Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.2 リリースノート

Red Hat Enterprise Linux 7

Red Hat Enterprise Linux 7.2 リリースノート

Red Hat Customer Content Services

概要

このリリースノートでは、Red Hat Enterprise Linux 7.2 で実装され改良点や追加機能についての高レベルの説明のほか、本リリースで既知の問題などについて記載しています。Red Hat Enterprise Linux の 7.2 更新でなされた全変更に関する詳細なドキュメントについては、カスタマーポータルの Errata を参照してください。

前書き

機能強化、セキュリティーエラータ、バグ修正によるエラータなどを集めたものが Red Hat Enterprise Linux のマイナーリリースになります。『Red Hat Enterprise Linux 7.2 リリースノート』 では、今回のマイナーリリースで Red Hat Enterprise Linux 7 オペレーティングシステムと付随するアプリケーションに加えられた主要な変更について説明しています。また、既知の問題および現在利用できるテクノロジープレビューの全一覧についても記載されています。
他のバージョンと比較した Red Hat Enterprise Linux 7 の機能および制限については https://access.redhat.com/articles/rhel-limits にある Red Hat ナレッジベースの記事を参照してください。
Red Hat Enterprise Linux のライフサイクルについては https://access.redhat.com/support/policy/updates/errata/ をご覧ください。

第1章 アーキテクチャー

Red Hat Enterprise Linux 7.2 は以下のアーキテクチャーに単体で使用できます。[1]
  • 64 ビット AMD
  • 64 ビット Intel
  • IBM POWER7+ および POWER8 (Big Endian 版) [2]
  • IBM POWER8 (Little Endian 版) [3]
  • IBM System z [4]


[1] Red Hat Enterprise Linux 7.2 は 64 ビットのハードウェアでのインストールにしか対応していないため注意してください。ただし、仮想マシンとしてなら 32 ビットのオペレーティングシステム (Red Hat Enterprise Linux の旧バージョンなど) を実行させることができます。
[2] Red Hat Enterprise Linux 7.2 (Big Endian 版) は現在、Red Hat Enterprise Virtualization for Power の KVM ゲストとして PowerVM でサポートされています。
[3] Red Hat Enterprise Linux 7.2 (Little Endian 版) は現在、Red Hat Enterprise Virtualization for Power の KVM ゲストとして、また PowerVM および PowerNV (ベアメタル) でサポートされています。
[4] Red Hat Enterprise Linux 7.2 が対応するのは IBM zEnterprise 196 ハードウェアまたはそれ以降になります。IBM System z10 メインフレームのシステムには対応しなくなるため Red Hat Enterprise Linux 7.2 は起動しなくなります。

パート I. 新機能

ここでは Red Hat Enterprise Linux 7.2 に導入された新機能および主な機能強化について説明しています。

第2章 更新全般

クロスチャンネルパッケージの依存関係における改善点

Yum は、パッケージの依存関係エラーが発生した際に、エンドユーザーにシステム上で無効になっているパッケージリポジトリーを検索することを要求するようになりました。これにより、ユーザーは見つからないパッケージの依存関係をすべての既知のチャンネルで最初にチェックすることで、依存関係のエラーの解決が迅速にできるようになります。
この機能を有効にするには、マシンを Red Hat Enterprise Linux 7.2 にアップグレードする前に、yum update yum subscription-manager を実行します。
この機能の実装に関する詳細は、システムおよびサブスクリプション管理の章を参照してください。

RELRO は要求されると正常に適用されます

これまでは、システムローダーが開始したバイナリファイルには、アプリケーション構築時に Relocation Read-Only (RELRO) 保護を明示的に要求しても、これがない場合がありました。これは静的リンカーとシステムローダー間の伝達ミスによるものでした。リンカーの基礎的ソースコードは、ローダーが RELRO 保護を適用可能とできるように調整され、アプリケーションのセキュリティー機能が回復しています。binutils のアルファおよびベータ版で構築されたアプリケーションと依存関係オブジェクトファイル、アーカイブ、およびライブラリーはすべて、この欠陥を修正するよう再構築されます。今回の更新では、AMD64、Intel 64、64 ビット PowerPC、および 64 ビット ARM の各アーキテクチャーでこの問題を修正しています。

詳細な診断情報、sosreport のプラグインの名前変更

sosreport ツールが機能強化され、ptp、lastlog、ethtool など各種のアプリケーションからプロセス関連の情報を収集するようになります。この変更の一部として startup プラグインがその機能と通信しやすいよう services という名前に変更されています。

virtio ネットワークデバイスの名前変更

今回の更新では、virtio ドライバー用に一貫性のある新たな命名スキームが追加されており、virtio ネットワークデバイスの名前変更が可能になっています。Red Hat Enterprise Linux 7.2 でこの機能を有効にするには、起動中に net.ifnames=1 カーネルパラメーターを追加します。

指定されたハードウェアでの DIF/DIX (T10 PI) のサポート

SCSI T10 DIF/DIX は、ハードウェアベンダーがこれを対象とし、特定の HBA およびストレージアレイ設定を完全サポートしていれば、Red Hat Enterprise Linux 7.2 で完全にサポートされるようになりました。DIF/DIX は他の設定ではサポートされておらず、ブートデバイスや仮想化ゲスト上でサポートされていません。
現時点では、以下のベンダーがこのサポートを提供しています。
FUJITSU は以下の組み合わせで DIF と DIX をサポート:
  • EMULEX 16G FC HBA:
    • EMULEX LPe16000/LPe16002、10.2.254.0 BIOS、10.4.255.23 FW と
    • FUJITSU ETERNUS DX100 S3、DX200 S3、DX500 S3、DX600 S3、DX8100 S3、DX8700 S3、DX8900 S3、DX200F、DX60 S3
  • QLOGIC 16G FC HBA:
    • QLOGIC QLE2670/QLE2672、3.28 BIOS、8.00.00 FW と
    • FUJITSU ETERNUS DX100 S3、DX200 S3、DX500 S3、DX600 S3、DX8100 S3、DX8700 S3、DX8900 S3、DX200F、DX60 S3
T10 DIX にはディスクブロックでのチェックサム生成と検証を行う何らかのソフトウェアまたはデータベースが必要になるため注意してください。現在対応している Linux ファイルシステムでこの機能が備わっているファイルシステムはありません。
EMC は以下の組み合わせで DIF をサポート:
  • EMULEX 8G FC HBA:
    • ファームウェア 2.01a10 以降の LPe12000-E および LPe12002-E と
    • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
  • EMULEX 16G FC HBA:
    • ファームウェア 10.0.803.25 以降の LPe16000B-E および LPe16002B-E と
    • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
  • QLOGIC 16G FC HBA:
    • QLE2670-E-SP および QLE2672-E-SP と
    • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
最新の状態については、ハードウェアベンダーのサポート情報を確認してください。
他の HBA およびストレージアレイに関する DIF/DIX のサポートは引き続きテクノロジープレビューになります。

第3章 認証および相互運用性

Identity Management がデフォルトで一方向の信頼性を設定

ipa trust-add コマンドがデフォルトで一方向の信頼性を設定するようになりました。一方向の信頼性を使用することで、アクティブディレクトリー (AD) 内のユーザーとグループは Identity Management (IdM) のリソースにアクセスできるようになりますが、その反対のアクセスはできません。これまでは、ipa trust-add の実行によるデフォルトの信頼性の設定は、双方向のものでした。
IdM では、管理者は --two-way=true オプションを ipa trust-add に追加することで双方向の信頼性を設定できます。

openldap がバージョン 2.4.40 にリベース

openldap パッケージがアップストリームのバージョン 2.4.40 にアップグレードされ、旧バージョンに対するバグ修正および機能強化が行われています。特に ORDERING 一致ルールが ppolicy 属性タイプ詳細に追加されています。SRV 記録を処理する際にサーバーが予期せず終了してしまうことがなくなり、欠落していた objectClass 情報が追加されています。これによりユーザーはフロントエンドの設定を標準の方法で変更できるようになります。

SSSD のキャッシュ認証

SSSD ではオンラインモードであっても再接続を試行せずキャッシュに対して認証を行うことができるようになります。直接、ネットワークサーバーに対して認証を繰り返すとアプリケーションの待ち時間が過度に長くなり、ログインのプロセスに非常に時間がかかる原因となる可能性があります。

SSSD でクライアントごとの UID と GID のマッピングが可能に

SSSD を使ったクライアント側の設定により、特定の Red Hat Enterprise Linux クライアント上のユーザーを異なる UID と GID にマッピングできるようになりました。クライアント側から上書きができるため、UID と GID の重複によって起きる問題を解決したり、異なる ID マッピングを使用していたレガシーシステムからの移行が容易になります。
この上書きは SSSD キャッシュに保存されることに留意してください。つまり、キャッシュを削除すると上書きも削除されます。

SSSD でロックされているアカウントへの SSH アクセス拒否が可能に

以前は、OpenLDAP を SSSD の認証データベースとして使用していると、ユーザーのアカウントがロックされた後であっても SSH キーを使った認証が可能でした。ldap_access_order パラメーターが ppolicy 値を受け取るようになり、このような状況の場合にはユーザーへの SSH アクセスを拒否できるようになります。ppolicy の使い方については sssd-ldap(5) の man ページの ldap_access_order の説明をご覧ください。

sudo ユーティリティーでコマンドのチェックサムの検証が可能に

sudo ユーティリティーの設定で許可されるスクリプトやコマンドのチェックサムを格納できるようになります。コマンドやスクリプトの再実行を行うと、そのチェックサムが格納しているチェックサムと比較され何も変更されていないか検証が行われます。コマンドまたはバイナリーが変更されている場合は sudo ユーティリティーでコマンドの実行が拒否され警告がログ記録されます。

SSSD スマートカードのサポート

SSSD でローカル認証用のスマートカードをサポートするようになりました。これにより、ユーザーはテキストベースまたはグラフィカルのコンソールからスマートカードを使ってシステムや sudo サービスなどローカルのサービスにログオンすることができます。ユーザーはスマートカードをリーダーに挿入し、ログインプロンプトでユーザー名とスマートカードの PIN を入力します。スマートカードの証明書が確認されると、ユーザーが認証されます。
SSSD では現在、スマートカードを使った Kerberos チケットの取得はできません。Kerberos チケットを取得するには kinit ユーティリティーを使った認証が必要になります。

複数の証明書プロファイルおよびユーザー証明書のサポート

Identity Management では単一サーバーの証明書プロファイルのみのサポートではなく、発行サーバーと他の証明書用の複数プロファイルに対応するようになりました。プロファイルはディレクトリーサーバーに保存され、IdM レプリカ間で共有されます。
また、管理者は個別のユーザーに証明書を発行できるようになりました。これまでは、ホストとサービスにしか証明書を発行できませんでした。

Password Vault (パスワード保管所)

パスワードやキーなどユーザーのプライベート情報を安全に集約的に保管できる新機能が Identity Management に追加されています。Password Vault は PKI (パブリックキーインフラストラクチャー) の KRA (鍵回復機関) サブシステムの上に構築されています。

Identity Management の Kerberos HTTPS プロキシ

MS-KKDCP (Microsoft Kerberos KDC Proxy Protocol) と相互運用できる KDC (キー配信センター) プロキシ機能の実装が Identity Management で利用できるようになり、クライアントは HTTPS を使った KDC と kpasswd サービスへのアクセスができるようになります。システム管理者はシンプルな HTTPS リバースプロキシでプロキシをネットワークで公開することができるようになるため、専用アプリケーションの設定や管理を行う必要がなくなります。

キャッシュされたエントリーをバックグラウンドで更新

SSSD でキャッシュしたエントリーの帯域外での更新をバックグラウンドで行えるようになります。本更新前はキャッシュしたエントリーの有効期限が切れるとリモートサーバーからそのエントリーを読み出しデータベースに新規エントリーとして格納していたため時間がかかることがありました。本更新によりバックエンドで常にエントリーが更新されているためエントリーがすぐに返されるようになります。SSSD によるエントリーのダウンロードが要求時だけはでなく定期的に行われるようになるためサーバーの負荷が高くなる点に注意してください。

initgroups の動作のキャッシング

SSSD 高速メモリーキャッシュで initgroups の動作に対応するようになります。initgroups の処理速度が高まり GlusterFS や slapi-nis など一部のアプリケーションのパフォーマンスが改善されます。

mod_auth_gssapi でスリム化されたネゴシエート認証

Identity Management で mod_auth_gssapi モジュールが使用されるようになります。このモジュールは GSSAPI 呼び出しを使用します。以前は mod_auth_kerb モジュールによりダイレクトの Kerberos 呼び出しが使用されていました。

ユーザーのライフサイクル管理の機能

ユーザーのライフサイクル管理によりユーザーアカウントの有効化と無効化を自在に管理することができるようになります。新規のユーザーアカウントを完全には有効化せずステージエリアに追加してプロビジョニングを行ったり、無効になっているユーザーアカウントを有効にして完全に機能するようにしたり、ユーザーアカウントをデータベースからは消去せずに無効にだけしたりすることができるようになります。
大規模な IdM 導入の場合、ユーザーのライフサイクル管理機能で得られる利点が多くあります。ステージエリアへのユーザーの追加は標準の LDAP クライアントからでもダイレクト LDAP 動作を使用すれば直接行うことができます。以前は IdM コマンドラインツールまたは IdM web UI によるユーザーの管理にしか対応していませんでした。

certmonger での SCEP サポート

certmonger サービスで SCEP (Simple Certificate Enrollment Protocol) に対応するよう更新が行われています。新しい証明書の発行、既存証明書の更新や差し替えなどが可能になります。

IdM 用の Apache モジュールが完全対応

Red Hat Enterprise Linux 7.1 でテクノロジープレビューに加えられた mod_authnz_pammod_lookup_identitymod_intercept_form_submit の IdM (Identity Management) 用 Apache モジュールが完全対応になります。この Apache モジュールを外部アプリケーションで使用して、IdM とより緊密に通信することで単なる認証以上のものになります。

NSS で受け取り可能なキーの強さの最小値の変更

Red Hat Enterprise Linux 7.2 のNSS (ネットワークセキュリティーサービス) ライブラリーは 768 ビット未満の DH (Diffie-Hellman) キー交換パラメーター、1023 ビット未満のキーサイズの RSA および DSA 証明書は受け取らなくなります。受け取り可能なキーの強さの最小値を上げることで Logjam (CVE-2015-4000) や FREAK (CVE-2015-0204) などの既知のセキュリティ脆弱性を悪用する攻撃を防止します。
新しい最小値より弱いキーを使用してサーバーへ接続を行おうとすると、Red Hat Enterprise Linux の旧バージョンで接続できていた場合でも失敗するようになります。

NSS が TLS バージョン 1.1 と 1.2 をデフォルトで有効化

NSS がデフォルトで有効にするプロトコルバージョンを使用するアプリケーションが TLS バージョン 1.1 と TLS バージョン 1.2 のプロトコルに対応します。

ECDSA 証明書をサポート

デフォルトの NSS 暗号リストを使用するアプリケーションが、Elliptic Curve Digital Signature Algorithm (ECDSA) 証明書を使用するサーバーへの接続をサポートします。

OpenLDAP が NSS デフォルト暗号スイートを自動選択

OpenLDAP クライアントがサーバーとの通信に Network Security Services (NSS) デフォルト暗号スイートを自動的に選択します。OpenLDAP ソースコードに手動でデフォルトの暗号スイートを維持する必要がなくなりました。

IdM サーバーを信頼性エージェントとして設定

Identity Management (IdM) は、信頼性コントローラーおよび信頼性エージェントという 2 つのタイプの IdM マスターサーバーを区別します。前者は信頼性の確率と維持に必要な全サービスを実行します。後者は、信頼できるアクティブディレクトリーフォレストからこれら IdM サーバーに登録された IdM クライアントへのユーザーとグループの解決に必要となるサービスのみを実行します。
デフォルトでは、ipa-adtrust-install コマンドを実行すると IdM サーバーは信頼性コントローラーとして設定されます。別の IdM サーバーを信頼性エージェントとして設定するには、--add-agents オプションを ipa-adtrust-install に渡します。

WinSync からの信頼性の自動移行に対応

新たな ipa-winsync-migrate ユーティリティーは、WinSync を使用した同期ベースの統合から Active Directory (AD) 信頼性をベースとした統合へのシームレスな移行を可能にします。このユーティリティーは、WinSync を使用して同期された全ユーザーを指定された AD フォレストから自動的に移行します。これまでは、同期から信頼への移行は、ID ビューを使用して手動でしか実行できませんでした。
ipa-winsync-migrate についての詳細は、ipa-winsync-migrate(1) man ページを参照してください。

ワンタイムパスワードと長期パスワードでの複数ステップのプロンプト

ワンタイムパスワード (トークン) と長期パスワードを合わせて使用してログインする場合、ユーザーはこれらのパスワードを別々にプロンプトされます。これにより、ワンタイムパスワードの使用時におけるユーザー体験が向上し、長期パスワードの抽出が安全になることで、オフライン認証で長期パスワードのキャッシュが使用できるようになります。

OpenLDAP 向け LPK スキーマが LDIF 形式で利用可能

LDIF は OpenLDAP インポートスキーマの新たなデフォルト形式です。openssh-ldap パッケージが LDAP Public Key (LPK) スキーマを LDIF 形式で提供します。このため、管理者は LDAP をベースとする公開鍵認証の設定時に LDIF スキーマを直接インポートすることができます。

Cyrus が再び AD および IdM サーバーに認証可能

cyrus-sasl パッケージのアップストリームリリースでは非後方互換性が導入されたため、Cyrus は旧式の SASL 実装に対する認証ができなくなっていました。この結果、Red Hat Enterprise Linux 7 は、Active Directory (AD) と Red Hat Enterprise Linux 6 Identity Management (IdM) サーバーに対する認証ができませんでした。アップストリームでの変更は元に戻され、Cyrus が AD と IdM サーバーに認証できるようになっています。

SSSD で検出された AD サイトを自動的に無効化

クライアントにより接続された Active Directory (AD) DNS サイトがデフォルトで自動検出されます。ただし、セットアップによってはデフォルトの自動検索では最適な AD サイトが検出されないことがあります。このような場合に、/etc/sssd/sssd.conf ファイルの [domain/NAME] セクションにある ad_site パラメーターを使って、DNS サイトを手作業で定義できるようになりました。

SAML ECP のサポートを追加

lasso パッケージがバージョン 2.5.0 に、mod_auth_mellon パッケージがバージョン 0.11.0 にリベースされ、Security Assertion Markup Language (SAML) Enhanced Client or Proxy (ECP) のサポートが追加されました。SAML ECP は SAML プロファイルの代わりとなるもので、非ブラウザベースのシングルサインオン (SSO) を有効にします。

winbindd サービスでデフォルト設定にグループメンバーシップが記載されない

Samba バージョン 4.2.0 以降の winbindd サービスでは、表示目的でのグループメンバーシップの記載がなくなりました。信頼されるドメインのある環境というような状況によっては、この情報を常に信頼性を持って提供することはできませんでした。不正確な情報を提供するというリスクを防ぐために、デフォルトの winbindd 設定は winbind expand groups = 0 に変更されました。この設定では、以前の動作は無効になります。getent group といったコマンドはこれまでこの機能に依存しており、今までのように機能しない可能性があることに注意してください。

第4章 クラスタリング

systemd と pacemaker がシステムのシャットダウン中に正しく連動

以前は systemd と pacemaker がシステムのシャットダウン中、正しく連動しませんでした。このため pacemaker のリソースが適切に終了しませんでした。本更新では pacemaker が起動した dbus および他の systemd サービスの前に pacemaker が停止するよう順序付けが行われています。これにより pacemaker と pacemaker が管理しているリソースの両方が正しくシャットダウンするようになります。

pcs resource movepcs resource ban のコマンドでコマンドの動作を具体的に説明する警告メッセージを表示

pcs resource move コマンドと pcs resource ban コマンドで場所に関する制約を作成し、制約が削除されるまたは制約の有効期限が切れるまで現在のノードでのリソースの実行を効率的に禁止します。以前はこの動作がユーザーに対して不明瞭でした。警告メッセージを表示させることで動作を具体的に説明するようになります。またヘルプ画面およびコマンドに関するドキュメントの記載も明確化されました。

Pacemaker のリソースを優先ノードに移動する新しいコマンド

フェールオーバーの発生または管理者の手作業によるノード移動があったため Pacemaker リソースが移動された後、フェールオーバーの原因となっていた状況が修正されてもそのリソースは必ずしもオリジナルのノードには戻りません。pcs resource relocate run コマンドを使用すると現在のクラスター状態や制約、リソースの場所、その他の設定などで確定される優先ノードにリソースを移動させることができます。また、pcs resource relocate show コマンドを使用すると移動したリソースを表示することができます。コマンドの詳細については High Availability Add-On リファレンスを参照してください。

クラスター内の冗長電源のフェンシング設定が簡素化

冗長電源のフェンシングを設定する際には、電源の再起動時にどちらかの電源が再度オンになる前に両方の電源をオフにするようにする必要があります。ノードの電源が完全にオフにならないと、ノードはリソースを解放することができません。これらのリソースにノードが同時にアクセスし、リソースを破損する可能性があることになります。
Red Hat Enterprise Linux 7.2 より前では、オンまたはオフのアクションを使用するデバイスで異なるバージョンを明示的に設定する必要がありました。Red Hat Enterprise Linux 7.2 では、各デバイスを 1 度定義して、ノードのフェンシングに両方が必要であることを指定するだけで済むようになりました。
冗長電源のフェンシング設定に関する情報は、High Availability Add-On リファレンスの フェンス機能: STONITH の設定 の章を参照してください。

フェンシングエージェントの --port-as-ip 新オプション

フェンスエージェントは、pacemaker での複雑な設定に必要となる単一デバイスでのみ使用されていました。--port-as-ip オプションを使って port オプション内の IP アドレスに記入できるようになっています。

第5章 コンパイラーとツール

tail --follow が VXFS (Veritas Clustered file system) のファイルで正しく動作

VXFS はリモートのファイルシステムです。リモートのファイルシステムの場合、tail では --follow モードの inotify 機能は使用できません。VXFS がリモートのファイルシステム一覧に追加され、inotify ではなくポーリングモードが使用されるようになりました。これにより VXFS 上のファイルで tail --follow を使用した場合に正しく動作するようになりました。

dd コマンドで転送の進捗状況を表示する機能

バイト単位でのファイルのコピーに使用する dd コマンドで転送の進捗状況を表示する status=progress オプションを提供するようになりました。残り時間を推測し、転送によるぜんざい的な問題を検出することができるようになるため、大きなサイズのファイル転送に特に便利です。

libcurl で待機時間が改善

libcurl ライブラリーは短い動作であってもアクティブなファイル記述子のない動作に対しては不必要に長いブロック遅延を使用していました。つまり、/etc/hosts を使ったホスト名の解決など一部の動作の完了には故意に時間がかかるようになっていました。libcurl 内のブロックコードが修正され初期遅延が短くなり、イベントが発生するまで徐々に増えていくようになりました。libcurl の高速動作がより迅速に終了するようになります。

libcurl ライブラリーでブロック以外の SSL ハンドシェイクを実装

libcurl ライブラリーは以前はブロック以外の SSL ハンドシェイクは実装していませんでした。このため libcurl マルチ API をベースとするアプリケーションのパフォーマンスにマイナスに影響していました。この問題を解決するためブロック以外の SSL ハンドシェイクが libcurl に実装され、libcurl マルチ API がベースのネットワークソケットからのデータの読み取りおよびソケットへのデータの書き込みを行えない場合は常にアプリケーションに対して直ちに制御を返すようになります。

IBM Power System の GDB がシンボルテーブルにアクセスする際失敗しなくなる

バイナリーのデバッグ用にシンボルテーブルを保持している重要な変数が 64 ビット IBM Power System の GDB では誤って解放されていました。このため GDB でシンボルテーブルへのアクセスが試行されるとセグメンテーション違反が発生していました。この問題を解決するため、この変数が永続的になり不正なメモリー領域を読み取ることなく GDB がデバッグセッション時に必要な情報にアクセスできるようになります。

nscd が更新され設定データを自動で再ロード

nscd (ネームサーバーキャッシングデーモン) の更新では nscd 設定ファイルに対する inotify ベースのモニタリングと stat ベースのバックアップモニタリングのシステムが追加され、nscd がその設定に対する変更を正しく検出してデータを再ロードするようになります。これにより nscd が古いデータを返すことがなくなります。

dlopen ライブラリー機能が再帰的な呼び出しでクラッシュしなくなる

ライブラリー機能 dlopen の不具合によりこの機能に対する再帰的な呼び出しがライブラリーのアサーションでクラッシュまたは停止していました。ユーザー入力による malloc 実装で dlopen を呼び出すと再帰的な呼び出しが可能になります。
この実装はリエントラントになり、再帰的な呼び出しがアサーションでクラッシュまたは停止しなくなります。

operf ツールで静的な huge ページの識別子を認識

JIT (Java just-in-time) でコンパイルしたコードのパフォーマンスを静的な huge ページを有効にした状態でプロファイリングすると OProfile の operf コマンドで大量のイベントサンプルが適切な Java メソッドではなく anonymous メモリー (anon_hugepage) に記録されていました。本更新では operf が静的な huge ページの識別子を認識するようになり、静的に割り当てた huge ページを使用する場合にサンプルを Java メソッドに正しくマッピングするようになります。

rsync -X コマンドが正しく動作

これまでは rsync ツールはファイルの所有権の変更をセキュリティー属性の設定前ではなく設定後に行っていました。このためターゲット上のセキュリティー属性がなくなり、rsync -X コマンドの実行が特定の状況下では正しく動作しませんでした。今回の更新では動作の順序が変更され、rsync は所有権の変更をセキュリティー属性の設定前に行うようになりました。このため、セキュリティー属性が問題となっていた状況で期待通りに存在するようになります。

Subversion の実行可能ファイルを完全な RELRO データで構築

subversion パッケージで供給される実行可能ファイルが完全な読み取り専用再配置データ (RELRO) で構築されるようになります。メモリー破損攻撃の特定タイプに対して保護の役割を果たします。結果、今後、脆弱性が発見された場合に Subversion の悪用がより困難になります。

TCL でのスレッド拡張が正しく動作

これまでは、TCL (ツールコマンド言語) でのスレッド化サポートは最適な実装ではありませんでした。fork() 呼び出しを TCL 変換機能でスレッド拡張を有効にして使用するとプロセスが応答しなくなることがありました。このため TCL 変換機能および TK アプリケーションはスレッド化拡張を無効にした状態で配信されていました。このためスレッド化 TCL や TK に依存するサードパーティーのアプリケーションが正しく動作しませんでした。このバグを修正するためのパッチが実装され、TCL および TK はデフォルトでスレッド拡張が有効になっています。

AES 暗号化スイートを TLS 向けに明示的に有効、無効にできる

更新された curl パッケージでは、TLS プロトコルに使用する新たな Advanced Encryption Standard (AES) 暗号化スイートを明示的に有効または無効にできます。

OpenJDK 7 が ECC に対応

OpenJDK 7 が Elliptic Curve Cryptography (ECC) と TLS 接続に関連する暗号に対応しています。安全なネットワーク接続を作成するには、多くの場合、旧式の暗号化ソリューションではなく ECC の使用が望まれます。

ABRT は coredump 全体ではなく、core_backtrace ファイルの保存が可能

ABRT は、coredump ファイルをディスクに書き出すことなく backtrace を生成するように設定することが可能になりました。これは、大量のメモリーブロックを割り当てるプロセスで作業する際に、時間の節約につながります。この機能は、/etc/abrt/plugins/CCpp.conf ファイルで CreateCoreBacktrace オプションを yes に設定し、SaveFullCore オプションを no に設定することで有効にできます。

Python 標準ライブラリーにセキュリティー機能を追加

466 Python Enhancent Proposal (http://legacy.python.org/dev/peps/pep-0466/) に記載の多くのセキュリティー強化機能が Python 標準ライブラリーにバックポートされました。セキュリティー強化には、Server Name Indication (SNI) や新たな TLSv1.x プロトコルのサポートといったssl モジュールの新機能や、hashlib module の新ハッシュアルゴリズムなどがあります。

Python 標準ライブラリーでの SSL/TLS 証明書確認に新たなグローバル設定

新オプションが追加され、Python 標準ライブラリーの HTTP クライアント (urllib、httplib、xmlrpclib など) で SSL/TLS 証明書の確認をユーザーがグローバルに有効または無効とすることができます。オプションは、493 Python Enhancement Proposal (https://www.python.org/dev/peps/pep-0493/) に記載されています。デフォルト値では、証明書を確認しません。詳細は、https://access.redhat.com/articles/2039753 を参照してください。

第6章 デスクトップ

GNOME がバージョン 3.14 にリベース

GNOME Desktop がアップストリームバージョンの 3.14 にアップグレード (3.16 からのマイナーな追加) され、新機能および機能拡張が含まれています。
Red Hat Enterprise Linux 7.2 では、GNOME Software が追加されています。これは、yum バックエンドに基づいてユーザーのシステムにソフトウェアをインストールし、それらを管理する新しい方法です。GNOME PackageKit は GNOME のデフォルトの更新方法として継続します (デフォルトでインストール)。GNOME Software では、ユーザーはアプリケーションのブラウジング、インストール、削除やソフトウェア更新の閲覧、インストールといったソフトウェア関連のタスクを統合された場所で管理できます。
トップのバーでは、システムステータスメニュー が、輝度のスライダーや機内モード、Wi-Fi 接続、Bluetooth、音量といったこれまでは個別にアクセスしていたサインやアプレットを 1 つのコンパクトなメニューにまとめています。GNOME 3.14 では Wi-Fi ホットスポットに対するサポートが改善されています。認証を必要とする Wi-Fi ポータルに接続すると、GNOME は接続プロセスの一部として自動的にログインページを表示します。
画面をロックするデフォルトのキーの組み合わせが変更されました。これまでの Ctrl+Alt+L というショートカットは、Super key+L になっています。
gedit テキストエディターは新デザインとなり、これまでの全機能をよりコンパクトなインターフェースに詰め込んで作業空間を広くしています。ドキュメントの書式とタブ幅の選択にポップアップを使用することで、これまでのダイアログとメニューよりも効率的になっています。サイドバーの制御がまとめられたことで、これまでの機能を保ちつつコンテンツに使用するスペースが広くなっています。また、最後に閉じたタブを開く Ctrl+Shift+T ショートカットや、大文字と小文字を変更するショートカットなども新たに追加されています。
GNOME ファイルマネージャーの Nautilus では、redo 操作に Ctrl+Y ではなく Shift+Ctrl+Z を使用します。また、ツールバーの代わりにヘッダーバーが使用されます。
GNOME 3.14 には、再考された ビデオ アプリケーションが含まれています。最新のスタイルとなっているこのバージョンでは、オンラインのビデオチャンネルとコンピューター上のビデオをブラウズすることができます。ビデオ のプレイバックビューも再設計されました。ユーザーが必要としない時にはフローティング式のプレイバックコントローラーは表示されず、全画面表示のプレイバックビューがより洗練されており、以前のバージョンよりもすっきりしたものになっています。
Evince では、PDF ファイルの読み込みアクセスが改善されています。ドキュメントビューアーのこの新バージョンでは、ヘッダーバーを使うことでドキュメントのスペースを広くしています。ドキュメントを指定せずに Evince を起動すると、最近開かれたドキュメントの概要が表示されます。また Evince の最新バージョンには High Resolution Display Support と機能強化されたアクセシビリティーが含まれており、リンクや画像、フォームのフィールドがすべて補助技術から利用できます。
GNOME Weather アプリケーションの新バージョンでは、GNOME の新たな地理的位置情報のフレームワークを使って自分の位置の天気を自動的に表示します。レイアウトも新しくなっており、天気予報が見やすくなっています。
今回のリリースでは、LibreOffice のコメント機能のサポートが改善されています。ODF、DOC、DOCX および RTF のフィルターで入れ子型コメントのインポートとエクスポートが可能なほか、マージンへのコメントイン作や全コメントのフォーマットなどができます。
仮想マシンおよびリモートマシン用の GNOME アプリケーション Boxes にスナップショットが導入されました。Boxes では、別々のウィンドウでの複数ボックスの自動ダウンロードや実行が提供されているほか、全画面での動作とサムネイルなどのインターフェースでの改善が含まれています。
GNOME Help ドキュメントビューアーが再設計され、GNOME 3 の他のアプリケーションと整合性を維持するようになりました。ヘルプでヘッダーバーが使用され、統合検索機能やブックマーク機能が備わっています。
GTK+ 3.14 ではリソースからのメニューの自動ロード機能、GtkListBox での複数選択のサポート、GtkBuilder ファイルでのプロパティのバインディング、ウィジェットの割り当て (gtk_widget_set_clip()) 以外での描画、GtkStack の新しい遷移タイプ、GtkSourceView を使ったファイルのロードと保存などの機能拡張およびバグ修正が行われています。また、GTK+ ではジェスチャーのやりとりに対するサポートを提供するようになります。3.14 ではタップ、ドラッグ、スワイプ、ピンチ、回転など一般的なマルチタッチのジェスチャーのほとんどが GTK+ アプリケーションで使用できるようなります。ジェスチャーは GtkGesture を使用すると既存の GTK+ アプリケーションに追加することができます。
GNOME シェルの拡張 Looking Glass Inspector に検査時に名前空間内の全メソッドやクラスなどを表示する機能、オブジェクト検査機能の履歴拡張、Looking Glass の結果を文字列としてコピーする機能、イベントを gnome シェルに渡す機能など開発者用の機能が追加されています。
High Resolution Display Support 機能が拡張され、アクティビティ画面やアクティビティ画面でのアニメーション、新規ウィンドウアニメーション、トップバー、画面ロック、およびシステムダイアログなどのコアとなる GNOME 3 の全側面が含まれています。
GNOME 拡張機能では、Gnome Shell 用の dock である Simple Dock を画面下部に配置できるようにした dock の代替位置がサポートされています。

ibus-gtk2 パッケージによる immodules.cache ファイルの更新

update-gtk-immodules スクリプトが存在しなくなった /etc/gtk-2.0/$host ディレクトリーを検索していました。このため ibus-gtk2 パッケージのポストインストールスクリプトは実行に失敗し、キャッシュの作成または更新を行わずに終了していました。ポストインストールスクリプトに変更が加えられ update-gtk-immodulesgtk-query-immodules-2.0-BITS に変わったため、この問題は発生しなくなります。

第7章 ファイルシステム

gfs2-utils がバージョン 3.1.8 にリベース

gfs2-utils パッケージがバージョン 3.1.8 にリベースされ重要な修正と機能拡張が行われています。
* fsck.gfs2mkfs.gfs2gfs2_edit ユーティリティーのパフォーマンスが改善されています。
* fsck.gfs2 ユーティリティーのジャーナルチェック、jindex、システム inode、inode の 'goal' 値などのパフォーマンスが改善されています。
* gfs2_jaddgfs2_grow ユーティリティーは mkfs.gfs2 へのシムリンクではなく別々のプログラムになります。
* テストスィートと関連ドキュメントが改善されています。
* パッケージが Perl に依存しなくなります。

GFS2 でクォータの超過を阻止

以前は GFS2 で行うのは動作の完了後のクォータ違反チェックのみだったため、ユーザーやグループがクォータ上限を超過してしまう場合がありました。この動作が修正され、GFS2 では動作によって割り当てられるブロック数を予測、そのブロック数が上限を超過していないか確認するようになります。上限を超えてしまうような動作は許可されないためユーザーが割り当てられた上限を超過してしまうことがなくなります。

XFS がバージョン 4.1 にリベース

XFS がアップストリームバージョン 4.1 にアップグレードされ、マイナーなバグ修正、リファクタリングの他、ログ機能、pcpu アカウント機能、新しい mmap ロック機能など内部メカニズムの改訂が行われています。アップストリームでの変更に加え本更新では rename() 関数を拡張して cross-rename (rename() の対称関数) と whiteout のハンドリングを追加しています。

cifs がバージョン 3.17 にリベース

CIFS モジュールがアップストリームバージョン 3.17 にアップグレードされ、マイナーな修正と、Server Message Block (SMB) 2 および 3 (SMB バージョン 2.0、2.1、3.0、および 3.0.2) に対する新機能が提供されます。SMB プロトコル 3.1.1 と Linux カーネル CIFS モジュールの併用は現在試験段階にあり、Red Hat により提供されるカーネルではその機能を利用できないことに注意してください。

Red Hat Enterprise Linux 7.2 での NFS の変更

Fallocate のサポートにより、サーバー上でファイルの事前割り当てが可能になっています。fseek() 関数への SEEK_HOLE および SEEK_DATA の拡張機能により、ホールやデータの位置確認がすばやくかつ効率的にできるようになっています。Red Hat Enterprise Linux 7.2 では、テクノロジープレビューで説明されている NFSv4 クライアント上での柔軟なファイルレイアウトにも対応しています。

第8章 ハードウェア

qethqoat での OSA-Express5s カードのサポート

Red Hat Enterprise Linux 7.1 ではテクノロジープレビューとして、qethqoat ツールに OSA-Express5s カードのサポートが s390utils パッケージの一部として追加されました。この機能拡張により、OSA-Express5s カードのカードおよびネットワーク設定の有用性に完全対応しています。

第9章 インストールと起動

キックスタートにネットワーク設定の記述があった場合の initrd でのネットワーク設定を修正

今まではネットワークインターフェースをキックスタートファイルで指定してもインストーラーでは initrd でその設定や再設定ができませんでした。このためインストールが失敗し、キックスタートファイル内の他のコマンドでネットワークアクセスが必要とされるとエマジェンシーモードに入っていました。
この問題が解決され Anaconda でキックスタートファイルのネットワーク設定を起動プロセスの初期 initrd で正しく処理できるようになります。

Anaconda でキャッシュした論理ボリュームの作成に対応

インストーラーでキャッシュした LVM 論理ボリュームの作成とそのボリュームへのシステムのインストールに対応するようになります。
現在、この方法はキックスタートのみの対応になります。キャッシュした論理ボリュームを作成するには logvol キックスタートコマンドの新しいオプション --cachepvs=--cachesize=--cachemode= を使用します。
新しいオプションについては Red Hat Enterprise Linux 7 インストールガイドを参照してください。

GRUB2 ブートメニューの並び順に関する改善

grub2-mkconfig コマンドで使用されていた並べ替えメカニズムの問題が原因で生成される grub.cfg 設定ファイルの使用可能なカーネルの並び順が誤っていました。
GRUB2 は rpmdevtools パッケージを使ってカーネルを分類するため、設定ファイルが正しく生成され最新のカーネルバージョンが一番上に記載されるようになります。

Anaconda でディスク選択に変更があった場合にディスクの動作を元に戻す

今までは Anaconda と Blivet はディスク選択に変更があった場合にディスク上でスケジュールされた動作を元に戻せなかったためさまざまな問題が発生していました。本更新により Anaconda はオリジナルのストレージ構成のスナップショットを作成するよう修正され、ディスク選択に変更があった場合にはそのスナップショットに戻れるようになります。したがってディスクにスケジュールされた動作はすべて完全に元に戻ります。

デバイスマッパーのディスク名検出が改善

以前、論理ボリュームを持たせていたことがあるためボリュームのメタデータがまだ残っているディスクにインストールを行うと、Red Hat Enterprise Linux 7 の旧リリースではインストーラーがクラッシュする可能性がありました。インストーラーが正しい device-mapper 名を認識できず新しい LVM 論理ボリュームの作成に失敗してしまうためクラッシュが発生します。
device-mapper のデバイス名を取得する際に使用するメソッドが更新され、既存の LVM メタデータを含むディスクでのインストールの信頼性が高まります。

パーティション設定時の PReP Boot の処理に関する修正

カスタムにパーティション設定を行っている際、一定の状況下で IBM Power System の PReP Boot パーティションが無効なサイズに設定される場合があります。このような場合にパーティション削除を行うとインストーラーがクラッシュしていました。
パーティションのサイズが常に 4096 KiB から 10 MiB の間で正しく設定されるよう anaconda にチェックが実装されました。また、サイズ変更のために PReP Boot パーティションの形式を変更する必要がなくなります。

RAID 1 デバイスの EFI パーティション

EFI システムパーティションを RAID1 デバイスに作成できるようになり、任意の起動ディスクに障害が発生した場合にはシステムを必ず復元できるようになりました。ただし、システムが発見できるのは 1 つの EFI システムパーティションであることから、ファームウェアで検出された ESP のボリュームが破損しており (しかし、有効な ESP として表示される)、かつ Boot####BootOrder の両方も破損している場合、起動順序は自動的には再構築されません。このケースでは、システムは 2 番目のディスクから手動で起動できるはずです。

ネットワーク設定中のテキストモードでのインストールのクラッシュが解消

テキストモードの対話式インストーラーを使ったネットワーク設定画面でネームーサーバーを指定する際に空白を使用するとインストールがクラッシュしていました。
Anaconda でテキストモードでネームサーバーを指定する際に空白を正しく処理するようになり、複数のネームサーバーのアドレスを分けるため空白を使用してもインストーラーがクラッシュしなくなります。

IBM System z のレスキューモード画面の切断が解消

IBM System z サーバーのレスキューモードの 2 番目と 3 番目の画面が不適切に表示されインターフェースの一部が切れた状態で表示されていました。このアーキテクチャーのレスキューモードが改善されすべての画面が正しく動作するようになります。

Anaconda の OpenSCAP アドオン

インストール中に SCAP (Security Content Automation Protocol) のコンテンツを適用できるようになります。この新しいアドオンによりカスタムのスクリプトに頼ることなくセキュリティポリシーを簡単且つ安全に設定することができるようになります。
キックスタートのセクション ("%addon org_fedora_oscap") や対話式インストール中のグラフィカルユーザーインターフェースの画面も新たに用意されています。詳細は Red Hat Enterprise Linux 7 インストールガイドに説明されています。
インストール中にセキュリティポリシーを適用すると有効にしたポリシーによってインストール中そしてインストール直後から各種の変更が行われます。プロファイルを選択すると openscap-scanner パッケージ (OpenSCAP 準拠のスキャンツール)がパッケージ選択に追加され、インストールが完了すると初期コンプライアンススキャンが行われます。スキャンの結果は /root/openscap_data に保存されます。
数種類のプロファイルが scap-security-guide パッケージによってインストールメディアに用意されます。必要に応じて HTTP、HTTPS、FTP サーバーからデータストリームやアーカイブ、RPM パッケージなど他のコンテンツをロードすることもできます。
セキュリティーポリシーの適用は必ずしもすべてのシステムで必要なわけではありません。このアドオンの使用は、所定のポリシーの適用が業務規定や法令で義務付けられている場合に限定してください。これ以外はセキュリティーポリシーを適用しないデフォルトの状態のままで構いません。

CD、DVD でキックスタートを待機する Anaconda のタイムアウトを削除

これまでは、inst.ks=cdrom:/ks.cfg コマンドを使って光学メディアからキックスタートファイルを読み込むよう Anaconda を設定し、システムを CD または DVD から起動すると、インストーラーはディスク交換のため 30 秒間のみ待機していました。この時間が経過すると、システムはエマジェンシーモードに入っていました。
今回の更新では、Anaconda に修正が加えられ、ユーザーによる CD または DVD のキックスタートファイル提供を待機する時間がタイムアウトしなくなりました。inst.ks=cdrom オプションが使用されていてキックスタートが検出されない場合、ユーザーがファイルを提供するか再起動するまで、Anaconda はプロンプトを表示して待機します。

第10章 カーネル

AMD64 および Intel 64 システムにおいて kdump で複数 CPU に対応

AMD64 および Intel 64 のシステムで kdump カーネルクラッシュダンプメカニズムを複数の CPU が有効な状態で起動できるようになりました。カーネルクラッシュダンプの作成時に入出力が大きいため、maxcpus=1 または nr_cpus=1 のカーネルオプションを使用して CPU が 1 つだけ有効なときに 、Linux でデバイスの割り込みの割り当てに失敗する可能性のある場合は、一部のシステムでこの問題が解決されます。この機能は以前はテクノロジープレビューとして利用可能でしたが、完全にサポートされるようになりました。
クラッシュカーネルで複数の CPU を有効にするには、カーネルコマンドラインで nr_cpus=X オプション (ここでX はプロセッサーの数) のオプションを指定します。

kpatch のサポート

kpatch を使用することで、再起動せずにカーネルのパッチ適用を動的に行えるバイナリーカーネルパッチの集合を管理できるようになります。これまでは kpatch はテクノロジープレビューに含まれていましたが、Red Hat Customer Experience and Engagement チームの指示の下で使用されると、完全サポート対象となります。
ライブのカーネルパッチサポートに関する詳細は、https://access.redhat.com/solutions/2206511 を参照してください。

SHMMAX と SHMALL のカーネルパラメーターがデフォルト値に復帰

/usr/lib/sysctl.d/00-system.conf ファイルで設定される kernel.shmmaxkernel.shmall パラメーターの値が低すぎました。結果、SAP など一部のアプリケーションが正しく動作しませんでした。不適切な優先が削除され、十分に高い値となるカーネルのデフォルト値が使用されるようになります。

透過的 huge ページによるメモリー破損の原因を修正

読み取りおよび書き込みの動作中、透過的 huge ページが正しく同期されませんでした。このため透過的 huge ページを有効にするとメモリーが破損する場合がありました。メモリーバリアを透過的 huge ページ処理に追加することでメモリーの破損が起こらなくなります。

SCSI LIO リベース

SCSI カーネルターゲットの LIO が Linux-4.0.stable からリベースされています。多数のバグ修正が行われ、そのほとんどが iSER に重大となるバグでした。また、XCOPY、WRITE SAME、ATS などのコマンドに対するサポート、DIF データの整合性サポートなども含まれています。

makedumpfile で最大 16 TB の物理メモリーを表す sadump の新しい形式に対応

makedumpfile コマンドで 16 TB 以上の物理メモリー領域を表すことができる sadump の新しい形式に対応するようになります。これにより将来的なサーバーモデルの sadump で生成される 16 TB 以上のダンプファイルを読み取る際に makedumpfile を使用できるようになります。

カーネルの削除やアップグレードで警告を表示しない

kABI 互換のモジュールシンボリックリンクの管理に kmod で使用される weak-modules スクリプトがカーネル関連のファイルを削除する際に /lib/modules/<version>/weak-updates ディレクトリーを削除していました。kernel パッケージがこのディレクトリーを所有しているため削除するとファイルシステムと rpm で期待される状態とが一致しなくなっていました。このためカーネルのアップグレードや削除が行われる度に警告を表示していました。
スクリプトが更新され weak-updates ディレクトリーのコンテンツのみ削除しディレクトリー自体は残すようになるため、警告が表示されなくなります。

新パッケージ: libevdev

libevdev は Linux カーネル入力イベントデバイスインターフェースの低レベルのライブラリです。デバイスからのプロセスイベントやデバイスの機能を安全に問い合わせることができるインターフェースになります。現在のバージョン xorg-x11-drv-evdev と xorg-x11-drv-synaptics には依存ライブラリーとしてこのライブラリーが必要になります。

Tuned の no-daemon モードでの実行が可能に

Tuned がデーモンとしてしか実行できなかったため、Tuned デーモンのメモリーのフットプリントのため小規模システムのパフォーマンスに影響を及ぼすことがありました。本更新ではレジデントメモリーを必要としない no-daemon (1 回のみ) モードが追加されています。no-daemon モードには Tuned の多くの機能が欠落しているため、デフォルトでは無効になっています。

新パッケージ: tuned-profiles-realtime

tuned-profiles-realtime パッケージが Red Hat Enterprise Linux Server と Red Hat Enterprise Linux for Real Time に追加されています。CPU の隔離や IRQ のチューニングを行うため tuned ユーティリティーで使用されるリアルタイムのプロファイルが収納されています。プロファイルをアクティベートすると、隔離する CPU を指定しその CPU コアから移動できるスレッドをすべて移動する可変のセクションを読み取ります。

見やすい SCSI エラーメッセージ

printk() 関数に対するカーネルの変更があると SCSI (Small Computer System Interface) のエラーメッセージが複数行に渡ってログ記録されていました。結果、別々のデバイスで複数のエラーが発生するとエラーメッセージを正しく理解するのが困難な場合がありました。本更新により SCSI エラーログ機能のコードが変更され、各エラーメッセージとエラーを生成したデバイスとの関連付けを行う dev_printk() オプションを使ってエラーメッセージがログ記録されるようになります。

libATA サブシステムとドライバーの更新

本更新では libATA サブシステムとドライバーのバグ修正および機能強化が行われています。

FCoE と DCB のアップグレード

FCoE (Fibre Channel over Ethernet) と DCB (Data Center Bridging) カーネルコンポーネントが最新のアップストリームバージョンに更新されています。旧バージョンに対するバグ修正および機能強化が行われています。

perf がバージョン 4.1 へリベース

perf パッケージがアップストリームバージョンの 4.1 にアップグレードされ、旧バージョンに対するパフォーマンスおよび安定性に関する修正および機能拡張が行われています。特に、本リベースでは Intel Cache QoS Monitoring および AMD IBS Ops 機能が追加され、Intel Xeon v4、圧縮カーネルモジュール、パラメーター化イベントに対するサポートの他、ブレイクポイントの長さ指定に対応するようになりました。さらに、--system-widetop -ztop -wtrace --filter-pidstrace --event などのオプションも perf ツールに追加されています。

TPM 2.0 のサポート

本更新ではバージョン 2.0 準拠の TPM (Trusted Platform Module) デバイスに対するドライバーレベルのサポートが追加されています。

turbostat が正常な出力を提供

これまでは、turbostatcpu ではなく cpu0 の /dev/cpu/0/msr ファイルを読み取ってシステムに MSR デバイスサポートがあるかどうかを検出していました。その結果、CPU を無効にすると turbostat の出力から CPU が削除されていました。このバグが修正され turbostat ls コマンドを実行すると正しい出力が返されるようになります。

turbostat が Intel Xeon v5 プロセッサーをサポート

turbostat ツールに Intel Xeon v5 プロセッサーのサポートが追加されました。

zswap ツールが zpool API を使用

これまで zswap ツールは、2:1 の割合で圧縮ページを格納するストレージプール zbud を直接使用していました (フルの場合)。本更新では zbudzsmalloc プールにアクセスする zpool API を採用しています。zsmalloc は圧縮ページを高密度で格納する可能性があり、高密度での圧縮が可能なページにより多くのメモリーが再利用されることになります。本更新で zsmalloc が /mm ドライバーにプロモートされるので、zpool が目的通りに動作します。

/proc/pid/cmdline ファイルの長さが無制限に

これまでは、ps コマンドの /proc/pid/cmdline ファイルの長さの制限がカーネル内で 4096 文字以内にハードコード化されていました。本更新で /proc/pid/cmdlin の長さが無制限になりました。コマンドラインの引数が長いプロセスの記載に特に役立ちます。

dma_rmb と dma_wmb のサポート

本更新ではキャッシュに密着したメモリーの書き込みと読み取りの同期用に dma_wmb() と dma_rmb() の 2 種類の新しい基本命令を採用しています。ドライバー内で該当する用途に利用できるようになります。

qib HCA ドライバー接続

SRP LOGIN ID の不一致のために、SRP ターゲットはこれまで qib HCA デバイスドライバーでの接続に失敗していました。今回の更新でこのバグが修正され、上記の接続が正常に確立されるようになりました。

メモリー上限の拡大

Red Hat Enterprise Linux 7.2 から AMD64 および Intel 64 システムの対応メモリー上限が 6 TB から 12 TB に拡大されました。

dracut 向けの新しい変数

この更新では、カーネルコマンドラインで使用する dracut initramfs ジェネレーター向けの変数が導入されました。
  • rd.net.dhcp.retry=cnt – このオプションが設定された場合、dracut ユーティリティーは失敗するまで DHCP で cnt 回接続しようとします。デフォルト値は 1 です。
  • rd.net.timeout.dhcp=arg – このオプションが設定された場合、dhclient コマンドは -timeout arg オプションを使用して呼び出されます。
  • rd.net.timeout.iflink=seconds – リンクが表示されるまで seconds 秒待機します。デフォルト値は 60 秒です。
  • rd.net.timeout.ifup=seconds – リンクが UP 状態になるまで seconds 秒待機します。デフォルト値は 20 秒です。
  • rd.net.timeout.iflink=seconds – リンクが表示されるまで seconds 秒待機します。デフォルト値は 20 秒です。
  • rd.net.timeout.ipv6dad=seconds – IPv6 DAD が完了するまで seconds 秒待機します。デフォルト値は 50 秒です。
  • rd.net.timeout.ipv6auto=seconds – IPv6 の自動アドレスが割り当てられるまで seconds 秒待機します。デフォルト値は 40 秒です。
  • rd.net.timeout.carrier=seconds – キャリアが認識されるまで seconds 秒待機します。デフォルト値は 5 秒です。

第11章 ネットワーキング

i40e および i40evf を完全にサポート

i40e および i40evf カーネルドライバーがバージョン 1.3.21-k と 1.3.13 に更新されました。更新されたこれらのドライバーは以前はテクノロジープレビューとして含まれていましたが、完全にサポートされるようになりました。https://rhn.redhat.com/errata/RHEA-2016-0464.html で利用可能な Red Hat Enterprise Linux 7.2 向け i40e Driver Update Program (DUP) を適用する必要があることに注意してください。詳細については、https://access.redhat.com/articles/1400943 で利用可能なナレッジベース記事を参照してください。
以前は i40e ポートで iSCSI に関連したコマンドを実行しようとすると、ネットワーク接続が失われていました。この更新によりこのバグは修正され、iSCSI コマンドを実行することができます。

SNMP がIPv6 で clientaddr に対応

snmp.confclientaddr オプションが影響を与えることができるのは IPv4 経由で送られる発信メッセージのみでした。本リリースでは IPv6 の発信メッセージが clientaddr で指定されたインターフェースから正しく送信されるようになります。

tcpdump が -J、-j、および --time-stamp-precision オプションをサポート

kernelglibc、および libpcap はナノ秒単位の分解度のタイムスタンプを取得する API を提供するようになったので、tcpdump はこの機能を活用できるよう更新されました。利用できるタイムスタンプソースのクエリ (-J)、特定のタイムスタンプソースの設定 (-j)、分解度を指定したタイムスタンプの要求 (--time-stamp-precision) などが実行できます。

TCP/IP がバージョン 3.18 にリベース

TCP/IP スタックがアップストリームバージョン 3.18 にアップグレードされ、旧バージョンに対してバグ修正や機能強化が行われています。特に、本更新により TCP fast open 拡張が修正され、IPv6 を使用する場合に期待通りに動作するようになります。また、本更新ではオプションとなる TCP autocork 機能に対応するため DCTCP (Data Center TCP) を実装しています。

NetworkManager libreswan がバージョン 1.0.6 にリベース

以下のような多くのバグ修正と機能拡張がアップストリームから追加されました。
* パスワード処理がより強固になりました。
* 接続の開始と終了がより強固になりました。
* デフォルトのルート設定がプッシュされたルートから自動検出されます。
* 対話型パスワード要求のサポート追加
* 間違ったインポートおよびエクスポート機能の広告が修正されました。

NetworkManager がボンディングインターフェースの MTU 設定に対応

'nmcli' と GUI インターフェースの両方でボンディングインターフェースの MTU 設定が可能になりました。

NetworkManager が IPv6 ルーター広告 MTU オプションを適用前に確認

悪意のあるノードまたは間違った設定のノードは、適用されるとネットワーク通信に問題をもたらす、またはネットワーク通信ができなくする MTU を IPv6 に送信する可能性がありました。NetworkManager はこのようなイベントを正常に処理できるようになり、IPv6 接続が維持されます。

IPv6 プライバシー拡張機能がデフォルトで有効

デバイスのアクティベーション時に IPv6 プライバシー設定を決定して設定するため、NetworkManager がデフォルトで NetworkManager.conf のネットワーク設定を確認して、必要であれば /proc/sys/net/ipv6/conf/default/use_tempaddr にフォールバックするようになりました。

control-center の Network Panel が WiFi デバイス機能を表示

WiFi デバイスのサポートされる動作周波数が control-center の network panel に表示されるようになりました。

複数のインターフェースが同一ゲートウェイを指している場合、NetworkManager がルート競合を正常に処理

NetworkManager が設定されたルートを追跡し、競合ルートの設定を避けるようになりました。競合するルートがアクティブでない場合は、削除されます。

マルチホーム接続でのネットワークのブラックアウトを修正

NetworkManager は、マルチホーム接続で 2 番目のデバイスをアクティベート時に、ネットワークのブラックアウトを回避します。

NetworkManager による ip route add の変更を避ける新オプション

新たな 'never-default' オプションが接続 IP 設定に追加されました。このオプションは、NetworkManager がデフォルトのルート自体を設定しないようにし、必要に応じて管理者が異なるデフォルトのルートを設定できるようにします。

ハードウェアで通信業者が検出されない際にレガシーの network.service エラーが発生する件に関するフィクス

起動時にデバイスが通信業者を検出しない場合、NetworkManager は即座にアクティベーションを失敗とするのではなく、通信業者の検出を待機します。

NetworkManager が Wake On Lan に対応

nmcli ユーティリティーでは、デバイスごとに Wake on Lan が設定できるようになりました。

VPN 接続における firewalld ゾーンのサポートが改善

デバイスベースの VPN 接続にファイアウォールゾーンを設定する際に、このゾーンが firewalld で適切に設定できます。

Fair Queue パケットスケジューラーに対応

Fair Queue パケットスケジューラー、または fq、が Red Hat Enterprise Linux 7.2 に追加され、tc (トラフィックコントローラー) ユーティリティーを使用して選択できます。

送信の合成の追加サポート

xmit_more 機能拡張が実装され、特に TSO (TCP Segmentation Offload) が無効の際に、virtio-net と他のドライバーの送信パフォーマンスが改善されています。

ネットワークフレーム受信のパフォーマンス改善

NAPI メモリー割り当てでの IRQ 保存および回復動作を削除するコードのリファクタリングにより、ネットワークフレーム受信の際の待ち時間が短縮されました。

ルート検索のパフォーマンスが大幅改善

IPv4 FIB (Forward Information Base) コードがアップストリームから更新され、パフォーマンスが改善しています。

仮想インターフェースのネットワーク名前空間サポート

netns id が仮想インターフェースでサポートされ、ネットワーク名前空間の境界をまたいでリンクされたネットワークインターフェースの追跡が信頼できるようになりました。

Docker および LXC コンテナが net.ipv4.ip_local_port_range を読み取り可能に

net.ipv4.ip_local_port_range sysctl のネットワーク名前空間サポートが追加され、この情報へのアクセスを必要とするソフトウェアのコンテナサポートが改善しています。

'ip' ツールによる IPv6 ルートの自動設定の報告が改善

ip ツールはルート広告から mtu や hoplimit 情報を取得できませんでしたが、これが修正されました。

デュアルスタックソケットオプションが正常にエクスポート

IPV6_V6ONLY の設定時は、AF_INET6 ソケットは IPv6 が独占となります。他のケースでは、ソケットは IPv4 対応にもなります。この情報が適切にエクスポートされ、iproute2 を使って問い合わせできるようになっています。

データセンター TCP をサポート

今回のリリースでは DCTCP が実装され、データセンター環境でのネットワークパフォーマンスが改善されています。パラメーター dctcp は、sysctl で設定するか、ip route でルートベースの設定とすることができます。

ルートごとの輻輳制御

ルートベースでの異なる輻輳制御アルゴリズムを有効とするため、congctl パラメーターが ip route に追加されました。

GRO 使用時の TCP Cubic および Reno 向けの輻輳ウィンドウ処理が改善

帯域幅および輻輳ウィンドウのサイズ変更を決定する方法が改善され、大きいサイズのデータ送信に必要となる ACK パケット数が減りました。

TCP ペーシングをサポート

パラメーター SO_MAX_PACING_RATE が追加され、スループット率が考慮される環境でこの制御ができるようになりました。

クライアント TFO とサーバー TFO の両方をサポート

TCP Fast Open 機能が追加され、RFC 7413 割り当てオプション番号を使用します。

TCP ACK ループの移行

重複 TCP ACK の処理が改善され、バグのあるまたは潜在的に悪意のあるミドルボックスの問題を防ぎます。

nf_conntrack_proto_sctp によるセカンダリーエンドポイントの最小サポート

基本的なマルチホーミングサポートが SCTP に追加されました。

AF_UNIX 実装のリベース

AF_UNIX (AF_LOCAL とも呼ばれる) コードが更新され、多くの修正と機能拡張が含まれています。特に、sendpage と splice (zerocopy とも呼ばれる) がサポートされています。

Kernel トンネリングサポートがアップストリームにリベース

kernel トンネリングドライバーが kernel 4 から更新され、特に VXLAN など多くの修正や機能拡張がなされています。

GRE へのネットワーク名前空間の横断サポートを追加

gre と ip6gre の両方を x-netns でサポートしています。

VXLAN で仮想マシントラフィックの実行時にパフォーマンスが改善

コードを変換する送信フローが更新され、仮想マシン空のトラフィックがトンネルに向けられる際のパフォーマンスが改善しています。

VXLAN または GRE トンネルから受信した VLAN フレームのアンロードが改善

多くの変更により GRO サポートが導入され、VXLAN と NVGRE トンネリングでのパフォーマンスが改善しています。

Open vSwitch トンネリングのパフォーマンス改善

tx-nocache-copy デバイス機能はデフォルトで無効となりました。以前のデフォルトでは、多くのワークロードで、特に VXLAN で実行されている OVS トンネルで大量のオーバーヘッドを作り出していました。

IPsec 処理の改善

IPsec が多くの修正と機能拡張を提供するよう更新されました。このリリースでは、特に発信インターフェースに照合する機能が提供されています。

netns 機能を含む VTI6 サポート

netns 機能を含む IPv6 用 Virtual Tunnel Interfaces がカーネルに追加されました。

nf_conntrack_buckets のデフォルト値が増大

モジュールの読み込み時にパラメーターと指定されていない場合、バケットのデフォルト値はメモリー総数を 16384 で割って計算されます。ハッシュテーブルでは、バケットは 32 より少なくなることはなく、最大 16384 バケットです。ただしメモリーが 4GB 以上のシステムでは、上限は 65536 バケットになります。

大型 SMP マシンでの iptables のメモリー使用量の改善

これまでは、大型の iptables ルールセットは大量のメモリーを不必要に使用することがありました。これは、CPU ごとにルールセットを保存していたからです。ルールセットの保存方法が変更され、メモリーオーバーヘッドが低減されています。

ネットワークボンディングドライバーが更新

メンテナンス性を高めるため、カーネルネットワークボンディングドライバーが更新され、アップストリームソースと一致しています。

ボンディングおよび 802.3ad (LACP) 用のカーネル netlink インターフェース

LACP デバイス上でボンディングパラメーターを読み取り、設定するための新たな netlink インターフェースがカーネルに追加されました。

VLAN での mactap と macvtap のパフォーマンス改善

セグメント化問題に関する低スループットの問題に対処しています。
* mactap での e1000 デバイスから virtio デバイスへの通信。
* ゲストで VLAN 使用時における外部ホストとの通信。
* ゲストおよびホストの両方での VLAN を使った KVM ホストとの通信。

ethtool ネットワーククエリの改善

IBM System z 上の Red Hat Enterprise Linux 7.1 では、テクノロジープレビューとして ethtool ユーティリティーのネットワーククエリ機能が強化され、Red Hat Enterprise Linux 7.2 からは完全サポートとなっています。この結果、強化されたクエリ機能と互換性のあるハードウェアを使用すると、ethtool は改善された監視機能オプションを提供し、より正確なネットワークカードの設定や値の表示ができます。

第12章 セキュリティ

GSSAPI キー交換アルゴリズムを選択的に無効にできる

Logjam 脆弱性の観点から、gss-group1-sha1-* キー交換方法は、もう安全であるとは考えられません。このキー交換方法を通常のキー交換として無効にする可能性はありましたが、これを GSSAPI キー交換として無効にすることはできませんでした。今回の更新では、管理者はこの方法や GSSAPI キー交換が使用する他のアルゴリズムを選択的に無効にできます。

Red Hat Gluster Storage 向けの SELinux ポリシーを追加

これまでは、Red Hat Gluster Storage (RHGS) コンポーネントには SELinux ポリシーがなく、Gluster が正常に機能するのは SELinux が permissive モードの時だけでした。今回の更新で SELinux ポリシールールが glusterd (glusterFS Management Service)、glusterfsd (NFS サーバー)、smbdnfsdrpcd、および ctdbd プロセスで更新され、Gluster に SELinux サポートが提供されるようになりました。

openscap がバージョン 1.2.5 にリベース

openscap パッケージはアップストリームのバージョン 1.2.5 にアップグレードされました。旧バージョンに対する多くのバグ修正および機能拡張が加えられています。
注目すべき機能拡張には以下のものがあります。
* OVAL バージョン 5.11 をサポートし、systemd プロパティー向けなど複数の改善をもたらしています。
* xml.bz2 入力ファイルのネイティブのサポートを導入。
* リモートシステムを評価する oscap-ssh ツールを導入。
* コンテナーや画像を評価する oscap-docker ツールを導入。

scap-security-guide がバージョン 0.1.25 にリベース

scap-security-guide ツールはアップストリームのバージョン 0.1.25 にアップグレードされました。旧バージョンに対する多くのバグ修正および機能拡張が加えられています。
注目すべき機能拡張には以下のものがあります。
* Red Hat Enterprise Linux 7 サーバー用の新たなセキュリティープロファイル: Common Profile for General-Purpose Systems、Draft PCI-DSS v3 Control Baseline、Standard System Security Profile、および Draft STIG for Red Hat Enterprise Linux 7 Server。
* Red Hat Enterprise Linux 6 および 7 上で実行する Firefox と Java Runtime Environment (JRE) コンポーネント用の新たなセキュリティーベンチマーク。
* 新たな scap-security-guide-doc サブパッケージ。これは、XCCDF ベンチマーク (Red Hat Enterprise Linux 6 および 7、Firefox、および JRE 用のセキュリティーベンチマークで出荷されているすべてのセキュリティープロファイル用) から生成されたセキュリティーガイドを含む HTML 形式のドキュメントを含むものです。

第13章 サーバーとサービス

ErrorPolicy ディレクティブの有効化

ErrorPolicy の設定ディレクティブは起動時に有効にならないため、意図しないデフォルトのエラーポリシーが警告なしに使用される場合がありました。ディレクティブが起動時に有効にされ、設定された値が誤っている場合にはデフォルト値にリセットされるようになります。意図したポリシーが使用される、または警告メッセージがログ記録されるようになります。

CUPS で SSLv3 の暗号化をデフォルトで無効にする

CUPS スケジューラーでは SSLv3 の暗号化は無効にできませんでした。このため SSLv3 に対する攻撃に脆弱性が残っていました。この問題を解決するため、cupsd.conf SSLOptions キーワードが拡張され AllowRC4AllowSSL3 の 2 種類の新しいオプションが含まれるようになります。このオプションによって cupsd 内の named 機能が有効になります。この新しいオプションは /etc/cups/client.conf ファイルでもサポートされています。デフォルトでは cupsd の RC4 と SSL3 の両方が無効になります。

cups でのプリンター名の下線文字の使用

cups サービスでローカルのプリンター名に下線文字 (_) を使えるようになります。

不要な依存性を tftp-server パッケージから削除

tftp-server パッケージをインストールすると追加パッケージがインストールされていました。本更新では不必要なパッケージの依存性が削除され、tftp-server のインストールで不要なパッケージはデフォルトではインストールされなくなります。

廃止予定の /etc/sysconfig/conman ファイルを削除

systemd マネージャーを導入する前はサービスに対する各種の制限は /etc/sysconfig/conman ファイルで設定することができました。systemd に移行してからは /etc/sysconfig/conmanが使用されなくなるため削除されていました。LimitCPU=、LimitDATA=、LimitCORE= などの制限や他のデーモンパラメーターを設定する場合は conman.service ファイルを編集します。詳細については systemd.exec(5) の man ページをご覧ください。また、新しい変数 LimitNOFILE=10000 が systemd.service ファイルに追加されています。この変数はデフォルトではコメントアウトされています。systemd 設定に何らかの変更を加えたら変更が反映されるよう必ず systemctl daemon-reload コマンドを実行してください。

mod_nss がバージョン 1.0.11 にリベース

mod_nss packages がアップストリームのバージョン 1.0.11 にアップグレードされ、旧バージョンに対するバグ修正および機能強化が行われています。特に、mod_nss が TLSv1.2 を有効にして、SSLv2 を完全に削除することができます。また、一般的に最も安全と考えられている暗号のサポートが追加されています。

vsftpd デーモンが DHE と ECDHE の暗号化スイートをサポート

vsftpd デーモンが、DHE (Diffie–Hellman Exchange) およびECDHE (Elliptic Curve Diffie–Hellman Exchange) キー交換プロトコルをベースとした暗号化スイートに対応するようになりました。

sftp でアップロードされたファイルにパーミッション設定が可能

sftp ユーティリティーを使ってアップロードをすると、ユーザー環境に一貫性がなく umask 設定が厳格な場合、ファイルにアクセスできなくなることがありました。今回の更新により、管理者は sftp を使ってアップロードしたファイルに正確なパーミッションを強制することができるようになったので、この問題を避けることができます。

ssh-ldap-helper が使用する LDAP クエリの調整が可能

ssh-ldap-helper ツールが予測するデフォルトのスキーマをすべての LDAP サーバーが使用するわけではありません。今回の更新により、管理者は、ssh-ldap-helper が使用する LDAP クエリを調整し、異なるスキーマを使用するサーバーからパブリックキーを取得できるようになりました。デフォルトの機能は、未処理のままになります。

logrotate ユーティリティーの新たな createolddir ディレクティブ

新たな logrotate createolddir ディレクティブが追加され、olddir ディレクトリーの自動作成が可能になりました。詳細情報は、logrotate(8) man ページを参照してください。

/etc/cron.daily/logrotate からのエラーメッセージが /dev/null にリダイレクトされない

logrotate の cronjob で毎日生成されるエラーメッセージが静的に破棄されず、root ユーザーに送信されるようになりました。さらに、/etc/cron.daily/logrotate スクリプトが RPM で設定ファイルとしてマークされます。

SEED および IDEA ベースのアルゴリズムを mod_ssl で制限

Apache HTTP サーバーの mod_ssl モジュールでデフォルトで有効になっている暗号化スイートが制限され、セキュリティーが改善されています。SEED および IDEA ベースの暗号化アルゴリズムは、mod_ssl のデフォルト設定では有効にされません。

Apache HTTP サーバーが UPN に対応

Microsoft User Principle Name など、SSL/TLS クライアント証明書の subject alternative name に保存される名前が SSLUserName ディレクティブから使用できるようになり、mod_ssl 環境変数で利用可能になりました。ユーザーは Common Access Card (CAC) または証明書の中にあるユーザープリンシパル名 (UPN) で認証し、UPN を認証済みユーザー情報として使用できるほか、Apache のアクセス制御で使用したり、REMOTE_USER 環境変数やアプリケーション内の同様のメカニズムに使用することが可能になっています。このため、ユーザーは UPN を使った認証に SSLUserName SSL_CLIENT_SAN_OTHER_msUPN_0 を設定できます。

mod_dav ロックデータベースが mod_dav_fs モジュールでデフォルトで有効

Apache HTTP mod_dav_fs モジュールが読み込まれている場合、mod_dav ロックデータベースがデフォルトで有効になります。デフォルトの場所である ServerRoot/davlockdb は、DAVLockDB 設定ディレクティブを使って上書きすることができます。

mod_proxy_wstunnel が WebSockets に対応

Apache HTTP mod_proxy_wstunnel モジュールがデフォルトで有効となり、wss:// スキームの SSL 接続に対応するようになりました。また、ws:// スキームを mod_rewrite ディレクティブで使用することも可能になっています。これにより、WebSockets を mod_rewrite のターゲットとして使用することができ、proxy モジュール内の WebSockets が有効になります。

Oracle データベースサーバー向けに最適化された Tuned プロファイルが含まれる

Oracle データベースのロード向けに特別に最適化された新しい oracle Tuned プロファイルが利用可能になりました。新しいプロファイルは tuned-profiles-oracle サブパッケージで提供されるため、関連する他のプロファイルを将来的に追加できます。oracle プロファイルは enterprise-storage プロファイルに基づきますが、Oracle データベースの要件に基づいてカーネルパラメーターが変更され、Transparent Huge Page が無効になります。

第14章 ストレージ

DM がバージョン 4.2 にリベース

デバイスマッパー (DM) がアップストリームバージョン 4.2 にアップグレードされ、DM 暗号化パフォーマンスの大幅な更新、Multi-Queue Block I/O Queueing Mechanism (blk-mq) に対応するための DM コアの更新など、旧バージョンに対するバグ修正や機能強化が行われています。

blk-mq を使ったマルチキュー I/O スケジューリング

Red Hat Enterprise Linux 7.2 には blk-mq と呼ばれるブロックデバイス用の新しい複数キュー I/O スケジューリングのメカニズムが収納されています。特定のデバイスドライバーに複数のハードウェアやソフトウェアキューに対する I/O 要求のマッピングを許可することでパフォーマンスを改善します。複数の実行スレッドがひとつのデバイスに対して I/O を行うとロックの競合が軽減するためパフォーマンスが改善されます。NVMe (Non-Volatile Memory Express) など新しいデバイスの場合は、複数のハードウェアのキューに対するビルトインのサポートを備え、また待ち時間が少なくパフォーマンスに優れている特性のためこの機能を十分に活用することができます。実際のパフォーマンス性についてはハードウェアと作業負荷により左右されます。
現在、blk-mq の機能は virtio-blk、mtip32xx、nvme、rbd のドライバーにデフォルトで実装され有効になっています。
関連する機能 scsi-mq を利用すると SCSI (Small Computer System Interface) デバイスドライバーで blk-mq インフラストラクチャーを使用できるようになります。scsi-mq 機能は Red Hat Enterprise Linux 7.2 ではテクノロジープレビューとして提供されます。scsi-mq を有効にするにはカーネルコマンドラインで scsi_mod.use_blk_mq=y を指定します。デフォルト値は n (無効) です。
dm_mod.use_blk_mq=y カーネルオプションを指定すると、要求ベースのデバイスマッパー (DM) を使用する DM マルチパスターゲットでも blk-mq インフラストラクチャーを使用するよう設定できます。デフォルト値は n (無効) です。
ベースの SCSI デバイスで blk-mq を使用している場合は dm_mod.use_blk_mq=y も設定した方が DM 層でのロックによるオーバーヘッドの軽減に役立ちます。
DM マルチパスで blk-mq を使用しているかどうか確認するには cat /sys/block/dm-X/dm/use_blk_mq を実行します。dm-X には対象となる DM マルチパスデバイスを入力します。このファイルは読み取り専用であり、要求ベースの DM マルチパスデバイスが作成された時点の /sys/module/dm_mod/parameters/use_blk_mq のグローバル値を反映しています。

multipath.conf ファイルの新しいオプション delay_watch_checks と delay_wait_checks

パスが不安定な状態であっても (接続が頻繁にドロップと回復を繰り返すなど) multipathd はそのパスを継続して使用しようとします。一方、パスがアクセス不能になったことを認識するまでのタイムアウトは 300 秒のため、multipathd が停止してしまったように見えます。
これを修正するため 2 種類の新しい設定オプション delay_watch_checks と delay_wait_checks が追加されています。delay_watch_checks を使用してまずパスがオンラインになったら監視を開始するサイクル数を設定します。設定された値内でパスが使用できなくなった場合、そのパスは使用されなくなります。次に、delay_wait_checks を使用して連続して使用できなければならないサイクル数を設定します。このチェックに成功してはじめてパスは再び有効となります。このオプションにより、不安定なパスがオンラインになっても直ぐには使用されないよう防止することができます。

multipath.conf ファイルの新しいオプション config_dir

以前は設定情報を /etc/multipath.conf と他の設定ファイルに分割できなかったため、全マシン用のメイン設定ファイルをひとつ作成、マシンごとの固有設定情報を持たせたファイルは別途に作成するという方法がとれませんでした。
これに対応するため、新しいオプション config_dir が multipath.conf ファイルに追加されました。ユーザーは config_dir オプションを空の文字列か完全修飾ディレクトリーパス名のいずれかに変更する必要があります。空の文字列以外を設定すると、マルチパスはすべての .conf ファイルをアルファベット順に読み込み、そのファイルが /etc/multipath.conf に追加されたかのように設定を適用します。変更をしなかった場合は config_dir のデフォルト設定は /etc/multipath/conf.d になります。

新しい dmstats コマンド: デバイスマッパードライバーを使用するデバイス領域の I/O 統計値を表示および管理

dmstats コマンドはデバイスマッパー I/O 統計値のユーザー空間サポートを備えています。I/O のカウンター、測定基準、デバイスマッパーデバイスのユーザー定義の任意領域の待ち時間柱状データなどの管理ができるようになります。dmsetup レポートで統計フィールドが利用できるようになり、dmstats コマンドには統計情報を使って使用する目的で設計された特殊なレポートモードが新たに追加されています。dmstats コマンドに関する詳細は dmstats(8) の man ページを参照してください。

LVM キャッシュ

LVM キャッシュは Red Hat Enterprise Linux 7.1 以降は完全対応になっています。この機能を使用すると容量が小さい高速なデバイスで論理ボリュームを作成し容量が大きく低速なデバイスのキャッシュとして動作させることができるようになります。キャッシュ論理ボリュームの作り方については lvmcache(7) の man ページをご覧ください。
キャッシュ論理ボリュームの使用に際して次のような制約があるので注意してください。
* キャッシュ論理ボリュームは最上位レベルのデバイスにしてください。シンプールの論理ボリューム、RAID 論理ボリュームのイメージ、その他サブ論理ボリュームタイプなどには使用できません。
* キャッシュ論理ボリュームのサブ論理ボリューム (大元の論理ボリューム、メタデータ論理ボリューム、データ論理ボリューム) はリニアタイプ、ストライプタイプまたは RAID タイプにしかできません。
* キャッシュ論理ボリュームのプロパティの作成後の変更はできません。キャッシュのプロパティを変更する場合は、lvmcache(7) で説明されているようにまずキャッシュを削除してから目的のプロパティでキャッシュを作成し直します。

LVM/DM の新しいキャッシュポリシー

新しい smq DM キャッシュポリシーはほとんどの使用例でメモリーの消費を低減しパフォーマンスを改善することを目的として記述されています。新しい LVM キャッシュ論理ボリュームに対してはこれがデフォルトキャッシュポリシーになります。レガシーな mq キャッシュポリシーを使用したい場合はキャッシュ論理ボリュームを作成する際に —cachepolicy 引数を与えるとレガシーなポリシーを使用することができます。

LVM システム ID

LVM ボリュームグループに所有者を割り当てることができるようになります。ボリュームグループの所有者はホストのシステム ID になります。特定のシステム ID を持つホストのみがボリュームグループを使用することができます。共有デバイス上に存在し、複数ホストから可視となるため複数のホストによる同時使用を防ぐ保護がされていないボリュームグループに便利です。割り当てシステム ID を持つ共有デバイス上の LVM ボリュームグループは任意のホストが所有しているため、他のホストからは保護されます。

新たな lvmpolld デーモン

lvmpolld デーモンは、長時間にわたって実行する LVM コマンド用にポーリング方法を提供します。これを有効にすると、長時間実行の LVM コマンドの制御が元の LVM コマンドから lvmpolld デーモンに移されます。これにより、操作は元の LVM から独立した形で継続可能になります。lvmpolld デーモンはデフォルトで有効になります。
lvmpolld デーモンの導入前は、systemd サービスの cgroup 内で開始された lvm2 コマンドから発生しているバックグラウンドポーリングプロセスは、cgroup でメインプロセス (メインサービス) が終了したら強制終了される可能性がありました。この場合、lvm2 ポーリングプロセスが未完了で強制終了となる場合がありました。また、lvmpolld は進行中のポーリングタスクすべてについて追跡するので、同一タスクの進行状況について複数回のクエリを実行する lvm2 ポーリングプロセスの生成防止に役立ちます。
lvmpolld デーモンの詳細情報については、lvm.conf 設定ファイルを参照してください。

LVM 選択基準の機能強化

Red Hat Enterprise Linux 7.2 リリースでは、LVM 選択基準の機能強化をサポートしています。これまでは、選択基準はレポーティングコマンドにしか使えませんでした。今回の更新では、LVM は複数の LVM 処理コマンドでも選択基準をサポートするようになりました。また、タイムレポーティングフィールドや選択に関するサポートが改善するようにいくつか変更がされています。
これら新機能の実装に関する情報は、Logical Volume Administration マニュアル内の LVM Selection Criteria 別表を参照してください。

SCSI LUNs のデフォルトの最大数の増大

max_report_luns パラメーターのデフォルト値が 511 から 16393 に増大されました。このパラメーターは、Report LUNs メカニズムを使ってシステムが SCSI 相互接続をスキャンする際に設定可能な論理ユニットの最大数を指定します。

第15章 システムとサブスクリプション管理

PowerTOP でユーザー定義のレポートファイル名を認識

PowerTOP レポートファイル名は不明瞭でドキュメント化されていない方法で生成されていました。本更新では実装が改善され、ユーザーがリクエストした名前に生成されるファイル名が従うようになります。CSV レポート、HTML レポートいずれにも適用になります。

yum-config-manager コマンドに対する修正

yum-config-manager --disable コマンドを実行すると設定されているリポジトリがすべて無効になるのに対し、yum-config-manager --enable コマンドではいずれのリポジトリも有効になりませんでした。この矛盾が修正されました。 --disable および --enable コマンドの構文内に「\*」を使用しなければならなくなります。yum-config-manager --enable \* を実行するとリポジトリが有効になります。「\*」を付けずにコマンドを実行すると、リポジトリを無効または有効にする場合は yum-config-manager --disable \* または yum-config-manager --enable \* を実行するよう指示するメッセージが出力されるようになります。

yum の新しいプラグイン search-disabled-repos

yum 用の search-disabled-repos プラグインが subscription-manager パッケージに追加されました。ソースリポジトリーが無効となっているリポジトリーに依存していることが原因で失敗する yum の動作が、このプラグインにより正常に完了できるようになります。この失敗している環境に search-disabled-repos をインストールすると、yum は、無効なリポジトリーを一時的に有効にして、欠けている依存パッケージを検索する指示を表示するようになります。
この指示にしたがって、/etc/yum/pluginconf.d/search-disabled-repos.conf ファイル内のデフォルトの notify_only 動作をオフにすると、それ以降の yum の動作では、yum の処理で必要となる、すべての無効になっているリポジトリーを一時的もしくは永続的に有効にするようプロンプトが出ます。

ハイパーバイザーデータを並行で取得

virt-who が複数のハイパーバイザーから並行してデータを取得できるようになりました。これまでは、virt-who がデータの読み取りをできるのは、1 度に 1 つのハイパーバイザーからのみで、連続してデータ取得をする場合、そのうちの 1 つのハイパーバイザーが機能していないと、virt-who はその応答を待機して失敗していました。ハイパーバイザーの並行読み取りでこの問題が回避され、失敗を防ぐことができます。

virt-who によるハイパーバイザーのフィルタリング

virt-who サービスに Subscription Manager のレポート用フィルタリングメカニズムが導入されました。その結果、指定パラメーターに応じて virt-who で表示させるホストを選択できるようになります。例えば、Red Hat Enterprise Linux ゲストを稼働させていないホスト、Red Hat Enterprise Linux の特定バージョンのゲストを稼働させているホストなどを選択して表示することができます。

ホストとゲストの関連付けにおける視覚効果の改善

-p オプションが virt-who ユーティリティーに追加されました。この -p オプションを virt-who で使用すると、ホストとゲストの関連付けについて Javascript Object Notation (JSON) エンコード化されたマップが表示されます。さらに、/var/log/rhsm/rhsm.log ファイルに記録されたホストとゲストの関連付け情報も JSON 形式となっています。

virt-who 出力をホスト名で表示

virt-who クエリの結果を Red Hat Satellite と Red Hat カスタマーポータルで表示する際に、Universally Unique Identifiers (UUID) ではなくホスト名で表示するように設定可能となりました。この機能を有効にするには、hypervisor_id=hostname オプションを /etc/virt-who.d/ ディレクトリーに追加します。この作業はできれば virt-who の初回使用前に行うことが望ましく、そうでなければ設定の変更はハイパーバイザーを複製することになります。

virt-who 設定ファイルの事前記入

virt-who のデフォルトの設定ファイルは、/etc/virt-who.d/ ディレクトリーに格納されています。これには、ユーザーが virt-who を設定する際のテンプレートと指示が含まれています。これは、/etc/sysconfig/virt-who ファイルを使用する非推奨の設定に代わるものです。

プロキシ接続オプションの強化

Red Hat Enterprise Linux 7.2 では、virt-who ユーティリティーは HTTP_PROXY と HTTPS_PROXY の環境変数の処理が可能なことから、要求されるとプロキシサーバーを正常に使用できます。これにより、virt-who はプロキシ経由で Hyper-V ハイパーバイザーと Red Hat Enterprise Virtualization Manager に接続できます。

サブスクリプションマネージャーが syslog に対応

subscription-manager が syslog をこれまでの別個のログとしてだけでなく、ログハンドラーおよびフォーマッタとして使用出来るようになりました。このハンドラーとフォーマッタは、/etc/rhsm/logging.conf 設定ファイルで設定します。

サブスクリプションマネージャーが Initial Setup の一部に

Firstboot のサブスクリプションマネージャーのコンポーネントが Initial Setup ユーティリティーに移されました。Red Hat Enterprise Linux 7 システムをインストールして初めての再起動の後に Initial Setup のメインメニューからシステムを登録することができます。

コマンドラインでの登録時にサブスクリプションマネージャーがサーバーの URL を表示

コマンドラインで subscription-manager コマンドを使用してシステムを登録する場合、ユーザー名とパスワードを要求する際に、このツールは登録に使用しているサーバーの URL も表示します。これにより、ユーザーはどの認証情報を使用するかを判断できます。

サブスクリプションマネージャーのリポジトリーの管理ダイアログの応答性が向上

グラフィカルバージョンのサブスクリプションマネージャー (subscription-manager-gui パッケージ) のリポジトリーの管理ダイアログが更新され、各チェックボックスの変更に関する情報をフェッチしないようになりました。新たな save ボタンがクリックされた場合にのみ、システムの状態は同期されます。これにより、各チェックボックスのアクションによりシステム状態が更新されて発生する前のバージョンでの遅延がなくなり、リポジトリー管理の応答性が大幅に向上しています。

ReaR が eth0 以外のインターフェースでも動作する

以前は、ReaR で作成されたレスキューシステムで eth0 以外のインターフェースを使用した NFS サーバーのマウントがサポートされませんでした。この場合は、レスキューシステムとバックアップのファイルをダウンロードできず、システムを復元できませんでした。この更新では、この問題が修正され、eth1 や eth2 などの他のインターフェースを使用できるようになりました。

第16章 仮想化

qemu-kvm で仮想マシンのシャットダウントレースイベントに対応

仮想マシンシステムのシャットダウン中の qemu-kvm トレースイベントに対応するようになりました。virsh shutdown コマンドや virt-manager アプリケーションで発行されたゲストシステムのシャットダウン要求に関して詳細な診断を得ることができるようになります。これによりシャットダウン中に発生した KVM ゲストの問題を探し出してデバッグを行うことができるようになります。

Intel MPX のゲストへの公開

本更新では qemu-kvm により Intel MPX (Memory Protection Extension) 機能をゲストに公開できるようになります。MPX 対応の Intel 64 ホストシステムの場合、ポインター参照での境界保護に対するハードウェアサポートを提供する拡張セットを使用できるようになります。

qemu-kvm コアからのゲストメモリーダンプの抽出

dump-guest-memory.py スクリプトが QEMU に導入され、ゲストのカーネルに障害が発生した場合に qemu-kvm コアのゲストメモリーダンプを分析できるようになります。詳細についてはhelp dump-guest-memory コマンドでヘルプテキストを参照してください。

virt-v2v の完全対応

virt-v2v コマンドラインツールは Red Hat Enterprise Linux 7.2 で完全対応になっています。異種のハイパーバイザーで稼働している仮想マシンを KVM で実行するよう変換を行うのがこのツールです。現在、virt-v2v で変換できるのは Red Hat Enterprise Linux 5 Xen および VMware vCenter で稼働している Red Hat Enterprise Linux ゲストと Windows ゲストになります。

IBM Power System での仮想化

Red Hat Enterprise Linux with KVM は AMD64 および Intel 64 のシステムではサポートされていますが IBM Power System ではサポートされていません。現在、IBM Power System に対しては Red Hat Enterprise Virtualization で POWER8 ベースのソリューションを提供しています。
バージョンサポートおよびインストール手順についてはナレッジベースの記事 (https://access.redhat.com/articles/1247773) を参照してください。

Hyper-V TRIM サポート

シンプロビジョニングした Hyper-V 仮想ハードディスク (VHDX) が利用できるようになります。更新により Microsoft Hyper-V 仮想マシンのベースとなる VHDX ファイルを実際に使用されるサイズに縮小する機能に対応するようになります。

KVM が tcmalloc に対応

KVM が tcmalloc ライブラリーを使用できるようになりました。これにより、1 秒あたりの I/O 操作で大幅にパフォーマンスが改善されます。

ドメインのライブマイグレーション中に選択的なディスクのコピー

ディスクとともにドメインのライブマイグレーションを実行する際に、コピーするディスクを選択できるようになりました。これにより、特定ディスクのコピーが望ましくない場合により効率的なライブマイグレーションが可能となります。例えば、移行先に既に存在する場合や、すでに有益でなくなっている場合などです。

RMRR を使用するデバイスを IOMMU API ドメインから除外

Red Hat Enterprise Linux 7.1 になされた変更では、Reserved Memory Region Reporting (RMRR) に関連付けられたデバイスを割り当てようとすると、カーネルは以下のエラーを dmesg ログに報告します。
"Device is ineligible for IOMMU domain attach due to platform RMRR requirement. Contact your platform vendor."
プラットフォームベンダーには、カーネル内の VT-d IOMMU サブシステムが RMRR 構造と呼ばれる Advanced Configuration and Power Interface Direct Memory Access Remapping (ACPI DMAR) テーブルを使用して、デバイスの特定マッピングを保持するよう要求することができます。ただし、QEMU-KVM と VFIO にはこれらのマッピング要件への可視性がなく、これらの領域で発生する可能性のある進行中の通信を無効にする API も存在しません。このため、RMRR に関連付けられたデバイスは、デバイスがゲスト VM に割り当てられた後でもこのアドレス空間で DMA の使用を継続する可能性がありました。これによりデバイスは、RMRR で記述されたメモリー用に想定されていた DMA データで VM メモリーを上書きする可能性がありました。
このバグを修正するために、RMRR に関連付けられたデバイスをカーネル内部の IOMMU API から除外しました。ユーザーはこれらのデバイスをdmesg ログを使用して特定できるようになり、またゲスト仮想マシンを不安定にする可能性のあるマッピングを使用したデバイスの割り当てから守られるようになります。この変更により PCI デバイスの割り当てができなくなったユーザーは、プラットフォームベンダーに連絡して、RMRR 要件から I/O デバイスを解放するための BIOS 更新について問い合わせてください。
これらの変更に関する詳細情報は、以下のナレッジベースの記事を参照してください。

新パッケージ: WALinuxAgent

Microsoft Azure Linux Agent (WALA) バージョン 2.0.13 が Extras チャンネルに含まれるようになりました。このエージェントは、Windows Azure クラウドにおける Linux Virtual Machines のプロビジョニングと実行をサポートするもので、Windows Azure 環境で実行するように構築された Linux イメージにインストールしてください。

第17章 Atomic Host とコンテナー

Red Hat Enterprise Linux Atomic Host

Red Hat Enterprise Linux Atomic Host は、Linux コンテナーの実行のために最適化された安全で軽量、最小限のフットプリントのオペレーティングシステムです。
Atomic Host と Containers のリリースノートは個別に公開されるようになりました。最新の機能、既知の問題、およびテクノロジープレビューについては、https://access.redhat.com/documentation/en/red-hat-enterprise-linux-atomic-host/7/single/release-notes/ を参照してください。

第18章 Red Hat Software Collections

Red Hat Software Collections とは動的なプログラミング言語、データベースサーバー、関連パッケージなどを提供する Red Hat のコンテンツセットです。AMD64 および Intel 64 アーキテクチャーに対応する Red Hat Enterprise Linux 6 リリースと Red Hat Enterprise Linux 7 リリースにインストールして使用することができます。
動的言語、データベースサーバー、その他ツールなど Red Hat Software Collections で配信されるツールは Red Hat Enterprise Linux で提供されるデフォルトのシステムツールに代わるものではなく、またデフォルトに代わって推奨されるツールでもありません。Red Hat Software Collections では複数のパッケージセットの同時提供が可能な scl ユーティリティーをベースにした代替パッケージングのメカニズムを使用しています。Red Hat Software Collections を利用すると Red Hat Enterprise Linux で複数の代替バージョンを使用してみることができるようになります。scl ユーティリティーを使用することでいつでも任意のパッケージバージョンを選択し実行させることができます。
Red Hat Developer Toolset は一つのソフトウェアコレクションとして Red Hat Software Collections に同梱されるようになります。Red Hat Developer Toolset は Red Hat Enterprise Linux プラットフォームで作業する開発者向けに設計され、GNU Compiler Collection、GNU Debugger、Eclipse 開発プラットフォームなどの最新バージョンの他、各種の開発用ツールやデバッグ用ツール、パフォーマンス監視用ツールなども提供しています。

重要

Red Hat Software Collections のライフサイクルおよびサポート期間は Red Hat Enterprise Linux より短く設定されています。詳細については Red Hat Software Collections Product Life Cycle を参照してください。
Red Hat Software Collections に収納されているコンポーネント、システム要件、既知の問題、使い方、各ソフトウェアコレクションごとの詳細などについては Red Hat Software Collections のドキュメント を参照してください。
Red Hat Software Collections の一部となる Red Hat Developer Toolset に収納されているコンポーネント、インストール方法、使い方、既知の問題などについては Red Hat Developer Toolset のドキュメント を参照してください。

パート II. テクノロジープレビュー

ここでは Red Hat Enterprise Linux 7.2 で更新または導入されたテクノロジープレビューについて簡単に説明します。
Red Hat のテクノロジープレビュー機能のサポート範囲については https://access.redhat.com/support/offerings/techpreview/ を参照してください。

第19章 認証および相互運用性

AD および LDAP の sudo プロバイダーの使い方

AD (Active Directory) プロバイダーは AD サーバーへの接続に使用するバックエンドです。AD sudo プロバイダーと LDAP プロバイダーとの併用は Red Hat Enterprise Linux 7.2 ではテクノロジープレビューとしての対応になります。AD sudo プロバイダーを有効にするには sudo_provider=ad 設定を sssd.conf ファイルの [domain] セクションに追加します。

DNSSEC が Identity Management でテクノロジープレビューとして利用可能

統合 DNS を備える Identity Management サーバーで DNSSEC (DNS Security Extension) に対応するようになります。DNSSEC とは DNS プロトコルの安全性を強化する DNS に対する拡張セットです。Identity Management サーバーでホストされる DNS ゾーンは DNSSEC で自動署名させることができます。暗号キーは自動的に生成、回転されます。
DNSSEC で DNS ゾーンの安全性を強化する決定をした場合は以下のようなドキュメントを読まれることをお勧めしています。
DNSSEC Operational Practices, Version 2: http://tools.ietf.org/html/rfc6781#section-2
Secure Domain Name System (DNS) Deployment Guide: http://dx.doi.org/10.6028/NIST.SP.800-81-2
DNSSEC Key Rollover Timing Considerations: http://tools.ietf.org/html/rfc7583
統合 DNS を備えた Identity Management サーバーは他の DNS サーバーから取得する DNS の答えを DNSSEC を使って認証します。Red Hat Enterprise Linux Networking Guide (https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices) に記載されている推奨の命名方法にしたがった設定ではない DNS ゾーンの場合は、その可用性に影響する場合があるため注意してください。

Nunc Stans イベントフレームワークが Directory Server で利用可能

複数の同時接続を処理する新たな Nunc Stans フレームワークがテクノロジープレビューとして追加されました。このフレームワークを使用すると、パフォーマンスを低下させずに数千のアクティブな接続をサポートすることができます。これはデフォルトでは無効になっています。

IdM での JSON-RPC API のブラウザーが利用可能

Identity Management の JSON-RPC API 用のブラウザーが実装されました。このブラウザーを使って API を閲覧することができます。この機能は実験的なもので、API はサポート対象外であることに注意してください。

新パッケージ: ipsilon

ipsilon パッケージで連携シングルサインオン (SSO) の Ipsilon アイデンティティープロバイダーサービスが提供されます。Ipsilon は認証プロバイダーとアプリケーションまたはユーティリティーをつなぐことで SSO を可能にします。Apache ベースのサービスプロバイダーを設定するユーティリティーとサーバーが含まれます。
Ipsilon サーバーおよびツールキットは、Apache ベースのアイデンティティーサービスプロバイダーを設定する設計となっています。このサーバーは、プラグ可能な内蔵 mod_wsgi アプリケーションで、ウェブアプリケーションへの連携 SSO を提供します。
Ipsilon は本リリースでテクノロジープレビューとして導入されています。現時点では、このサービスを実稼働環境に統合しないでください。

第20章 クラスタリング

クラスター構成フォーマットの変換および分析用のツール clufter に対するサポート

clufter パッケージは Red Hat Enterprise Linux 7 ではテクノロジープレビューとして利用可能で、これはクラスター構成フォーマットの変換および分析を行うツールを提供します。これは、旧式のスタック構成から Pacemaker を利用する新しい構成への移行を行う際に使用できます。clufter の機能についてはclufter(1) の man ページまたは clufter -h コマンドの出力を参照してください。

第21章 ファイルシステム

OverlayFS

OverlayFS はユニオンファイルシステムのタイプになります。任意のファイルシステムの上に別のファイルシステムを重ねる (オーバーレイする) ことができます。変更は上部のファイルシステムに記録され、下部のファイルシステムは未変更のままになります。コンテナーの場合や DVD-ROM などベースのイメージが読み取り専用メディアの場合、複数のユーザーで 1 つのファイルシステムイメージを共有することができます。詳細はカーネルファイルの Documentation/filesystems/overlayfs.txt を参照してください。
OverlayFS は Red Hat Enterprise Linux 7.2 では引き続きほとんどの環境でテクノロジープレビューになります。このため、OverlayFS を作動させるとカーネルで警告がログ記録されます。
Docker で次の制約を付けて使用する場合は完全対応として利用していただけます。
* OverlayFS は Docker のグラフドライバーとして使用する場合にのみサポートされます。使用用途はコンテナー COW コンテンツに限られ、永続的な保存に対してはサポートされません。永続的な保存の場合はすべて OverlayFS 以外のサポートされているボリュームに格納してください。使用できるのは、デフォルトの Docker 設定のみです。つまり、重ねるのは 1 レベルのみ (下部のファイルシステムは 1 つ) で上部のレベルと下部のレベルは同じファイルシステム上に配置します。
* 下部ファイルシステムとして使用がサポートされているのは現在 XFS のみです。
* 物理マシンで SELinux を有効にして enforcing モードの設定にしておく必要がありますが、コンテナーの分離を行う場合はコンテナーでは無効にしなければなりません。つまり、/etc/sysconfig/docker には --selinux-enabled を含ませないようにします。OverlayFS の SELinux サポートはアップストリームで作業中であり、今後のリリースでの提供が期待されています。
* OverlayFS カーネル ABI とユーザー空間の動作については安定性に欠けるとみなされているため今後の更新で変更が行われる可能性があります。
* コンテナー内で yum および rpm のユーティリティーが正常に機能するには、yum-plugin-ovl パッケージを使用する必要があります。
OverlayFS は制限付きで POSIX 標準セットを提供しています。OverlayFS で POSIX 標準を導入する場合はまず先にアプリケーションテストを十分に行ってから導入するようにしてください。
オーバーレイとして使用するために -n ftype=1 オプションを有効にして、XFS ファイルシステムを作成する必要がある点に注意してください。システムのインストール時に作成される rootfs およびファイルシステムに対して、Anaconda キックスタートで --mkfsoptions=-n ftype=1 パラメーターを設定します。インストール後に新しいファイルシステムを作成する場合は、# mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE コマンドを実行します。既存のファイルシステムがオーバーレイとして使用可能であるかどうかを判断するには、# xfs_info /PATH/TO/DEVICE | grep ftype コマンドを使用して ftype=1 オプションが有効であるかどうかを確認します。
また、Red Hat Enterprise Linux 7.2 リリースの時点で OverlayFS に関連する既知の問題がいくつかあります。詳細については Documentation/filesystems/overlayfs.txt ファイルの「Non-standard behavior」を参照してください。

柔軟なファイルレイアウトで NFSv4 クライアントに対応

Red Hat Enterprise Linux 7.2 では NFSv4 クライアントでの柔軟なファイルレイアウトに対応します。このテクノロジーにより非破壊的なファイルの移動性やクライアント側のミラーリングなど高度な機能が利用できるようになり、データベース、大規模データ、仮想化などの分野で使いやすさが向上されます。
NFS の柔軟なファイルレイアウトについては https://datatracker.ietf.org/doc/draft-ietf-nfsv4-flex-files/ を参照してください。

Btrfs ファイルシステム

Btrfs (B-Tree) ファイルシステムは Red Hat Enterprise Linux 7.2 ではテクノロジープレビューとしての対応になります。高度な管理機能、安定性、拡張性を提供します。スナップショットを作成することができ、統合化された圧縮デバイス管理が可能になります。

pNFS ブロックレイアウトのサポート

テクノロジープレビューとしてアップストリームコードが Red Hat Enterprise Linux クライアントにバックポートされ、pNFS ブロックレイアウトのサポートが提供されています。

第22章 ハードウェア

IBM System z 用ランタイム計測

テクノロジープレビューとして Red Hat Enterprise Linux 7.2 on IBM System z 向けにランタイム計測機能のサポートが追加されています。ランタイム計測により IBM zEnterprise EC12 システムで使用可能な複数のユーザースペースアプリケーションの高度な分析や実行が可能になります。

LSI Syncro CS HA-DAS アダプター

Red Hat Enterprise Linux 7.1 では LSI Syncro CS の HA-DAS (high-availability direct-attached storage) アダプターを有効にするため megaraid_sas ドライバーにコードが含まれています。megaraid_sas ドライバーは以前に有効にしたアダプターに対しては完全対応になりますが、Syncro CS にこのドライバーを使用する場合はテクノロジープレビューとして利用することになります。本アダプターのサポートについては LSI、システムインテグレーターまたはシステムのベンダーより直接提供されることになります。Red Hat Enterprise Linux 7.2 に Syncro CS を導入される場合は、Red Hat および LSI にフィードバックをご提供いただくようお願いします。LSI Syncro CS ソリューションの詳細については http://www.lsi.com/products/shared-das/pages/default.aspx を参照してください。

第23章 カーネル

criu ツール

Red Hat Enterprise Linux 7.2 は criu ツールをテクノロジープレビューとして採用しています。ユーザー空間でのチェックポイントと復元 を実装し、実行中のアプリケーションをフリーズさせファイルの集合として保存、あとでフリーズ状態から復元することができます。
criu ツールは Protocol Buffers に依存します。言語的に中立、プラットフォーム的に中立な伸縮性のある直列化構造のデータ用メカニズムになります。依存パッケージとなる protobufprotobuf-c も Red Hat Enterprise Linux 7.2 にテクノロジープレビューとして追加されています。

ユーザーの名前空間

ホストとコンテナーを適切に分離することにより Linux コンテナーを実行しているサーバーに対する安全性を高める機能になります。コンテナー管理者がホスト上で管理操作を実行できなくなるため、安全性が高まります。

IBM System z 向け LPAR ウォッチドッグ

IBM System z 向けに強化されたウォッチドッグドライバーがテクノロジープレビューとして利用できるようになります。Linux 論理パーティション (LPAR) や z/VM ハイパーバイザーの Linux ゲストに対応する他、Linux システムが応答しなくなった場合の自動再起動や自動ダンプ機能も備えています。

i40evf による大規模リセット処理

仮想関数が遭遇する最も一般的なタイプのリセットは各仮想関数のリセットに下垂する物理関数です。ただし、Core や EMP リセットなど大規模なリセットの場合、デバイスの再初期化時に仮想関数が同じ VSI を取得せずオリジナルの VSI のリソースを継続して要求するため仮想関数が復帰できませんでした。本更新ではテクノロジープレビューとして admin queue state machine に余分な state が追加されドライバーによる実行時の設定情報の再要求が可能になります。リセット復帰中、この部分が aq_required フィールドに設定され、ドライバーのバックアップを試行する前に設定情報がフェッチされます。

Intel® Omni-Path Architecture カーネルドライバーのサポート

テクノロジープレビューとしてサポートされる Intel® Omni-Path Architecture (OPA) カーネルドライバーを使用すると、Host Fabric Interconnect (HFI) ハードウェアに対して、クラスター環境内のコンピュートノードと I/O ノード間の高パフォーマンスデータ転送 (高帯域幅、高メッセージレート、低レイテンシー) 向けの初期化および設定を実行できます。
Intel® Omni-Path のドキュメントの取得方法については、https://access.redhat.com/articles/2039623 を参照してください。

IBM System z 上の Diag0c のサポート

Red Hat Enterprise Linux 7.2 ではテクノロジープレビューとして IBM System z 上で Diag0c 機能を導入しています。Diag0c 対応となったことで、z/VM ハイパーバイザーが提供する CPU パフォーマンスメトリクスが読み取れるほか、診断タスクが実行された Linux ゲストの各オンライン CPU の管理時間を取得することができます。

RDMA 向け 10GbE RoCE Express 機能

テクノロジープレビューとして、Red Hat Enterprise Linux 7.2 には 10GbE RDMA over Converged Ethernet (RoCE) Express 機能が含まれています。これにより、 IBM System z 上でイーサネット、Remote Direct Memory Access (RDMA)、Direct Access Programming Library (DAPL)、および OpenFabrics Enterprise Distribution (OFED) API の使用が可能になります。
この機能を IBM z13 システムで使用する前に、最低限の必須サービスが適用されていることを確認してください: z/VM APAR UM34525 および HW ycode N98778.057 (bundle 14)。

IBM System z 上での zEDC 圧縮

Red Hat Enterprise Linux 7.2 には Generic Workqueue (GenWQE) エンジンデバイスドライバーがテクノロジープレビューとして含まれています。このドライバーの最初のタスクは、zlib スタイルの圧縮と RFC1950、RFC1951 および RFC1952 形式の展開を実行することですが、他の各種のタスクを加速するように調整することも可能です。

第24章 ネットワーク

Cisco usNIC ドライバー

Cisco Unified Communication Manager (UCM) サーバーには Cisco のプロプリエタリィーな User Space Network Interface Controller (usNIC) を提供するオプション機能があります。ユーザースペースのアプリケーションに対して Remote Direct Memory Access (RDMA) のような動作を実行することができるようになります。テクノロジープレビューとしての対応となる libusnic_verbs ドライバーを使用すると Verbs API ベースの標準 InfiniBand RDMA プログラミングで usNIC デバイスを使用することができるようになります。

Cisco VIC カーネルドライバー

テクノロジープレビューとしての対応となる Cisco VIC Infiniband のカーネルドライバーを使用すると RDMA (Remote Directory Memory Access) のようなセマンティックをプロプリエタリィの Cisco アーキテクチャで使用できるようになります。

Trusted Network Connect

テクノロジープレビューとしての対応となる Trusted Network Connect を TLS、802.1X、IPsec など既存のネットワークアクセス制御 (NAC) ソリューションと併用することでエンドポイントのポスチャー評価を一体化、つまりエンドポイントとなるシステムの情報を収集します (オペレーティングシステムを構成している設定、インストールしているパッケージ、その他、整合性測定と呼ばれている)。エンドポイントのネットワークへのアクセスを許可する前に、Trusted Network Connect を使用してこうした測定をネットワークアクセスポリシーに対して検証します。

qlcnic ドライバーの SR-IOV 機能

SR-IOV (Single-Root I/O virtualization) のサポートが qlcnic ドライバーにテクノロジープレビューとして追加されています。この機能のサポートは QLogic から直接提供されます。QLogic および Red Hat へのフィードバックをぜひお願いします。qlcnic ドライバー内の他の機能は引き続き完全対応になります。

第25章 ストレージ

SCSI 向けマルチキュー I/O スケジューリング

Red Hat Enterprise Linux 7.2 には blk-mq として知られるブロックデバイス用の新しいマルチキュー I/O スケジューリングのメカニズムが収納されています。scsi-mq パッケージを使用すると SCSI (Small Computer System Interface) サブシステムにこの新しいキューメカニズムを利用させることができるようになります。テクノロジープレビューのためデフォルトでは有効になっていません。有効にする場合は scsi_mod.use_blk_mq=Y をカーネルコマンドラインに追加します。

LVM のロックインフラストクラチャーの改善

lvmlockd は LVM の次世代ロックインフラストラクチャーです。dlm または sanlock ロックマネージャーのいずれかを使用して複数ホストの共有ストレージを安全に管理できるようになります。sanlock を使用すると lvmlockd でストレージベースのロック機能でホストを調整できるためクラスターインフラストラクチャー全体の調整が必要ありません。詳細については lvmlockd(8) の man ページを参照してください。

libStorageMgmt API の Targetd プラグイン

Red Hat Enterprise Linux 7.1 からはストレージアレイ独自の API、libStorageMgmt を使ったストレージアレイの管理が完全対応になっています。提供される API は安定性と整合性を備え、開発者は別々のストレージアレイをプログラム的に管理しハードウェアの処理速度を高める機能を利用できるようになります。また、収納されているコマンドラインインターフェースを使って libStorageMgmt を手動で使用しストレージの設定を行ったり、ストレージ管理作業を自動化したりすることもできます。
Targetd プラグインは完全対応ではありません。引き続きテクノロジープレビューとしての提供になります。

DIF/DIX

SCSI 標準に DIF/DIX が新たに追加されます。Red Hat Enterprise Linux 7.2 では新機能の章に記載されている HBA およびストレージアレイに対しては完全対応になりますが、それ以外の HBA やストレージアレイについては引き続きテクノロジープレビューになります。
DIF/DIX により一般的に使用されている 512 バイトのディスクブロックのサイズが 512 バイトから DIF (Data Integrity Field) を追加した 520 バイトに増えます。書き込み時に HBA (ホストバスアダプター) で計算されるデータブロックのチェックサム値がこの DIF に格納されます。ストレージデバイスはデータを受け取る時にこのチェックサムを確認してからデータとチェックサムの両方を保存します。読み取り時は逆にストレージデバイスおよび受取側の HBA にチェックサムを検証させることができます。

第26章 仮想化

仮想化のネスト

Red Hat Enterprise Linux 7.2 ではネスト化した仮想化機能をテクノロジープレビューとして提供しています。KVM ゲストをホストとして起動し、これがハイパーバイザーとして動作して、それ自体のゲストを作成できるようになります。

virt-p2v ツール

Red Hat Enterprise Linux 7.2 ではテクノロジープレビューとして virt-p2v ツールを提供しています。virt-p2v (物理から仮想) は CD-ROM、ISO、PXE などのイメージです。ユーザーは物理マシンでこのイメージを起動することができ、その物理マシンと同一のディスクコンテンツを持つ KVM 仮想マシンを作成します。

KVM ゲスト用の USB 3.0 サポート

KVM ゲスト用の USB 3.0 ホストアダプター (xHCI) エミュレーションは Red Hat Enterprise Linux 7.2 では引き続きテクノロジープレビューになります。

VirtIO-1 サポート

Virtio ドライバーがカーネル 4.1 に更新され、VirtIO 1.0 デバイスに対応するようになります。

パート III. デバイスドライバー

本パートでは、Red Hat Enterprise Linux 7.2 で更新された全デバイスドライバーの包括的な一覧を提供します。

第27章 ストレージドライバーの更新

  • hpsa ドライバーがバージョン 3.4.4-1-RH4 に更新されています。
  • qla2xxx ドライバーがバージョン 8.07.00.18.07.2-k に更新されています。
  • lpfc ドライバーがバージョン 10.7.0.1 に更新されています。
  • megaraid_sas ドライバーがバージョン 06.807.10.00 に更新されています。
  • fnic ドライバーがバージョン 1.6.0.17 に更新されています。
  • mpt2sas ドライバーがバージョン 20.100.00.00 に更新されています。
  • mpt3sas ドライバーがバージョン 9.100.00.00 に更新されています。
  • Emulex be2iscsi ドライバーがバージョン 10.6.0.0r に更新されています。
  • aacraid ドライバーがバージョン 1.2 に更新されています。
  • bnx2i ドライバーがバージョン 2.7.10.1 に更新されています。
  • bnx2fc ドライバーがバージョン 2.4.2 に更新されています。

第28章 ネットワークドライバーの更新

  • tg3 ドライバーがバージョン 3.137 に更新されています。
  • e1000 ドライバーがバージョン 7.3.21-k8-NAPI に更新され、xmit_more Boolean 変数を使用する場合の txtd 更新の遅延に対応するようになります。
  • e1000e ドライバーがバージョン 3.2.5-k に更新されています。
  • igb ドライバーがバージョン 5.2.15-k に更新されています。
  • igbvf ドライバーがバージョン 2.0.2-k に更新されています。
  • ixgbevf ドライバーがバージョン 2.12.1-k に更新されています。
  • ixgbe ドライバーがバージョン 4.0.1-k に更新されています。
  • bna ドライバーとファームウェアがバージョン 3.2.23.0r に更新されています。
  • bnx2 ドライバーがバージョン 2.2.6 に更新されています。
  • CNIC ドライバーがバージョン 2.5.21 に更新されています。
  • bnx2x ドライバーがバージョン 1.710.51-0 に更新され、qlogic-nx2 アダプターの qlogic NPAR にも対応するようになります。
  • be2net ドライバーがバージョン 10.6.0.3r に更新されています。
  • qlcnic ドライバーがバージョン 5.3.62 に更新されています。
  • qlge ドライバーがバージョン 1.00.00.34 に更新され、システムクラッシュを招く原因となっていた NAPI (New API) 登録と無登録間の競合状態が修正されました。この競合状態は、NIC が「down」に設定されている間に特定のパラメーターが変更されると発生していました。
  • r8169 ドライバーがバージョン 2.3LK-NAPI に更新されました。
  • i40e ドライバーがバージョン 1.3.21-k に更新されました。
  • i40evf ドライバーがバージョン 1.3.13 に更新されました。
  • netxen_nic ドライバーがバージョン 4.0.82 に更新されました。
  • sfc ドライバーが最新のアップストリームバージョンに更新されました。
  • 本更新で fm10k ドライバーのバージョン 0.15.2-k が追加されます。
  • 本更新で netns 機能などを含む VTI6 サポートが追加されます。
  • ボンディングドライバーがバージョン 3.7.1 に更新されました。
  • iwlwifi ドライバーが最新のアップストリームバージョンに更新されました。
  • vxlan ドライバーがバージョン 0.1 に更新されました。

第29章 グラフィックドライバーおよび他のドライバーの更新

  • HDA ドライバーが最新のアップストリームバージョンに更新され新しい jack kctls メソッドを使用するようになります。
  • HPI ドライバーがバージョン 4.14 に更新されました。
  • Realtek HD-audio コーデックドライバーが更新され EAPD init コードの更新を含むようになります。
  • IPMI ドライバーが更新され timespec の使用が timespec64 に差し替えられました。
  • i915 ドライバーが更新され Red Hat Enterprise Linux 7.2 で ACPI Video Extensions ドライバーのリベースが含まれるようになります。
  • ACPI Fan ドライバーがバージョン 0.25 に更新されました。
  • Update NVM-Express ドライバーがバージョン 3.19 に更新されました。
  • rtsx ドライバーがバージョン 4.0 に更新され rtl8402 チップ、rts524A チップ、rts525A チップに対応するようになります。
  • Generic WorkQueue Engine デバイスドライバーが最新のアップストリームバージョンに更新されました。
  • PCI ドライバーがバージョン 3.16 に更新されました。
  • EDAC カーネルモジュールが更新され Intel Xeon v4 プロセッサーに対応するようになります。
  • pstate ドライバーが更新され第 6 世代 Intel Core プロセッサーに対応するようになります。
  • intel_idle ドライバーが更新され第 6 世代 Intel Core プロセッサーに対応するようになります。

第30章 非推奨の機能

本章では、Red Hat Enterprise Linux 7.2 までの Red Hat Enterprise Linux 7 のすべてのマイナーリリースで非推奨となった機能の概要を説明します。
非推奨の機能は、Red Hat Enterprise Linux 7 のライフサイクル終了までサポートされます。非推奨の機能は、本製品の今後のメジャーリリースではサポートされない可能性が高く、新しいデプロイメントには推奨されません。特定のメジャーリリースの非推奨の機能の最新の一覧については、そのメジャーリリースの最新版のリリースノートを参照してください。
現行および今後のメジャーリリースでは、非推奨の ハードウェア コンポーネントの新規実装は推奨されません。ハードウェアドライバー更新はセキュリティーと重大な修正のみに限定されます。Red Hat では、このようなハードウェアはできるだけ早い機会に取り替えることをお勧めしています。
パッケージ も非推奨になる場合があり、その場合は今後の使用には推奨されません。特定の状況では、製品からパッケージを削除できることもあります。このような場合では、非推奨となったパッケージと同様、同一、またはより進んだ機能を提供する最近のパッケージを製品のドキュメントで特定され、より詳細な推奨事項が提供されます。

Windows ゲスト仮想マシンのサポートが限定される

Red Hat Enterprise Linux 7 の時点では、Windows ゲスト仮想マシンは、Advanced Mission Critical (AMC) などの特定のサブスクリプションプログラムにおいてのみサポートされています。

非推奨となったデバイスドライバー

  • 3w-9xxx
  • 3w-sas
  • mptbase
  • mptctl
  • mptsas
  • mptscsih
  • mptspi
  • qla3xxx
  • megaraid_sas ドライバーの以下のコントローラーが非推奨となりました。
    • Dell PERC5、PCI ID 0x15
    • SAS1078R、PCI ID 0x60
    • SAS1078DE、PCI ID 0x7C
    • SAS1064R、PCI ID 0x411
    • VERDE_ZCR、PCI ID 0x413
    • SAS1078GEN2、PCI ID 0x78
  • be2net ドライバーによって制御される次のイーサネットアダプターは非推奨となりました。
    • TIGERSHARK NIC、PCI ID 0x0700
  • be2iscsi ドライバーの以下のコントローラーは非推奨となりました。
    • Emulex OneConnect 10Gb iSCSI Initiator (generic)、PCI ID 0x212
    • OCe10101、OCm10101、OCe10102、OCm10102 BE2 アダプターファミリー、PCI ID 0x702
    • OCe10100 BE2 アダプターファミリー、PCI ID 0x703
  • lpfc ドライバーの以下の Emulex ボードは非推奨となりました。
    BladeEngine 2 (BE2) デバイス
    • TIGERSHARK FCOE、PCI ID 0x0704
    ファイバーチャンネル (FC) デバイス
    • FIREFLY、PCI ID 0x1ae5
    • PROTEUS_VF、PCI ID 0xe100
    • BALIUS、PCI ID 0xe131
    • PROTEUS_PF、PCI ID 0xe180
    • RFLY、PCI ID 0xf095
    • PFLY、PCI ID 0xf098
    • LP101、PCI ID 0xf0a1
    • TFLY、PCI ID 0xf0a5
    • BSMB、PCI ID 0xf0d1
    • BMID、PCI ID 0xf0d5
    • ZSMB、PCI ID 0xf0e1
    • ZMID、PCI ID 0xf0e5
    • NEPTUNE、PCI ID 0xf0f5
    • NEPTUNE_SCSP、PCI ID 0xf0f6
    • NEPTUNE_DCSP、PCI ID 0xf0f7
    • FALCON、PCI ID 0xf180
    • SUPERFLY、PCI ID 0xf700
    • DRAGONFLY、PCI ID 0xf800
    • CENTAUR、PCI ID 0xf900
    • PEGASUS、PCI ID 0xf980
    • THOR、PCI ID 0xfa00
    • VIPER、PCI ID 0xfb00
    • LP10000S、PCI ID 0xfc00
    • LP11000S、PCI ID 0xfc10
    • LPE11000S、PCI ID 0xfc20
    • PROTEUS_S、PCI ID 0xfc50
    • HELIOS、PCI ID 0xfd00
    • HELIOS_SCSP、PCI ID 0xfd11
    • HELIOS_DCSP、PCI ID 0xfd12
    • ZEPHYR、PCI ID 0xfe00
    • HORNET、PCI ID 0xfe05
    • ZEPHYR_SCSP、PCI ID 0xfe11
    • ZEPHYR_DCSP、PCI ID 0xfe12
使用中のシステム上の PCI ID を確認するには、lspci -nn コマンドを実行します。
上記のドライバーでこの一覧には含まれない他のコントローラーについては変更がない点に注意してください。

パート IV. 既知の問題

Red Hat Enterprise Linux 7.2 で既知の問題を記載します。

第31章 全般的な更新

TAB キーはデフォルトで $PWD を展開しない

Red Hat Enterprise Linux 6 で CLI を使用する場合は、TAB キーを押すと、$PWD/ が現行ディレクトリーに展開されました。Red Hat Enterprise Linux 7 では、CLI での動作が同じではありません。ユーザーは以下の行を $HOME/.bash_profile ファイルに追加してこの動作を実行できます。
if ((BASH_VERSINFO[0] >= 4)) && ((BASH_VERSINFO[1] >= 2)); then
    shopt -s direxpand
fi

Red Hat Enterprise Linux 6 からのアップグレードが IBM Power Systems で失敗する可能性

yaboot ブートローダーのバグが原因で Red Hat Enterprise Linux 6 から Red Hat Enterprise Linux 7 へのアップグレードが、IBM Power Systems サーバーでは Unknown or corrupt filesystem のエラーが出て失敗する可能性があります。
この問題は通常、yaboot.conf 設定ファイルの場所が間違っているために発生します。このファイルが存在しかつ有効で、標準の (LVM 以外の) /boot パーティションにあることを確認してください。

/etc/os-release ファイルの情報がシステムアップグレード後に古いものになっている

次のマイナーリリースにアップグレード (例えば、Red Hat Enterprise Linux 7.1 から 7.2) しても、/etc/os-release ファイルは新たな製品番号で更新されません。このファイルは以前のリリース番号のままになり、os-release.rpmnew という名前の新たなファイルが /etc ディレクトリーに配置されます。
/etc/os-release ファイルを最新状態に保つ必要がある場合は、/etc/os-release.rpmnew で置き換えます。

第32章 認証および相互運用性

短いライフタイムの Kerberos チケットリクエストが拒否される

Active Directory のバグのために、短いライフタイム (通常、3 分未満) の Kerberos チケットリクエストは拒否されます。この問題を回避するには、代わりにライフタイムが長い (5 分以上) のチケットをリクエストします。

Red Hat Enterprise Linux 7 マシンから Red Hat Enterprise Linux 6 マシンへの複製が失敗する

現在は、Camellia Kerberos 暗号化タイプ (enctypes) が krb5、krb5-libs、krb5-server のパッケージにデフォルトとして使用可能な enctypes として含まれています。このため、Red Hat Enterprise Linux 7 マシンから Red Hat Enterprise Linux 6 マシンの複製はエラーメッセージが出て失敗します。この問題を回避するには、デフォルトの enctype 制御を使用するか、kadmin または ipa-getkeytab に使用する暗号化タイプを指示します。

無害のエラーメッセージが SSSD の開始時にログ記録される

AD との信頼関係が確立されていない IdM サーバーに SSSD が接続されると、以下の無害なエラーメッセージが開始時に SSSD ドメインログに記録されます。
Internal Error (Memory buffer error)
このエラメッセージを発生しないようにするには、信頼できるドメインを設定しない環境では、sssd.conf ファイルで subdomains_providernone に設定します。

DNS ゾーンが最近生成された DNSSEC キーで適切に署名されない

IdM が DNS ゾーンを最近生成された DNS Security Extensions (DNSSEC) キーで署名しません。この場合、named-pkcs11 サービスが以下のエラーを記録します。
The attribute does not exist: 0x00000002
このバグは、DNSSEC キー生成と配布プロセスとの競合状態エラーによって発生します。この競合状態のために、named-pkcs11 は新たな DNSSEC キーにアクセスできなくなります。
この問題を回避するには、影響を受けたサーバーで named-pkcs11 を再起動します。再起動後は、DNS ゾーンは正常に署名されます。DNSSEC キーが変更されると、このバグが再発生する可能性があることに注意してください。

realmd の実行中に realmd を更新すると、古いバージョンの realmd が起動される

realmd デーモンはリクエストされた時にのみ開始され、特定のアクションを実行した後は、一定の時間が経過するとタイムアウトします。realmd の実行中に更新されると、次回のリクエストでは古いバージョンの realmd が起動します。これは、更新後に realmd が再起動されていないためです。この問題を回避するには、更新時に reamld が実行中でないことを確認してください。

ipa-server-install と ipa-replica-install がオプションを検証しない

ipa-server-install および ipa-replica-install ユーティリティーは現在、提供されたオプションを検証しません。これらのユーティリティーに間違った値を渡すと、インストールは失敗します。この問題を回避するには、正しい値を渡すように確認してから再度ユーティリティーを実行します。

必要な openssl バージョンがインストールされていないと、ipa パッケージのアップグレードが失敗する

ipa パッケージのアップグレード時に、Identity Management (IdM) は必要となる openssl パッケージのバージョンを自動的にインストールしません。このため、ユーザーが yum update ipa* コマンドを実行する前に 1.0.1e-42 バージョンの openssl がインストールされていないと、DNSKeySync サービスの設定中にアップグレードが失敗します。
この問題を回避するには、ipa のアップグレード前に openssl を手動でバージョン 1.0.1e-42 以降に更新します。

第33章 コンパイラーとツール

FCoE 経由で SAN から起動する際の複数のバグ

FCoE (Fibre Channel over Ethernet) による SAN (Storage Area Network) からの起動を実装している最近の事例で複数のバグが発生しています。これらのバグを修正するための Red Hat Enterprise Linux 7 向けリリースを行う予定です。影響を受けるバグ一覧および回避方法がある場合はその詳細などについては Red Hat サポート担当者までご連絡ください。

Valgrind は Open MPI の旧バージョンに対してビルドされたプログラムは実行できない

Red Hat Enterprise Linux 7.2 で対応しているのはバージョン 1.10 の Open MPI アプリケーションバイナリーインターフェース (ABI) のみです。このバージョンは以前に配信されたOpen MPI ABI のバージョン 1.6 とは互換性がありません。このため、Open MPI の旧バージョンに対してビルドされるプログラムは Red Hat Enterprise Linux 7.2 に収納されている Valgrind 配下では実行できません。この問題を回避するため、Open MPI バージョン 1.6 に対してリンクされているプログラムの場合には Red Hat Developer Toolset バージョンの Valgrind を使用してください。

GCC が生成する統合機能が SystemTap を混乱

GCC 最適化では、他の関数のインラインのコピーの一部向けに合成関数を生成することが可能です。この合成関数はファーストクラス関数に見え、SystemTap や GDB といったツールを混乱させます。これは、合成関数と実関数の両方のエントリーポイントに SystemTap プローブを配置することが可能なためです。これは、単一の基礎的関数コールで複数の SystemTap プローブヒットにつながります。
この問題を回避するには、SystemTap スクリプトに再帰の検出やインライン化された部分関数に関連するプローブの抑制といった対抗措置を採用する必要がある可能性があります。例えば、
probe kernel.function("can_nice").call { }
上記のスクリプトは、以下のような問題を避けることを試みます。
global in_can_nice% probe kernel.function("can_nice").call { in_can_nice[tid()] ++; if (in_can_nice[tid()] > 1) { next } /* real probe handler here */ } probe kernel.function("can_nice").return { in_can_nice[tid()] --; }
このスクリプト例は、可能性のあるあらゆるシナリオを考慮しているわけではありません。例えば、kprobes や kretprobes がない場合や、本当に再帰が意図されている場合などでは、予想通りの動作にはなりません。

ABRT のバックトレース収集時に SELinux AVC が生成される

新たな ABRT のオプション機能を有効にして /etc/abrt/plugins/CCpp.conf 設定ファイルの CreateCoreBacktrace オプションを使用),、コアダンプファイルをディスクに書き込まずにクラッシュしたプロセスからバックトレースを収集できるようにすると、abrt-hook-ccpp ツールがクラッシュしたプロセスで sigchld アクセスを使用してプロセスのすたく上の関数一覧を取得使用とすると、SELinux AVC メッセージが生成されます。

ウォッチポイントをヒットと報告した後も GDB がウォッチポイントをアクティブで維持する

64-bit ARM アーキテクチャーでは、GDB ウォッチポイントをヒットと報告した後も間違ってアクティブに維持する場合があります。こうなるとウォッチポイントは 2 回ヒットされることになり、この場合にのみハードウェア表示がウォッチポイントとして認識されず、一般的な SIGTRAP シグナルとしてプリントされます。この問題を回避して余分な SIGTRAP レポートを止める方法はいくつかあります。
* ウォッチポイントがヒットされた後に SIGTRAP を見たら、continue と入力する。
* ~/.gdbinit 設定ファイルに以下の行を追加して、GDB に SIGTRAP シグナルを無視するよう指示する。
handle SIGTRAP nostop noprint
* ハードウェアウォッチポイントの代わりにソフトウェアウォッチポイントを使用する。ソフトウェアウォッチポイントではデバッグは大幅に遅くなり、使用可能なのは watch コマンド (rwatchawatch は使用不可) であることに注意してください。~/.gdbinit 設定ファイルに以下の行を追加します。
set can-use-hw-watchpoints 0

grubaa64.efi を使ったブートが失敗する

pxeboot または PXE 設定ファイルの問題により、7.2 grubaa64.efi ブートローダーを使って Red Hat Enterprise Linux 7.2 をインストールすると失敗するか、オペレーティングシステムの起動に非常に時間がかかることになります。回避策としては、Red Hat Enterprise Linux 7.2 のインストール時に 7.2 grubaa64.efi ファイルではなく 7.1 grubaa64.efi ファイルを使用します。

GCC の MPX 機能が Red Hat Developer Toolset バージョンの libmpx ライブラリーを必要とする

libmpxwrappers ライブラリーは、gcc-libraries バージョンの libmpx ライブラリーから欠落しています。このため、MPX (メモリー保護拡張機能) が GCC で正常に機能せず、アプリケーションが適切にリンクしない可能性があります。この問題を回避するには、Red Hat Developer Toolset 4.0 バージョンの libmpx ライブラリーを使用します。

第34章 デスクトップ

破損している pygobject3 パッケージの依存性により Red Hat Enterprise Linux 7.1 からのアップグレードができない

pygobject3-devel.i686 32 ビットパッケージは Red Hat Enterprise Linux 7.2 では削除され multilib バージョンに差し替えられました。このパッケージの 32 ビットバージョンを Red Hat Enterprise Linux 7.1 システムにインストールしている場合は Red Hat Enterprise Linux 7.2 にアップグレードしようとすると yum エラーが発生します。
この問題を回避するため、yum remove pygobject3-devel.i686 コマンドを root で使用し、このパッケージの 32 ビットバージョンをアンインストールしてからシステムのアップグレードを行ってください。

Emacs のビルド要件が正確に定義されていない

binutils パッケージの 2.23.52.0.1-54 以前のバージョンでは、ビルド中にセグメント化障害が発生します。このため、IBM Power Systems で Emacs テキストエディターをビルドすることができません。この問題を回避するには、最新の binutils をインストールします。

ノート型パソコンのドッキングステーションとサスペンドを組み合わせる際の外部ディスプレイの問題

GNOME デスクトップ環境では、ノート型パソコンによっては、パソコンをドッキングステーションから外して再接続した後に、サスペンド状態から復帰しても外部ディスプレイが自動的にアクティベートされない場合があります。
この問題を回避するには、ディスプレイ設定パネルを開くか、端末で xrandr コマンドを実行します。これで外部ディスプレイが利用可能になります。

ARM で上向きの矢印を使用すると、Emacs が予期せず終了することがある

ARM アーキテクチャーでは、Emacs テキストエディターでファイルバッファーを上向きにスクロールしていると、予期せず終了することがあります。この問題に関しては、現時点では回避策はありません。

第35章 インストールと起動

キックスタートファイルで %packages --nobase --nocore を指定すると、トレースバックとともにインストールが失敗する

キックスタートファイルに %packages セクションが含まれていて --nobase--nocore のオプションを同時に指定するとトレースバックメッセージが出てインストールが失敗します。これは、yum-langpacks パッケージがないためです。
この問題を回避するには、キックスタートファイルで %packages --nobase --nocore を使用する際に、%packages セクションに yum-langpacks パッケージを追加します。

キックスタートで指定された root パスワードがポリシー要件を満たさない場合、インストールを続行できない

root パスワードを定義しているキックスタートファイルを使用していて、そのパスワードが Security Policy で選択されたセキュリティーポリシーの要件を満たさない場合、インストールを完了することができません。インストールの開始 ボタンが灰色表示され、このボタンを押す前に root パスワードを手動で変更することができません。
この問題を回避するには、キックスタートで使用するパスワードが選択されたセキュリティーポリシーで定義されている要件を満たすことを確認します。

レスキューモードで Btrfs の root ボリュームの検出とマウントに失敗する

インストーラーのレスキューモード (インストールメディアのブートメニューから、または inst.rescue ブートオプションを使用してアクセス) では、Btrfs サブボリューム上に配置された / (root) ディレクトリーがある既存システムを検出できません。代わりに、'You don't have any linux partitions.' というエラーメッセージが表示されます。
この問題を回避するには、shell に入り、root ボリュームを手動でマウントします。

Initial Setup で間違ったウィンドウのタイトル

Initial Setup ツールは、インストール後の最初の再起動後に自動的に表示され、ネットワーク接続やシステム登録ができるものです。このウィンドウタイトルに __main__.py という文字列が表示されます。
これは表面上の問題で、使用上の問題はありません。

FBA DASD の IBM System z 上で再インストールを実行すると、インストーラーがクラッシュする

Fixed Block Architecture (FBA) DASD の IBM System z 上で Red Hat Enterprise Linux 7 を再インストールすると、これらデバイスのサポートが完全でないことから、インストーラーがクラッシュします。
この問題を回避するには、FBA DASD をデバイスの無視対象リストに入れて、インストール中に存在しないようにします。これは、インストーラーの起動前に行なってください。root シェルから chccwdev コマンドを実行し、さらに cio_ignore コマンドでデバイスを手動でオフラインに切り替え、デバイスの無視対象リストに追加します。
別の方法では、これらのコマンドを使用する代わりに、インストール開始前に CMS 設定ファイルからすべての FBA DASD デバイス ID を削除します。

IBM System z でのインストール後に HyperPAV エイリアスが利用できない

既知の問題により、HyperPAV エイリアスとして設定された DASD をインストール後に自動的にシステムにアタッチすることができません。これらのストレージデバイスはインストール中に Installation Destination 画面で利用可能となっていますが、インストール後に再起動すると、すぐにはアクセスできません。
この問題を一時的に (次回の再起動まで) 解決するには、chccwdev コマンドを使用してこれらのデバイスをデバイスブラックリストから削除します。
# chccwdev -e <devnumber>
再起動後も HyperPAV エイリアスを利用可能にするには、デバイス番号を /etc/dasd.conf 設定ファイルに追加します。
lsdasd コマンドを使うとデバイスが利用可能になったことが確認できます。

IBM System z 上で生成された anaconda-ks.cfg ファイルがシステムの再インストールに使用できない

anaconda-ks.cfg ファイルはシステムのインストール中に生成されるキックスタートファイルで、インストールプロセス中に選択されたものがすべて含まれています。このファイルは、 IBM System z DASD 上のディスクサイズを小数で表示します。これは DASD が 4KiB アライメントをレポートするためですが、受け入れられるのは整数のみであることから、計算されたディスクサイズはキックスタートファイルに記録される際に間違ったものになります。このため、生成されたキックスタートファイルを使用してインストールを再生することができません。
IBM System z 上で anaconda-ks.cfg ファイルを使用してシステムを再生するには、すべての小数値を手動で整数に変更する必要があります。

インストール中の NetworkManager のエラーメッセージ

システムのインストール中に、次のエラーメッセージが表示され、ログに記録されることがあります。
ERR NetworkManager: <error> [devices/nm-device.c:2590] activation_source_schedule(): (eth0): activation stage already scheduled
このエラーメッセージのためにインストールが完了できないことはありません。

libocrdma パッケージが InfiniBand Support パッケージグループから欠落している

libocrdma パッケージが InfiniBand Support グループのデフォルトパッケージセットに収納されていません。このため InfiniBand Support グループを選択し、Emulex OneConnect アダプターでの RoCE (RDMA over Converged Ethernet) の正常な動作を期待しても、必要なドライバー libocrdma がデフォルトではインストールされません。
初回の起動時、手作業で次のコマンドを実行し足りないパッケージをインストールします。
# yum install libocrdma
別の方法では、キックスタートファイルの %packages セクションに libocrdma パッケージを追加します。
これで Emulex OneConnect デバイスを RoCE モードで使用できるようになります。

/boot パーティションのサイズが十分でないため、システムのアップグレードができない

/boot パーティションにはインストール済みのカーネルや初期 ram ディスクが含まれていますが、複数のカーネルや kernel-debug などの新たなパッケージがインストールされると、満杯になってしまう場合があります。これはインストール中にこのパーティションのサイズがデフォルトの 500 MB に設定されるためで、システムがアップグレードできなくなります。
回避策としては、yum を使用して不要になった古いカーネルを削除します。新規システムをインストールする場合はこの可能性を考慮して、/boot パーティションをデフォルトサイズ (500 MB) よりも大きいサイズ (例えば 1 GB) に設定します。

1 つ以上のディスクでラベルが欠けている場合、マルチパスデバイスでのインストールが失敗する

マルチパスデバイスへのインストール時には、マルチパスのメンバーである 1 つ以上のディスクの読み込みに失敗すると、インストーラーがエラーダイアログを表示します。この問題は、1 つ以上のディスクでラベルが欠けていて、その場合にインストールが続行できないために発生します。
この問題を回避するには、インストール中に使用するマルチパスデバイスの一部であるディスクすべてでディスクラベルを作成します。

ホスト名が %pre スクリプトで定義されていると、キックスタートの静的 IPv4 設定が上書きされる

キックスタートファイルの %pre セクションでホスト名を定義する際、ホスト名を設定するだけの network コマンド ("network --hostname=hn") は、デフォルトの --bootproto 値 ("dhcp") およびデフォルトの --device 値 ("link"、これはリンクが見つかった最初のデバイスを意味します) のデバイス設定とみなされます。するとキックスタートは、network --hostname=hn --device=link が使用されたかのように動作します。
--device オプションでデフォルトとみなされているデバイス (リンクが見つかった最初のデバイス) が静的 IPv4 設定を使用するように設定されている場合 (例えば、前の network コマンドで)、この設定は --hostname オプションで暗黙に示される IPv4 DHCP で上書きされます。
この問題を回避するには、ホスト名を定義する network コマンドを最初に使用し、その次に通常は上書きされる 2 つ目の network コマンドを使用するようにします。
キックスタートファイル内でホスト名を定義する network コマンドがそれ 1 つの場合、--device オプションに存在しないインターフェースを指定して追加します (例、network --hostname=hn --device=x)。

キックスタートで realm コマンドを使用すると、インストーラーがクラッシュする

既知の問題により、realm コマンドはキックスタートファイルで使用できません。インストール中にこのコマンドを使って Active Directory または Identity Management ドメインに参加しようとすると、インストーラーがクラッシュします。
この問題を回避するには、インストールが完了するのを待ってから手動でドメインに参加するか、realm join <realm name> コマンドをキックスタートファイルの %post セクションに追加します。コマンドラインを使ってドメインに参加することについての情報は、realm(8) man ページを参照してください。

システムアップグレード中にインストールのビルドインヘルプが更新されない

Red Hat Enterprise Linux 7.1 から 7.2 にアップグレードする際に、Anaconda インストールのビルドインヘルプ (anaconda-user-help パッケージ) が更新されません。これはパッケージが大幅に変更されているためです。
この問題を回避するには、アップグレード実行前に yum を使用して anaconda-user-help パッケージを削除し、Red Hat Enterprise Linux 7.2 へのアップグレードが完了した後でこのパッケージを再度インストールします。

grubby により間違った順序のブートメニューエントリーが生成される

grubby ツールは、GRUB2 ブートローダー設定ファイルの修正と更新に使用されますが、ブートメニュー設定ファイルを生成する際にリストの最上部にデバッグブートメニューエントリーを追加する場合があります。通常のエントリーがデフォルトでハイライト表示され選択されていても、このデバッグメニューエントリーがこれらのエントリーを押し下げます。

複数のドライバー更新イメージを同時に使用しても、最後に指定されたものだけが適用される

インストール中に inst.dd=/dd.img ブートオプションを使用し、複数のドライバー更新イメージを一度に読み込むように指定してドライバー更新の実行を試みると、Anaconda は最後のパラメーターインスタンスを除いてすべて無視します。
この問題を回避するには、以下の方法があります。
* 可能な場合はインストール後に追加ドライバーをインストールする
* driverdisk キックスタートコマンドのようなドライバー更新イメージを指定する別の方法を使用しる
* 複数のドライバー更新イメージを 1 つにする

LDL 形式の DASD を検出するとインストールがクラッシュする

IBM System z 上で LDL (Linux Disk Layout) 形式の DASD を検出すると、インストーラーがクラッシュします。このクラッシュは libparted ライブラリー内の競合状態によって発生し、これらの DASD がインストールターゲットとして選択されていなくても発生します。これ以外のアーキテクチャーでは、この問題はありません。
LDL 形式の DASD をインストール中に使用する場合は、インストーラーを起動する前に root シェルの dasdfmt コマンドを使用して各 LDL DASD を手動で CDL (Compatible Disk Layout) に再フォーマットします。
LDL DASD がシステム上に存在し、これらをインストール中に使用したくない場合は、インストールプロセス中はデバイスの無視対象リストに入れてます。これは、インストーラーの起動前に行なってください。root シェルから chccwdev コマンドを実行し、さらに cio_ignore コマンドでデバイスを手動でオフラインに切り替え、デバイスの無視対象リストに追加します。
別の方法では、これらのコマンドを使用する代わりに、インストール開始前に CMS 設定ファイルからすべての LDL DASD デバイス ID を削除します。

カーネルと redhat-release パッケージのアップグレード後に再起動するとカーネルパニックが発生

redhat-release-server-7.2-9.el7kernel パッケージを同一の Yum 操作でインストールすると、GRUB2 設定の新規カーネルメニューエントリーで initrd の行が欠落します。すると、最後にインストールされたカーネルを使って起動を試みると、この行がないことからカーネルパニックが発生します。この問題は通常、yum update を使って以前のマイナーリリースから Red Hat Enterprise Linux 7.2 にシステムアップグレードを行う際に見られます。
この問題を回避するには、redhat-release-serverkernel のパッケージを別の Yum 操作でアップグレードするようにします。別の方法では、GRUB2 設定ファイルの新規カーネルのメニューエントリーを確かめ (BIOS システムでは /boot/grub2/grub.cfg、UEFI システムでは /boot/efi/EFI/redhat/grub.cfg)、ここに initrd を手動で追加します。
initrd の設定の行は、initrd /initramfs-3.10.0-327.el7.x86_64.img のようになります。ファイル名が同一メニューエントリー内で設定されたカーネル (vmlinuz) と一致すること、またファイルが /boot ディレクトリー内に存在することを確認します。古いメニューエントリーを参照してください。

グラフィカル環境がインストールされていても、Initial Setupがテキストモードで開始される

Initial Setup ユーティリティーはインストールが完了し、インストールされたシステムの初回起動後にスタートします。これが場合よっては、グラフィカル環境が利用可能でグラフィカルバージョンの Initial Setup がスタートすべき状況でも、テキストモードでスタートするケースがあります。これは、Initial Setup のグラフィカルとテキストの両方のモードが有効になっているために発生します。
この問題を回避するには、インストール中にキックスタートファイルを使用し、%post セクションを含めて実行しないバージョンの Initial Setup を無効にします。
インストール後にグラフィカルバージョンの Initial Setup を実行するようにするには、以下の %post セクションを使用します。
%post
systemctl disable initial-setup-text.service
systemctl enable initial-setup-graphical.service
%end
テキストモードの Initial Setup を使用するには、enabledisable コマンドを入れ替えて、グラフィカルサービスを無効に、テキストモードを有効にします。

/lib//lib64/ のルート以外のファイルシステムへのリンクが ldconfig.service により削除される

Red Hat Enterprise Linux 7.2 では ldconfig.service が導入され、ルート以外のファイルシステムがマウントされる前に、起動プロセスの初期段階で実行されます。ldconfig.service が実行されると、/lib/ ディレクトリーと /lib64/ ディレクトリー内のリンクが削除されます (これらのリンクがまだマウントされていないファイルシステムを参照する場合)。この問題を回避するには、これらのシンボリックリンクが削除されずに、システムが期待どおりに起動するようコマンド systemctl mask ldconfigldconfig.service を無効にします。

Red Hat Enterprise Linux 7.2 へのアップデート後に IPC を使用しているデーモンが予期せずに終了する

Red Hat Enterprise Linux 7.2 では、ユーザーが完了した最後のセッションでのすべての割り当て済みプロセス間通信 (IPC) リソースのクリーンアップという新しい systemd 機能が導入されました。セッションは管理 cron ジョブまたは対話型セッションになります。この動作により、同じユーザーで同じリソースを使用して実行されているデーモンが予期せず終了することがあります。この問題を回避するには、ファイル /etc/systemd/logind.conf を編集し、以下の行を追加します。
RemoveIPC=no
次に、以下のコマンドを実行して変更を反映します。
systemctl restart systemd-logind.service
これらの手順の実行後は、説明された状況でデーモンがクラッシュしなくなります。

第36章 カーネル

一部の ext4 ファイルシステムのサイズ変更ができない

ext4 コード内のバグが原因で現在、1 キロバイトのブロックサイズで 32 メガバイト未満の ext4 ファイルシステムはサイズ変更を行えません。

iSER を有効にしている iSCSI ターゲットで接続ロスが繰り返される

iSER を有効にしている iSCSI ターゲットとしてサーバーを使用している場合、接続の損失が繰り返し発生するとターゲットが応答を停止する可能性があります。このためカーネルが反応しなくなります。この問題を回避する場合は iSER 接続の損失を最小限に抑えるか iSER iSCSI 以外のモードに戻します。

インストーラーが EDD システム上のイーサネット上ファイバーチャネル (FCoE) ディスクを検出しない

EDD システムでは、edd ドライバーがないことから、Anaconda は自動的に FCoE ディスクを検出しません。このため、これらのディスクはインストール中に使用できません。
この問題を回避するには、以下の手順を実行します。
* fcoe=edd:nodcb をインストール中にカーネルコマンドラインに追加すると、Anaconda が FCoE ディスクを検出するようになります。
* fcoe=edd:nodcb をレスキューイメージに追加し、システムをこれで起動します。
* 以下のコマンドを実行して、edd モジュールを initrd イメージに追加します。
#dracut --regenerate-all -f
#dracut --add-drivers edd /boot/initramfs-3.10.0-123.el7.x86_64.img
* システムをデフォルトのブートメニューエントリーで再起動します。

特定の状況下では、NUMA バランス機能が適切に作動しない

Red Hat Enterprise Linux 7 では以下の条件の場合、Linux カーネルの Non-Uniform Memory Access (NUMA) バランス機能が適切に作動しません。numa_balancing オプションが設定されると、一部のメモリーは制約ノードに移動する前に目的ノードではない任意のノードに移動する可能性があり、目的ノードのメモリーが特定の状況下で減少します。現在、既知の回避策はありません。

PSM と PSM2 の API の競合を避けるために PSM2 MTL が無効にされている

新たな libpsm2 パッケージは、Intel Omni-Path デバイスとの使用目的で PSM2 API を提供します。これは、Truescale との使用目的で infinipath-psm パッケージがインストールする Performance Scaled Messaging (PSM) API と重複します。API の重複は、両方のパッケージが提供するライブラリーにプロセスがリンクする際に、未定義の動作につながります。この問題は、有効にされた MCA モジュールセットに psm2 Matching Transport Layer (MTL) と、infinipath-psm パッケージの libpsm_infinipath.so.1 ライブラリーに直接または間接的に依存する 1 つ以上のモジュールが含まれる場合、Open MPI に影響が出ます。
PSM と PSM2 API の競合を避けるために、Open MPI の psm2 MTL は /etc/openmpi-*/openmpi-mca-params.conf 設定ファイルでデフォルトで無効になっています。これを有効にすると、psm および ofi の MTL を無効にし、さらに競合する usnic Byte Transfer Layer (BTL) を無効にする必要があります (設定ファイルのコメントに指示があります)。
libpsm2-compat-develinfinipath-psm-devel のパッケージ間にも競合があります。これは両方に PSM ヘッダーファイルが含まれるためです。このため、これらのパッケージを同時にインストールすることはできません。一方をインストールする場合は、他方をアンインストールしてください。

perf ユーティリティーのパフォーマンス問題

perf archive コマンドは perf.data ファイル内にあるビルド ID でオブジェクトファイルのアーカイブを作成しますが、IBM System z 上では時間がかかります。現時点ではこの問題の回避策はありません。他のアーキテクチャーではこの問題は見られません。

qlcnic がボンディングによるスレーブ化に失敗する

特定のボンディングモードがデバイス上の MAC アドレスを設定しますが、qlcnic ドライバーはこれを適切に認識しません。これにより、デバイスは元の MAC アドレスがボンディングから削除されると、これを復元できません。
回避策としては、qlcnic ドライバーのスレーブ化を解除し、オペレーティングシステムを再起動します。

64 ビットの ARM Applied Micro コンピューターでインストールに失敗する場合がある

Applied Micro の特定の 64 ビット ARM システムでは、Red Hat Enterprise Linux 7.2 のインストールが失敗して、以下のエラーメッセージが出ます。
Unable to handle kernel NULL pointer dereference at virtual address 0000033f
現時点では、この問題の回避策はありません。

VFIO デバイスの libvirt 管理がホストのクラッシュにつながる

VFIO ドライバーを使用してゲストに割り当てられる、ホスト PCI デバイスの libvirt 管理では、ホストカーネルドライバーと vfio-pci ドライバーが同時に同一の IOMMU グループにあるデバイスにボンディングされる場合があります。これは無効な状態で、ホストが予期せず終了する原因となります。
現時点の唯一の回避策は、同一の IOMMU グループに他のデバイスがある場合には、ゲストから VFIO デバイスのホットアンプラグを実行しないことです。

iSCSI および IPv6 を使用したインストールが 15 分間ハングする

IPv6 が有効になっていると、指定された iSCSI への接続試行後に Dracut が 15 分間タイムアウトします。最終的には Dracut は接続に成功し、予想通り続行しますが、この遅延を避けるには、インストーラーのコマンドラインで ip=eth0:auto6 を使用します。

i40e NIC のフリーズ

ファームウェアが古いと、i40e ドライバーを使用したネットワークカードが無作為検出モードに入った後、約 10 秒間使用できなくなります。この問題を回避するには、ファームウェアを更新します。

i40e が WARN_ON を発行

コードが rx_ring 構造体をクローンしているものの、新規メモリーを割り当てる前にポインターをゼロ化していないため、i40e ドライバーが WARN_ON マクロを発行します。この警告はシステムには無害であることに留意してください。

netprio_cgroups が起動時にマウントされない

現在は、systemd は /sys/fs/cgroup/ ディレクトリーを読み取り専用としてマウントするので、/sys/fs/cgroup/net_prio/ ディレクトリーのデフォルトのマウントが妨げられます。このため、netprio_cgroups モジュールが起動時にマウントされません。この問題を回避するには、mount -o remount コマンドに rw -t cgroup nodev /sys/fs/cgroups を続けます。これにより、モジュールベースの cgroups を手動でインストールできます。

第37章 ネットワーク

Red Hat Enterprise Linux 7.2 カーネルではタイムアウトポリシーが有効になっていない

nfct timeout コマンドは Red Hat Enterprise Linux 7.2 では対応していません。回避方法として /proc/sys/net/netfilter/nf_conntrack_*_timeout_* にあるグローバルのタイムアウト値を使ってタイムアウト値を設定してください。

MD5 ハッシュアルゴリズムを使用した署名の検証は、Red Hat Enterprise Linux 7 で無効になっています。

MD5 で署名された証明書を必要とする Wi-Fi Protected Access (WPA) Enterprise Access Point (AP) に接続することはできません。この問題を回避するには、wpa_supplicant.service ファイルを /usr/lib/systemd/system/ ディレクトリーから /etc/systemd/system/ ディレクトリーにコピーして、そのファイルの Service のセクションに以下の行を追加します。
Environment=OPENSSL_ENABLE_MD5_VERIFY=1
次に root として systemctl daemon-reload コマンドを実行し、サービスファイルを再読み込みします。

重要

MD5 証明書は安全性が非常に低いため、Red Hat では使用を推奨していません 。

第38章 ストレージ

クラスター内で RAID に加えてシンプロビジョニングのサポートがない

RAID 論理ボリュームとシンプロビジョニングされた論理ボリュームはクラスター内でそれぞれ別にアクティブにされると使用が可能ですが、クラスター内では RAID に加えたシンプロビジョニングのサポートはされていません。これは、この組み合わせが別々にアクティベートされても変わりません。現時点では、この組み合わせがサポートされるのは、LVM の単一マシンの非クラスター化されたモードのみになります。

シンプロビジョニングの使用時にシンプールのキャパシティーが満杯になると、バッファーされた書き込みが失われる可能性がある

シンプールが満杯になると、プールが拡大していても書き込みの一部が失われる可能性があります。これは、サイズ変更操作 (自動であっても) でサイズ変更が実行される前に、未処理の I/O をストレージデバイスにフラッシュ使用とするためです。シンプールには容量がないため、I/O 操作はまずエラーになって拡大が成功する必要があります。シンプールの拡大が成功すると、このシンプールに関連付けられた論理ボリュームが通常の操作に戻ります。
この問題を回避するには、lvm.conf ファイルで 'thin_pool_autoextend_threshold' と 'thin_pool_autoextend_percent' を自分のニーズに合わせて設定します。しきい値を高く設定したりパーセンテージを低く設定すると、シンプールの容量がすぐに満杯になり、自動拡張 (または手動での拡張) する時間がなくなります。オーバープロビジョニング (バッキングのシンプールサイズを超えた論理ボリュームの作成) を使用していない場合は、シンプールが満杯に近づいてきたら必要に応じてスナップショットを削除する準備をしてください。

第39章 システムとサブスクリプションの管理

初期設定用のサブスクリプションマネージャーアドオンの 戻る ボタンが動作しない

初期設定ユーティリティーのサブクスリプションマネージャーアドオンの最初のパネルにある 戻る ボタンが動作しません。この問題を回避するため登録のワークフローを終了する場合は初期セットアップの上部にある 完了 をクリックしてください。

virt-who が Candlepin サーバーへの host-to-guest 関連付けの変更に失敗する

ゲストを追加、削除、移行する際、virt-who ユーティリティーは現在 host-to-guest マッピングの送信に失敗し、RateLimitExceededException エラーをログファイルにプリントします。この問題を回避するには、/etc/sysconfig/virt-who ファイルの VIRTWHO_INTERVAL= パラメーターを 600 などの大きい数字に設定します。これによりマッピングが正確に変更されますが、host-to-guest マッピングの変更処理には非常に長い時間がかかるようになります。

ReaR が IBM System z で ISO の作成に失敗する

ReaR は IBM System z システムで ISO を作成できません。この問題を回避するには、ISO とは異なる種類のレスキューシステムを使用してください。

ReaR はシステムリカバリー中に grub のみをサポートする

ReaR は grub ブートローダーのみをサポートします。したがって、ReaR は異なるブートローダーを使用するシステムを自動的にリカバリーできません。特に yaboot は PowerPC マシン上の ReaR によってまだサポートされていません。この問題を回避するには、ブートローダーを手動で編集します。

第40章 仮想化

KVM で GRUB 2 の操作に問題

KVM でシリアルコンソールを使用すると GRUB 2 メニューで操作を行うため一定以上の時間矢印キーを押し続けると異常な動作が見られます。この問題を回避するため、矢印キーを長く押し続けて入力を急ぐのは避けてください。

Hyper-V ゲストで GPT (GUID Partition Table) ディスクのサイズ変更を行うとパーティションテーブルエラーが発生する

最後のパーティションの後に空き領域がある場合、Hyper-V マネージャーはユーザーがディスクの未使用の最後の部分をドロップできるようにしてゲスト上にある GPT パーティションにしたディスクの縮小に対応しています。しかし、この動作によりディスクの 2 番目の GPT ヘッダーが警告を発することなく削除されてしまいます。ゲストによりパーティションテーブルの検査が行われると (parted(8) など) エラーメッセージを出力する可能性があります。Hyper-V の既知の限界になります。
これを回避するため、GPT ディスクを縮小した後に gdisk(8) エキスパートコマンド e を使って 2 番目の GPT ヘッダーを復元することができます。Hyper-V の Expand オプションを使用している場合にも発生しますが、parted(8) ツールで修正が可能です。

virsh iface-bridge でのブリッジ作成が失敗する

Red Hat Enterprise Linux 7 をネットワーク以外のソースからインストールする場合、デフォルトではネットワークデバイス名がインターフェース設定ファイルでは指定されていません (これは DEVICE= 行で実行)。このため virsh iface-bridge コマンドを使ったネットワークブリッジの作成は、エラーメッセージが出て失敗します。この問題を回避するには、/etc/sysconfig/network-scripts/ifcfg-* ファイルに DEVICE= の行を追加します。

QEMU エミュレートされた CAC スマートカードが ActivClient ソフトウェアと互換性がない

現時点では、QEMU でエミュレートされた Common Access Card (CAC) スマートカードは、ActivClient ソフトウェアが受け入れません。この問題を回避するには、pcscd デーモンを無効にし、Windows KVM ゲストのプロビジョニングを行い、これを virt-viewer ツールで事前設定し、USB リダイレクトオプションを選択します。そして、ActivClient ソフトウェアをインストールした後、KVM ゲストを再起動します。この設定により、ActivClient はエミュレートされた CAC カードを受け付けるようになります。

virtio-win VFD ファイルに Windows 10 ドライバーが含まれていない

フロッピーディスクのサイズ制限により、virtio-win パッケージ内の仮想フロッピーディスク (VFD) ファイルには、Windows 10 フォルダーが含まれていません。VFD から Windows 10 ドライバーをインストールする必要がある場合は、代わりに Windows 8 もしくは Windows 8.1 ドライバーを使用することができます。別の方法では、Windows 10 ドライバーを /usr/share/virtio-win/ ディレクトリー内の ISO ファイルからインストールすることもできます。

移行後のゲストがシリアルコンソールでブートメニューを表示しない

Red Hat Enterprise Linux 6 上で作成された仮想マシン (VM) でグラフィックカードがないもの(virt-install ユーティリティーで --graphics none オプションを使用して作成した VM など) は、Red Hat Enterprise Linux 7 ホストに移行後は、シリアルコンソールでブートメニューを表示しません。この問題を回避するには、<bios useserial='yes'/> という行を domain.xml ファイルに追加します。これにより、ブートメニューが期待通りに表示されるようになります。
XML ファイルをこの方法で修正する場合は、これを Red Hat Enterprise Linux 6.6 またはそれ以前のバージョンに使用しないでください。これらのバージョンでは、BZ#1162759 で導入された変更の恩恵が適用されません。

付録A コンポーネントのバージョン

Red Hat Enterprise Linux 7.2 リリースを構成しているコンポーネントとそのバージョンを以下に示します。

表A.1 コンポーネントのバージョン

コンポーネント
バージョン
カーネル
3.10.0-327
QLogic qla2xxx ドライバー
8.07.00.18.07.2-k
QLogic qla4xxx ドライバー
5.04.00.00.07.02-k0
Emulex lpfc ドライバー
0:10.7.0.1
iSCSI initiator utils
iscsi-initiator-utils-6.2.0.873-32
DM-Multipath
device-mapper-multipath-0.4.9-85
LVM
lvm2-2.02.130-5

付録B 改訂履歴

改訂履歴
改訂 1.0-9.3Tue Jan 27 2015Noriko Mizumoto
翻訳および査読完了
改訂 1.0-9.1Tue Jan 27 2015Noriko Mizumoto
翻訳ファイルを XML ソースバージョン 1.0-9 と同期
改訂 0.0-1.55.1Thu Jul 13 2017Terry Chuang
翻訳ファイルを XML ソースバージョン 0.0-1.55 と同期
改訂 0.0-1.55.1Thu Jul 13 2017Terry Chuang
翻訳ファイルを XML ソースバージョン 0.0-1.55 と同期
改訂 0.0-1.55Tue Feb 14 2017Lenka Špačková
cifs リベースの説明が更新されました (ファイルシステム)。
改訂 0.0-1.53Fri Oct 21 2016Lenka Špačková
i40e および i40evf ドライバーが完全にサポートされます (ネットワーキング)。
改訂 0.0-1.52Fri Sep 23 2016Lenka Špačková
「非推奨の機能」に qla3xxx ドライバーが追加されました。$PWD の展開に関する動作の変更が「既知の問題」に追加されました。
改訂 0.0-1.50Mon Sep 19 2016Lenka Špačková
OPA カーネルドライバーに対するマイナー修正の記述が追加されました (テクノロジープレビュー)。
改訂 0.0-1.49Tue Sep 13 2016Lenka Špačková
アーキテクチャーが更新されました。dracut 向けの新しい変数が追加されました (新機能 – カーネル)。Tuned に新しい oracle プロファイルに関する注記が追加されました (新機能 – サーバーおよびサービス)。OverlayFS が更新され、XFS 関連の注記が追加されました (テクノロジープレビュー – ファイルシステム)。
改訂 0.0-1.48Thu Aug 04 2016Lenka Špačková
Atomic Host と Containers のリリースノートが別々になりました。新しいドキュメントへのリンクが追加されました。
改訂 0.0-1.47Mon Aug 01 2016Lenka Špačková
「非推奨の機能」に Windows ゲスト仮想マシンの制限されたサポートに関する記述が追加されました。
改訂 0.0-1.46Thu Jul 11 2016Yoana Ruseva
Atomic Host と Containers の既知の問題が追加されました。
改訂 0.0-1.45Fri Jul 08 2016Lenka Špačková
「コンポーネントバージョン」の qla2xxx のバージョンが修正されました。
改訂 0.0-1.44Thu Jun 23 2016Yoana Ruseva
「Atomic Host とコンテナー」の章が Red Hat Enterprise Linux Atomic Host 7.2.5 のリリースに伴い更新されました。
改訂 0.0-1.43Wed Jun 22 2016Lenka Špačková
「インストールと起動」に 2 つの既知の問題が追加されました。
改訂 0.0-1.42Mon Jun 13 2016Lenka Špačková
kdump での複数の CPU のサポート」が「テクノロジープレビュー」から完全にサポートされた「新機能」に移動しました。
改訂 0.0-1.41Fri Jun 10 2016Lenka Špačková
2 つの ReaR の既知の問題が追加されました。
改訂 0.0-1.40Mon Jun 06 2016Lenka Špačková
「非推奨の機能」が追加されました。ReaR のバグ修正と OpenSSL の既知の問題が追加されました。これはすべての Red Hat Enterprise Linux 7 のマイナーリリースで有効です。
改訂 0.0-1.38Thu May 19 2016Yoana Ruseva
Atomic Host と Containers 向けの「新機能」と「テクノロジープレビュー」の章が更新されました。
改訂 0.0-1.37Thu May 12 2016Lenka Špačková
章「Atomic Host とコンテナー」が Red Hat Enterprise Linux Atomic Host 7.2.4 のリリースに伴い更新されました。2 つのバージョンの docker サービスが利用可能です。
改訂 0.0-1.36Thu Apr 21 2016Lenka Špačková
章「Atomic Host とコンテナー」が更新されました。コンテナーの名前が追加されました。
改訂 0.0-1.35Wed Apr 13 2016Lenka Špačková
kpatch ユーティリティーをテクノロジープレビューからサポート対象の新機能に移動。詳細は 10章カーネルを参照してください。
改訂 0.0-1.34Thu Mar 31 2016Lenka Špačková
章「Atomic Host とコンテナー」が Red Hat Enterprise Linux Atomic Host 7.2.3 のリリースに伴い更新されました。
改訂 0.0-1.33Mon Mar 28 2016Lenka Špačková
「非推奨の機能」、「テクノロジープレビュー」(clufter)、「新機能」(winbindd) が更新されました。
改訂 0.0-1.32Mon Feb 29 2016Lenka Špačková
atomic host deploy サブコマンド (まだ利用できない) に関する情報が削除されました。
改訂 0.0-1.31Tue Feb 23 2016Lenka Špačková
章「Atomic Host とコンテナー」が更新され、v1beta3 API のサポート停止に関する情報が追加されました。
改訂 0.0-1.30Tue Feb 16 2016Lenka Špačková
章「Atomic Host とコンテナー」が Red Hat Enterprise Linux Atomic Host 7.2.2 のリリースに伴い更新されました。
改訂 0.0-1.29Thu Feb 11 2016Lenka Špačková
RDMA 向け RoCE Express 機能のテクノロジープレビューの説明が修正されました。
改訂 0.0-1.28Tue Jan 26 2016Lenka Špačková
「新機能」(デスクトップ) から Photos アプリケーションに関する間違った情報が削除されました。
改訂 0.0-1.27Tue Jan 19 2016Lenka Špačková
既知の問題 (インストールと起動) が追加されました。
改訂 0.0-1.26Wed Jan 13 2016Lenka Špačková
RMRR (仮想化) に関するバグ修正が追加されました。
改訂 0.0-1.25Thu Dec 10 2015Lenka Špačková
既知の問題 (インストールと起動) が追加されました。
改訂 0.0-1.22Wed Dec 02 2015Lenka Špačková
既知の問題 (仮想化、認証) が追加されました。
改訂 0.0-1.21Thu Nov 19 2015Lenka Špačková
Red Hat Enterprise Linux 7.2 リリースノートの公開。
改訂 0.0-1.4Mon Aug 31 2015Laura Bailey
Red Hat Enterprise Linux 7.2 Beta リリースノートの公開。

法律上の通知

Copyright © 2015-2017 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.