Show Table of Contents
第 11 章 Red Hat Enterprise Linux Atomic Host
Red Hat Enterprise Linux 7.1 发行本中包含 Red Hat Enterprise Linux Atomic Host,这是一个为运行 Linux 容器优化的安全、轻型、最小占用操作系统。其设计利用了 Red Hat Enterprise Linux 7 的强大技术。 Red Hat Enterprise Linux Atomic Host 使用 SELinux 为多租赁环境提供强大防护,并可进行原子升级及回退,采用快速、便捷的维护,减少宕机时间。Red Hat Enterprise Linux Atomic Host 使用与 Red Hat Enterprise Linux 7 通过 RPM 打包程序提供的相同的 upstream 项目。
Red Hat Enterprise Linux Atomic Hos 为预先安装,并附带以下工具支持 Linux 容器:
- Docker - 详情请查看 Red Hat 系统中的 Docker 格式容器入门。
Red Hat Enterprise Linux Atomic Hos 采用以下技术:
- OSTree 和 rpm-OSTree - 这些项目提供原子升级和回退功能。
- systemd - 新的强大 init 系统,可进行快速引导,并方便组合。
- SELinux - 默认启用,提供全面的多租赁安全性。
Red Hat Enterprise Linux Atomic Host 7.1.4 的新功能
- 添加 iptables-service 软件包。
- 现在可启用“自动转发”功能,以便在 Red Hat Enterprise Linux Atomic Host 中无法找到命令时,无缝在 RHEL 原子工具容器的内部重试。默认禁用这个功能(它需要在系统中请求 RHEL Atomic Tools)。要启用该功能,请在
/etc/sysconfig/atomic文件中取消注释export一行,如下:export TOOLSIMG=rhel7/rhel-tools
atomic命令:- 现在可在 Dockerfile 中为
LABEL命令提供三个选项(OPT1、OPT2、OPT3)。开发人员可在标签中添加环境变量,以便用户可使用atomic传递附加命令。以下是 Dockerfile 示例:
这行的含义是运行以下命令:LABEL docker run ${OPT1}${IMAGE}
与运行以下命令作用一致:atomic run --opt1="-ti" image_namedocker run -ti image_name - 现在可在标签的任意位置使用
${NAME}和${IMAGE},同时atomic可使用映像和名称替换它们。 - 设定
${SUDO_UID}和${SUDO_GID}选项,并可用于映像LABEL。 atomic mount命令尝试将属于给定容器/映像 ID 的文件系统或映像挂载到给定目录。可自选提供使用具体映像版本的注册表及标签。
Red Hat Enterprise Linux Atomic Host 7.1.3 的新功能
- 强化 rpm-OSTee,为每台部署的机器分配独一无二的机器 ID。
- 添加对远程具体 GPG keyring 的支持,特别是将特定 OSTree 远程与特定 GPG 密钥关联。
atomic命令:atomic upload— 可让用户将容器映像上传至 docker 存储库或者 Pulp/Crane 实例。atomic version— 以如下格式显示“名称、版本、发行本”容器标签:ContainerID;Name-Version-Release;Image/Tagatomic verify— 检查映像,确认映像层是基于最新可用映像层。例如:如果您的 MongoDB 应用程序是基于 rhel7-1.1.2,同时 rhel7-1.1.3 基础映像可用,则该命令会提示您有新的映像。- 在 verify 和 version 命令中添加 dbus 接口。
Red Hat Enterprise Linux Atomic Host 7.1.2 的新功能
atomic 命令行界面现在可用于 Red Hat Enterprise Linux 7.1 以及 Red Hat Enterprise Linux Atomic Host。注:在两个系统中的功能设置不同。只有 Red Hat Enterprise Linux Atomic Host 支持 OSTree 更新。两个平台均支持
atomic run 命令。
atomic run可让容器使用RUN元数据标签指定其运行时选项。这主要用于特权用户。atomic install和atomic uninstall可让容器使用INSTALL和UNINSTALL元数据标签指定安装及卸载脚本。atomic现在支持容器升级,并检查更新的映像。
在 Red Hat Enterprise Linux Atomic Host 中添加 iscsi-initiator-utils 软件包。这可让该系统挂载 iSCSI 卷;Kubernetes 有存储插件,可用来为容器设置 iSCSI 挂载。
systemd 还包括完整性度量架构(IMA)、audit 和 libwrap。
重要
Red Hat Enterprise Linux Atomic Host 与 Red Hat Enterprise Linux 7 变体的管理方式不同,特别是在以下方面:
- 不使用 Yum 软件包管理器更新系统以及安装或升级软件包。有关详情,请查看《在 Red Hat Enterprise Linux Atomic Host 中安装应用程序》。
- 该系统中有两个带写入访问的命令,可用来保存本地系统配置:
/etc/和/var/。/usr/目录是作为只读挂载。其他命令都是可写入位置的符号链接。例如:/home/目录是/var/home/的符号链接。有关详情请查看《Red Hat Enterprise Linux Atomic Host 文件系统》。 - 默认分区会使用直接逻辑卷管理(LVM)而不是默认的环回,将大部分可用空间分配给容器。
Red Hat Enterprise Linux Atomic Host7.1.1 提供 Docker 和 etcd 的新版本,并维护
atomic 命令及其他组件的修复。