8.2. 可支持的测试
可支持的测试(也称为 baremetal/supportable )可确保测试环境与红帽的支持政策兼容。此测试确认测试节点(测试中的 OpenStack 部署)仅由红帽支持的组件(Red Hat OpenStack Platform、Red Hat Enterprise Linux)组成。
测试下的 OpenStack 部署指的是安装插件或应用程序测试中的节点。
支持性测试必须在控制节点和计算节点上运行。
所有 OpenStack 软件认证都需要此测试。
Compute 节点注意事项:
- 如果您的内核没有更新,请确保您更新了内核 test 部分,以验证计算是否使用 GA 内核以防止查看退出。审核将需要考虑 RHEL 认证的状态。
- 驱动程序更新程序(DUP)在计算节点上可以接受,但将导致测试退出检查。检查需要确认与相应 RHEL 认证中使用的 DUP 保持一致。
baremetal/supportable 测试包括以下子测试:
8.2.1. 内核子测试
内核 子测试检查在测试环境中运行的内核模块。内核版本可以是原始正式发行(GA)版本,也可以是为 RHEL 主版本和次版本发布的任何后续内核更新。
内核子测试还确保内核在环境中运行时没有污点。
成功标准
- 正在运行的内核是一个 Red Hat 内核。
- 正在运行的内核由红帽发布,用于 RHEL 版本。
- 运行的内核没有污点。
- 正在运行的内核尚未修改。
8.2.2. 内核模块子测试
内核模块 子测试会验证载入的内核模块是否被红帽发布,也可以作为内核软件包的一部分或通过 Red Hat 驱动程序更新添加。内核模块子测试还确保内核模块没有被视为技术预览。
成功标准
- 内核模块由红帽发布并被支持。
8.2.3. 硬件健康子测试
Hardware Health 子测试通过测试硬件是否被支持、满足要求并具有任何已知的硬件漏洞来检查系统的健康状况。子测试执行以下操作:
检查 Red Hat Enterprise Linux (RHEL)内核没有识别不支持的硬件。当内核识别不支持的硬件时,它会在系统日志中显示不受支持的硬件信息,并/或触发不支持的内核污点。此子测试可防止客户在不受支持的配置和环境中运行红帽产品时可能出现的生产风险。
在 hypervisor 中,分区、云实例和其他虚拟机情况,内核可能会根据虚拟机(VM)提供的硬件数据触发不受支持的硬件消息或污点。
检查测试中的系统(SUT)是否满足最低硬件要求。
- RHEL 8 和 9 :最低系统 RAM 应为 1.5GB,每个 CPU 逻辑内核数量为 1.5GB。
- 检查内核是否报告了任何已知的硬件漏洞,以及这些漏洞是否已解决这个漏洞。许多缓解方案都是自动的,以确保客户不需要采取主动步骤来解决漏洞。在某些情况下,大多数剩余的情况都需要更改系统 BIOS/固件,因此客户可能根本无法修改。
- 确认系统没有任何离线 CPU。
- 确认系统中是否有 Simultaneous Multithreading (SMT)可用、启用并激活。
如果这些测试失败,将导致测试套件中的 WARN 信息,并且合作伙伴应由合作伙伴验证具有正确的和预期的行为。
成功标准
- 内核没有设置 UNSUPPORTEDHARDWARE 污点位。
- 内核不会报告不支持的硬件系统信息。
- 内核不应报告任何带有这个安全漏洞的缓解方案的漏洞。
- 内核不会报告逻辑内核与安装的内存比率超出范围。
- 内核不会报告处于离线状态的 CPU。
8.2.4. 安装的 RPM 子测试
安装的 RPM 子测试会验证系统上安装的 RPM 软件包是否是由红帽发布的且未修改。修改的软件包可能会带来风险并影响客户环境的可支持性。如果需要,您可以安装非红帽软件包,但必须将它们添加到产品的文档中,且不得修改或与任何红帽软件包冲突。
如果您安装了非红帽软件包,红帽将审核此测试的输出。
成功标准
- 安装的红帽 RPM 没有被修改。
- 安装的非红帽 RPM 需要并记录。
- 安装的非红帽 RPM 不与红帽 RPM 或软件冲突。
其他资源
8.2.5. 系统报告子测试
红帽使用名为 sos 的工具从 RHEL 系统收集配置和诊断信息。sos 工具可帮助客户对 RHEL 系统进行故障排除并遵循推荐的实践。
系统报告子测试可确保 sos 工具在镜像或系统上按预期运行,并捕获基本的 sosreport。
成功标准
RHCERT 工具在测试下捕获 OpenStack 部署的基本 sosreport。
其他资源
- 有关 sosreport 的更多信息,请参阅 sosreport 是什么以及如何在 Red Hat Enterprise Linux 中创建?
8.2.6. SELinux 子测试
确认 SELinux 在 OpenStack deployment-under 测试上以 enforcing 模式运行。
Security-Enhanced Linux (SELinux)为 Linux 内核添加了强制访问控制(MAC),并在 Red Hat Enterprise Linux 中默认启用。
SELinux 策略由系统管理员进行定义,在系统范围内实施,用户自由裁量未自行设置,从而降低特权升级攻击漏洞,有助于限制配置错误的破坏。如果进程被破坏,攻击者只能访问该进程的正常功能,以及进程已配置为的文件。
成功标准
在测试的 OpenStack 部署过程中,SELinux 配置并以 enforcing 模式运行。
其他资源
- 有关 RHEL 中 SELinux 的更多信息 ,请参阅 SELinux 用户和管理员指南。