Ubuntu 21.10 in der Server-Praxis: Alle wichtigen neuen Features erklärt

Inhaltsverzeichnis

Mehrere Rituale haben sich in der vergangenen IT-Dekade mit einer schönen Regelmäßigkeit etabliert. Erst kürzlich erschien turnusgemäß die Version 24 der freien Cloud-Umgebung OpenStack, die Canonical-Mäzen Mark Shuttleworth einst zur Standard-Cloud in Ubuntu machte und dem Projekt somit mächtigen Auftrieb verlieh. Und weil OpenStack und Ubuntu noch immer sehr eng miteinander verzahnt sind, wissen erfahrene Systemverwalter: Wo eine neue OpenStack-Version erscheint, kann eine neue Ubuntu-Release nicht weit sein. Folgerichtig veröffentlichte Canonical Ubuntu 21.10 kürzlich plangemäß Mitte Oktober.

Auch wer die LTS-Version bevorzugt, sollte sich schon jetzt mit den Neuerungen des Servers beschäftigen: Denn die werden zum größten Teil auch in Ubuntu 22.04 zu finden sein, also der kommenden LTS-Version.

CGroups v2 sind nun der Standard

Die "control groups", kurz "CGroups", sind in Linux ein Kernel-Feature, mit dessen Hilfe sich die Nutzung von Ressourcen für eine Gruppe von Prozessen per zentraler Anweisung einschränken lässt. Sie gehen Hand in Hand mit den Namespaces, die verschiedene Prozessgruppen auf Linux-Systemen voneinander isolieren. Beide Funktionen sind für den Betrieb von Containern essenziell. Von den CGroups gibt es im Linux-Kernel bis heute allerdings zwei Versionen – und in Ubuntu 21.10 findet die von vielen Admins ersehnte Wachablöse statt: Die CGroups v2 sind ab sofort nämlich das Standard-Verfahren. Programme, die nur CGroups in der Version 1 verstehen, fliegen dann auf die Nase: Während die erste Implementierung nämlich auf der Systemebene noch an Threads hing, nutzt Version 2 Prozesse als Abgrenzungsmerkmal.

Das wirkt sich zum Beispiel darauf aus, wie der Kernel die implementierten CGroups in SysFS darstellt. Ruft ein Programm diese Informationen ab und findet die v2-Hierarchie vor, obwohl es nur die v1-Hierarchie interpretieren kann, entstehen Brösel. Wer auf verbreitete Software wie Docker oder Podman setzt, hat keinen Grund zur Sorge: Sie haben CGroups v2 meist bereits vor Monaten implementiert. Wer selbst geschriebene Programme einsetzt, sollte diese jedoch zeitnah auf den Betrieb mit CGroups v2 vorbereiten oder die Kompatibilitätseinstellungen des Kernels anpassen.

iX Newsletter: Monatlich spannende Hintergründe zur neuen Ausgabe

Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E In der nächsten Ausgabe geht's ums Titelthema der November-iX: Angriffe rechtzeitig erkennen und abwehren.

Übrigens: Ubuntu 21.10 kommt insgesamt recht spät zur CGroups-v2-Party. Das der Distribution zugrunde liegende Debian GNU/Linux setzt seit der kürzlich erschienenen Version 11 ebenso auf CGroups v2 ab Werk – wie die meisten anderen Distributionen. Bei Canonical war der eingeschränkte v2-Support beim ohnehin in der Community nicht sonderlich beliebten Paketmanager Snap der Grund für den jetzt erst erfolgten Umstieg.

OpenLDAP kommt in neuer Version daher

Ubuntu 21.10 wird eine brandneue Version von OpenLDAP an Bord haben. Das ist deshalb relevant, weil viele Admins in ihrer Not mittlerweile zu Ubuntu greifen, um OpenLDAP überhaupt noch mit kommerziellem Support seitens des Distributors betreiben zu können. Red Hat hat OpenLDAP komplett aus der Distribution geworfen, einzige Alternative ist mithin SLES.

Für OpenLDAP-Admins wird es spätestens in Ubuntu 22.04 allerdings ebenfalls etwas zu tun geben, denn die neue OpenLDAP-Version bringt einige Neuerungen mit sich. "slapd-shell" steht künftig ebenso nicht mehr zur Verfügung wie die BDB- und HDB-Backends für die OpenLDAP-Datenbank. Ebenfalls fällt das "nssov"-Modul weg, mit dessen Hilfe sich bisher NSS- und PAM unmittelbar als Quelle für Benutzer- wie Gruppendaten verwenden ließen. ZWar versprechen die Entwickler, dass die neuen Pakete sich so gut wie möglich darum kümmern, alte Systeme – etwa jene, die das BDB- oder HDB-Backend nutzen – auf neuere Methoden zu migrieren. Wie üblich tut der Administrator allerdings gut daran, das im Vorfeld ausgiebig zu testen.

PHP 8 wird Standard

Auch wenn das klassische LAMP-Setup weder "cloud ready" noch sonderlich cool ist, ist es bis heute das Brot-und-Butter-Produkt vieler Webhoster. Diese müssen sich in Ubuntu 21.10 auf PHP 8 einrichten, das der neue Standard wird. Wer aktuell Ubuntu mit dessen Version von PHP 7.4 benutzt, muss sich auf diverse Funktionen einstellen, die "deprecated", also veraltet sind und wegfallen. PHP selbst führt eine Liste der Funktionen, die in PHP 8 ihren Weg ins Nirvana antreten.

Und weil die Entwickler schon dabei sind, möbeln sie auch gleich noch Apache auf, eine andere zentrale LAMP-Komponente. Der Webserver kommt in Ubuntu 21.10 in der Version 2.4.48 daher und bietet API-Funktionen, über die sich die seitens des Servers unterstützten SSL-Versionen herausfinden lassen. Anwendungen, die SSL verwenden wollen, finden dadurch ohne Eingriff des Systemverwalters heraus, welche SSL-Features zur Verfügung stehen.

Viele Neuerungen in Sachen Virtualisierung

Ein grundlegendes Update erfährt in Ubuntu 21.10 die Virtualisierung per KVM und Libvirt. Qemu liegt der neuen Distribution in Version 6.0 bei, die eine Vielzahl wichtiger Funktionen liefert. Auf AMD-basierten Systemen kann Qemu nun etwa das SEV-ES-Feature von AMD-CPUs nutzen. Das sorgt dafür, dass die Inhalte einer VM in den CPU-Registern verschlüsselt werden, sobald die VM nicht mehr läuft. So verhindert der Emulator einerseits, dass geheime Daten etwa in Richtung Hypervisor abfließen. Und andererseits lassen sich so Angriffe über böswillig veränderte CPU-Register erkennen und abwehren.

Wer eine VM mit emuliertem NVMe-Laufwerk betreibt, bekommt diese in Ubuntu 21.10 kompatibel zum NVMe-Standard 1.4 in das eigene System durchgereicht. NVMe-Subsysteme, Multipath-Zugriff und das Sharing von NVMe-Namespaces sind dadurch nun möglich.

Passend dazu enthält Ubuntu 21.10 eine runderneuerte Libvirt in der Version 7.6. Die unterstützt paravirtualisierten RAM in Form eines Pagecaches im Host-RAM statt im VM-RAM und bietet zudem die Option, "transient disks", also nicht persistierende Laufwerke, zwischen VMs zu teilen.

In Ubuntu 22.04 dürfen sich Admins übrigens nochmals über einen Stoß neuer Funktionen freuen, die der Linux-Kernel in Sachen Automation drauflegt. Die Liste der Änderungen für KVM, die KVM-Kernel-Entwickler Paolo Bonzini für Linux 5.15 vorgelegt hat, macht jedenfalls Lust auf mehr. Und Linux 5.15 dürfte nach jetzigem Kenntnisstand mindestens in Ubuntu 22.04 zu finden sein.

Viele Änderungen beim HA-Stack

Der Linux-HA-Stack rund um Pacemaker und Corosync steht nicht unbedingt im Verdacht, zu den Lieblingskomponenten vieler Administratoren zu gehören. Da werden viele Systemverwalter sich kaum freuen, dass Corosync 3.1.2 in der neuen Ubuntu-Version auch noch mit einer Änderung daherkommt, welche einen Cluster durchaus aus dem Tritt bringen kann. Denn in vorherigen Versionen nutzte Corosync in der Standardkonfiguration als "name" für einen Knoten stets "node1" in Kombination mit einer eindeutigen ID. Corosync selbst sowie Pacemaker nutzen stets die ID – hat ein Admin jedoch selbstgezimmerte Skripte, die den Namen der Knoten in der Corosync-Konfiguration aufgreifen, muss er diese anpassen.

Gute Nachrichten von der Cluster-Front gibt es indes aber auch. Denn die Maintainer der Linux-HA-Pakete in Ubuntu haben ein Test-System für die "Agents" aufgesetzt, die Pacemaker nutzt, um Ressourcen zu verwalten und Fencing-Mechanismen auszulösen. Die vorherigen Pakete "resource-agents" und "fencing-agents" werden deshalb zu Meta-Paketen, die die Pakete zusätzlichen Pakete "resource-agents-base", "fencing-agents-base", "resource-agents-extra" sowie "fencing-agents-extra" auf das System holen. Systemverwalter müssen also nicht damit rechnen, plötzlich einen Haufen der installierten Agents zu verlieren. Sie sollten allerdings im Hinterkopf behalten, dass die Agents in den "-base"-Paketen besondere Tests seitens der Entwickler durchlaufen, bevor sie in der Distribution landen.

Tschüss, iptables!

Anders als Red Hat und SUSE setzt Canonical bei Ubuntu noch immer auf das klassische "iptables", um Pakefilter zu konfigurieren. Die Konkurrenz hat längst auf den Nachfolger "nftables" umgestellt, der in Ubuntu 21.10 endlich ebenfalls Standard wird. Weil "nftables" ein Kompabitilitätsbackend zu "iptables" anbietet, sollten Admins sich eigentlich keine Sorgen machen müssen, dass der eigene Paketfilter das Update nicht übersteht. Jedoch zeigt die Erfahrung, dass es mit der Kompatibilität manchmal nicht ganz so weit her ist, wie es sich mancher Entwickler vielleicht vorstellt. Wer seine Firewall-Einstellungen über Front-Ends wie "firewalld" abwickelt, braucht sich um das Thema nicht zu kümmern. Wer allerdings wie in der guten alten Zeit riesige Skripte nutzt, die "iptables" aufrufen, sollte diese beizeiten in echte "nftables"-Aufrufe konvertieren.

Darüber hinaus ergeben sich kleinere Änderungen quer durch das Gemüsebeet. Container- und Virtualisierungskomponenten wie Runc, Containerd und Open vSwitch kommen ebenso in neuen Versionen daher wie der NTPd-Ersatz Chrony oder BIND 9. Telegraf, der Metriksammeldienst von InfluxDB, der sich jedoch auch mit Prometheus und anderen Zeitreihendatenbanken kombinieren lässt, unterstützt in der neuen Version 1.19.2 SNMPv3 deutlich besser und eignet sich damit auch, um diverse Peripheriegeräte abzufragen. Das brandneue OpenStack 24 liegt der Distribution freilich ebenfalls bei, wird jedoch in Ubuntu 22.04 noch durch die dann aktuelle OpenStack-Version ersetzt werden.

Ein kurzer Blick auf den Linux-Kernel darf zuletzt nicht fehlen. Ubuntu 21.10 kommt mit Linux 5.13 daher, der selbst nicht mehr ganz taufrisch und auch keine LTS-Version ist. Dazu sollte man stets im Hinterkopf behalten, dass Canonical bald schon über das Backports-Verzeichnis für "Impish Indri" aktuellere Kernel zur Verfügung stellen wird. Verglichen mit dem für Ubuntu 20.04 aktuell verfügbaren Linux 5.11 bietet die Version 5.13 jedoch schon ein paar Verbesserungen wie Support für neuere Hardware. Keiner dieser Kernel wird indes in Ubuntu 22.04 zu finden sein – dort wird der Admin es eher mit Ubuntu 5.16 oder 5.17 zu tun bekommen, jenachdem, welche Version dann als LTS-Version daherkommt.

Fazit

Ubuntu 21.10 kommt mit großen Änderungen bei einzelnen Details, erspart Server-Admins aber die ganz großen Überraschungen. Wer auf LTS-Releases setzt, findet in der neuen Version jedenfalls keinen zwingenden Grund, die eigene Überlegung zu korrigieren. Immerhin bietet Ubuntu 21.10 aber schon einen ganz guten Ausblick auf das, was Admins in der nächsten Version von Ubuntu erwartet – und die wird ganz sicher als LTS-Version für die Verwalter von Servern noch interessanter sein.

• Ubuntu 21.10 auf dem Desktop
• Release Notes bei Canonical

(fo)