'applicazione timemaster. In presenza di domini PTP
multipli sulla rete, o per il ripristino di NTP
, usare il programma timemaster per sincronizzare l'orologio del sistema su tutti i sorgenti dell'ora disponibili.
initscripts di rete
È stato aggiunto il supporto per i nomi VLAN personalizzati in Red Hat Enterprise Linux 7.1. È stato migliorato il supporto per IPv6
nei tunnel GRE: l'indirizzo interno ora è persistente durante i processi di riavvio.
TCP Delayed ACK
In Red Hat Enterprise Linux 7.1 è stato aggiunto al pacchetto iproute il supporto per un TCP Delayed ACK configurabile. Usare il comando ip route quickack
per poterlo abilitare.
NetworkManager
È ora supportata l'opzione lacp_rate
in Red Hat Enterprise Linux 7.1. NetworkManager è stato migliorato per facilitare la modifica dei nomi durante il processo di modifica dei nomi delle interfacce master con interfacce slave.
È stata aggiunta altresì un processo di priorità alla funzione auto-connect di NetworkManager. Se sono presenti più candidati per auto-connect, NetworkManager seleziona il collegamento con la priorità più alta. Se tutte le connessioni presenti hanno lo stesso valore, NetworkManager utilizza il comportamento predefinito e seleziona l'ultima connessione attiva.
Spazi nomi di rete e VTI
È stato aggiunto al Red Hat Enterprise Linux 7.1 il supporto per il
virtual tunnel interface (
VTI) con spazio dei nomi di rete. Ciò permette il passaggio di traffico da un VTI ai diversi nomi di spazio quando i pacchetti sono incapsulati o de-incapsulati.
Storage per la configurazione alternativa del plug-in MemberOf
La configurazione del plug-in MemberOf
per la Directory Server 389 può essere ora archiviata in un suffisso mappato ad un database back-end. Questa impostazione permette alla configurazione del plug-in di MemberOf
di essere replicata, facilitando così il mantenimento di una configurazione di MemberOf
costante in un ambiente replicato da parte di un utente.
Capitolo 10. Container di Linux con formato Docker
Docker è un progetto open source in grado di automatizzare l'implementazione delle applicazioni nei Container di Linux, e fornisce la capacità di rendere disponibile una applicazione con le rispettive dipendenze per il runtime in un container. La sua implementazione rende disponibile uno strumento a linea di comando Docker CLI per la gestione del ciclo di vita dei container basati sull'immagine. Utilizzando i container di Linux è possibile implementare rapidamente le applicazioni, semplificare i test, la gestione e i processi di risoluzione dei problemi, migliorando al tempo stesso la sicurezza. L'uso di Red Hat Enterprise Linux 7 con Docker permette agli utenti di aumentare l'efficienza, implementare più rapidamente le applicazioni di terzi e abilitare un ambiente di sviluppo più agile consentendo una migliore gestione delle risorse.
Red Hat Enterprise Linux 7.1 dispone della versione Docker 1.3.2, la quale include un certo numero di nuove funzionalità.
Digital Signature Verification è presente in Docker come Anteprima di tecnologia. Il Docker Engine è in grado di verificare automaticamente la provenienza e l'integrità di tutti i Repository ufficiali, tramite l'uso di firme digitali.
Il comando docker exec
permette la generazione dei processi all'interno dei container Docker usando le Docker API.
Il comando docker create
crea un container ma non genera alcun processo al suo interno. Questo comportamento permette di avere una migliore gestione dei cicli di vita dei container.
Red Hat fornisce le immagini di base del Docker per la compilazioni di applicazioni sia su Red Hat Enterprise Linux 6 che Red Hat Enterprise Linux 7.
Su host con una politica SELinux abilitata è supportata l'esecuzione dei container di Linux con un formato Docker. SELinux non è supportato quando la directory /var/lib/docker/
è posizionata su un volume che utilizza il file system B-tree (Btrfs
).
10.1. Componenti dei container Docker
Docker è in grado di operare con i seguenti componenti:
Container - un sandbox delle applicazioni. Ogni container si basa su una immagine che contiene i dati necessari per la configurazione. Al momento di lanciare un container da una immagine, un livello modificabile viene aggiunto sopra l'immagine. Ogni qualvolta che si esegue il commit di un container (tramite il comando docker commit
), verrà aggiunto un nuovo livello per l'archiviazione delle modifiche.
Image – una istantanea statica della configurazione del container. L'immagine è un livello "in sola lettura" che non potrà mai essere modificato, tutte le modifiche verranno eseguite nel livello più alto modificabile, e verranno archiviate solo tramite la creazione di una nuova immagine. Ogni immagine dipende da una o più immagini genitore.
Immagine piattaforma – una immagine senza alcun genitore. Le immagini della pattaforma definiscono l'ambiente del runtime, i pacchetti e le utilità necessarie per l'esecuzione dell'applicazione del container. L'immagine è in sola lettura e ogni modifica verrà riportata nelle immagini copiate situate in un livello più alto. Per un esempio consultare la
Figura 10.1, «Livelli immagine con formato Docker».
Registro – un repository di immagini. I registri sono repository pubblici o privati che contengono immagini disponibili per il download. Alcuni registri permettono agli utenti di caricare le immagini e renderle disponibili ad altri.
Dockerfile – un file di configurazione con informazioni sulla compilazione per le immagini Docker. Dockerfiles forniscono un modo per automatizzare, riutilizzare e condividere le procedure di compilazione.
10.2. Vantaggi con l'utilizzo di Docker
Docker utilizza una API per la gestione dei container, un formato dell'immagine e la possibilità di usare un registro remoto per la condivisione dei container. Questo schema apporta alcuni benefici sia per gli sviluppatori che per gli amministratori di sistema:
Implementazione rapida delle applicazioni – i container includono requisiti minimi di runtime delle applicazioni, riducendone la dimensione e velocizzando i tempi di una implementazione.
Portabilità su diverse macchine – una applicazione in grado con tutte le sue dipendenze, di essere raggruppata in un container indipendente dalla versione host del kernel Linux, dalla distribuzione della piattaforma o modello di implementazione. Questo container può essere trasferito su una macchina diversa che esegue Docker, ed eseguito senza alcun problema di compatibilità.
Controllo versione e riutilizzo del componente – è possibile tracciare versioni successive di un container, controllarne le differenze o ripristinare le versioni precedenti. I container riutilizzano i componenti dei livelli precedenti, semplificandoli notevolmente.
Condivisione – è possibile riutilizzare un repository remoto per la condivisione del container con altri. Red Hat fornisce un registro per questo tipo di processo. È possibile altresì configurare un repository privato.
Footprint semplice e overhead minimo – Le immagini Docker sono generalmente piccole, ciò ne facilita la disponibilità e riduce i tempi di implementazione di nuovi container di applicazioni.
Gestione semplificata – Docker riduce gli sforzi e i rischi derivati dalle dipendenze delle applicazioni.
10.3. Confronto con le macchine virtuali
Le macchine virtuali rappresentano un intero server con tutte le problematiche associate alla gestione e al software. I container Docker forniscono un ambiente isolato per le applicazioni e possono essere configurati con ambienti di runtime minimi. In un container Docker il kernel, e parte dell'infrastruttura del sistema operativo, sono condivisi. Per la macchina virtuale è necessario includere un sistema operativo.
È possibile creare o eliminare facilmente i container. Le macchine virtuali invece hanno bisogno di installazioni complete e richiedono un numero maggiore di risorse informatiche per l'esecuzione.
I container sono molto semplici, e per questo motivo è possibile eseguire simultaneamente più container di macchine virtuali su una macchina host.
I container condividono le risorse in modo più efficiente. Le macchine virtuali sono isolate. Per questo motivo è possibile semplificare l'uso di versioni multiple di una applicazione in esecuzione nei container. Per esempio, i binari condivisi non sono duplicati sul sistema.
È possibile migrare le macchine virtuali durante la loro esecuzione, tuttavia i container non possono essere migrati se prima non sono stati arrestati. Solo dopo il loro arresto sarà possibile spostarli tra le macchine host.
I container non devono essere usati in sostituzione alle macchine virtuali, è sempre necessario determinare lo scenario migliore per l'applicazione desiderata.
10.4. Utilizzo di Docker su Red Hat Enterprise Linux 7.1
Docker,
Kubernetes e
Docker Registry fanno parte del canale Extra di Red Hat Enterprise Linux. Dopo aver abilitato il suddetto canale sarà possibile installare i pacchetti normalmente. Per maggiori informazioni su come installare i pacchetti e abilitare i canali, consultare la
Guida per l'amministratore di sistema.
Red Hat fornisce un registro delle immagini docker certificate. Al suo interno saranno disponibili le immagini di base per la compilazione delle applicazioni sia su Red Hat Enterprise Linux 6 che Red Hat Enterprise Linux 7, e le soluzioni precompilate utilizzabili su Red Hat Enterprise Linux 7.1 con Docker. Per maggiori informazioni sul registro e per un elenco di pacchetti disponibili, consultare le
Immagini Docker.
Capitolo 11. Autenticazione ed interoperatibilità
Backup manuale e funzionalità di ripristino
Questo aggiornamento introduce i comandi
ipa-backup
e
ipa-restore
per l'Identity Management (IdM), i quali permettono agli utenti di eseguire manualmente un backup dei propri dati IdM, e ripristinarli in presenza di problemi con l'hardware. Per maggiori informazioni consultare le pagine man di pa-backup(1) e ipa-restore(1) oppure
la documentazione FreeIPA relativa.
Strumento di gestione del Certificate Authority
È stato aggiunto il comando
ipa-cacert-manage renew
al client Identity management (IdM), il quale permette di rinnovare il file IdM Certification Authority (CA). Ciò permette agli utenti di installare e impostare in modo semplice IdM usando un certificato firmato da un CA esterno. Per informazioni consultare la pagina man di ipa-cacert-manage(1) oppure la
documentazione relativa di FreeIPA.
Migliorata la granularità per il controllo d'accesso
È ora possibile regolare i permessi di lettura per sezioni specifiche nell'UI del server per l'Identity Management (IdM). Ciò permette agli amministratori del server IdM di limitare l'accesso al contenuto privilegiato solo a utenti desiderati. In aggiunta, per impostazione predefinita gli utenti autenticati del server IdM non avranno più i permessi di sola lettura su tutti i contenuti. Queste modifiche migliorano la sicurezza generale dei dati relativi al server IdM. Per maggiori informazioni consultare
la documentazione FreeIPA relativa.
Accesso al dominio limitato per utenti non privilegiati
L'opzione
domains=
è stata aggiunta al modulo
pam_sss
, e sovrascrive l'opzione
domains=
nel file
/etc/sssd/sssd.conf
. Questo aggiornamento rende disponibile altresì l'opzione
pam_trusted_users
, che se usata permette all'utente di aggiungere un elenco di nomi utenti o UID numerici fidati per il demone
SSSD
, e l'opzione
pam_public_domains
insieme ad un elenco di domini accessibili per untenti non privilegiati. Queste nuove implementazioni permettono di configurare i sistemi dove gli utenti normali sono in grado di daccedere ad applicazioni specifiche, senza avere i permessi per accedere al sistema stesso. Per informazioni aggiuntive su questa funzione consultare la
documentazione relativa a SSSD.
Integrazione SSSD per il Common Internet File System
È stata aggiunta una interfaccia per il plug-in fornito da
SSSD
, per la configurazione del processo di mappatura degli ID da parte dell'utilità
cifs-utils. Ne deriva un client
SSSD
in grado di accedere ad una condivisione CIFS, con le stesse funzioni di un client che esegue il servizio
Winbind. Per maggiori informazioni consultare la
documentazione relativa a SSSD.
Supporto per la migrazione da WinSync a Trust
Questo aggiornamento implementa il nuovo meccanismo
ID Views
per la configurazione dell'utente. Esso abilita la migrazione di utenti Identity Management da una architettura basata sulla sincronizzazione
WinSync, usata da
Active Directory
, ad una infrastruttura basata sui Cross-Realm Trust. Per informazioni su
ID Views
e sulla procedura di migrazione consultare la
documentazione relativa aFreeIPA.
Configurazione del provider dei dati automatica
Il comando ipa-client-install
ora configura per impostazione predefinita SSSD
come provider dei dati per il servizio sudo. È possibile disabilitare questo processo usando l'opzione --no-sudo
. È stata aggiunta altresì una opzione --nisdomain
per specificare il nome del dominio NIS per l'installazione del client Identity Management, e l'opzione --no_nisdomain
per impedire l'impostazione del nome del dominio NIS. Se non utilizzate queste due opzioni verrà implementato il dominio IPA.
Utilizzo provider sudo AD e LDAP
Il provider AD è un backend usato per la connessione con un server Active Directory. In Red Hat Enterprise Linux 7.1, l'utilizzo del provider sudo AD insieme con il provider LDAP è supportato come Anteprima di tecnologia. Per abilitare il provider sudo AD, aggiungere le impostazioni sudo_provider=ad
nella sezione del dominio del file sssd.conf
.
SCAP Security Guide
Con Red Hat Enterprise Linux 7.1 è stato incluso il pacchetto
scap-security-guide il quale fornisce le linee guida sulla sicurezza e i meccanismi di convalida associati.\nLe linee guida sono specificate nel
Security Content Automation Protocol (
SCAP), il quale rappresenta un catalogo sui consigli pratici. La
SCAP Security Guide presenta i dati necessari per eseguire scansioni sulla conformità della sicurezza dei sistemi, in relazione a determinati requisiti di sicurezza di una politica; sono inclusi una descrizione scritta e un test automatizzato (probe). Automatizzando il test, la
SCAP Security Guide fornisce un metodo affidabile e conveniente per la verifica della conformità dei sistemi.
L'amministratore di sistema di Red Hat Enterprise Linux 7.1 è in grado di utilizzare lo strumento della linea di comando oscap
del pacchetto openscap-utils, per verificare la conformità del sistema alle linee guida fornite. Consultare la pagina man scap-security-guide(8) per maggiori informazioni.
Politica di SELinux
In Red Hat Enterprise Linux 7.1 la politica SELinux è stata modificata; i servizi sprovvisti di politica SELinux, che in precedenza erano in grado di essere eseguiti nel dominio
init_t
, ora vengono eseguiti in un nuovo dominio
unconfined_service_t
. Consultare il capitolo
Processi non confinati nella
SELinux User's and Administrator's Guide di Red Hat Enterprise Linux 7.1.
Nuove funzioni in OpenSSH
Il set OpenSSH è stato aggiornato alla versione 6.6.1p1 e ora sono disponibili nuove funzioni relative alla crittografia:
Lo scambio di chiavi con elliptic-curve Diffie-Hellman
in Curve25519
di Daniel Bernstein è ora supportato. Questo metodo è quello predefinito previo supporto disponibile sia sul server che sul client.
È stato aggiunto il supporto per l'utilizzo dello schema di firma elliptic-curve Ed25519
come tipo di chiave pubblica. Ed25519
, utilizzabile sia per gli utenti che per le chiavi dell'host, offre una maggiore sicurezza e migliori prestazioni rispetto a ECDSA
e DSA
.
È stato aggiunto un nuovo formato di chiave-privata il quale utilizza la funzione
bcrypt
key-derivation (
KDF). Per impostazione predefinita questo formato viene usato per le chiavi
Ed25519
ma può essere richiesto per altri tipi di chiavi.
È stato aggiunto un nuovo cifrario per il trasporto chacha20-poly1305@openssh.com
. Esso combina ChaCha20
di Daniel Bernstein e il Poly1305
message authentication code (MAC).
Nuove funzioni in Libreswan
L'implementazione
Libreswan di IPsec
VPN è stata aggiornata alla versione 3.12, ora sono disponibili nuove funzioni e miglioramenti:
Sono stati aggiunti nuovi tipi di cifrari
È stato migliorato il supporto
IKEv2
(principalmente con i payload
CP
, le richieste
CREATE_CHILD_SA
e il supporto appena aggiunto per
Authenticated Header
(
AH).
È stato aggiunto il supporto per la catena del certificato intermediario in IKEv1
e IKEv2
.
È stata migliorata la gestione dei collegamenti.
È stata migliorata l'interoperabilità con i sistemi OpenBSD, Cisco e Android.
È stato migliorato il supporto per systemd.
È stato aggiunto il supporto per CERTREQ
e per le statistiche del traffico.
Nuove funzioni in TNC
L'architettura Trusted Network Connect (TNC), disponibile con il pacchetto strongimcv è stata aggiornata e ora si basa su strongSwan 5.2.0. Sono state aggiunte le seguenti funzionalità e apportato i seguenti miglioramenti al TNC:
È stato aggiunto il PT-EAP
transport protocol (RFC 7171) per Trusted Network Connect.
La coppia Attestation IMC/IMV supporta ora il formato di misurazione IMA-NG.
Il supporto per l'Attestation IMV è stato migliorato tramite l'implementazione di un nuovo elemento di lavoro TPMRA.
È stato aggiunto il supporto per una REST API basata su JSON con SWID IMV.
SWID IMC è in grado di estrarre tutti i pacchetti installati dai gestori di pacchetti dpkg, rpm o pacman usando swidGenerator, il quale genera i tag SWID in base al nuovo standard ISO/IEC 19770-2:2014.
L'implementazione libtls
TLS 1.2 utilizzata da EAP-(T)TLS e altri protocolli, è stata estesa con il supporto della modalità AEAD, attualmente limitato a AES-GCM.
Lo strumento aikgen ora è in grado di generare un Attestation Identity Key associato ad un TPM.
Migliorato il supporto IMVs per la condivisione dell'ID del richiedente l'accesso, ID del dispositivo e le informazioni sul prodotto di un richiedente l'accesso tramite un elemento imv_session comune.
Numerosi bug sono stati corretti nei protocolli esistenti IF-TNCCS
(PB-TNC
, IF-M
(PA-TNC
)) e nella coppia OS IMC/IMV
.
Nuove funzioni in GnuTLS
L'implementaziuone GnuTLS dei protocolli SSL
, TLS
e DTLS
è stata aggiornata alla versione 3.3.8, ora sono disponibili nuove funzioni e miglioramenti:
È stato aggiunto il supporto per DTLS 1.2
.
È stato aggiunto il supporto per
Application Layer Protocol Negotiation (
ALPN).
Sono state migliorate le prestazioni delle suite del cifrario elliptic-curve.
Sono state aggiunte nuove suite del cifrario, RSA-PSK
e CAMELLIA-GCM
.
È stato aggiunto il supporto nativo per lo standard
Trusted Platform Module (
TPM).
È stato migliorato il supporto per le
PKCS#11
smart card e per gli
hardware security module (
HSM).
Miglioramenti apportati per la conformità agli standard di sicurezza FIPS 140 (Federal Information Processing Standards).
Supporto per le immagini Quad-buffered OpenGL Stereo
GNOME Shell e Mutter ora sono in grado di permettere all'utente di utilizzare le immagini quad-buffered OpenGL stereo su hardware supportato. Per fare questo è necessario avere la versione 337 di NVIDIA Display Driver o una versione più recente.
Provider di account online
Una nuova chiave GSettings, org.gnome.online-accounts.whitelisted-providers
, è stata aggiunta su GNOME Online Accounts (resa disponibile tramite il pacchetto gnome-online-accounts). Questa chiave fornisce un elenco di provider per account online caricabili all'avvio. Specificando questa chiave gli amministratori di sistema possono abilitare provider specifici o disabilitarne altri.
Capitolo 14. Supporto e gestione
ABRT Authorized Micro-Reporting
In Red Hat Enterprise Linux 7.1, l'Automatic Bug Reporting Tool (ABRT) presenta una integrazione maggiore con il Portale clienti di Red Hat ed è in grado di inviare direttamente micro-riporti al Portale. Questo comportamento permette a ABRT di fornire agli utenti statistiche aggregate sul crash. Altresì, ABRT ha l'opzione di utilizzare i certificati per gli entitlement o le credenziali per il Portale degli utenti per autorizzare i micro-riporti, semplificando la configurazione di questa funzionalità.
L'autorizzazione integrata permette all'ABRT di rispondere ad un micro-riporto con un testo molto ricco, il quale può includere le fasi possibili per correggere la causa della loro generazione. È possibile utilizzare l'autorizzazione per abilitare le notifiche su aggiornamenti importanti relativi ai micro-riporti, e queste notifiche possono essere inviate direttamente agli amministratori.
Per gli utenti che hanno abilitato i micro-riporti ABRT in Red Hat Enterprise Linux 7.0, i micro-riporti autorizzati sono abilitati automaticamente.
Capitolo 15. Red Hat Software Collection
Red Hat Software Collection è un insieme di contenuti di Red Hat in grado di fornire un set di linguaggi di programmazione dinamici, server del database e pacchetti relativi, installabili e utilizzabili su tutte le release supportate di Red Hat Enterprise Linux 6 e Red Hat Enterprise Linux 7 su architetture AMD64 e Intel 64.
Linguaggi dinamici, server del database e altri strumenti distribuiti con Red Hat Software Collection, non sostituiscono gli strumenti predefiniti disponibili con Red Hat Enterprise Linux, e non devono essere preferiti ai suddetti strumenti.
Red Hat Software Collection utilizza un meccanismo alternativo per il packaging basato sull'utilità scl
, e fornisce un insieme parallelo di pacchetti. Questo insieme permette l'uso di versioni alternative su Red Hat Enterprise Linux. Utilizzando scl
gli utenti possono scegliere in qualsiasi momento la versione del pacchetto da eseguire.
Red Hat Developer Toolset fa ora parte di Red Hat Software Collection ed è incluso come raccolta software separata. Red Hat Developer Toolset è stato creato per gli sviluppatori che utilizzano una piattaforma Red Hat Enterprise Linux, e fornisce le versioni correnti di GNU Compiler Collection, GNU Debugger, piattaforma di sviluppo Eclipse, debugging e gli strumenti per il controllo delle prestazioni.
Consultare la
Documentazione di Red Hat Software Collection per informazioni sui componenti inclusi nell'insieme, per i requisiti del sistema, per le problematiche conosciute, per l'utilizzo e per le specifiche degli Insiemi software.