2026年Secure Boot证书变更:RHEL环境操作指南
微软2011年Secure Boot签名证书将于2026年6月过期。红帽确认现有RHEL系统不受影响,但需更新shim以支持新证书签名。文章详细解释了UEFI Secure Boot机制、证书过期的具体影响、针对物理机和虚拟机的操作指南,以及如何检查和管理Secure Boot设置。对于依赖TPM和LUKS加密的用户,更新DB变量可能影响PCR值,需谨慎操…
Red Hat 开发者平台,Red Hat 技术官方开发者门户,提供产品试用、学习资源、工具与开源社区,助力开发者在开源、Kubernetes 与 AI 领域构建应用。
微软2011年Secure Boot签名证书将于2026年6月过期。红帽确认现有RHEL系统不受影响,但需更新shim以支持新证书签名。文章详细解释了UEFI Secure Boot机制、证书过期的具体影响、针对物理机和虚拟机的操作指南,以及如何检查和管理Secure Boot设置。对于依赖TPM和LUKS加密的用户,更新DB变量可能影响PCR值,需谨慎操…
本文针对 Red Hat OpenShift Virtualization 环境,对比了 iSCSI 和 NVMe/TCP 两种存储协议的性能。测试基于 Dell 全闪存阵列和 7 节点集群,涵盖虚拟机克隆部署、原始磁盘 I/O 以及数据库压力测试三个维度。结果显示,NVMe/TCP 在随机读取和高并发场景下优势巨大(IOPS 提升超 300%),且大规模…
Red Hat 工程师介绍 GCC 16 的新特性。核心亮点包括:默认启用层级化 C++ 错误提示,让模板报错更易读;改进 SARIF 机器可读输出,支持嵌套命名空间结构和异常控制流;新增实验性 HTML 诊断输出,可视化静态分析器的执行路径和内存状态。此外,重写静态分析器底层数据结构以修复 bug,并初步支持 C++ 代码分析(目前仅限小样本,复杂代码仍…
文章指出很多人忽略了KVM/libvirt系统模式虚拟机的安全隐患,并详细介绍了如何使用session模式运行完全无根(rootless)的虚拟机。相比容器,虚拟机在某些场景下不可替代,但session VM默认隔离了宿主网络和存储,安全性更高。文章提供了具体的配置步骤,包括如何通过修改libvirt默认网络配置,让无根虚拟机获得入站网络连接能力,同时保持…
文章探讨了Andrej Karpathy提出的“Vibe Coding”(通过自然语言对话让AI生成代码)现象。虽然这种方法极大地降低了编程门槛,让非技术人员也能快速构建原型,但随着项目复杂度增加,缺乏规范和文档的代码库会导致维护灾难,出现“修好一个bug破坏十个功能”的局面。作者主张从单纯的“Vibe Coding”转向“Spec-Driven Deve…
这是一本由红帽 SELinux 维护者 Dan Walsh 编写的入门指南。文章通过猫狗互动的生动比喻,解释了 SELinux 的核心概念,如类型强制(Type Enforcement)、多类别安全(MCS)和多级安全(MLS)。它旨在降低学习门槛,帮助开发者理解复杂的 Linux 安全机制,适合初学者建立直观认识。
本文通过基准测试对比了 vLLM 和 llama.cpp 在 NVIDIA H200 上的性能。核心结论是两者设计哲学不同:vLLM 专为高并发、高吞吐量设计,适合多用户生产环境,其吞吐量随并发增加显著上升且首字延迟稳定;llama.cpp 则优化单流效率和便携性,适合单机或边缘设备,但在高并发下吞吐量持平且延迟指数级增长。数据表明在高负载下 vLLM 的…
作者总结了 Clang 字节码常量解释器的年度进展。核心变化包括:测试失败数从 155 降至 90,实现了 builtin_constant_p;通过优化已知来源读取减少了字节码生成开销;引入 libc++ 测试套件以覆盖更多真实场景,并达到零失败里程碑。性能基准测试显示,在处理大型数组嵌入和堆分配时,新解释器比旧版 Clang 解释器和 GCC 显著更快…
本文深入解析了 Apache Kafka 4.1.0 中引入的 KRaft 协议。KRaft 取代了传统的 ZooKeeper,让 Kafka 能够自我管理元数据。文章详细讲解了 Raft 共识算法的核心机制,包括领导者选举、日志复制和安全规则,并结合 KRaft 的具体实现,说明了元数据管理、核心 RPC 通信以及动态集群扩展的原理。对于需要理解 Kaf…
Kafka 3.9 引入了分层存储,虽然降低了长期数据保留的成本,但在消费远程数据时存在两个主要陷阱。第一是顺序远程获取问题:由于每个远程分区需要单独的获取请求,导致延迟增加和吞吐量下降,Kafka 4.2 将通过并行读取解决此问题。第二是获取限制失效问题:远程获取可能超出 fetch.max.bytes 设置,导致消费者内存溢出风险,因为代理无法准确预知…
一位非开发者从零基础出发,体验了 Podman AI Lab 的全过程。文章介绍了如何安装 Podman Desktop 和 AI Lab 扩展,并通过一个 RAG 聊天机器人的案例,展示了如何在本地运行大模型。作者强调了本地运行 AI 在隐私保护、成本控制和资源效率上的优势,以及 Podman 相比 Docker 的安全性和易用性。这是一篇面向初学者的入…
Red Hat 详细解析了如何在 macOS 的 Podman 容器中实现 GPU 加速 AI 推理。由于 macOS 容器依赖轻量级虚拟机,GPU 访问是难点。文章介绍了通过 libkrun 和 virtio-gpu 进行设备半虚拟化,将 Vulkan API 调用转发给宿主机的 Metal 接口。实测显示,结合 llama.cpp 的 ggml-vul…