红帽全球峰会8.2. 支持测试
可支持的测试(也称为 baremetal/supportable )确保测试环境与红帽的支持政策兼容。该测试确认测试节点(测试中的 OpenStack 部署仅由红帽支持的组件(Red Hat OpenStack Platform、Red Hat Enterprise Linux)组成。
测试下的 OpenStack 部署指的是安装测试中的插件或应用程序的节点。
可支持性测试必须在控制节点和计算节点上运行。
所有 OpenStack 软件认证都需要此测试。
Compute 节点注意事项:
- 如果没有更新内核,请确保更新内核 test 部分,以验证计算是否使用 GA 内核以防止查看退出。审查将需要考虑 RHEL 认证状态。
- 计算节点上可以接受驱动程序更新程序(DUP),但将导致测试退出。回顾需要确认与相应 RHEL 认证中使用的 DUP 一致。
baremetal/supportable 测试包括以下子tests:
8.2.1. kernel subtest
内核 子测试会检查测试环境中运行的内核模块。内核版本可以是原始的正式发行(GA)版本,也可以是为 RHEL 主版本和次发行版本发布的任何后续内核更新。
内核子测试还确保内核在环境中运行时不会被污点。
成功标准
- 正在运行的内核是红帽内核。
- 正在运行的内核会由红帽发布,用于 RHEL 版本。
- 运行的内核没有污点。
- 正在运行的内核尚未修改。
8.2.2. 内核模块子测试
内核模块 子测试会验证载入的内核模块是否由红帽发布,无论是作为内核软件包的一部分,或者通过 Red Hat Driver Update 添加。内核模块子测试还确保内核模块没有识别为技术预览。
成功标准
- 内核模块由红帽发布并被支持。
8.2.3. 硬件健康子测试
Hardware Health 子测试通过测试硬件是否受支持、满足要求以及任何已知的硬件漏洞来检查系统的健康状况。subtest 执行以下操作:
检查 Red Hat Enterprise Linux (RHEL)内核没有将硬件识别为不被支持。当内核标识不支持的硬件时,它将在系统日志中显示不受支持的硬件消息,/或触发不支持的内核污点。此子测试可防止客户在不受支持的配置和环境中运行红帽产品的潜在生产风险。
在虚拟机监控程序、分区、云实例和其他虚拟机情形中,内核可以根据虚拟机(VM)提供的硬件数据触发不受支持的硬件消息或污点。
检查测试中的系统(SUT)是否满足最低硬件要求。
- RHEL 8、9 和 10 :最小系统 RAM 应为 1.5GB,每个 CPU 逻辑内核数量为 1.5GB。
- 检查内核是否报告了任何已知的硬件漏洞,这些漏洞是否有缓解措施,以及这些缓解方案是否已解决这个漏洞。许多缓解方案是自动的,以确保客户不需要采取主动步骤来解决漏洞。在某些情况下,这不可能;其中大多数剩余的情况都需要更改系统 BIOS/固件的配置,可能随时供客户修改。
- 确认系统没有任何离线 CPU。
- 确认系统中的 Simultaneous Multithreading (SMT)是否可用、启用并激活。
如果这些测试失败将导致测试套件中的 WARN,并且应由合作伙伴验证具有正确和预期的行为。
成功标准
- 内核没有设置 UNSUPPORTEDHARDWARE 污点位。
- 内核不会报告不支持的硬件系统信息。
- 内核不应报告任何有安全漏洞的缓解方案。
- 内核不会报告逻辑内核与安装的内存比率超过范围。
- 内核不会报告处于离线状态的 CPU。
8.2.4. 已安装 RPM 子测试
安装的 RPM 子测试会验证系统上安装的 RPM 软件包是否由红帽发布且没有修改。修改的软件包可能会带来风险,并影响客户环境的支持性。如果需要,您可以安装非红帽软件包,但您必须将它们添加到产品文档中,且不得修改或与任何红帽软件包冲突。
如果安装了非红帽软件包,红帽将检查此测试的输出信息。
成功标准
- 安装的红帽 RPM 没有被修改。
- 安装的非红帽 RPM 需要并记录。
- 安装的非红帽 RPM 不与红帽 RPM 或软件冲突。例如,您可以开发自定义软件包来管理网络接口的中断请求(IRQ)的 CPU 关联性。但是,这些软件包可能会与红帽的 tuned 软件包冲突,该软件包为性能调优提供了类似的功能。
8.2.5. 系统报告子测试
红帽使用名为 sos 的工具从 RHEL 系统收集配置和诊断信息。sos 工具可协助客户对 RHEL 系统进行故障排除并遵循推荐的做法。
系统报告子测试可确保 sos 工具在镜像或系统上按预期工作,并捕获基本的 sosreport。
成功标准
RHCERT 工具在测试下捕获 OpenStack 部署的基本 sosreport。
8.2.6. SELinux 子测试
确认 SELinux 在 OpenStack deployment-under 测试中以 enforcing 模式运行。
安全增强型 Linux (SELinux)为 Linux 内核添加了强制访问控制(MAC),并在 Red Hat Enterprise Linux 中默认启用。
SELinux 策略由管理员定义,在系统范围内强制执行,用户不会酌情决定降低权限升级攻击的漏洞,有助于限制配置错误造成的损坏。如果某个进程被破坏,攻击者只能访问该进程的正常功能,以及进程已配置为的文件。
成功标准
在测试过程中,SELinux 在 OpenStack 部署上配置并运行为 enforcing 模式。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}