RHEL 9.8和10.2发版：红帽企业级Linux的又一次稳健升级

5 月 20 日，红帽发布了 RHEL 10.2 和 RHEL 9.8 两个重要版本。一个是 RHEL 10 大版本的第二次迭代，另一个是 RHEL 9 这条成熟产品线的第八个次版本。两个大版本面向的用户场景各有侧重。对于正在规划新架构的企业来说，RHEL 10.2 提供了更前沿的工具链和 AI 原生能力；而对于已经在 RHEL 9 上跑稳了核心业务的老用户，9.8 则是一次稳妥的功能补强和安全加固。RHEL 9.8 是长生命周期版本，对于还在使用 RHEL 7 或 8，并且今年有计划升级的用户，可以放心选择这个版本。

这篇文章我们把两个版本的亮点拆开来讲，最后再把红帽的维护策略梳理一遍，方便你做长期规划。

01. RHEL 10.2：面向未来的企业级底座

RHEL 10.2 作为 RHEL 10 的第二个次版本，它的核心关键词是"AI 就绪"、“后量子安全"和"镜像模式进化”。

1.1 后量子密码学(PQC)正式落地

这是 RHEL 10.2 最具战略意义的一项更新。红帽在后量子密码学领域跟进了 NIST 的标准，通过 Red Hat Certificate System 11.0 引入了量子抗性签名算法。简单说，就是让你的系统在面对未来的量子计算攻击时，不至于被"先收割、后解密"的套路打穿。

证书系统 11.0 还带来了一个非常实用的功能叫"零接触配置"（zero-touch provisioning）。它用一次性密码（OTP）来自动化证书签发流程。红帽给了一个很直观的对比：以前给 1000 台设备手动签发证书可能要花一周，现在变成几分钟就能完成的自动化任务。考虑到 PQC 强制要求的合规性，证书有效期正在快速缩短（预计到 2029 年将最短缩短至 47 天），手动续期根本不可持续，自动化是必然选择。

对于金融、政务、军工这类对数据长期保密性要求极高的行业，这项能力不是锦上添花，而是刚需。红帽把这项能力直接做进了操作系统底层，而不是让用户自己去打补丁或者换第三方方案。

1.2 封印镜像：让启动链可信

RHEL 10.2 在镜像模式(Bootc)下推出了"封印镜像"（Sealed Images）的技术预览功能。简单来说，它的核心含义是，企业可以使用自己专属的加密密钥，对整个 OS 镜像进行签名，从而在根本上杜绝任何被篡改的系统启动或运行。

红帽的 bootc 是一种把“操作系统”当成“容器镜像”来打包和管理的技术，让你可以像部署容器应用一样，直接安装或升级一整台物理服务器。bootc 让系统维护变得像管理容器一样方便，封印镜像则让操作系统贴上企业专属的“电子封条”，确保了整个系统的绝对安全、无法被外人动手脚。

1.3 AI 助手进入命令行

RHEL 10.2 在 Extensions 仓库里放了一个叫 goose 的开源命令行 AI 助手。它面向那些长期泡在终端里的 power user，连接的是红帽自己的可信 AI 后端，但提供了流式响应和 MCP 协议集成路径。

说到 MCP，这是红帽在 10.2 和 9.8 里重点推的协议。MCP 全称 Model Context Protocol，它让 AI 代理能够安全地访问你的 RHEL 系统实时数据。红帽已经为 Satellite、Lightspeed 和 RHEL 本身都提供了 MCP 服务器，管理员可以用自然语言跟系统对话，让 AI 自动执行多步骤运维流程。

RHEL 命令行助手本身也升级了，现在支持彩色输出，命令和脚本跟普通文本的视觉区分更明显，读起来不那么费眼。对于新管理员来说，这意味着更快的上手速度；对于老管理员来说，意味着更快的问题定位效率。

1.4 镜像模式的实用增强

镜像模式（Image Mode for RHEL）是 RHEL 10 引入的新范式，10.2 这次又加了几个实用功能：

1. 预下载更新。新的 Download Only 开关允许你先把更新包下载到一批机器上，但不立即应用。这样你可以在维护窗口到来之前完成下载，真正打补丁的时候 downtime 会短很多。
2. 高效的容器存储。系统在容器存储里单独保留一份 OS 副本，既省磁盘又省带宽，还能防止 podman system reset 这类命令误删关键主机文件。
3. 可启动容器和虚拟化工具包（BCVK）。你可以从本地构建直接跳到自动化的 VM 测试环境，验证流程比以前快了不少。
4. 逻辑绑定镜像（Logically Bound Images）。这是 10.2 的一个新概念。它让你可以用单一的标准化基础镜像来管理多样化的系统配置，不需要为每一种配置维护一个独立的镜像。 企业使用的系统群越大越多样，这个功能的收益越明显。

1.5 开发工具链全面升级

RHEL 10.2 在开发者工具方面的更新包括：

数据库方面，PostgreSQL 18 和 MariaDB 11.8 都进来了。PG 18 支持异步 I/O (AIO) 子系统，B-Tree 索引支持“跳跃扫描（Skip Scan）”，内置原生 UUIDv7，时间有序的 UUID 对数据局部性很友好。MariaDB 11.8 则新增了 VECTOR 数据类型和向量索引，直接把 AI 应用的向量存储需求照顾到了；同时，时间数据类型 TIMESTAMP 的上限从 2038 年延长到了 2106 年。

更多 PostgreSQL 18 相关内容请参阅：

• PostgreSQL 18.4发布：修复11个安全漏洞，PG 14进入倒计时
• PostgreSQL 18 发布：令人兴奋的五大新特性
• PostgreSQL 18 Beta 1、17.5、16.9、15.13、14.18、13.21 发布
• IvorySQL-Skills：开源一套自用IvorySQL数据库Skills

1.6 Tomcat 大版本升级与兼容过渡

RHEL 10 把 Apache Tomcat 从 9.0 升级到了 10.1。这个升级的核心变化是命名空间从 Java EE 切到了 Jakarta EE，影响面不小。红帽给了一个迁移工具 tomcat-jakartaee-migration，可以自动帮你改字节码里的包名。

如果你暂时不想迁移，红帽也提供了一个叫 tomcat9 的临时兼容包，可以用到 2026 年 11 月，也就是 RHEL 10.3 发布之前。过渡期够长，不至于逼着你立刻动手。

建议用户在此之前通过 dnf swap tomcat9 tomcat --allowerasing 命令完成向 Tomcat 10 的迁移。该操作使用 dnf swap 替换旧版本并利用 --allowerasing 解决依赖冲突。

02. RHEL 9.8：成熟平台的稳妥进化

RHEL 9.8 作为 RHEL 9 的第八个次版本。它不会给你翻天覆地的惊喜，但每一项更新都踩在了企业用户的痛点上。

2.1 安全能力同步跟进

RHEL 9.8 同样引入了后量子密码学支持和机密计算增强，跟 10.2 保持一致。CrowdStrike 的 2300 多个新恶意软件签名也同步可用。这说明红帽没有把安全能力搞成"新版本独占"，老用户一样能享受到最新的威胁防护。

2.2 AI 和自动化能力下放

RHEL 9.8 也支持 MCP 服务器的开发者预览，以及 AI 驱动的升级体验。通过 Ansible Automation Platform 和 RHEL 升级系统角色，原地升级可以走"快速失败、快速迭代"的自动化流程，减少人工干预和停机时间。

命令行助手的彩色输出功能在 9.8 里同样可用，老用户不用眼馋 10.2。

2.3 开发工具同步更新

RHEL 9.8 在工具链方面跟 10.2 基本同步：Python 3.14、Go 1.26、LLVM 21、Rust 1.92、OpenJDK 25、Ruby 4.0、Git 2.51 都有。PostgreSQL 18 和 MariaDB 11.8 也一样不落。

唯一的小区别是 PHP 8.4 只在 RHEL 10.2 里作为新应用流出现，9.8 没有。如果你的业务强依赖 PHP，这是需要考虑的一个点。

2.4 Python 3.9 的生命周期说明

RHEL 9 的系统级默认 Python 是 3.9。这个版本在上游社区已经于 2025 年 10 月 31 日正式 EOL，但红帽明确承诺：RHEL 9 里的 Python 3.9 会在整个 RHEL 9 生命周期内持续维护，安全补丁和关键修复都会由红帽自己 backport。

这其实是企业级发行版的核心价值所在。上游社区说不管了，但红帽继续管，你的业务不用被迫迁移。

但是，如果你还在使用 RHEL 8，请注意 Python 3.9 的支持已于 2025 年 11 月截止。建议升级到 Python 3.11/3.12，或者升级到 RHEL 9。

03. Podman Desktop 正式入场

RHEL 10 和 RHEL 9 两个版本都引入了 Red Hat build of Podman Desktop，这是一个图形化的容器和 Kubernetes 管理工具。它用 Podman 作为底层引擎，强调安全优先，支持从 Docker 无缝迁移，现有的容器镜像、Compose 文件、卷和工作流都可以直接沿用。

Podman Desktop 支持 macOS、RHEL 和 Windows，RHEL 版本通过 Extensions 仓库安装。红帽还提供了跨平台的开发者支持，这对于需要在多操作系统之间保持开发体验一致的团队来说，是个不错的消息。

04. 升级与迁移：红帽把经验打包成了自动化

这次两个版本在升级体验上下了不少功夫，红帽把它总结成了核心能力。

4.1 Leapp 一步完成转换加升级

Leapp 是红帽的升级前分析工具，现在增强了。以前如果你想把 CentOS 或者其他发行版迁移到 RHEL，然后再升级到新版 RHEL，需要分两步走。现在 Leapp 支持在一个命令里同时完成"转换到 RHEL"和"升级到新版 RHEL"， downtime 和复杂度都降低了。

4.2 Ansible 打包了红帽几十年的升级经验

红帽联合生态合作伙伴（如 Cisco、AWS、ServiceNow、Microsoft、Dell 等）发布了 Ansible Certified Content Collection（Ansible 认证内容集合），把红帽几十年积累的升级知识和最佳实践都打包了进去，做成了“即插即用型”自动化组件包。它跟 Leapp 配合，先出预升级报告，然后自动修复常见问题，走"fail fast then iterate"的路线。

合集的具体细节可以参考红帽的文章：

https://www.redhat.com/en/technologies/management/ansible/content-collections
https://access.redhat.com/articles/ansible-automation-platform-certified-content

4.3 增强的 RHEL 镜像构建器命令

RHEL 镜像构建器（Image Builder）新增了一个命令行界面，不需要持续运行的后台服务就能创建自定义 RHEL 镜像。这个设计更容器友好，也很容易塞进 CI/CD 流水线里，自动化镜像创建变得简单很多。

05. 红帽系统维护策略：你需要知道的时间线

聊完功能，我们再回来看看红帽的维护策略。这是做长期技术规划时最容易被低估的部分。

5.1 生命周期总览

从 RHEL 8 开始，红帽把生命周期简化成了三个阶段：

1. 完全支持阶段（Full Support）：5 年。这期间会发布关键和重要级别的安全勘误（RHSA），以及紧急和高优先级的程序漏洞修复（RHBA）。次版本每六个月发一个，会包含新的硬件启用和精选的软件增强。
2. 维护支持阶段（Maintenance Support）：5 年。只发布关键和重要级别的安全勘误，以及红帽选择的紧急级别程序漏洞修复。不再提供新功能和新的硬件启用。
3. 延长生命阶段（Extended Life Phase）：没有固定年限。这个阶段只提供有限的技术支持，不提供程序漏洞修复、安全修复或硬件启用，只对现有安装提供支持。

RHEL 7 的生命周期稍复杂一些，有完全支持、维护支持 1、维护支持 2 和延长生命四个阶段。但 RHEL 7 已经走到尾声，7.9 是最终版本，ELS 支持到 2029 年 5 月 31 日。

5.2 RHEL 9 的具体时间线

RHEL 9 于 2022 年 5 月 18 日正式发布，整体维护支持结束时间是 2032 年 5 月 31 日。次版本每六个月发一个，从 9.0 到 9.10 共 11 个次版本。

RHEL 9.8 是一个特殊的次版本，因为它被列入了 EUS（Extended Update Support）和 Enhanced EUS 的计划名单。具体来说：

• EUS：从 9.8 发布开始，提供 24 个月的延长更新支持。也就是说，即使 9.9 和 9.10 发布了，9.8 依然会继续收到关键和重要安全修复，以及紧急级别的程序漏洞修复。
• 增强 EUS：从 9.8 发布开始，提供 48 个月的延长更新支持。这是给希望长期固定在某个次版本上的客户准备的，通常大型 SAP 部署或者变更控制极严的环境会选这个。
• Update Services for SAP Solutions（E4S）：9.8 同样在这个计划内，为 SAP 工作负载提供额外的维护保障。

5.3 RHEL 10 的维护规划

RHEL 10 于 2025 年 5 月 20 日正式发布，维护支持结束时间是 2035 年 5 月 31 日。10.2 是第一个被列入 Enhanced EUS 计划的次版本，后续 10.4、10.6、10.8 也会跟进。Update Services for SAP Solutions 同样覆盖 10.2 及之后的偶数版本。

这意味着如果你现在选择 RHEL 10.2 作为标准基线，最长可以锁定 48 个月的维护支持，不用被迫跟着每六个月升级一次次版本。

5.4 Application Streams 的生命周期

RHEL 8 和 9 里的 Application Streams 大多数会跟随主版本的 10 年生命周期一起维护，但某些组件的生命周期可能短一些，通常跟上游社区的生命周期对齐。比如 PostgreSQL 的每个流版本维护 5 年，所以 RHEL 里会出现多个重叠的 PostgreSQL 应用流，你可以按需选择，不会被强制升级。

5.5 虚拟化兜底策略

红帽允许你在新版本 RHEL 主机上运行旧版本 RHEL 的虚拟机。比如你可以在 RHEL 9 的系统上跑 RHEL 7 的虚拟机，这样即使旧版本不再支持新硬件，你也能通过虚拟化层继续沿用。这个策略对于渐进式迁移非常友好。

06. 写在最后

RHEL 10.2 和 9.8 的发布，体现了红帽在企业级 Linux 领域的两个核心能力：一是把上游社区的最新技术快速产品化，二是给老用户足够长的维护承诺。

如果你正在做技术选型，我的建议是：新业务、AI 负载、对后量子安全有前瞻需求的场景，直接上 RHEL 10.2；已经在 RHEL 9 上跑稳了核心业务、变更窗口有限的团队，9.8 是一次低风险的功能补强，同时可以开始规划向 RHEL 10 的迁移路径。

红帽的维护策略最大的好处就是"可预期"。你知道每个版本能支持你多久，知道什么时候该做升级决策，不会被上游社区的突然 EOL 打个措手不及。这种可预期性，对于企业 IT 规划来说，比任何单一功能都值钱。

参考信息

• Red Hat Enterprise Linux 10.2 and 9.8: Top features for developers
• RHEL 10.2 and 9.8: The intelligent evolution of enterprise Linux
• Red Hat Delivers Post-Quantum Readiness and AI-Powered Automation
• RHEL 10.2: post-quantum, AI, and Long-Life Add-on
• Red Hat Enterprise Linux Life Cycle
• Python 3.9 reaches end of life: What it means for RHEL users
• Introducing Apache Tomcat 10.1 in RHEL 10
• Red Hat Lightspeed MCP Server
• RHEL 9 Planning Guide

Have a nice day ~ ☕

🌻 往期内容 ▼

• IvorySQL-Skills：开源一套自用IvorySQL数据库Skills
• HOW2026复盘分享：晨章数据EloqData的NVMe+协程实践
• HOW2026大会：PostgreSQL与AI在泉城济南的硬核碰撞
• AWS What’s Next峰会全复盘；开启AI操作系统时代，OpenAI正式“入驻”AWS生态
• Oracle 19.31临时下架，Exadata 25.2遭遇ORA-00600
• Oracle Skills开源：AI工程正在进入"技能时代"
• 苦等三年！Oracle AI Database 26ai本地服务器版终于来了
• MySQL 8.0结束生命周期，8.4.9 LTS、9.7.0发版上线：一个时代的交接与新生
• 先进的 AI 团队都在用 TiDB
• KaiwuDB开源工具kwcli v0.1.1更新
• 转载：数据库一体机简史 7
• 金仓数据库KingbaseES V9 Oracle兼容版全解析(2026版)
• 虚谷数据库发布了一个Skills剧透了新版本特性
• DBClaw与TRAE穿搭指南：数据库诊断工具的正确打开方式
• TiDB Radio | 平凯宇宙新鲜事儿 (2026.03.31)
• 官宣｜星珩联盟，正式启航！
• 恭喜这9家单位 | 这些操作系统通过安全可靠测评

👉 这里有得聊

如果对国产基础软件（操作系统、数据库、中间件）、AI、Vibe Coding、OpenClaw 、Hermes Agent 等感兴趣，可以加群一起聊聊。关注微信公众号：(少安事务所)，后台回复[群]，即可看到入口。如果这篇文章为你带来了灵感或启发，请帮忙『点赞、推荐、转发』吧，感谢！ღ( ´･ᴗ･` )~