Product SiteDocumentation Site

2. Зміни у Fedora для системних адміністраторів

2.1. Ядро

Fedora 19 постачається з ядром 3.9.0.

2.2. Встановлення

2.2.1. Мінімальна роздільна здатність екрана

Для встановлення у графічному режимі потрібен екран з мінімальною роздільною здатністю 800x600 точок

Для встановлення Fedora 19 у графічному режимі потрібне мінімальна роздільна здатність екрана 800x600. Власникам пристроїв з низькою роздільною здатністю, зокрема деяких нетбуків, слід скористатися текстовим режимом встановлення або встановленням за допомогою VNC.
Після встановлення Fedora можна користуватися і на екранах з меншою роздільною здатністю. Вимоги щодо мінімальної роздільної здатності стосуються лише встановлення у графічному режимі.

2.2.2. Syslinux

У Fedora 19 передбачено можливість використання завантажувача Extlinux, частини сімейства завантажувачів Syslinux. Цей завантажувач не має таких широких можливостей як Grub2 і не є універсальним. Його використання є доцільним для мінімалістичних образів F19 для обчислювальних хмар, але ви можете скористатися ним і для реалізації інших потреб.
У поточній версії Extlinux не передбачено підтримку LVM. Крім того, хоча реалізовано підтримку btrfs, ця підтримка є доволі обмеженою. Отже для цього завантажувача потрібна файлова система An ext2, ext3 або ext4 чи коренева файлова система на невеличкому окремому розділі /boot. Також у поточній версії реалізовано підтримку лише архітектур x86.
Щоб увімкнути Extlinux, скористайтеся або ключовим словом extlinux у командному рядку Anaconda, або параметром «--extlinux» команди завантажувача у kickstart. Доступ до цієї можливості за допомогою графічного або текстового інтерфейсу встановлювача ще не реалізовано.

Syslinux не є рішенням, якому слід надавати перевагу для типового встановлення системи!

У поточній версії підтримку реалізовано лише для вузького кола завдань, зокрема для віртуальних машин. Крім того, у Fedora 19 Extlinux може спрацьовувати не всюди.

2.2.3. Налаштовування першого запуску

Внесено зміни до початкових сторінок налаштовування Fedora 19. У GNOME тепер можна створити обліковий запис користувача і налаштувати його під час першого запуску. Інші ж середовища використовують нові функціональні можливості засобу для встановлення.

2.2.4. Обмежено підтримку віддаленого розпізнавання

У поточній версії засобу встановлення Fedora 19 не передбачено можливості віддаленого розпізнавання під час встановлення. Втім, якщо встановлюється GNOME і засобом встановлення не створено облікових записів користувачів, під час першого завантаження GNOME буде показано діалогове вікно створення облікового запису користувача, у якому передбачено підтримку FreeIPA і AD.
Користувачам, яким потрібне віддалене розпізнавання за інших обставин, слід налаштувати його у файлі kickstart або після завершення встановлення.

2.2.5. Додаткові можливості зберігання даних

Продовжується переписування засобу для встановлення системи anaconda, розпочате у Fedora 18. У Fedora 19 передбачено можливість використання під час встановлення розширених сховищ даних, зокрема fcoe, iscsi і multipath. Також покращено текстовий режим встановлення системи.

2.2.6. Інтеграція з доменом AD

Нову версію Fedora можна долучити до домену за допомогою файла kickstart або anaconda за допомогою одноразових паролів та команд з простим синтаксисом.
        # приклад рядків у kickstart для долучення до області:
        network --hostname=machine.ad.example.com
        realm join --one-time-password=MyPassword ad.example.com

2.3. Завантаження

2.3.1. Швидше завантаження зі спеціально підібраним initramfs

Відновлення і перезбирання для значних змін

Зменшено час завантаження шляхом вилучення можливостей, які не використовуються у initramfs. Якщо у систему буде додано нове обладнання, вам слід запустити її у режимі відновлення initramfs і скористатися командою dracut --regenerate-all для повторного збирання образу.
У цьому випуску Fedora образ initramfs збирається у точній відповідності до обладнання на вашому комп’ютері, що пришвидшує завантаження. Якщо буде замінено якусь значну частину обладнання, ви зможете завантажити систему у режимі Rescue (відновлення) і виконати команду dracut --regenerate-all для відновлення працездатності. Якщо вам потрібен образ initramfs, який не залежатиме від обладнання, встановіть пакунок dracut-nohostonly. Якщо вам не потрібні образи системи для відновлення (наприклад, у образах для віртуальної машини) встановіть пакунок dracut-norescue.

2.3.2. Візуальні зміни у GRUB

Вигляд екрана GRUB та меню GRUB було змінено з метою забезпечення одноріднішого та приємнішого на вигляд процесу завантаження системи.

2.4. Безпека

2.4.1. Обмеження жорстких та символічних посилань

Доволі давнім класом проблем з безпекою є клас проблем, пов’язаний з розбіжностями між моментом перевірки і моментом переходу за посиланнями. Найяскравішим прикладом є доступні до запису усіма користувачами каталоги, подібні до /tmp. Типовим методом реалізації вразливостей вказаного класу є вихід за межі обмежень прав доступу під час переходу за вказаним посиланням, зокрема переходу процесу, що належить користувачу root, за посиланням, що належить іншому користувачу. У Fedora 19 перехід за посиланнями можливий лише за межі доступних до запису всім каталогів, у разі ідентичності uid власника процесу і посилання, або якщо власником каталогу є власник посилання. У попередніх випусках дотримання цього правила забезпечувалося засобами SELinux. У поточному випуску ці обмеження вмикаються параметрами sysctl, що зберігаються у файлі /usr/lib/sysctl.d/00-system.conf і забезпечують додаткових шар захисту:
        fs.protected_hardlinks = 1
        fs.protected_symlinks = 1
Докладнішу інформацію щодо цих змін можна отримати за допомогою сторінок за адресами http://lwn.net/Articles/503660/ і https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=800179c9b8a1e796e441674776d11cd4c05d61d7.

2.4.2. Спільні системні сертифікати

Використовуються кореневі служби сертифікації з одного джерела. Ці кореневі служби є спільними для більшості програм, якщо ці програми не налаштовано явним чином на інші сертифікати.
У новій версії системний адміністратор може визначити нестандартну службу сертифікації як довірену кореневу, додавши файл у певний каталог. Після запуску інструментарію керування сертифікатами, службу використовуватимуть більшість програм, окрім програм, налаштованих явним чином на використання інших сертифікатів.
З подробицями реалізації можна ознайомитися за допомогою сторінки за адресою http://fedoraproject.org/wiki/Features/SharedSystemCertificates:Testing.

2.4.3. FreeIPA

2.4.3.1. Підтримка realmd у FreeIPA
У новій версії можна просто налаштувати клієнтську частину на використання домену FreeIPA для розпізнавання за допомогою Центру керування GNOME, kickstart або командного рядка:
          realm join myipadomain.com
2.4.3.2. Покращення у обробці параметрів довіри у FreeIPA
У разі використання FreeIPA для встановлення відносин довіри з доменом Active Directory тепер можна призначати декілька контролерів доменів у FreeIPA до сервера клієнтів Windows.
До FreeIPA додано керування додатковими суфіксами доменів, видимих клієнтами довірених доменів Active Directory.
У FreeIPA реалізовано службу Global Catalog, яка надає змогу адміністраторам доменів Active Directory керувати записами користувачів FreeIPA.
З документацією щодо цих нових можливостей можна ознайомитися за допомогою сторінок за адресами http://www.freeipa.org/page/V3/MultipleTrustServers і https://fedorahosted.org/sssd/wiki/DesignDocs/GlobalCatalogLookups.

2.4.4. У SSSD покращено інтеграцію з AD

У найсвіжішому основному випуску SSSD було покращено можливості з інтеграції з доменами Active Directory. У новому випуску беруться до уваги записи сайтів AD і SSSD отримує доступ до найближчого контролера домену. Доступне керування записами користувачів і груп з довірених доменів.

2.4.5. Гнучкіший Kerberos

У Fedora 19 ви зможете скористатися покращеною версією Kerberos. У новій версії передбачено можливість проходження розпізнавання за допомогою kerberos незалежно від синхронізації часу локальної системи з часом на сервері kerberos.
Виправлено різноманітні вади kerberos, зокрема вади, пов’язані з обробкою зворотних записів DNS.

2.4.6. gssproxy

Частиною Fedora 19 є gssproxy, проект з відкритим кодом, метою якого є спростити роботу з GSSAPI як для ядра під час розпізнавання для віддаленого доступу до файлової системи, так і для звичайних програм користувача. Новий пакунок надає можливості точного керування доступом до сховища ключів Kerberos та усуває різноманітні обмеження, які мало ядро під час обробки квитків Kerberos.

2.5. Віртуалізація

2.5.1. open-vm-tools

У новій версії Fedora ви зможете скористатися пакунком open-vm-tools, реалізацією VMware Tools з відкритим кодом.

2.5.2. Ресурси контейнерів підвищеної доступності

У Pacemaker нової версії дистрибутива реалізовано можливість керувати ресурсами на некластерних вузлах віддалено за допомогою служби pacemaker_remote. Ця можливість надає pacemaker змогу керувати як віртуальними гостьовими системами, так і ресурсами, які є частиною гостьових систем з основного вузла кластера без потреби запуску на гостьових вузлах стека кластера.
Щоб дізнатися більше, ознайомтеся з вмістом сторінки за адресою http://clusterlabs.org/doc/ та резюме щодо користування за адресою http://fedoraproject.org/wiki/Features/High_Availability_Container_Resources.

2.5.3. Перенесення віртуальних сховищ даних

У нових версіях KVM і libvirt передбачено ефективний спосіб інтерактивного перенесення віртуальних машин з нерозділеним сховищем даних між основними системами віртуалізації. Запущену віртуальну машину і образи її дисків переносяться на нову машину без вимикання гостьової системи.

2.5.4. Virtio генератор випадкових чисел

У нових версіях KVM і libvirt передбачено паравіртуальний пристрій для створення послідовностей псевдовипадкових чисел. Ним можна скористатися для запобігання виродженню ентропії у віртуальних машинах.

2.6. Веб-сервери

2.7. Хмарні обчислення

2.7.1. Готові до використання «хмарні» образи

Частиною Fedora 19 є готові до використання «хмарні» образи. Цими образами можна скористатися у Amazon EC2 або отримати напряму. Придатні до отримання образи доступі у стиснутому необробленому форматі і у форматі qcow2 для негайного розгортання у EC2, OpenStack, CloudStack або Eucalyptus. Образи налаштовано на cloud-init, отже ви зможете скористатися перевагами служб метаданих, сумісних з ec2, для надання ключів SSH.

2.7.2. OpenShift Origin

Вперше у Fedora 19 ви зможете скористатися OpenShift Origin, версією Red Hat OpenShift з відкритим кодом.

2.7.3. OpenStack Grizzly

OpenStack оновлено до найсвіжішого стабільного випуску з кодовою назвою «Grizzly». До OpenStack Grizzly включено проекти інкубатора Heat і Ceiliometer, а також безліч інших оновлень та покращень. З докладним списком змін можна ознайомитися за допомогою сторінки за адресою https://wiki.openstack.org/wiki/ReleaseNotes/Grizzly
Також можна скористатися деякими з підпроектів цього проекту, опис яких наведено нижче.
2.7.3.1. Ceilometer
У новому випуску дистрибутива дебютує цей проект інкубатора OpenStack. Докладніший опис можна знайти у нотатках щодо попереднього налаштовування Ceilometer.
2.7.3.2. Heat
У новому випуску дистрибутива дебютує цей проект інкубатора OpenStack. Докладніший опис можна знайти у нотатках щодо попереднього налаштовування Heat.
2.7.3.3. Nova
Томи Nova вилучено на користь cinder. Докладніший опис наведено на сторінці за адресою https://blueprints.launchpad.net/nova/+spec/delete-nova-volume
Обчислювальним вузлам більше не потрібен доступ до бази даних. Це покращує масштабованість та захист. Докладніший опис можна знайти на сторінці за адресою https://blueprints.launchpad.net/nova/+spec/no-db-compute
Знімки можна зберігати на блокових пристроях або у файлах qcow2. Докладніший опис можна знайти на сторінці за адресою https://blueprints.launchpad.net/nova/+spec/snapshots-for-everyone
обчислювальні комірки було об’єднано з основним кодом для підвищення масштабованості, див. https://blueprints.launchpad.net/nova/+spec/nova-compute-cells
У новій версії libvirt передбачено підтримку SPICE та VNC, див. https://blueprints.launchpad.net/nova/+spec/libvirt-spice
2.7.3.4. Quantum
Тепер передбачено підтримку груп безпеки. Докладніше про це на сторінці за адресою https://blueprints.launchpad.net/quantum/+spec/quantum-security-groups
2.7.3.5. Cinder
Реалізовано резервне копіювання томів до swift (див. https://blueprints.launchpad.net/cinder/+spec/volume-backups)
Реалізовано підтримку призначень LIO iSCSI, див. https://blueprints.launchpad.net/cinder/+spec/lio-iscsi-support
2.7.3.6. Keystone
Реалізовано новий програмний інтерфейс V3, див. https://blueprints.launchpad.net/keystone/+spec/implement-v3-core-api
Впроваджено новий модуль LDAP, див. https://blueprints.launchpad.net/keystone/+spec/ad-ldap-identity-backend
2.7.3.7. Horizon
Покращено можливості з вивантаження файлів, див. https://blueprints.launchpad.net/horizon/+spec/file-upload-redux
Для полегшення адміністрування реалізовано універсальний файл налаштувань, див. https://blueprints.launchpad.net/horizon/+spec/unify-config
Додано панель інформації щодо системи, див. https://blueprints.launchpad.net/horizon/+spec/system-info-panel

2.8. Сервери баз даних

2.8.1. MariaDB

Разом з Fedora 19 постачається MariaDB, покращене та відкритіше відгалуження MySQL, навколо якого згуртувалася доволі успішна спільнота. MariaDB використовується як типова сумісна з mysql база даних, отже зміна повинна пройти непомітно для майже всіх користувачів MySQL. Якщо виникне потреба, можна встановити оригінальні пакунки MySQL, які мають назву community-mysql.
Щоб дізнатися більше про перехід до MariaDB, ознайомтеся зі сторінками за адресами https://kb.askmonty.org/en/mariadb-versus-mysql-features/ і https://kb.askmonty.org/en/mariadb-versus-mysql-compatibility/.

2.8.2. Derby

Пакунки реляційної бази даних з відкритим кодом Apache Derby, реалізованої повністю мовою програмування Java, було оновлено до версії 10.9.1.0. Щоб дізнатися більше про зміни у Derby, зверніться до сайта проекту за адресою http://db.apache.org/derby/

2.8.3. sqlite

У оновленні до версії 3.7.15 можливості sqlite було розширено і покращено. З журналом змін у проекті можна ознайомитися за допомогою сторінки за адресою http://www.sqlite.org/changes.html.

2.9. Файлові сервери

2.9.1. NFSTest

У Fedora 19 передбачено NFSTest, комплект інструментів для тестування клієнтів і служб NFS. З докладним описом можна ознайомитися за допомогою сторінки за адресою http://wiki.linux-nfs.org/wiki/index.php/NFStest

2.10. Фонові служби системи

2.10.1. Доступні приватні тимчасові каталоги

Служби з визначеним за допомогою параметра PrivateTmp= каталогом у налаштуваннях служби використовують приватний тимчасовий каталог для всіх процесів служби. Тимчасові файли з такого каталогу вилучаються одразу після припинення роботи служби.

2.10.2. systemd

2.10.2.1. Модульне налаштування служб з замінюваними файлами
У новій версії дистрибутива systemd шукає команди з налаштовування для служби у файлі /etc/systemd/system/щось.service.d/ще_щось.conf, що полегшує впорядковування та розгортання локальних змін.
2.10.2.2. Полегшені контейнери systemd
Роботу контейнерів nspawn було покращено з метою уможливлення встановлення незміненої версії дистрибутива Fedora для тестування, діагностики і розробки.
2.10.2.3. Каталог повідомлень systemd
У каталозі повідомлень systemd використовуються загальні унікальні ідентифікатори з метою прив’язування певних повідомлень про помилки до додаткової інформації, зокрема повних пояснень та посилань на додаткові дані.
2.10.2.4. Керування ресурсами systemd
У Fedora 19 до systemd додано можливість у динамічному режимі змінювати параметри керування ресурсами на основі cgroup.
2.10.2.5. Таймери systemd
До systemd додано підтримку записів подій за календарем на додачу до вже реалізованої підтримки записів часу монотонних подій.
2.10.2.6. systemd-analyze
У новій версії systemd-analyze може використовувати інструмент dot GraphViz для створення графів процесу завантаження. GraphViz можна встановити за допомогою команди yum install graphviz, а створити графічне представлення процесу завантаження можна за допомогою команди systemd-analyze dot | dot -Tsvg > systemd.svg Змінити параметри графіка можна за допомогою додаткових параметрів команди: --order, --require, --from-pattern= та --to-pattern=
Щоб ознайомитися з подробицями і прикладами, скористайтеся командою man 1 systemd-analyze.
2.10.2.7. Засоби роботи з сокетами
У systemd нової версії передбачено декілька інструментів для роботи з модулями сокетів:
Команда systemctl list-sockets для виведення списку сокетів, на яких systemd очікує надходження даних, модулів сокетів, яким вони належать, та модулів, які вони активують.
systemd-activate для перевірки активації сокетів.
2.10.2.8. Зміни у журналі
У новій версії файли журналу належать спеціальній групі «systemd-journal» замість групи «adm».
Серед змін у користуванні journalctl слід відзначити такі:
journalctl -r для перегляду найновіших записів на початку списку.
journalctl -e для переходу у кінець списку.
journalctl --user-unit="якийсь модуль" для фільтрування за модулями користувача
Новий модуль у програмному інтерфейсі Python, systemd, призначений для читання журналу.
У новій версії дистрибутива journalctl зберігає дані журналу до /var/log/journal. У попередніх випусках дані журналів зберігалися у /var/run/journal, теці для тимчасових даних, яка спорожнялася під час кожного перезапуску. Починаючи з Fedora 19, дані журналу не втрачаються під час перезавантаження системи.

2.11. Засоби налаштовування сервера

2.11.1. yum-presto об’єднано з yum

Пакунок додатка yum-presto, що використовується для обробки файлів RPM-різниць, було об’єднано з пакунком yum. Щоб вимкнути використання пакунків RPM-різниць, додайте параметр deltarpm=0 до файла /etc/yum.conf. Щоб дізнатися більше, зверніться до підручника з налаштовування yum, man yum.conf.

2.11.2. Знімки LVM з увімкненим Yum

За допомогою пакунка yum-plugin-fs-snapshot ви зможете створювати знімки належно приготованих (thinly provisioned) файлових систем LVM під час оновлення пакунків системи.
Для створення знімків потрібні вже налаштовані (thinly provisioned) томи. Створення знімків можна увімкнути за допомогою файла налаштувань за адресою /etc/yum/pluginconf.d/fs-snapshot.conf:
Для вмикання додайте запис enabled=1 до розділу [lvm].
встановіть create_snapshots_in_post=1 у розділі [main], щоб знімок створювався після завершення операції yum.

2.11.3. Групи Yum як об’єкти

Обробка груп пакунків як об’єктів, а не статичних списків, надає змогу програмам для керування пакунками, зокрема yum, зберігати дані щодо груп і використовувати їх для наступних команд з обробки груп, отже тепер оновлення автоматично встановлюватимуть нові пакунки, які було додано до групи.

2.11.4. Полегшене адміністрування за допомогою OpenLMI

Значно покращено інфраструктуру OpenLMI. Додано новий програмний інтерфейс керування масивами даних, засоби спостереження, керування даними щодо обладнання, realmd, брандмауера. Нові можливості висвітлено у спеціально створеному пакунку з документацією.

2.12. Рішення для спостереження та керування

2.12.1. Performance Co-Pilot

Пакунки Performace Co-Pilot, оболонки та комплексу служб для спостереження за швидкодією так керування нею, було оновлено до версії 3.7. Подробиці можна знайти у нотатках щодо випуску за адресою http://oss.sgi.com/projects/pcp/news.html та документації за адресою http://oss.sgi.com/projects/pcp/pcp-gui.git/man/html/index.html

2.12.2. Puppet

До складу Fedora 19 включено пакунки версії 3.x популярного набору інструментів puppet. Подробиці щодо puppet 3 наведено у документації до проекту за адресою http://docs.puppetlabs.com/puppet/3/reference/release_notes.html