下記のRedhat公式ドキュメントを参考にRHEL8とRHEL9の主要な違いをまとめました。以下の「RHEL 9 の採用における考慮事項」の1章から26章までのすべてのコンテンツに目を通したうえで第1章から順に気になった点を本記事にまとめています。RHELの新規更改時の参考になれば幸いです。
CPUのアーキテクチャに対応したサブスクリプションを購入する必要がある
CPUは、アーキテクチャがメーカーによって異なります。わかりやすく表現すると、例えば、Intelという会社が販売しているCPUと、ARMが販売しているCPUではCPUを動作させる構造が異なります。RHEL9では、使っているCPUを考慮したサブスクリプションを購入する必要があります。
RHEL9でdnf、yumコマンドでインストールできるrpmパッケージ(リポジトリー)について
RHEL9で利用可能なレポジトリの詳細は以下公式のPDFを参照します。このレポジトリを参照して、yum/dnfでインストールできるrpmパッケージを判断できます。
以下はyum/dnfコマンドでインストール可能なパッケージに関するマニュフェストです。
RHEL9では以下の2つのリポジトリに対応しています。
- BaseOS
- AppStream
BaseOS リポジトリーには、OSに関する基本的なrpmパッケージが含まれます。BaseOSについては以下のように説明があります。
BaseOS リポジトリーのコンテンツは、すべてのインストールのベースとなる、基本的な OS 機能のコアセットを提供します。このコンテンツは RPM 形式で提供されており、RHEL の以前のリリースと同様のサポート条件が適用されます。
AppStream リポジトリーは「ユーザー空間アプリケーション、ランタイム言語、およびデータベース」に関するrpmパッケージを提供するレポジトリです。
AppStream リポジトリーには、さまざまなワークロードとユースケースに対応するために、ユーザー空間アプリケーション、ランタイム言語、およびデータベースが同梱されます。
yum/dnfでインストールできるrpmパッケージのサポート期限
dnfコマンドでRHEL9にインストールが可能なrpmパッケージのライフサイクル(サポート期限)は以下でまとめられています。
RHEL9.4からAzure、Google CloudでTDXがサポートされる
TDXのサポートがRHEL9.4から変更されました。詳細は以下Red Hat公式ページが参考になります。
以下の章では、パブリッククラウドプラットフォームに関する RHEL 8 と RHEL 9 の間の最も重要な変更点を説明します。
5.1. Azure の主な変更点
TDX のサポートが Azure 上の RHEL でテクノロジープレビューとして利用可能になりました
Intel Trust Domain Extension (TDX) 機能がRHEL 9.4 ゲストオペレーティングシステムでテクノロジープレビューとして使用できるようになりました。ホストシステムが TDX をサポートしている場合は、トラストドメイン (TD) と呼ばれる、ハードウェアから分離された RHEL 9 仮想マシン (VM) をデプロイできます。その結果、Azure プラットフォーム上で SecureBoot が有効な CVM イメージを作成できるようになります。
5.2. GCP の主な変更点
TDX サポートが GCP 上の RHEL でテクノロジープレビューとして利用可能になりました
Intel Trust Domain Extension (TDX) 機能がRHEL 9.4 ゲストオペレーティングシステムでテクノロジープレビューとして使用できるようになりました。ホストシステムが TDX をサポートしている場合は、トラストドメイン (TD) と呼ばれる、ハードウェアから分離された RHEL 9 仮想マシン (VM) をデプロイできます。この機能拡張により、Google Cloud Platform 上の RHEL 9.4 で Intel Trust Domain Extension (TDX) 機能を使用できるようになりました。
TDXとは
Intel TDXを使用すると、TDと仮想マシンマネージャー(VMM)、ハイパーバイザー、その他の非TDソフトウェアを分離する堅牢な層を作ることができ、さまざまな脅威から包括的に保護することができます。
TDXには以下の機能が含まれます。
- GPA(ゲスト物理アドレス)の共有ビット
- アドレス変換の整合性のためのセキュアEPT(拡張ページテーブル)
- ページ管理のための物理アドレスメタデータテーブル(PAMT)
- メモリの暗号化と整合性のためのIntel Total Memory Encryption-Multi Key(Intel TME-MK)エンジン
- リモート認証
引用元:https://jp.ubuntu.com/blog/start-your-ubuntu-confidential-vm-with-intel-tdx-on-google-cloud-jp
Intel公式ではTDXを以下のように説明しています。
インテル® TDX で保護された仮想マシン (VM) にデータとアプリケーションを分離することで、クラウドやデータセンターのいずれにおいても、使用中のデータへのアクセスを制御します。
より詳細は以下Intel公式サイトに記載があります。
コンテナについて
RHEL9でのコンテナにおける変更点をまとめました。
- container-tools、rpmパッケージの利用が可能に
- RHEL9では、コントロールグループの新しいバージョンであるcgroupsv2がデフォルトで有効に
- Podmanがセキュアな短縮名に対応
- RHEL7ホストからRHEL9コンテナーの実行が不可に
- RHEL9からRHEL6のコンテナが実行不可に
- RHEL9.5からPodman v5.0の一部使用が非推奨化
runcコンテナーランタイムは非推奨となり、デフォルトのコンテナーランタイムはcrunに
RHELのどのバージョンのホストから、どのRHELのバージョンのコンテナが実行可能で、どのバージョンが実行不可かは以下のリンクから確認できます。
RHEL9のコンテナに関する考慮事項は以下Red Hat公式サイトを参考にしています。
コンパイラおよび開発ツール
確認中
デスクトップ
確認中
プログラムのバージョン等について
以下リンクを確認中。
ファイルシステムとストレージについて
