Product SiteDocumentation Site

2. Fedora 针对系统管理员所做的变更

2.1. 内核

Fedora 19 采用 3.9.0 内核。

2.2. 安装

2.2.1. 最小屏幕分辨率

图形化安装需要分辨率为 800x600 或更高

Fedora 19 图形化安装所需最小屏幕分辨率为 800x600。使用更低分辨率设备的用户,比如一些上网本,可使用文本或 VNC 方式进行安装。
安装之后 Fedora 便可支持这些低分辨率设备。最小分辨率的要求进适用于图形化安装。

2.2.2. Syslinux

Fedora 19 增加了使用 Extlinux 引导程序的选择,它是 Syslinux 引导程序家族的一员。该引导程序并不如默认的 Grub2 那么高级,而且并不会在所有环境下工作。对于 F19 来说,其目标使用场合是轻量级的云镜像,当然您也会发现 Extlinux 在其它场合也同样有用。
目前 Extlinux 当前不支持 LVM,虽然能够支持 btrfs,但也是有限的。引导用文件系统仍需要 ext2、ext3 或 ext4 格式,不管是 root 文件系统还是较小的独立 /boot 分区。此外目前只支持 X86 架构。
要启用 Extlinux,可在 Anaconda 命令行中使用 extlinux 关键字或在 kickstart 文件中为引导程序命令使用“--extlinux”标识。此特性在安装程序的图形界面或字符界面下是不可见的。

Syslinux 相比 grub 并不适合大多数最终用户!

此支持目前应用场合比较狭窄,主要是虚拟机。而且 Fedora 19 的 Extlinux 并不能在所有情形下工作。

2.2.3. 首次启动配置

Fedora 19 的初始设置屏幕得到革新。目前 GNOME 在首次启动时会提供用户创建和配置向导。其它桌面环境则会使用安装程序的全新功能。

2.2.4. 远程认证支持有限

Fedora 19 安装程序目前不支持安装过程中的远程认证配置。然而如果安装了 GNOME 并且没有使用安装程序创建用户,那么 GNOME 的首次启动将提供用户创建对话框,它支持 FreeIPAAD
其它使用情形的用户若需要远程认证,可在 kickstart 文件中配置或在安装完成后进行。

2.2.5. 高级存储

始于 Fedora 18 的 anaconda 安装程序重写工作仍在继续。Fedora 19 在安装过程中提供了对高级存储的支持,例如 fcoeiscsimultipath。此外安装程序的文本模式同样也有所改进。

2.2.6. AD 域集成

通过使用一次性密码以及简单语法,Fedora 可以通过 kickstart 文件或 anaconda 加入域。
# example kickstart lines to join realm:
network --hostname=machine.ad.example.com
realm join --one-time-password=MyPassword ad.example.com

2.3. 引导

2.3.1. 用主机特定 initramfs 加快启动。

硬件变更后的救援及重建

通过移除 initramfs 中不用的功能可提高引导速度。如果增加了新硬件,则可引导至救援 initramfs 中然后运行 dracut --regenerate-all --force 命令来重建并替换旧的 initramfs。
本版本的 Fedora 会根据您的计算机硬件构建出特定 initramfs,以实现更快的引导。如果您更换了机器或是重要硬件,那么您可能需要以 救援 模式引导然后执行 dracut --regenerate-all 命令。若您想让 initramfs 与主机硬件无关,可以安装 dracut-nohostonly rpm 软件包。如果您根本不需要救援镜像(比如虚拟机),则可以安装 dracut-norescue 软件包。

2.3.2. GRUB 视觉方面的变化

GRUB 外观以及 GRUB 菜单经过修改后变得更加无缝化,更吸引人。

2.4. 安全

2.4.1. 硬链接和软链接限制

A long-standing class of security issues is the link based time-of-check-time-of-use race, most commonly seen in world writable directories like /tmp. The common method of exploitation of this flaw is to cross privilege boundaries when following a given link, such as when a root process follows a link belonging to another user. In Fedora 19, we permit links to only be followed when outside a sticky world-writable directory, or when the uid of the link and follower match, or when the directory owner matches the link's owner. In previous releases, this was enforced by SELinux policy and in this release, the restrictions are enabled by sysctl settings in /usr/lib/sysctl.d/00-system.conf as an additional layer of protection:
        fs.protected_hardlinks = 1
        fs.protected_symlinks = 1

2.4.2. 共享的系统证书

Root anchored certificate authorities are consumed from single location and shared by most applications, unless those applications are explicitly configured with other certificates.
系统管理员现在可以将非标准的证书颁发机构以文件形式放置于目录位置做为可信任的 root。运行工具后,它可按期望被大多数应用程序使用,那些单独配置过的除外。

2.4.3. FreeIPA

2.4.3.1. FreeIPA realmd 支持
通过 GNOME 控制中心kickstart 或命令行可简单的将客户端配置为使用 FreeIPA 域进行验证。
          realm join myipadomain.com
2.4.3.2. FreeIPA Trust 改进
当通过 FreeIPA 信任 Active Directory 域时,现可在 FreeIPA 中委派多个域控制器服务于 Windows 客户端。
FreeIPA has added management of additional domain suffixes visible to the trusted Active Directory domain's clients.
FreeIPA now implements Global Catalog service to allow Active Directory domain administrators to FreeIPA users.

2.4.4. SSSD 改进了 AD 的整合

With the latest major release to SSSD the integration into Active Directory domains has been improved. AD sites are respected and SSSD tries to access the nearest domain controller. Users and groups from trusted domains are available.

2.4.5. 更有弹性的 Kerberos

Kerberos in Fedora 19 has been improved. It is now possible to authenticate using kerberos regardless of the local system time being in sync with that of the kerberos server.
包括反向 DNS 记录的处理在内的许多 kerberos bug 已被修复,给您带来更加无缝的 kerberos 体验。

2.4.6. gssproxy

Fedora 19 features gssproxy, an opensource project that aims to improve GSSAPI usage from both the kernel for authenticating remote file system access as well as user-space applications. It does provide fine-grained access control on Kerberos keytab access and it overcomes various limitations the kernel had when dealing with Kerberos tickets.

2.5. 虚拟化

2.5.1. open-vm-tools

open-vm-tools,是 VMware 工具的开源实现,已收入到 Fedora 仓库中。

2.5.2. 高可用性容器资源

Pacemaker 现在具备通过 pacemaker_remote 服务远程管理位于非集群节点上的资源的能力。该功能允许 pacemaker 在主集群节点同时管理虚拟客户机及客户机中的资源,而无需客户节点运行集群栈。

2.5.3. 虚拟存储迁移

KVMlibvirt 可以高性能的方式在无共享存储的主机之间实现虚拟机实时迁移。运行中的虚拟机及其磁盘镜像无需停机即可迁移到新主机上。

2.6. Web 服务器

2.7. 云计算

2.7.1. 即时可用的云镜像

即时可用云镜像文件做为 Fedora 19 的一部分提供。它们位于 Amazon EC2 或可直接下载。可下载的镜像以压缩的 raw 镜像和 qcow2 格式提供,可在 EC2、OpenStack、CloudStack 或 Eucalyptus 上立即运行。镜像经过 cloud-init 配置,因此可利用 ec2 兼容的元数据服务预配置 SSH 密钥。

2.7.2. OpenShift Origin

OpenShift Origin 是红帽的 OpenShift 社区支持版本,在 Fedora 19 中首次提供。

2.7.3. OpenStack Grizzly

OpenStack 升级至最新稳定版,代号为“Grizzly”。OpenStack Grizzly 包括其子项目 Heat 和 Ceilometer,同时还有其它大量升级和改进。有关变更的详细列表可参考 https://wiki.openstack.org/wiki/ReleaseNotes/Grizzly
部分子项目也包含其中,如下所示。
2.7.3.1. Ceilometer
本 OpenStack 子项目是本发行版的新增部分。请参考 Ceilometer 初步设置说明
2.7.3.2. Heat
本 OpenStack 子项目是本发行版的新增部分。请参考 Heat 初步设置说明
2.7.3.3. Nova
Nova 卷已被移除,转而使用 cinder,参考 https://blueprints.launchpad.net/nova/+spec/delete-nova-volume
计算节点不再访问数据库以支持更好的可扩展性和安全性,请参考 https://blueprints.launchpad.net/nova/+spec/no-db-compute
可以对块设备和 qcow2 文件做快照,参考 https://blueprints.launchpad.net/nova/+spec/snapshots-for-everyone
并入 compute cells 以便支持更大的可扩展性,参考 https://blueprints.launchpad.net/nova/+spec/nova-compute-cells
libvirt 现在既可支持 VNC,也可以支持 SPICE,可参考 https://blueprints.launchpad.net/nova/+spec/libvirt-spice
2.7.3.4. Quantum
2.7.3.5. Cinder
现已能够卷备份到 swift,相关信息可访问 https://blueprints.launchpad.net/cinder/+spec/volume-backups
2.7.3.6. Keystone
新的 LDAP 后端已发布,更多信息可访问 https://blueprints.launchpad.net/keystone/+spec/ad-ldap-identity-backend
2.7.3.7. Horizon
实现统一化的配置,简化了管理工作,详情可访问 https://blueprints.launchpad.net/horizon/+spec/unify-config

2.8. 数据库服务器

2.8.1. MariaDB

Fedora 19 包含 MariaDB,一个富有生机的开放社区维护的 MySQL 改进版本。 MariaDB 用作默认的 mysql 兼容数据库,其变化对于大多数 MySQL 用户来说是透明的。如果需要的话,原始的 MySQL 软件包依然以 community-mysql 的名字存在。

2.8.2. Derby

Apache Derby 是一个完全用 Java 实现的开源关系数据库,现已升级到 10.9.1.0 版本。关于 Derby 的详细变化,请参考项目主站 http://db.apache.org/derby/

2.8.3. sqlite

sqlite 3.7.15 版本带来了功能上的扩展和改进。该项目的发布历史记录位于 http://www.sqlite.org/changes.html

2.9. 文件服务器

2.9.1. NFSTest

Fedora 19 提供了一个用于测试 NFS 客户端和服务的工具套件 NFSTest。详细信息可阅读 http://wiki.linux-nfs.org/wiki/index.php/NFStest

2.10. 系统守护进程

2.10.1. 增加私人临时目录

在其配置中定义了 PrivateTMP= directory 的服务会在该服务的所有进程中共用该私人临时目录。服务停止后,临时文件即被删除。

2.10.2. systemd

2.10.2.1. Modular service configuration with drop-in files
systemd 会查找服务的配置目录做为 /etc/systemd/system/foo.service.d/bar.conf,让地址明确的变化更容易组织和部署。
2.10.2.2. systemd 轻量级容器
nspawn 容器得到改进,以便能够安装未经修改的 Fedora 发行版用于测试、调试和开发。
2.10.2.3. systemd 消息目录
systemd 消息目录使用全局唯一的消息识别符将特定的错误消息与额外的诸如详细解释一类的消息绑定,并链接至更进一步的信息。
2.10.2.4. systemd 资源控制
Fedora 19 中 systemd 增加了为服务动态修改基于 cgroups 的资源控制功能。
2.10.2.5. systemd 计时器
除已经支持的单调时间事件外,systemd 还增加了对日历时间事件的支持。
2.10.2.6. systemd-analyze
systemd-analyze 可利用 GraphViz dot 工具生成引导进程图。GraphViz 可通过 yum install graphviz 安装,并可用 systemd-analyze dot | dot -Tsvg > systemd.svg 命令创建完整引导进程的演示。通过可选参数 --order--require--from-pattern=--to-pattern= 可生成更精细的图形。
有关详情和示例可参考 man 1 systemd-analyze
2.10.2.7. 套接字工具
systemd 现已提供了一些工具用于套接字单元:
systemctl list-sockets 用于显示 systemd 监听的套接字,它们所属的套接字单元以及它们所激活的单元。
systemd-activate 用于测试套接字激活。
2.10.2.8. 日志的变更
日志文件所有权由之前的“adm”组改为独立的“systemd-journal”组所有。
journalctl 使用上的变更包括:
journalctl -r 先查看最新条目。
journalctl -e 跳转到列表末尾
journalctl --user-unit="foo" 按用户单元过滤
位于 systemd python API 的新模块,用于读取日志
journalctl 会在 /var/log/journal 永久保存 journal 日志数据。在以前版本中,日志数据存储在 /var/run/journal,在重启后便会被清除。从 Fedora 19 开始,日志文件在重启后也可保留。

2.11. 服务器配置工具

2.11.1. yum-presto 并入 yum

用于操作 delta RPM 文件的 yum-presto 插件已并入 yum。要禁用 delta RPM 软件包,可修改 /etc/yum.conf 文件中的 deltarpm=0。更多信息可查看 man yum.conf

2.11.2. 允许 Yum 创建 LVM 快照

通过使用 yum-plugin-fs-snapshot 软件包,可以在软件包更新时自动创建基于精简配置 LVM 文件系统的轻量级快照。
需要已经有精简配置过的卷。快照功能可在该插件的配置文件中设置启用 /etc/yum/pluginconf.d/fs-snapshot.conf
[lvm] 一节处设 enabled=1 来启用。
[main] 处设 create_snapshots_in_post=1 允许在 yum transaction 后创建快照。

2.11.3. Yum 组做为对象

通过将软件包组按照对象而非静态列表对待,像 yum 这样的软件包管理器便可以保存它的信息以供后续包组相关命令使用,更新亦可自动添加新的软件包到包组中。

2.11.4. 使用 OpenLMI 更轻松地进行管理

OpenLMI 架构得到大幅度改进,添加了新的存储 API,并增加了对监控、硬件信息、realmd 和防火墙供应者。同时也改进了现有的供应者。打包的文档也得到了更新来反映这些新功能。

2.12. 监控和管理方案

2.12.1. Performance Co-Pilot

用于系统级别性能监控和管理的服务器框架和套件 Performance Co-Pilot 更新至 3.7 版。该项目发行注记位于 http://oss.sgi.com/projects/pcp/news.html,文档位于 http://oss.sgi.com/projects/pcp/pcp-gui.git/man/html/index.html

2.12.2. Puppet

Fedora 19 带来了广受欢迎的 3.x 系列 puppet 工具套件。有关 puppet 3 详细信息请参考该项目文档 http://docs.puppetlabs.com/puppet/3/reference/release_notes.html