ProHoster > Blog > actualités internet > Version de distribution de Red Hat Enterprise Linux 8.2

Version de distribution de Red Hat Enterprise Linux 8.2

Compagnie du chapeau rouge опубликовала kit de distribution Red Hat Enterprise Linux 8.2. Les assemblys d'installation sont préparés pour les architectures x86_64, s390x (IBM System z), ppc64le et Aarch64, mais disponible pour загрузки uniquement aux utilisateurs enregistrés du portail client Red Hat. Les sources des packages Red Hat Enterprise Linux 8 tr/min sont distribuées via Dépôt Git CentOS. La branche RHEL 8.x sera prise en charge au moins jusqu'en 2029.

Initialement, l'annonce de RHEL 8.2 était publié sur le site Web de Red Hat le 21 avril, mais l'annonce a été faite prématurément et les référentiels pour l'installation des mises à jour sont toujours n'étaient pas prêts, mais en fait, la version n'est sortie qu'aujourd'hui. La branche 8.x est développée conformément à un nouveau cycle de développement prévisible, qui implique la formation de versions tous les six mois à une heure prédéterminée. Nouveau cycle de développement Les produits RHEL couvrent plusieurs couches, dont Fedora comme tremplin vers de nouvelles fonctionnalités, CentOS Stream pour accéder aux packages générés pour la prochaine version intermédiaire de RHEL (version glissante de RHEL), une image de base universelle minimaliste (UBI, Universal Base Image) pour exécuter des applications dans des conteneurs isolés et Abonnement développeur RHEL pour une utilisation gratuite de RHEL dans le processus de développement.

Clé changements:

  • Fourni par prise en charge complète de la gestion des ressources à l'aide d'une hiérarchie unifiée cgroup v2, qui était auparavant au stade de faisabilité expérimentale. Сgroups v2 peut être utilisé, par exemple, pour limiter la consommation de mémoire, de CPU et d'E/S. La principale différence entre les groupes de contrôle v2 et v1 réside dans l'utilisation d'une hiérarchie de groupes de contrôle commune pour tous les types de ressources, au lieu de hiérarchies distinctes pour l'allocation des ressources CPU, pour la régulation de la consommation de mémoire et pour les E/S. Des hiérarchies séparées entraînaient des difficultés dans l'organisation des interactions entre les gestionnaires et des coûts supplémentaires en ressources du noyau lors de l'application de règles pour un processus référencé dans différentes hiérarchies.
  • Добавлен Outil Convert2RHEL pour convertir des systèmes utilisant des distributions de type RHEL, telles que CentOS et Oracle Linux, en RHEL.
  • Ajout de la possibilité de personnaliser les politiques de sous-système cryptographiques à l'échelle du système (crypto-politiques), couvrant les protocoles TLS, IPSec, SSH, DNSSec et Kerberos. L'administrateur peut désormais définir sa propre politique ou modifier certains paramètres de celles existantes. Ajout de deux nouveaux packages setools-gui et setools-console-analyses pour analyser les politiques SELinux et inspecter les flux de données. Ajout d'un profil de sécurité conforme aux recommandations DISA STIG (Defense Information Systems Agency). Un nouvel utilitaire, oscap-podman, a été ajouté pour analyser le contenu des conteneurs à la recherche de versions vulnérables des programmes.
  • Les outils de gestion des identités incluent désormais un nouvel utilitaire Healthcheck qui vous permet d'identifier les problèmes dans les environnements IdM (Identity Management). Fournit la prise en charge des rôles et modules Ansible pour simplifier l’installation et la gestion d’IdM.
  • La conception de la console Web a été modifiée, qui utilise désormais l'interface PatternFly 4, similaire à la conception de l'interface OpenShift 4. Un délai d'inactivité de l'utilisateur a été ajouté, après quoi la session avec la console Web est terminée. Ajout de la prise en charge de l'authentification à l'aide d'un certificat client. Les sections de gestion du stockage et des machines virtuelles ont été mises à jour.
  • L'interface de commutation des bureaux virtuels dans l'environnement GNOME Classic a été modifiée, le bouton de commutation a été déplacé dans le coin inférieur droit et est conçu comme une bande avec des vignettes.
  • Le sous-système graphique DRM (Direct Renendering Manager) est synchronisé avec la version 5.1 du noyau Linux. Les pilotes graphiques ont été mis à jour pour inclure la prise en charge d'Intel Intel Comet Lake H et U (HD Graphics 610, 620, 630), Intel Ice Lake U (HD Graphics 910, Iris Plus Graphics 930, 940, 950), AMD Navi 10, Nvidia. Turing TU116,
  • La session GNOME basée sur Wayland est activée par défaut pour les systèmes dotés de plusieurs GPU (auparavant, X11 était utilisé sur les systèmes dotés de graphiques hybrides).
  • Ajout de la prise en charge de nouveaux paramètres du noyau Linux liés au contrôle de l'inclusion de la protection contre les nouvelles attaques sur le mécanisme d'exécution spéculative du CPU : mds, tsx, atténuations. Paramètre ajouté
    mem_encrypt pour contrôler l'activation des extensions AMD SME (Secure Memory Encryption). Ajout du paramètre cpuidle.governor pour sélectionner le gestionnaire d'état d'inactivité du processeur (cpuidle gouverneur). Ajout du paramètre /proc/sys/kernel/panic_print pour configurer la sortie des informations en cas de crash du système (état de panique). Paramètre ajouté
    /proc/sys/kernel/threads-max pour définir le nombre maximum de threads que la fonction fork() peut créer. Ajout de l'option /proc/sys/net/bpf_jit_enable pour contrôler si le compilateur JIT est activé pour BPF.

  • L'algorithme de lancement dnf-automatic.timer a été modifié pour appeler le processus d'installation automatique des mises à jour. Au lieu d'utiliser une minuterie monotone entraînant une activation à un moment imprévisible après le démarrage, l'unité spécifiée démarre désormais entre 6 et 7 heures du matin. Si à ce moment le système est éteint, mais démarre dans l'heure qui suit sa mise sous tension.
  • Des modules avec de nouvelles branches de Python 3.8 (au lieu de 3.6) et Maven 3.6 ont été ajoutés au référentiel AppStream. Packages mis à jour avec GCC 9.2.1, Clang/LLVM 9.0.1, Rust 1.41 et Go 1.13.
  • Versions de package mises à jour powertop 2.11 (avec prise en charge des plates-formes EHL, TGL, ICL/ICX), opencv 3.4.6, optimisé 2.13.0, rsyslog 8.1911.0, audit 3.0-0.14, fapolicyd 0.9.1-2, sudo 1.8.29 - 3.el8,
    firewalld 0.8, tpm2-tools 3.2.1, mod_md (avec prise en charge ACMEv2), grafana 6.3.6, pcp 5.0.2, elfutils 0.178, SystemTap 4.2, 389-ds-base 1.4.2.4,
    samba 4.11.2.

  • Ajout de nouveaux packages whois, graphviz-python3 (distribués via le référentiel CRB (CodeReady Linux Builder) officiellement non pris en charge), perl-LDAP, perl-Convert-ASN1.
  • Le serveur DNS BIND a été mis à jour vers la version 9.11.13 et est passé à l'utilisation de la base de données de liaison d'emplacement GeoIP2 au format libmaxminddb au lieu du GeoIP obsolète, qui n'est plus pris en charge. Ajout du paramètre serve-stale (stale-answer), qui vous permet de renvoyer des enregistrements DNS obsolètes s'il est impossible d'en obtenir de nouveaux.
  • Le plugin omhttp a été ajouté à rsyslog pour une interaction via l'interface HTTP REST.
  • Les modifications correspondant au noyau Linux 5.5 ont été transférées vers le sous-système d'audit.
  • Le plugin setroubleshoot a ajouté la prise en charge de l'analyse des échecs d'accès dus à un manque de mémoire et de la réponse automatique pour résoudre ces problèmes.
  • Les utilisateurs restreints par SELinux ont la possibilité de contrôler les services associés à la session utilisateur. Semanage a ajouté la prise en charge de l'évaluation et de la modification des ports réseau SCTP et DCCP (auparavant, TCP et UDP étaient pris en charge). Les services lvmdbusd (API D-Bus pour LVM), lldpd, rrdcached, stratisd, timedatex sont traités sous leurs domaines SELinux.
  • Firewalld a été déplacé vers l'interface JSON de libnftables lors de l'interaction avec nftables, ce qui a entraîné une augmentation des performances et de la fiabilité. nftables ajoute la prise en charge des types multidimensionnels dans l'ensemble IP, qui peuvent inclure des unions et des plages. Les règles de pare-feu peuvent désormais utiliser des gestionnaires pour surveiller les connexions des services exécutés sur des ports réseau non standard.
  • Le sous-système du noyau tc (Traffic Control) fournit une prise en charge complète
    eBPF, qui vous permet d'utiliser l'utilitaire tc pour attacher des programmes eBPF afin de classer les paquets et de traiter les files d'attente entrantes et sortantes.

  • Une prise en charge stable de certains sous-systèmes eBPF a été implémentée : la boîte à outils et la bibliothèque BCC (BPF Compiler Collection) pour créer des programmes de traçage et de débogage BPF, la prise en charge d'eBPF dans tc. Les composants bpftrace et eXpress Data Path (XDP) restent au stade d'aperçu technologique.
  • Les composants temps réel (kernel-rt) sont synchronisés avec un ensemble de correctifs pour le noyau 5.2.21-rt13.
  • Il est désormais possible d'exécuter le processus rngd (un démon permettant d'introduire de l'entropie dans un générateur de nombres pseudo-aléatoires) sans droits root.
  • LVM a ajouté la prise en charge de la méthode de mise en cache dm-writecache en plus du dm-cache précédemment disponible. Dm-cache met en cache les opérations d'écriture et de lecture les plus fréquemment utilisées, et dm-writecache met en cache uniquement les opérations d'écriture en les plaçant d'abord sur un support SSD ou PMEM rapide, puis en les déplaçant vers un disque lent en arrière-plan.
  • XFS a ajouté la prise en charge du mode d'écriture compatible avec le groupe de contrôle.
  • FUSE a ajouté la prise en charge de l'opération copy_file_range(), qui vous permet d'accélérer la copie des données d'un fichier à un autre en effectuant l'opération uniquement côté noyau sans lire au préalable les données dans la mémoire du processus. L'optimisation est clairement visible dans GlusterFS.
  • Ajout de l'option « --preload » à l'éditeur de liens dynamique, vous permettant de spécifier explicitement les bibliothèques dont le chargement est forcé avec l'application. Cette option permet d'éviter d'utiliser la variable d'environnement LD_PRELOAD, héritée par les processus enfants.
  • L'hyperviseur KVM offre une prise en charge complète de l'exécution imbriquée de machines virtuelles.
  • De nouveaux pilotes ont été ajoutés, notamment
    gVNIC, Broadcom UniMAC MDIO, logiciel iWARP, DRM VRAM, cpuidle-haltpoll, stm_ftrace, stm_console,
    Intel Trace Hub, PMEM DAX,
    Noyau Intel PMC,
    Intel RAPL
    Limite de puissance moyenne d'exécution Intel (RAPL).

  • Les versions obsolètes DSA, TLS 1.0 et TLS 1.1 sont désactivées par défaut et disponibles uniquement dans la suite LEGACY.
  • Prise en charge expérimentale (Technology Preview) de nmstate, AF_XDP, XDP, KTLS, dracut, kexec fast reboot, eBPF, libbpf, igc, NVMe sur TCP/IP, DAX dans ext4 et xfs, OverlayFS, Stratis, DNSSEC, GNOME sur les systèmes ARM , AMD SEV pour KVM, Intel vGPU

Source: opennet.ru

Ajouter un commentaire