Red Hat: oferujemy rozwiązania, ale nie gotowce [WYWIAD]
Podczas ostatniego Red Hat Summit Connect w Warszawie miałem okazję porozmawiać o kilku kwestiach, które regularnie pojawiają się w komentarzach na dobrychprogramach, gdy mowa o Linuksach. Red Hat zmagał się w tym roku z problemami wizerunkowymi w związku ze zmianami dostępności repozytoriów.
16.11.2023 09:54
Ograniczenia wzbudziły skojarzenia z przymusową standaryzacją i próbami "wycinania" konkurencji. Taką interpretację zachowania Red Hata zastosowały nie tylko konkurenci, jak Oracle, ale także wielu użytkowników. Rośnie też nieufność względem rozwiązań chmurowych. Zarówno ze względu na ich złożoność, jak i na coraz śmielsze próby prawnego obchodzenia szyfrowania. Był to jeden z tematów naszej rozmowy.
Kamil Dudek, dobreprogramy: Pierwsza kwestia, którą chciałbym poruszyć i która okresowo wraca od czasu otwarcia tej puszki Pandory, to oczywiście repozytoria. Po wprowadzonych zmianach, dotychczasowi odbiorcy-pośrednicy zaczęli obchodzić ograniczenia dostępu do nich poprzez m.in. kontener ubi8. Czy to było świadome? Jaka jest dokładna rola ubi8 w świecie odgrodzonych repozytoriów?
Wojciech Furmankiewicz, Red Hat CEE: Mówienie o zamknięciu repozytoriów to nieporozumienie, woda na młyn konkurencji i tych którzy nie rozumieją lub nie chcą zrozumieć, co się stało. Red Hat jest firmą, która działa w społeczności, do której mamy duży wkład. Nie zamknęliśmy kodu, wszystkie kody źródłowe i nasze zmiany są dalej dostępne w CentOS Stream. Zmienił się model dystrybucji stabilnych wersji. Obraz ubi8 jest oparty na stabilnym RHEL-u i jest budowany i kompilowany bezpośrednio przez Red Hata. To jest nasz pomysł na standaryzację - poprzez zdjęcie z barków dewelopera ryzyka samodzielnego przygotowania i zabezpieczania obrazów. Chodzi przede wszystkim o wysiłek z zabezpieczaniem i patchowaniem takiego rozwiązania, nie o API.
KD: Zatem nie ma w tym zachęty do budowania linuksowych rozwiązań tylko pod Red Hata?
WF: Nie ma. Weźmy dowolny projekt społecznościowy i zestawmy go z naszą wersją stabilną. Różnica między nimi może być taka, że czegoś w naszej wersji brakuje lub coś jest w niej zmienione i "nowsze". Droga wyjścia wprowadzonych zmian jest zawsze otwarta, zawsze można znaleźć źródła naszych zmian w społecznościowych projektach. To, że jest dostarczana "wersja stabilna od Red Hata" oznacza przede wszystkim to, że ułatwia to nam życie, nie ma tu mowy o żadnym vendor lock-in. Takie podejście daje nam wszystkim obecnie więcej korzyści.
KD: Drugim często wracającym pytaniem jest to, czy OpenShift (i Kubernetes) zyskując z czasem kolejne mechanizmy i operatory automatyzacji, nie obrasta w skomplikowanie, której mieliśmy się pozbyć odchodząc od maszyn wirtualnych. A więc: czy złożoność OpenShifta jest pod kontrolą?
WF: Celem OpenShifta jest maksymalnie ułatwić wdrożenia, bo czas ma swoją cenę. Dawne podejście z VM, rozwiązywało podstawowe problemy z izolacją sprzętu i zasobów. Teraz wchodzimy w cloud-native i architektury aplikacji wyglądają zupełnie inaczej. Koncepcja mikro-usług rozpięta na VM-kach wymaga tworzenia dziennie setek maszyn wirtualnych i to przestaje działać. Wdrożenia kontenerowe to model na który po prostu musimy przejść, od tego nie ma odwrotu. Nie można porównać tych podejść, bo jedno z nich w ogóle się nie sprawdza. Owszem - gdy jeden problem rozwiązujemy, drugi problem powstaje, ale też są na to sposoby.
KD: Czy na pewno nie ma odwrotu? Co z wdrożeniami on-prem lub air-gapped i co z chmurą do przetwarzania danych wrażliwych? Czy rynek sygnalizuje na nie zapotrzebowanie?
WF: Być może jeżeli zaimplementuje się poprawnie wszystkie wytyczne dotyczące bezpieczeństwa i architektury, to tak wyizolowane wdrożenia przestaną być potrzebne. Przedstawiciele Intela opisywali dziś [24 października - KD] modele, w których nawet sam dostawca chmury nie ma wglądu w nasze dane. Więc całkowicie odłączony on-prem pozostanie już raczej niszą, tak jak dziś systemy real-time. Zawsze gdzieś się znajdzie dla nich miejsce. Ale często to samo można dziś osiągnąć nowymi narzędziami. Przykładem będzie OpenShift z poprzedniego pytania: pozwala on hostować także maszyny wirtualne. Zapraszamy więc klientów do nowości: takie maszyny także da się definiować jako kod i rozpocząć wobec nich podejście devopsowe. Stosując tę samą platformę, różnica między on-premem a chmurą sprowadza się już tylko do lokalizacji serwerów.
KD: Ale właśnie ta kwestia może być kluczowa - compliance. Rośnie liczba regulacji dotyczących przetwarzania danych wrażliwych. Gdyby do chmury miały trafić dane medyczne, genetyczne, profile cyfrowe obywateli, to one są objęte coraz ostrzejszymi regulacjami, także unijnymi. Generuje to specyficzne zapotrzebowanie. Jeżeli nie pod względem on-prem, to właśnie pod względem zgodności. Czy Red Hat planuje dostarczenie rozwiązań, które celują w takie scenariusze i są zgodne "out-of-box"? Gotowe do wdrożenia w administracji publicznej bez przygotowań?
WF: Każdy taki problem należy rozpatrywać jako zagadnienie czysto software'owe. Bardzo mocno skupiamy się na bezpieczeństwie, wydaliśmy w zeszłym roku ponad 1600 dokumentów Security Advisory. Konkretniej mówiąc: nasz Advanced Cluster Security pozwala ustawić bardzo sztywne reguły przepływu danych, obowiązkowe w klastrze i niemożliwe do wyłączenia przez operatora. Wszystkie te rzeczy są już dostępne. Obsługujemy również branże i instytucje regulowane. Red Hat jest dostawcą rozwiązań, za pomocą których można te wymagania spełnić. Nie jesteśmy działem prawnym, nie możemy narzucać wdrożeniom wytycznych. Oferujemy zestaw narzędzi, który pozwala takie wytyczne spełnić - o wiele łatwiej niż u innych dostawców. Gdybyśmy nie zapewniali bezpieczeństwa, to dziś by nas już po prostu nie było.
KD: Dziękuję za poświęcony czas.
Podzielone opinie
Postępowanie Red Hata, a także architektura niektórych rozwiązań (np. OpenShift) często budzą wątpliwości i zastrzeżenia Czytelników, co można prędko dostrzec w komentarzach na Portalu. Odpowiedzi firmy na pytania dotyczące bezpieczeństwa, złożoności i (od niedawna) repozytoriów wydają się kreślić optymistyczny obraz - choć trudno przecież spodziewać się komunikacji w innym tonie. Red Hat nalega, że nie próbuje zamykać klientów w swoich rozwiązaniach. Czy argumenty są przekonujące? Zapraszamy do komentowania!
Kamil J. Dudek, współpracownik redakcji dobreprogramy.pl