レッドハット、Red Hat Enterprise Linux 9やAnsibleなどの最新動向を説明

CentOS Stream 9がベースに

　まずRHELの開発においてこれまでと異なるのが、CentOS Stream 9をベースとしたことだ。CentOSは以前はRHELのクローンとして開発されていたが、その役割を終了し、現在ではRHELの開発版OSとして「CentOS Stream」が開発されている。

　リリースまでの流れとして、「これまではFedoraの特定バージョンを社内に持ってきて、それをベースにRHELを開発していた」と橋本氏は語り、「その“社内に持ってきて”の部分をオープンに公開するのがCentOS Stream」と説明した。

　これにより、「パートナーやお客さま以外の一般の人からのコントリビューションがなされた。RHEL9では、およそ全体の2％のコミットがコミュニティからの直接の貢献によるもの。これは従来のRHELの開発では行えなかったこと」と橋本氏は強調した。

RHEL9はCentOS Stream 9をベースに開発

およそ全体の2％のコミットはコミュニティからの直接の貢献

INNOVATE、OPTIMIZE、PROTECT、TRUSTの強化ポイント

　RHEL9の強化点について橋本氏は、「INNOVATE」「OPTIMIZE」「PROTECT」「TRUST」の4つのポイントに分けて解説した。

　1つめの「INNOVATE」では、ビルド時の最適化であるLink Time Optimization（LTO）によりパフォーマンスを改善したことを橋本氏は紹介した。CPU中心ワークロードで1～4％、ネットワークの中～大パケットのスループットで4～24％、NVMeストレージではデータベースで5～20％のパフォーマンスを向上したという。この数字について氏は「非効率なパフォーマンスの積み重ねがクラウドのコストに反映される」とその意義を語った。

　2つめの「OPTIMIZE」では、RHEL自身に加え、ハイブリッドクラウド管理のSaaSサービスであるRed Hat Hybrid Cloud Consoleの強化を橋本氏は挙げた。この中でRHEL関連では、複数の場所に向けた仮想マシンイメージを1カ所で作れる「Image Builder as a Service」と、Hybrid Cloud Consoleでのマルウェア検出機能を氏は紹介した。

　3つめの「PROTECT」では、セキュリティの強化として、crypt-policiesのアップデートにより脆弱なプロトコルやセキュリティ方式が無効化されたことが挙げられた。これにより、デフォルトでセキュアに使えるようになったという。

　4つめの「TRUST」では、オペレーションの一貫性と安全性の強化として、さまざまな機能が強化されている。その中から橋本氏は、WebブラウザからRHELサーバーを管理するRHEL Web Console（Cockpit）の機能強化として、強化されたパフォーマンスメトリクス管理機能と、ライブパッチ管理機能を紹介。また、AnsibleでRHEL管理を自動化するときのRoleの拡充を挙げた。

INNOVATE：パフォーマンスの改善

OPTIMIZE：Red Hat Hybrid Cloud Consoleの強化

PROTECT：セキュリティの強化

TRUST：オペレーションの一貫性と安全性の強化

コンテナイメージや、GMとの協業も

　なお、RHEL9のOSのリリースと同時に、コンテナイメージであるRed Hat Universal Base Image（UBI）もRHEL9ベースのものがリリースされた。

　そのほか、Red Hat Summitでは、米ゼネラル・モーターズ（GM）との協業も発表された。GMの車載ソフトウェアプラットフォームである「Ultifi」のOSとして、RHELと共通した技術で構成された「Red Hat In-Vehicle OS（RHIVOS）」が採用されるというものだ。両社により、ソフトウェアの安全性と自動車としての安全性の2つを向上させることや、車載アプリケーションの安全なアップデートなどに取り組むという。

RHEL9ベースのUBIもリリース

GMとの協業の発表

AAP v2.xの特徴と、新しいv2.2

　現在のAAP v2.xでは、自動化を開発する「Content creation tools」、自動化を実行する「Operational tools」、自動化をモニターし分析する「Business Tools and Analytics」の3つの機能を主に提供している。

　中島氏はAAP v1からv2へのアップデートを振り返り、最も大きな変化として、コンテナ化を挙げた。AnsibleではAnsibleモジュールとしてさまざまな対象に対応しているが、モジュールごとに依存しているPythonライブラリがあり、環境構築には複雑な依存関係を考慮する必要があった。そのため、Ansible実行環境を複数台に分けたときに同じ環境を構築するのに手間がかかることや、開発環境では動くが本番環境で動かないという問題などが起きていた。そこで実行環境をコンテナ化することで、依存問題やスケーラビリティを解消したという。

　またv2では、Automation Meshに対応した。実行環境がDMZにあるなどコントロールノードから直接リーチできない場合に、receptorという中継ノードを設けることで、複数のポートを開けたり踏み台ノードを用意したりする必要がなくなる。また、名前のとおりメッシュメッシュ状の構成がとれるため、障害に備えて冗長化できる。

　新たに発表されたAAP v2.2では、さらに利便性を高める仕組みが導入された。中島氏はその中から、大規模構成でどこまで実行されているかなどを可視化するトポロジービューワーや、コンテナを署名してさしかえられていないか確認できるコンテンツ署名、パフォーマンス向上、RHEL9サポートなどを紹介し、「2.2は堅実に足回りを地固めしている」と語った。

AAP v2.xの構成

AAP v2の特徴：コンテナ化

AAP v2の特徴：Automation Mesh

新たに発表されたAAP v2.2

Azure上のAAPのマネージドサービス

　「Ansible Automation Platform on Microsoft Azure」も新たに発表された。AAPをAzureのマネージドサービスとして利用できるものだ。AzureのNorth Americaリージョンではすでに利用でき、順次各国のリージョンに展開予定だという。

　AAPを自分で構成するには、たくさんの要素から構成され、手間がかかる。顧客は、マネージドサービスを使うことで、自動化に集中できると中島氏はメリットを説明した。

　また、Ansible Automation Platform on Microsoft Azureでは、AzureのハイブリッドクラウドであるAzure Arcと連携することで、クラウド上のAzureからオンプレミスの自動化もできることも中島氏は紹介した。

Ansible Automation Platform on Microsoft Azureのメリット

Azure Arcとも連携

Edge Management Console

　Edge Management Consoleによるエッジデバイスの管理が必要になる背景としては、POSやキオスク端末などに代表されるエッジデバイスはどこにでも設置される可能性があること、そしてそれがデータセンターのように守られているわけではないことが語られた。これにより大規模な管理が難しい場合がある。

　Edge Management Consoleでは、こうしたエッジデバイスのインストールやセキュリティ管理を簡素化できるという。GUIから、デバイス用のOSイメージを作成し、デバイスにインストールすると、そのデバイスをEdge Management Consoleから管理できるようになる。脆弱性の発見や修復もEdge Management Consoleからできる。

Edge Management Consoleによるエッジデバイスの管理

Edge Management Consoleによる管理の流れ

Ansible × GitOps

　Ansible × GitOpsによるエッジ運用の自動化としては、GitOpsによる宣言的なオペレーションをエッジでも活用することが紹介された。

　エッジはマルチベンダーかつ複数機器が多く存在し、ヒューマンエラーリスクの非常に高い環境だ。これをGitOpsにより、自動化するとともに、Wi-Fiアクセスポイントのメーカーの違いなどを吸収する。

　Red Hat Summitでは、店舗のWi-Fi設定をGitOpsで自動化するデモがなされた。設定情報をGitHubのGitリポジトリに一元化。設定を変更するときは、Gitリポジトリにプッシュすると、AAPが変更を検知して、各デバイスに設定変更を反映。チケットも作成する。

　さらに、もともとGitの特徴としてバージョン管理や変更履歴の機能があることから、ロールバックして設定を元に戻すこともできるようになっているという。

Ansible × GitOpsによるエッジ運用の自動化

店舗のWi-Fi設定をGitOpsで自動化するデモ