红帽全球峰会Red Hat Enterprise Linux Software Certification Policy Guide
用于 Red Hat Enterprise Linux 软件认证
摘要
使开源包含更多
红帽承诺替换我们的代码和文档中存在问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于这一努力的精力,这些更改将在即将发布的版本中逐渐实施。有关让我们的语言更加包含的更多详情,请参阅我们的CTO Chris Wright 信息。
第 1 章 Red Hat Enterprise Linux 软件认证简介
Red Hat Enterprise Linux 软件认证政策指南 描述了在 Red Hat Enterprise Linux (RHEL)版本 8 及更新版本上运行的第三方供应商产品策略概述。
本指南适用于希望在共同支持的客户环境中使用 RHEL 的产品的合作伙伴。需要非常了解 RHEL。
1.1. 认证和合作伙伴验证
红帽为您提供认证或验证您的产品的能力。
红帽认证的产品经过全面测试,与您的合作支持。这些产品符合您的标准和红帽标准,包括功能、互操作性、生命周期管理、安全性和支持要求。
合作伙伴验证的产品已经过测试和支持。通过验证,您可以更快地启用和发布您的软件产品。但是,根据定义,经过验证的工作负载不包括红帽认证的完整彻底性。我们鼓励您继续努力稳定、上游接受、红帽启用和红帽认证。
验证选项并不适用于所有基础架构软件。
了解认证和验证之间的差异以及您的产品的功能、限制和实现对您和您的客户至关重要。
1.2. 支持职责
使用来自我们强大的认证企业硬件、软件和云合作伙伴的组件时,红帽客户可以获得最佳的支持体验。https://catalog.redhat.com/
红帽根据 Red Hat 服务等级协议(SLA)提供对红帽认证的产品和红帽软件的支持。如果客户问题涉及经认证或验证的第三方组件,红帽就 与您合作,按照 第三方支持政策进行解决。
红帽不会解释客户支持政策。但是,我们需要您的支持来协助客户诊断和解决与软件的功能、互操作性、生命周期管理和安全性相关的问题。
在 Red Hat Ecosystem Catalog 中被列为认证或验证,代表您承诺支持您的产品,并为我们共同的客户提供可靠的解决方案,遵循您的红帽产品。
1.3. 认证先决条件和流程概述
1.3.1. 先决条件
要开始您的认证之旅,您必须:
- 加入 Red Hat Partner Connect 计划。
- 接受标准合作伙伴协议以及特定于容器化软件的条款和条件。
- 输入有关贵公司和需要认证的产品的基本信息。常见信息包括产品概述和支持材料的链接,如产品文档、数据表或其他相关资源。
- 测试您的产品,以验证它的行为在 RHEL 上的行为。
- 支持 RHEL 作为认证产品的平台,并与红帽建立支持关系。您可以通过 TSANet 的多供应商支持网络或通过自定义支持协议来实现此目的。
1.3.2. 进程概述
下文概述了 Red Hat 认证和合作伙伴验证流程。有关如何完成下面列出的每个步骤的详细信息,请参阅 Red Hat Software Certification Workflow Guide。
1.3.2.1. 认证过程
- 完成先决条件
- 创建产品
- 为每个产品组件创建和关联组件
- 完成产品列表清单
根据需要完成每个组件的认证要求
- 为每个组件完成组件认证清单
- 发布您的组件
- 发布您的产品
1.3.2.2. 验证过程
- 完成先决条件
- 创建产品
- 完成您的产品列表详情
- 创建 Validation 请求
- 完成产品列表清单
- 完成验证清单
- 填写问题
- 等待红帽审核并批准问卷
- 发布您的产品
1.4. 测试套件生命周期
使用测试的最新版本认证您的产品。
发布新测试套件后,红帽接受在 90 天期间使用较早版本的套件生成的测试结果。在此期间,如果红帽认证团队认为它更适合您的认证项目,则可能会要求您使用最新版本的套件运行测试。
1.5. Red Hat Enterprise Linux versions and architecture
Red Hat Enterprise Linux 软件认证是特定于架构的,不接管任何其他架构。您必须在其支持的每个 RHEL 版本和架构中认证您的产品。
下表显示了您可以组合在认证的 RHEL 版本、处理器架构和 hypervisor 软件:
| RHEL 版本 | 架构 | 虚拟机监控程序(Hypervisor) |
|---|---|---|
|
|
|
|
红帽为特定 RHEL 8 或更高版本授予 RHEL 软件认证。如果您遵循 Red Hat Enterprise Linux: Application Compatibility Guide 中的兼容性指南,则认证对 RHEL 的后续次版本有效。
红帽建议合作伙伴使用每个新的 RHEL 次版本重新测试其产品。
1.6. 合作伙伴的产品版本
红帽为您的产品的特定主要版本授予 RHEL 软件认证。您应该在产品的次版本上运行认证测试,以避免出现功能回归,但您不需要再次认证该产品。
您必须把该产品的后续主要版本认证为现有产品的新版本或新的产品条目。
您负责决定其产品的哪个发行版本是主版本及哪些版本是次版本的。
1.7. 打包格式
针对认证的产品可以使用任何打包格式,只要它不会以影响其支持的方式改变 RHEL 平台。红帽建议您使用与平台原生工具(如容器和 RPM)兼容的打包格式。
打包为容器的任何组件都必须遵循 容器镜像要求中设定的要求。
1.8. 发布
完成 Red Hat Enterprise Linux (RHEL)认证或合作伙伴验证工作流后,红帽会在 红帽生态系统目录 中发布一个条目。这包括过程中收集的产品条目和相关信息。
具有认证的产品包括容器的相关组件数据。没有任何认证的产品不包括组件信息。
红帽预期 RHEL 软件认证仍然列在目录中,直到认证 RHEL 版本的支持生命周期结束为止。但是,红帽保留删除目录条目的权利。
1.9. 目录条目
红帽预期 RHEL 软件认证仍然列在目录中,直到认证 RHEL 版本的支持生命周期结束为止。但是,红帽保留删除目录条目的权利。
1.10. 认证的容器镜像的分发
Red Hat Container Certification 程序为认证容器镜像发布提供以下选项:
- Red Hat Container Registry :由红帽管理,无需任何成本供合作伙伴使用。这个选项需要遵守美国出口控制法律。
- 非 Red Hat Container Registry :例如,您自己的 registry 或任何公共 registry,如 Quay.io 和 Docker.io。
第 2 章 容器镜像要求
打包为容器的产品必须满足以下要求,以确保容器镜像是:
- 作为最终用户 Red Hat Enterprise Linux 支持订阅的一部分介绍。
- 扫描以避免在客户环境中引入已知的安全漏洞。
2.1. 平台要求
| 要求 | 原因 |
|---|---|
| 容器必须能够使用 Podman 运行。 |
允许管理员使用 OCI 兼容的 RHEL-integrated 命令运行和管理其容器。 |
| 容器必须能够使用 Systemd 单元文件启动和停止。 | 允许管理员使用标准的 RHEL 命令自动启动、停止和检查其容器的状态。 |
2.2. 镜像内容要求
| 要求 | 原因 |
|---|---|
| 容器镜像必须声明非 root 用户,除非其功能需要特权访问权限。 要认证需要 root 访问权限的容器镜像,您必须:
测试名称:Run AsNonRoot | 确保容器不以 root 用户身份运行,除非需要。以 root 用户身份运行的镜像可能会带来安全风险。 |
| 容器镜像必须使用红帽提供的 通用基础镜像(UBI)。 UBI 基础镜像的版本必须在 RHEL 版本进行认证上被支持。如需更多信息,请参阅 Red Hat Enterpise Linux Container Compatibility Matrix。 除了内核软件包外,您可以在 UBI 镜像中添加额外的 RHEL 软件包。 测试名称: BasedOnUbi | 确保应用程序运行时依赖项(如操作系统组件和库)包含在客户的订阅下。 |
| 容器镜像不能更改红帽软件包或层提供的内容,但您或客户都可以更改的文件,如配置文件。 测试名称: HasModifiedFiles | 确保红帽不会根据红帽组件未经授权更改拒绝支持。 |
|
容器镜像必须具有 测试名称: HasLicense | 确保客户了解适用于镜像中包含的软件的条款和条件。 |
| 未压缩的容器镜像必须小于 40 个层。 测试名称: LayerCountAcceptable | 确保镜像在容器上正确运行。过多的层可能会降低性能。 |
| 容器镜像不得包含 RHEL 内核软件包。 测试名称: HasNoProhibitedPackages | 确保符合 RHEL 为合作伙伴发布规则。 |
| 容器镜像不得包含带有确定 重要或关键漏洞的红帽 组件。 测试名称: N/A.红帽认证服务进行此扫描。 | 确保客户不会暴露于已知的漏洞。 |
| 容器镜像名称不得以任何红帽商标开头。 测试名称: HasProhibitedContainerName | 确保遵守 红帽商标准则。 |
2.3. 镜像元数据要求
| 要求 | 原因 |
|---|---|
| 容器镜像必须包括以下标签:
测试名称: HasRequiredLabel |
确保客户能够以一致的方式获取有关镜像供应商和镜像内容的信息。 |
| 容器镜像标签内容不得以任何 Red Hat Marks 开头:
测试名称: HasNoProhibitedLabels | 镜像名称必须遵循 红帽商标准则。 |
| 容器镜像必须包含认证镜像描述性的唯一标签。 红帽建议将镜像版本及其构建日期附加到唯一标签中。 除了描述性标签外,除了描述性标签外,还可以将浮动标签(如 latest )添加到镜像中。 测试名称: HasUniqueTag | 确保镜像可以被唯一标识。 |
2.4. 镜像维护要求
合作伙伴负责监控其认证容器的健康状况。当镜像因为新功能或安全更新需要重建时,请提交更新的容器镜像以进行重新认证和发布。
合作伙伴必须保持应用程序组件最新状态,并定期重建其容器镜像。
第 3 章 测试环境
测试环境是您运行该产品的平台,用于进行认证和认证测试。它必须满足以下要求:
| 要求 | 原因 |
|---|---|
| Red Hat Enterprise Linux (RHEL)必须在 认证的平台上安装 (硬件、虚拟机监控程序或云实例)。 | 确保底层物理或虚拟平台不会引入可能会影响测试的问题。 |
| 除了被识别为 RHEL 文档中的可接受的配置更改外,测试环境不得对 RHEL 内核和用户软件包进行任何修改。 任何非红帽内核模块都受到进一步检查。 | 红帽组件的变更可能会影响客户的支持性。 |
| RHEL 不得包含具有关键或重要漏洞的组件。 | 确保产品进行认证与客户在其环境中要安装的安全更新兼容。 |
| SELinux 必须启用并在 enforcing 模式下运行。 | 确保产品进行认证与推荐的安全设置兼容。 |
| 必须安装并运行 Red Hat Insights。 | 确保与平台的解决方案兼容,以主动管理风险。 |
附录 A. 测试
Red Hat Enterprise Linux 软件认证包括以下部分中描述的多个测试和子测试。认证可能会因为以下状态之一退出:
- 通过 :所有子测试都已通过,且不需要进一步操作。
- 失败 :关键子测试或检查没有成功,需要更改才能实现认证。
- 查看 :红帽需要其他详细审核以确定状态。
Warn: 一个或多个子测试没有遵循最佳实践,需要进一步的操作。但是,认证将成功。
红帽建议您查看所有测试的输出,执行适当的操作,并根据情况重新运行测试。
红帽认证应用程序会计划每次运行测试时按顺序编写测试,并在每次运行测试时写入单个日志文件。向红帽提交日志文件以获取新的认证和重新发布。
有关 认证工具以及如何运行测试的更多信息,请参阅红帽软件认证工作流指南。
A.1. 自我检查测试
自我检查 测试会验证认证过程中需要的所有软件包是否已安装,以及它们是否未被更改。这可确保测试环境为认证流程做好准备,并且所有已安装的认证软件包都可以支持。
成功标准
- 测试环境包括认证过程中所需的所有软件包,且软件包尚未修改。
A.2. RPM 测试
RPM 测试 检查 RPM 打包的产品是否遵循红帽 RPM 打包的 RPM 打包实践。对于仅打包为 RPM 的产品,这个测试是必须的。
测试包括以下子测试:
A.2.1. RPM provenance 子测试
RPM 经过验证的子测试会检查 RPM 打包的产品是否经过认证及其依赖项,可按照红帽 RPM 打包的最佳实践进行跟踪。
成功标准
- 非红帽软件包被识别为属于产品进行认证或其依赖项。
- 文件在软件包中跟踪。
A.2.2. RPM 版本处理子测试
RPM 版本处理 子测试会检查 RPM 打包的产品是否根据红帽 RPM 打包的最佳实践进行版本控制。
成功标准
- 软件包和对软件包的更改进行了版本化。
A.2.3. RPM 依赖项跟踪子测试
RPM 依赖项跟踪 子测试会检查 RPM 打包的产品是否根据红帽 RPM 依赖项跟踪的最佳实践进行跟踪。
成功标准
- 所有依赖项都会被跟踪。
A.3. 支持性测试
支持性 测试可确保红帽可以使用安装和运行的产品支持 Red Hat Enterprise Linux (RHEL)。
软件/支持测试包括以下子测试:
A.3.1. 日志版本 subtest
日志版本 子测试会检查它是否可以找到在测试中的主机上安装的 RHEL 版本和内核版本。
成功标准
- 测试可以成功检测 RHEL 版本和内核版本。
A.3.2. kernel subtest
内核 子测试会检查测试环境中运行的内核模块。内核版本可以是原始的正式发行(GA)版本,也可以是为 RHEL 主版本和次发行版本发布的任何后续内核更新。
内核子测试还确保内核在环境中运行时不会被污点。
成功标准
- 正在运行的内核是红帽内核。
- 正在运行的内核会由红帽发布,用于 RHEL 版本。
- 运行的内核没有污点。
- 正在运行的内核尚未修改。
A.3.3. 内核模块子测试
内核模块 子测试会验证载入的内核模块是否由红帽发布,无论是作为内核软件包的一部分,或者通过 Red Hat Driver Update 添加。内核模块子测试还确保内核模块没有识别为技术预览。
成功标准
- 内核模块由红帽发布并被支持。
A.3.4. 第三方内核模块子测试
第三方内核 子测试会检查是否有红帽内核软件包在运行。
使用合作伙伴内核模块可能会给红帽内核带来风险,这些风险可能在认证过程中可能无法完全确定。因此,当需要合作伙伴内核模块时,认证流程旨在确保堆栈保持可支持性,并且合作伙伴的职责明确分类。
每当需要合作伙伴内核模块时,红帽保留拒绝认证的权利。合作伙伴内核模块受其他验证,包括(但不限于)以下:
成功标准
合作伙伴必须:
- 同意您了解并将根据 红帽生产覆盖范围 中定义的策略进行操作。
- 同意您了解并将根据 红帽第三方支持政策中定义的政策采取行动。
- 提供为协作客户编写的内核模块文档。
- 向红帽提供应用程序支持团队和内核工程团队的联系信息
- 声明您拥有并支持该模块。
- 声明该模块不会影响 RHEL 内核或用户固定功能。
- 声明该模块不是硬件驱动程序。
合作伙伴内核模块必须:
-
在
lsmod命令的输出中显示模块名称、大小和依赖项。 -
在
modinfo命令的输出中显示模块名称、文件名、许可证和描述,并与合作伙伴文档保持一致。 -
显示合作伙伴签名并支持
modinfo命令的输出中的模块。 -
被预编译的
ko或ko.xz kmods. -
在最终
pivot_root后加载。 - 以 RPM 或其他由合作伙伴签名的格式交付和打包。它还必须提供一种验证内存中和磁盘上内核模块的机制。
-
在
如果交付并打包为 RPM,合作伙伴内核模块必须:
- 满足标准的 RHEL RPM 认证要求。
-
显示软件包的供应商在
rpm -qi命令的输出中负责其支持。 -
在
rpm -q --requires命令的输出中显示内核模块支持的红帽内核范围。
A.3.5. 硬件健康子测试
硬件运行状况 子测试通过测试硬件是否受支持、满足要求以及存在任何已知的硬件漏洞来检查系统的健康状况。subtest 执行以下操作:
检查 RHEL 内核没有将硬件识别为不受支持。当内核标识不支持的硬件时,它会在系统日志中显示类似于"unsupported hardware"的消息,并触发不支持的内核污点。此子测试降低了在不受支持的配置和环境中运行红帽产品的风险。
在虚拟机监控程序、分区、云实例和其他虚拟机情形中,内核可以根据虚拟机提供给 RHEL 的硬件数据触发不受支持的硬件消息或污点。
检查测试中的主机是否满足最低硬件要求:
- RHEL 8 及更高版本:最小系统 RAM 必须是 CPU 逻辑内核数的 1.5GB。
- 检查内核是否报告了任何已知的硬件漏洞。
- 确认系统中没有 CPU 离线。
- 确认系统中是否有并发多线程可用、启用并激活。
如果这些测试失败,则从测试套件中产生一个警告。检查警告以确保产品按预期工作。
成功标准
- 内核没有设置 UNSUPPORTEDHARDWARE 污点位。
- 内核不会报告不支持的硬件系统信息。
- 内核不会报告任何漏洞。
- 内核不会报告逻辑内核到安装的内存比率,以超出范围。
- 内核不会报告处于离线状态的 CPU。
A.3.6. hypervisor/分区子测试
hypervisor/分区 子测试验证 RHEL 支持主机在测试中的架构。
成功标准
- 裸机系统的传递场景有:x86_64、ppc64le、s390x 和 aarch64。
- 管理程序或分区环境上的传递场景为:RHEL KVM、VMware、RHEV、QEMU 和 HyperV。
A.3.7. 文件系统布局子测试
文件系统布局 子测试会验证根文件系统的大小以及引导文件系统的大小是否遵循每个 RHEL 版本的指南。这样可确保镜像具有有效运行、运行应用程序和安装更新所需的合理空间。
成功标准
RHEL 版本 8 及更新的版本:
- root 文件系统为 10GB 或更大。
-
引导文件系统为 1GB 或更大,在
xfs或ext格式的分区上。
A.3.8. 已安装 RPM 子测试
安装的 RPM 子测试会验证系统上安装的 RPM 软件包是否由红帽发布且没有修改。修改的软件包可能会带来风险,并影响客户环境的支持性。如果需要,您可以安装非红帽软件包,但您必须将它们添加到产品文档中,且不得修改或与任何红帽软件包冲突。
如果安装了非红帽软件包,红帽将检查此测试的输出信息。
成功标准
- 安装的红帽 RPM 没有被修改。
- 安装的非红帽 RPM 需要并记录。
- 安装的非红帽 RPM 不与红帽 RPM 或软件冲突。例如,您可以开发自定义软件包来管理网络接口的中断请求(IRQ)的 CPU 关联性。但是,这些软件包可能会与红帽的 tuned 软件包冲突,该软件包为性能调优提供了类似的功能。
A.3.9. 软件存储库 subtest
软件存储库 subtest 验证相关的红帽存储库是否已配置,并在测试的主机上导入 GPG 密钥。
红帽在 Red Hat 官方软件存储库中提供软件包和内容。这些存储库使用 GPG 密钥签名,以确保分布式文件的真实性。这些软件仓库中提供的软件被完全支持,并适用于客户生产环境。
如果需要,您可以配置非红帽软件仓库,但必须正确记录并批准它们。
成功标准
- 您已启用了 BaseOS 和 AppStream RHEL 软件仓库。
- 您已为 RHEL 软件仓库导入了 GPG 密钥。
- 相关的红帽软件仓库包括: Red Hat Update Infrastructure、Red Hat Satellite 和 Red Hat Content Delivery Network。
- 您记录了产品进行认证所需的非红帽软件仓库,或由运行测试的红帽认证红帽公共云所需的非红帽存储库。
要验证红帽存储库,您必须使用以下关键字之一配置您的基本 URL: satellite、redhat.com 或 rhui。
A.3.10. 可信容器子测试
可信容器 子测试会验证 RHEL 容器工具集是否已安装,且任何在测试下安装的容器都由红帽提供,或是认证的一部分。
成功标准
- RHEL 容器工具集已安装且可操作。
- 环境中存在的任何容器都作为 RHEL 订阅的一部分提供,或者已作为产品认证的一部分进行验证。
-
默认的 RHEL 容器 registry
registry.redhat.io被启用。
A.3.11. Insights 子测试
insights 子测试会验证 insights-client 软件包是否已安装并可以正常工作。
Red Hat Insights 使客户能够在问题进行持续、深入分析其基础架构之前预测和防止问题。红帽建议客户在自己的环境中使用 Red Hat Insights。
成功标准
-
insights-client软件包已安装且可操作。
A.3.12. RPM newness subtest
RPM 新性 子测试会检查是否安装了针对红帽软件包发布的所有重要和关键安全更新,并为那些需要更新的软件包显示审查状态。如果没有安装重要或关键更新,红帽将查看此测试结果。
红帽鼓励合作伙伴在发布安全更新时更新其测试环境。
成功标准
- 为 Red Hat 软件包发布的所有重要和关键安全更新都会被安装。
A.3.13. SELinux enforcing 子测试
Security-Enhanced Linux (SELinux) enforcing 子测试确认 SELinux 已启用,并在测试的主机上以 enforcing 模式运行。
成功标准
- SELinux 在测试之下在主机上配置并在 enforcing 模式下运行。
A.3.14. Software modules subtest
软件模块 子测试验证 RHEL 系统上可用的模块。RHEL 模块功能是系统上可用的一系列软件包。
成功标准
- 如果安装了非红帽软件模块,则子测试会失败。
A.4. 指纹测试
指纹 测试捕获了产品进行认证的数字指纹。
通过使用 ps 和 systemd 命令的输出,测试会检测与该产品相关的服务和流程,以及测试系统上所安装的任何非红帽应用程序。然后,测试会提示您输入找到的服务和流程。
红帽将使用测试结果来调查客户报告的问题并将其重定向到适当的团队。
成功标准
- 在测试之下的主机上安装并运行产品进行认证。
A.5. 容器测试
容器 测试将验证容器是否能够启动,然后使用 Podman 和 Systemd 停止容器。此测试仅适用于容器化产品。
测试包括以下子测试:
A.5.1. podman subtest
podman subtest 检查是否可以启动容器,然后使用 Podman 停止容器。
subtest 执行以下操作:
- 显示测试系统上运行的容器列表。
- 提示您识别容器进行认证。
-
启动容器,然后使用
podman命令停止容器。
成功标准
容器必须使用 podman 命令成功启动和停止。
A.5.2. systemd 子测试
systemd 子测试会检查容器是否可以通过 Systemd 控制,并在容器失败后自动重启。
subtest 执行以下操作:
提示您确认该容器的 Systemd 单元文件是否存在。
如果文件存在,请输入其位置。测试将使用此文件启动和停止容器。
如果该文件不存在,测试可在
/etc/systemd/system中生成一个。确保容器正在运行,然后让测试创建该文件。- 如果容器正在运行,则停止它。
- 检查容器是否可由 systemd 控制。
- 验证容器是否被设置为在失败时重启。
-
使用
podman kill命令停止容器以模拟失败。 - 验证容器是否自动重启。
成功标准
- 容器必须在所有测试过程中成功启动。
A.6. sosreport 测试
sosreport 测试可确保 sosreport 工具在测试环境中按预期工作,并捕获基本系统报告测试。
sosreport 工具收集红帽可用于协助客户对问题进行故障排除的配置和诊断信息。
成功标准
-
可在测试下的主机上收集基本的
sosreport。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}