Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

RHEL 9 ist da: Neues Fundament, alter Kernel, ganz viel Cloud

Mit Red Hat Enterprise Linux 9 stehen für die Enterprise-Distribution einige grundlegende Änderungen an. Was bedeuten sie für die Arbeit der Administratoren?

In Pocket speichern vorlesen Druckansicht 20 Kommentare lesen

(Bild: J0hnTV/Shutterstock.com)

Update
Lesezeit: 11 Min.
iX Magazin
Von
  • Martin Gerhard Loschwitz
Inhaltsverzeichnis

Red Hat hat seine Enterprise-Distribution Red Hat Enterprise Linux (RHEL) 9 offiziell für den Download zur Verfügung gestellt. Das System fußt erstmals auf CentOS Stream, soll des Herstellers Universalwerkzeug für alle Anwendungsgebiete vom Rechenzentrum bis zu Edge-Installationen und eingebettete Geräte werden und kommt darüber hinaus vor allem mit vielen Veränderungen im Detail daher.

CentOS Stream 9 als Basis

Bisherige RHEL-Versionen begannen ihren Lebenszyklus stets als Snapshot einer Release von Fedora Linux. Von diesem Entwicklungsmodell hatte Red Hat sich allerdings schon Ende des Jahres 2020 verabschiedet: Stattdessen kommt nun eine dauerhaft durch den Hersteller gepflegte Rolling-Release-Distribution zum Einsatz, die den Namen CentOS Stream trägt. Anders als bisher landen dadurch nicht mehr alle Änderungen aus Fedora automatisch auch in RHEL – stattdessen übernimmt Red Hat je nach Bedarf lediglich einzelne Funktionen. Ins Gras beißen musste dafür zum Ärger vieler Administratoren das klassische CentOS, das bisher ein freier und kostenloser RHEL-Klon war, der sich ohne Support vom Hersteller betreiben ließ.

Red Hat verspricht sich vom veränderten Entwicklungsmodell vor allem eine beschleunigte Entwicklung seiner Enterprise-Distribution, wovon bestehende Systeme allerdings nicht unmittelbar profitieren. Jedoch dürfte sich der Release-Zyklus von RHEL durch das neue Fundament deutlich verkürzen, wodurch sich RHEL-Systeme mit durchschnittlich aktuellerer Software als bisher betreiben lassen. Zwischen RHEL 7 und RHEL 8 lagen immerhin vier Jahre – Canonical kommt im Vergleich dazu auf zwei Jahre zwischen zwei LTS-Versionen.

Als Kernel liefert das neue RHEL 9 Linux 5.14 aus, das bereits Ende 2021 erschien und mithin nicht mehr ganz frisch ist. Bekanntlich ist es mit den Kerneln von Systemen mit Langzeit-Support aber ohnehin so eine Sache: Diese haben gerade in späteren Phasen ihres Lebenszyklus' mit dem ursprünglichen Kernel oft nicht mehr viel gemein. Stattdessen nehmen die Hersteller regelmäßig große Aufwände in Kauf, um Patches aus späteren Kerneln auf den Standard-Kernel der eigenen Enterprise-Distribution zurück zu portieren. Bereits bei der Installation von RHEL 9 dürfte der nominell als Version 5.14 daherkommende Kernel deshalb etliche Patches aus späteren Kernel enthalten – aus Sicht des Administrators ist das allerdings kaum zu durchdringen.

Neues Kernel-Feature: Core Scheduling

Endgültig Schluss ist in RHEL 9 mit dem Support für den klassischen IDE-Bus. Neu hinzu kommt hingegen die Unterstützung für Core Scheduling: Das ist ein Kernel-Feature, mit dem sich Prozesse im Userland zu logischen Gruppen zusammenfassen lassen, die der Kernel dann zuverlässig auf denselben Kernen abarbeitet. Praktisch ist dieses Feature sowohl in Sachen Performance als auch in Sachen Sicherheit. Denn einerseits lassen sich über die Scheduling-Groups Prozesse zuverlässig voneinander abschirmen; andererseits profitieren viele Anwendungen im Hinblick auf ihre Performance davon, auf denselben Kernen zu laufen.

iX Newsletter: Monatlich spannende Hintergründe zur neuen Ausgabe

Die kommende iX 7/2022 nimmt die neuen Features von RHEL 9 genauer unter die Lupe. Erhalten Sie rechtzeitig zum Erscheinen des neuen Hefts unseren kostenlosen Newsletter, der die spannendsten Themen der Juli-iX vorstellt und exklusive Interviews mit Autoren und Redaktion enthält. Abonnieren können Sie ihn unter heise.de/s/NY1E.

Stabile APIs, ARM64, Cloud-Support

Massiven Aufwand hat Red Hat in sämtliche Technik gesteckt, die die Distribution bereit für Virtualisierung und Cloud- wie Edge-Computing machen. Schon bisher war RHEL das Fundament anderer Red-Hat-Produkte wie OpenShift oder RHEV; RHEL 9 bringt für alle dazu benötigten Systemkomponenten mannigfaltige Updates. Die Docker-Alternative Podman liegt RHEL 9 deshalb in der frisch erschienenen Version 4.0.0 bei; diese untersützt für Container erstmals den IP-Standard IPv6 und Dual-Stack-Konfigurationen aus IPv4 und IPv6. Auch QEMU spendieren die Entwickler ein Update – obendrein ist das QEMU in RHEL 9 mit Clang statt wie bisher mit GCC kompiliert, wodurch sich zusätzliche Sicherheitsfeatures wie SafeStack verwenden lassen. Red Hat macht es Angreifern durch diese Änderungen noch schwieriger, aus laufenden KVM-VMs in das Hostsystem auszubrechen.

Des Herstellers Wohl sucht RHEL 9 allerdings nicht nur auf klassischen Servern im RZ. Stattdessen soll die Distribution sich laut Anbieter zur Grundlage für sämtliche denkbaren Linux-Einsatzzwecke entwickeln. Für die großen Hyperscaler bietet Red Hat deshalb kuratierte Abbilder im Image Builder Service ebenso an wie ein Mini-System für eingebettete Geräte. Passend dazu erweitert RHEL 9 die Unterstützung für AARCH64-Systeme deutlich, also für 64-Bit-Systeme mit ARM-CPU, die in eingebetteten Geräten besonders oft zu finden sind. Auch fertige RHEL-9-Container als Basis für Anwender-Images stellt Red Hat in drei unterschiedlichen Größen zur Verfügung.

Entwicklern in verteilten Umgebungen verspricht Red Hat zudem stabile APIs über die gesamte Lebensdauer von RHEL 9 hinweg auf allen unterstützten Plattformen. Dabei spielt OpenShift eine erhebliche Rolle, das einheitliche APIs auf Container-Basis ermöglicht. Dadurch soll es besonders leicht sein, eine Anwendung zu entwickeln, die sich auf dem Server im RZ ebenso verwenden lässt wie in einer Edge-Appliance. Passend dazu möbelt Red Hat auch seine Lifecycle-Management-Werkzeuge auf, die nun mit mehr Zielplattformen und zusätzlichen Deployment-Szenarien umgehen können, wie sie etwa in Edge-Umgebungen vorkommen. Das umfasst beispielsweise eine Web-Oberfläche, die direkt in RHEL integriert ist und einen schnellen Überblick über etliche Parameter des Systems ebenso wie basale Konfigurationsaufgaben bietet.

Viele Kleinigkeiten

Etliche Änderungen wirken obendrein unscheinbar, haben für den Administrator und seine alltägliche Arbeit allerdings erhebliche Folgen. Die meisten Systemkomponenten erfahren im Vergleich zu RHEL 8 bedeutsame Updates. OpenSSL liegt RHEL 9 in der Version 3.0 bei, was – wie bereits bei Ubuntu – zu besserer Performance führt, implizit aber auch einige als veraltet geltende Algorithmen in Rente schickt. GCC 11 ist der Standardcompiler; für Skriptsprachen im Übermaß ist durch Go 1.16.6, Rust 1.54, PHP 8, Python 3.9 sowie Ruby 3 ausführlich gesorgt. Klassische Serverprogramme wie MariaDB (10.5), PostgreSQL (13) oder Redis (6.2) sind ebenfalls renoviert in RHEL 9 vorhanden.

Mehrere Neuerungen ergeben sich in Sachen Sicherheit. sudo lässt sich nun per einer Smartcard auf der Kommandozeile entsperren; gleichzeitig müssen Admins nicht länger darauf achten, den SSH-Login als root zu verbieten. Denn dieser ist erstmals seit 2001 in einer RHEL-Release wieder automatisch deaktiviert. Aktiviert soll laut Hersteller hingegen unbedingt SELinux bleiben. Dieses ist laut Red Hats Aussage in RHEL 9 nicht nur um bis zu 25 Prozent flotter als zuvor, sondern lässt sich auch nicht mehr einfach durch SELINUX=disabled in /etc/selinux/config ausschalten. Stattdessen lässt SELinux sich nur noch per Option selinux=0 in der Kommandozeile des Linux-Kernels beim Systemstart deaktivieren.

Red Hats automatische Installationsroutine Anaconda erhält viele neue Features. Aus Anaconda heraus lässt sich ein System nun etwa unmittelbar bei Red Hat mit dem Subscription-Manager registrieren; zuvor war dafür ein Shell-Snippet in der %post-Anweisung zur Installation nötig. Abschied nehmen heißt es hingegen von teamd, einer Alternative zu Bonding-Geräten des Kernels. Die alten iptables-Schnittstellen markiert Red Hat in RHEL 9 offiziell als veraltet, sodass diese in RHEL 10 fehlen dürften; in Form von nftables steht seit RHEL 8 aber schon der offizielle Nachfolger bereit – Probleme sind hier also kaum zu erwarten. Wer sein altes iptables-Regelwerk noch nicht auf nftables umgebaut hat, sollte damit nun allerdings beginnen.

Umstellung auf NetworkManager

Für einige Kontroverse dürfte gerade bei eher konservativen Systemverwaltern eine Änderung in RHEL 9 sorgen, die im Changelog unscheinbar wirkt. Denn das Paket network-scripts liegt RHEL 9 endgültig nicht mehr bei. Bis einschließlich RHEL 7 bot jenes die bekannten Dateien in /etc/sysconfig/network-scripts an, mit denen sich die Netzwerkschnittstellen eines Systems konfigurieren ließen. In RHEL 8 war das Paket bereits als deprecated markiert, stattdessen sollten Anwender zu NetworkManager greifen, um ihre Netzwerkeinstellungen vorzunehmen. Die Krux an der Sache war jedoch, dass sich mit dem NetzwerkManager gar nicht alle Konfigurationen anlegen ließen, die die Skripte zuvor unterstützten. Die CLI-Werkzeuge für die Verwendung von NetworkManager stehen außerdem nicht gerade im Verdacht, besonders intuitiv zu sein. Wohl auch deshalb griffen viele Administratoren letztlich doch wieder zu den Skripten. RHEL 9 setzt dieser Wahlfreiheit endgültig ein Ende: Für die Konfiguration der NICs im System ist NetworkManager die einzige übrige Option, spätestens jetzt muss man sich mit der neuen Herangehensweise in Sachen Systemkonfiguration befassen. Immerhin versichert der Anbieter, dass alle mit network-scripts enthaltenen Setups auch mit NetworkManager machbar sind.

Updates auch für den Desktop

Desktop-Anwender sind zwar nicht die Hauptzielgruppe von RHEL, doch läuft Red Hat Enterprise Linux durchaus auch auf dem ein oder anderen Endanwender-Computer. Hier ergeben sich in RHEL 9 ebenfalls ein paar Änderungen. Als Standard-Desktop kommt ein bereits deutlich angestaubtes GNOME 40 daher, dem die üblichen Büroanwendungen wie Firefox oder LibreOffice in ebenfalls nicht mehr taufrischen Versionen beiliegen. Pipewire ersetzt zudem das bisherige Audio-Framework PulseAudio.

Für etliche Komponenten dürfen Nutzer aber zudem auf aktualisierte Pakete auch während des RHEL-9-Releasezyklus hoffen – denn wie bereits in RHEL 8 unterstützt Red Hat auch in Ausgabe 9 mehrere Optionen, um zusätzliche Software auf dem System zu installieren. Neue Versionen der klassischen Desktop-Anwendungen lassen sich deshalb später per Flatpak nachrüsten, ohne den Support für gleich das ganze System zu verlieren. Auch für Server liefern Flatpaks zudem einige interessante Anwendungen mit Red Hats Segen oder gar unmittelbar von Red Hat selbst.

Wie üblich bietet Red Hat seinen Nutzern schließlich auch einen Ausblick auf Features, mit denen in absehbarer Zeit zu rechnen ist – die der Hersteller allerdings noch nicht offiziell unterstützt. Dazu gehört in RHEL 9 die kernel-eigene VPN-Implementierung WireGuard ebenso wie der Support für voll- und paravirtualisierte VMs auf Systemen mit 64-bit ARM-CPU und für Desktop-Anwender die Bildbearbeitung GIMP.

Fazit: Behutsames Update

Erstmals seit langem lässt Red Hat zwischen zwei RHEL-Versionen eine Reihe von Steinen auf den anderen. Wer die Administration von RHEL 8 gewohnt ist, muss sich – anders als etwa beim Wechsel von RHEL 7 zu 8 – nicht an einen ganzen Haufen neuer Werkzeuge gewöhnen, vorhandenes Wissen verwerfen und neues Wissen erlernen. Stattdessen kommt RHEL 9 eher als behutsames Update daher, das Administratoren nicht vor allzu große Herausforderungen stellen wird.

Zu beziehen ist RHEL 9 wie üblich direkt bei Red Hat. Entwickler können erstmals die Distribution ohne Kosten mit aktiver Subscription verwenden.

[Update 20. Mai 2022, 13:30 Uhr:] Die Umstellung von network-scripts erfolgt nicht auf systemd-networkd, sondern auf NetworkManager.

(fo)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten