Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.6 リリースノート

Red Hat Enterprise Linux 7.6

Red Hat Enterprise Linux 7.6 リリースノート

Red Hat Customer Content Services

概要

本リリースノートでは、Red Hat Enterprise Linux 7.6 での改良点や実装された追加機能の概要、本リリースにおける既知の問題などを説明します。また、重要なバグ修正、テクニカルプレビュー、使用されなくなった機能などの詳細も説明します。

前書き

セキュリティー、機能拡張、バグ修正によるエラータなどを集約したものが Red Hat Enterprise Linux (RHEL) のマイナーリリースになります。『Red Hat Enterprise Linux 7.6 リリースノート』では、今回のマイナーリリースで Red Hat Enterprise Linux 7 オペレーティングシステムと付随するアプリケーションに追加された主要な変更を説明します。また、既知の問題および現在利用可能なすべてのテクノロジープレビューの詳細な一覧も紹介します。
他のバージョンと比較した Red Hat Enterprise Linux 7 の機能および制限は、Red Hat ナレッジベースの記事「Red Hat Enterprise Linux テクノロジーの機能と制限」を参照してください。
このリリースで提供されるパッケージは、『Red Hat Enterprise Linux 7 パッケージマニフェスト』 に記載されています。Red Hat Enterprise Linux 6 からの移行は 『移行計画ガイド』 を参照してください。
Red Hat Enterprise Linux のライフサイクルは「Red Hat Enterprise Linux のライフサイクル」をご覧ください。

第1章 概要

セキュリティー

  • TPM (Trusted Platform Module) 2.0 ハードウェアモジュールにより、PBD (Policy-Based Decryption) 機能が拡張し、ハイブリッドクラウドのオペレーション用に 2 層のセキュリティーが提供されました。クラウドではネットワークベースのメカニズムが適用されますが、オンプレミス TPM の利用により、ディスク上の情報の保護が物理的に強化されます。
  • GnuTLS ライブラリーで、HSM (Hardware Security Module) サポートが改善されました。
  • OpenSSL は、新たな CPACF (CP Assist for Cryptographic Functions) 命令で動作し、IBM z14 で利用可能なオペレーションの GCM (Galois/Counter Mode) を加速させます。
  • Red Hat Enterprise Linux 7.6 で配信される Red Hat Certificate System は、RSA および ECC に新しいデフォルトの暗号化アルゴリズムを提供します。これにより、FIPS 準拠を維持し、NIST およびその他の規格団体、機密情報を扱う組織が定める暗号化要件を維持します。
詳細は 16章セキュリティー および 5章認証および相互運用性 を参照してください。

ネットワーク

  • 侵入防止策との統合を改善するために、nftables の機能拡張が行われ、Red Hat Enterprise Linux を介したファイアウォール操作が改善されました。また、nft コマンドラインツールでも、システムのセキュリティー用に、全体的な可視性と簡易構成が向上した制御パケットフィルタリングが提供されます。
詳細は 14章ネットワーク を参照してください。

アイデンティティー管理およびアクセス制御

  • このリリースで、OpenSC は新しいスマートカード (たとえば CardOS 5.3) をサポートします。

管理と自動化

  • Red Hat Enterprise Linux 7 の管理ツールは改良され続けています。最新バージョンでは、Red Hat Enterprise Linux Web Console に以下のような機能拡張が含まれます。
    • システム概要ページで利用可能な更新の表示
    • ID 管理におけるシングルサインオンの自動設定 (セキュリティー監理者が行うこのタスクを簡略化するため)
    • ファイアウォールサービスを制御するインターフェース
  • Red Hat Enterprise Linux System Role の selinuxkdumpnetwork、および timesync が完全にサポートされるようになりました。
  • eBPF (Extended Berkeley Packet Filter) の統合は、カーネル内のアクティビティーの監視により安全で効率的なメカニズムを提供し、将来的にさらなるパフォーマンス監視およびネットワーク追跡を有効にするのに役立ちます。eBPF ツールは、テクノロジープレビューとして利用できます。

Red Hat Insights

Red Hat Enterprise Linux 7.2 以降では、Red Hat Insights サービスが利用できます。Red Hat Insights は、使用中のデプロイメントに影響が及ぶ前に既知の技術的問題を特定、分析、解決することを可能にするよう設計されたプロアクティブなサービスです。Insights は Red Hat サポートエンジニア、文書化されたソリューション、および解決済みの問題からなる複合情報を活用して、システム管理者に関連性のある実行可能な情報を提供します。
このサービスは、カスタマーポータル にホストされており、そこから配信されます。もしくは Red Hat Satellite からご利用になれます。システムを登録する場合は「Insights のスタートガイド」を参照してください。

Red Hat Customer Portal Labs

Red Hat Customer Portal Labs はカスタマーポータルにあるツールセットで、https://access.redhat.com/labs/ からご利用になれます。Red Hat Customer Portal Labs のアプリケーションは、パフォーマンスの改善、迅速なトラブルシュート、セキュリティー問題の特定、複雑なアプリケーションの迅速なデプロイと設定に役立ちます。一般的なアプリケーションは以下の通りです。

第2章 アーキテクチャー

Red Hat Enterprise Linux 7.6 は以下のアーキテクチャーで使用できます。[1]
  • 64 ビット AMD
  • 64 ビット Intel
  • IBM POWER7 以降 (ビッグエンディアン)
  • IBM POWER8 (ビッグエンディアン) [2]
  • IBM POWER8 (リトルエンディアン) [3]
  • IBM POWER9 (リトルエンディアン) [4] [5]
  • IBM Z [4] [6]
  • 64 ビット ARM [4]


[1] Red Hat Enterprise Linux 7.6 は 、64 ビットのハードウェアへのインストールにしか対応していないことに注意してください。ただし、仮想マシンでは、32 ビットのオペレーティングシステム (Red Hat Enterprise Linux の旧バージョンなど) も実行できます。
[2] Red Hat Enterprise Linux 7.6 の POWER8 (ビッグエンディアン) は、現在、KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.6 POWER8 システムの KVM ゲストとしてサポートされます。
[3] Red Hat Enterprise Linux 7.6 POWER8 (リトルエンディアン) は、現在、KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.6 POWER8 システムの KVM ゲストとしてサポートされます。また、Red Hat Enterprise Linux 7.6 POWER8 (リトルエンディアン) のゲストは、kernel-alt パッケージを使用するカーネルバージョン 4.14 における POWER8 互換モードで、KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.6 POWER9 システムでサポートされます。
[4] このアーキテクチャーは、kernel-alt パッケージで提供されるカーネルバージョン 4.14 でサポートされます。詳細は 『Red Hat Enterprise Linux 7.5 リリースノート』を参照してください。
[5] Red Hat Enterprise Linux 7.6 POWER9 (リトルエンディアン) は、現在、kernel-alt パッケージを使用するカーネルバージョン 4.14 で KVM ハイパーバイザーを実行する Red Hat Enterprise Linux 7.6 POWER9 システムの KVM ゲストとしてサポートされます。
[6] Red Hat Enterprise Linux 7.6 for IBM Z (3.10 カーネルバージョンおよび 4.14 カーネルバージョン) は、現在、kernel-alt パッケージを使用するカーネルバージョン 4.14 で KVM を実行する Red Hat Enterprise Linux 7.6 for z Systems の KVM ゲストとしてサポートされています。

第3章 外部のカーネルパラメーターに対する重要な変更

本章では、システム管理者向けに Red Hat Enterprise Linux 7.6 に含まれるカーネルの重要な変更点をまとめています。変更には、proc エントリー、sysctl および sysfs のデフォルト値、boot パラメーター、カーネル設定オプションの追加や更新、注目すべき動作の変更などが含まれます。

カーネルのパラメーター

hardened_usercopy = [KNL]
このパラメーターは、システムの起動時に、強化が有効 (デフォルト) かどうかを指定します。
カーネルの copy_to_user()/copy_from_user() インターフェースで、境界チェックの不具合に対する事前防護として、既知のメモリー割り当ての境界を超えた読み取りまたは書き込みからカーネルを保護するために、強化したユーザーコピーの確認が使用されます。
有効な設定: on, off
on: 強化されたユーザーコピーの確認を実行する (デフォルト)
off: 強化されたユーザーコピーの確認を無効にする
no-vmw-sched-clock [X86,PV_OPS]
準仮想化 VMware のスケジューラーのクロックを無効にし、デフォルトのものを使用します。
rdt = [HW,X86,RDT]
個々の RDT 機能をオンまたはオフにします。
利用可能な機能は、cmtmbmtotalmbmlocall3catl3cdpl2catl2cdpmba です。
たとえば、cmt をオンにして、mba をオフにするには、以下のコマンドを使用します。
rdt=cmt,!mba
nospec_store_bypass_disable [HW]
投機的ストアバイパス脆弱性に関する軽減策をすべて無効にします。
投機的ストアバイパス (SSB) の脆弱性に関する詳細な情報は、『Kernel Side-Channel Attack using Speculative Store Bypass - CVE-2018-3639』 を参照してください。
spec_store_bypass_disable = [HW]
特定の CPU が、投機的ストアバイパスとして知られている一般的な業界全体のパフォーマンスの最適化に対するセキュリティーの弱点に対して脆弱です。
このような場合には、投機的実行中に、同じメモリー位置への最近のストアが、後続のロードで観察できるとは限りません。ただし、そのようなストアはほとんどないため、特定の投機実行期間の最後で命令が公開する前に検出できます。
脆弱なプロセッサーでは、投機的に転送されたストアが、キャッシュサイドチャンネル攻撃で使用できます。たとえば、サンドボックス化コード内で攻撃者が直接アクセスがないメモリーを読み込む場合です。
このパラメーターは、投機的ストアバイパス (SSB) 脆弱性を軽減する SSB の最適化が使用されるかどうかを制御します。
可能な値は以下のとおりです。
on: 無条件に無効にする
off: 無条件に有効にする
auto: CPU モデルは SSB の実装を含み、カーネルが最適な軽減を選択するかどうかを検出する
prctl: prctl を使用してスレッドに対して SSB を制御する。SSB は、デフォルトでプロセスに対して有効になります。フォークで制御の状態が継承されます。
このオプションを指定しても、spec_store_bypass_disable=auto と同じではありません。
投機的ストアバイパス (SSB) の脆弱性に関する詳細な情報は、『Kernel Side-Channel Attack using Speculative Store Bypass - CVE-2018-3639』 を参照してください。
nmi_watchdog = [KNL,BUGS=X86]
sysctl の nmi_watchdog および hardlockup_panic が、ランタイム時にアクセスできるようになります。

新規および更新の /proc/sys/kernel/ エントリー

hardlockup_panic
ハードロックアップが検出された場合にカーネルパニックを発生させるかどうかをこのパラメーターが制御します。
可能な値は以下のとおりです。
0: ハードロックアップでパニックを発生させない
1: ハードロックアップでパニックを発生させる
これは、nmi_watchdog カーネルパラメーターを使用して設定することもできます。
perf_event_mlock_kb
mlock 制限に対してカウントされない CPU リングバッファーのサイズを制御します。
デフォルト値は 512 + 1 ページです。
perf_event_paranoid
CAP_SYS_ADMIN がない非特権ユーザーによるパフォーマンスイベントシステムの使用を制御します。
デフォルト値は 2 です。
可能な値は以下のとおりです。
-1: すべてのユーザーが、イベントの大部分を使用できる
>=0: CAP_SYS_ADMIN を使用せずに、ftrace 機能のトレースポイントおよび Raw トレースポイントのアクセスを無効にする
>=1: CAP_SYS_ADMIN のないユーザーによる CPU イベントアクセスを無効にする
>=2: CAP_SYS_ADMIN のないユーザーによるカーネルプロファイルを無効にする

新しい /proc/sys/net/core エントリー

bpf_jit_harden
BPF (Berkeley Packet Filter) の JIT (Just in Time) コンパイラーの強化を有効にします。
サポートされるのは、eBPF (Extended Berkeley Packet Filter) の JIT バックエンドです。強化を有効にするとパフォーマンスに影響を及ぼしますが、JIT スプレーを軽減します。
可能な値は以下のとおりです。
0: JIT 強化 (デフォルト値) を無効にする
1: 非特権ユーザーに対してのみ JIT 強化を有効にする
2: すべてのユーザーに対する JIT 強化を有効にする

パート I. 新機能

本パートでは、Red Hat Enterprise Linux 7.6 で導入された新機能および主要な機能拡張について説明します。

第4章 全般的な更新

Red Hat Enterprise Linux 6 から Red Hat Enterprise Linux 7 へのインプレースアップグレード

インプレースアップグレードでは、既存のオペレーティングシステムを置き換えることで、Red Hat Enterprise Linux の新たなメジャーリリースにシステムをアップグレードします。インプレースアップグレードを実行するには、実際にアップグレードを実行する前に、アップグレード問題を検査するユーティリティーである Preupgrade Assistant を使用します。これは、Red Hat Upgrade Tool 用の追加スクリプトも提供します。Preupgrade Assistant が報告する問題をすべて解決したら、Red Hat Upgrade Tool を使用してシステムをアップグレードします。
手順およびサポートされるシナリオの詳細は「アップグレード方法」および 「Red Hat Enterprise Linux 6 から Red Hat Enterprise Linux 7 への移行方法」を参照してください。
Preupgrade Assistant および Red Hat Upgrade Tool は Red Hat Enterprise Linux 6 Extras チャンネルで利用できます。「Red Hat Enterprise Linux Extras の製品ライフサイクル」を参照してください。(BZ#1432080)

第5章 認証および相互運用性

証明書システムが、デフォルトで追加の強力な暗号をサポート

この更新で、FIPS (Federal Information Processing Standard) に順守している以下の追加暗号が、証明書システムでデフォルトで有効になっています。
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_GCM_SHA384
有効な暗号の完全な一覧は、次のコマンドを実行して表示します。
# /usr/lib64/nss/unsupported-tools/listsuites | grep -B1 --no-group-separator "Enabled"
証明書システムを持つ HSM (Hardware Security Module) を使用している場合は、サポートされる暗号に関する HSM ドキュメントを参照してください。(BZ#1550786)

samba がバージョン 4.8.3 にリベース

samba パッケージがアップストリームバージョン 4.8.3 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
  • smbd サービスは、Active Directory ドメインコントローラーおよび NT4 プライマリードメインコントローラーから直接ユーザーおよびグループの情報をクエリーしなくなりました。そのため、インストールで security パラメーターを ads または domain に設定した場合は、winbindd サービスを実行しておく必要があります。
  • winbindd プロセスで信頼されているドメインのグローバル一覧の依存関係が少なくなっています。/etc/samba/smb.conf ファイルの winbind scan trusted domains パラメーターを no に設定します。詳細は、man ページ smb.conf(5) にあるパラメーターの説明を参照してください。
  • wbinfo -m --verbose コマンドの出力で表示された信頼プロパティーが、コマンドを実行したシステムのステータスを正しく反映するように変更されています。
  • idmap_rid および idmap_autorid の ID マッピングバックエンドを使用する際に、一方向の信頼があるユーザーからの認証が正しく機能するようになりました。
smbd デーモン、nmbd デーモン、または winbind デーモンの起動時に、Samba により tbd データベースファイルが自動的に更新されるようになりました。Samba を起動する前にデータベースをバックアップするようにしてください。Red Hat では tbd データベースファイルをダウングレードするサポートは行っていないためご注意ください。
更新する前に、主な変更の詳細について、アップストリームのリリースノート (「Samba 4.8.0 Available for Download」) を参照してください。(BZ#1558560)

Directory Server がバージョン 1.3.8.4 にリベース

389-ds-base パッケージがアップストリームバージョン 1.3.8.4 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。更新する前に、アップストリームのリリースノートで主な変更の一覧を確認してください。

証明書システムがバージョン 10.5.9 にリベース

pki-core パッケージがアップストリームバージョン 10.5.9 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。(BZ#1557569)

jss がバージョン 4.4.4 にリベース

jss パッケージがアップストリームのバージョン 4.4.4 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。(BZ#1557575)

CRMFPopClient ユーティリティーが、キーのアーカイブを使用しない CRMF 要求をサポート

この機能強化により、CRMFPopClient ユーティリティーを使用してキーアーカイブオプションを使用せずに、CRMF (Certificate Request Message Format) 要求を作成できるようになりました。この機能により KRA (Key Recovery Authority) 証明書が必要なくなったため、柔軟性が増します。以前は、-b transport_certificate_file オプションを CRMFPopClient に渡しておかないと、ユーティリティーが、transport.txt ファイルに保存されている KRA 転送証明書を自動的に使用しました。この更新により、-b transport_certificate_file が指定されていない場合に、証明書システムがキーアーカイブを使用せずに要求を作成するようになります。(BZ#1585866)

証明書システムが、ECC 証明書を持つルート認証局を設定する際に ECC プロファイルを自動的に適用

この更新により、pkispawn ユーティリティーを使用して ECC プロファイルを使用する新しいルート認証局を設定する際に、ECC プロファイルを自動的に適用する証明書システムが強化されました。その結果、管理者が、ルート認証局を設定する際に pkispawn に渡された設定ファイルに、回避策として ECC 証明書に対してプロファイルの上書きパラメーターを設定する必要がなくなりました。(BZ#1550742)

証明書システムが、サーバー証明書に SAN 拡張を追加

この更新により、証明書システムが SAN (Subject Alternative Name) をサーバー証明書にデフォルトで追加し、証明書のコモンネーム (CN) に設定します。(BZ#1562423)

X.509 証明書および CRL を作成する低レベル API を JSS に追加

この機能拡張により、X.509 証明書および CRL (certificate revocation lists) を作成するのに使用できる低レベル API が JSS (Java Security Services) に追加されます。(BZ#1560682)

pcsc-lite-ccid ドライバーが新しいスマートカードリーダーをサポート

以前は、pcsc-lite-ccid ドライバーが、特定のスマートカードリーダーを検出しませんでした。この機能により、これらのリーダーの USB-ID 値を追加します。その結果、pcsc-lite-ccid は、説明されているシナリオでスマートカードリーダーを検出します。
Red Hat は、USB-ID が追加されたスマートカードリーダーをテストしていませんでした。(BZ#1558258)

pam_pkcs11 モジュールが証明書チェーンをサポート

この更新により、pam_pkcs11 が X.509 (PKIX) 証明書チェーンに対して公開キーインフラストラクチャーをサポートするようになりました。これにより、複雑なチェーン処理が有効になり、リーフ証明書への複数のパスが追加されました。その結果、pam_pkcs11 は、PKIX 証明書チェーンを検証するようになりました。(BZ#1578029)

dnssec-keymgr が DNSSEC キーのロールオーバーを自動化

この更新により、DNSSEC (DNS Security Extensions) キーロールオーバーを自動化するユーティリティーである dnssec-keymgr が追加されました。dnssec-keymgr は、単純な設定可能ポリシーにより、安全なゾーンに対する DNS キーの自動的な長期管理を有効にします。これにより、DNS サービスを中断せずに、キーをシームレスにロールアウトできます。(BZ#1510008)

選択したドメインに対して DNSSEC 検証を無効にできます。

以前は、DNSSEC 検証が有効で、特定のドメインが失敗している場合は、そのドメインのホストに到達できませんでした。このリリースでは、検証に失敗したのが、攻撃のせいではなく設定の誤りに原因がある場合は、選択したゾーンの DNSSEC (DNS Security Extensions) 検証からの除外を設定できます。失敗したドメインのホストのアドレスは署名なしとして解決され到達できますが、その他のすべての名前はセキュリティーリスクに対して検証できます。(BZ#1452091)

IdM クライアントの SSSD が、特定の AD サイトまたは AD DC に対して認証可能

アクティブディレクトリー (AD) との信頼関係を持つドメインで IdM (Identity Management) クライアントで実行している System Security Services Daemon (SSSD) が、構成した ADサイト、または AD ドメインコントローラー (DC) の構成された設定に対して認証するようにピン留めされるようになりました。
以前は、SSSD で DNS SRV 検出を行う際に libkrb5 に完全に依存していましたが、libkrb5 には AD サイトの概念がないため、AD サイトが考慮されることはありませんでした。したがって、管理者が、SSSD をピン留めして AD DC のセットに対して認証する場合に、非直感的であった /etc/krb5.conf ファイルに正しい KDC (Key Distribution Centre) を設定する必要がありました。
この機能強化は、大規模環境で特に役に立ちます。以前の大規模環境では、各クライアントで /etc/krb5.conf ファイルを変更することが唯一の有効な解決策でした。(BZ#1416528)

第6章 クラスタリング

Pacemaker が、systemd ユニットファイルの pathmount、および timer をサポート

以前は、Pacemaker では、systemd のユニットファイル service および socket がサポートされていましたが、その他のユニットファイルのタイプは service ユニットとして扱われ、失敗していました。このリリースで、systemd の path ユニット、mount ユニット、および timer ユニットが、Pacemaker クラスターから管理できるようになりました。(BZ#1590483)

Alibaba Cloud における Red Hat Enterprise Linux High Availability クラスターのサポート

Red Hat Enterprise Linux 7.6 は、Alibaba Cloud (Aliyun) で仮想マシンの高可用性クラスターをサポートします。Alibaba Cloud に Red Hat Enterprise Linux High Availability Cluster を設定する方法は「Installing and Configuring a Red Hat Enterprise Linux 7.6 (and later) High-Availability Cluster on Alibaba Cloud (Aliyun)」を参照してください。(BZ#1568589)

Google Compute Cloud における Red Hat Enterprise Linux 高可用性クラスターのサポート

Red Hat Enterprise Linux 7.6 は、Google Compute Cloud (GCP) の仮想マシンの高可用性クラスターをサポートします。GCP に Red Hat Enterprise Linux 高可用性クラスターを設定する方法は「Installing and Configuring a Red Hat Enterprise Linux 7.6 (and later) High-Availability Cluster on Google Compute Cloud」を参照してください。(BZ#1568588)

lvm リソースエージェントに volume_group_check_only パラメーターを追加

lvm リソースエージェントで、volume_group_check_only パラメーターがサポートされるようになりました。このパラメーターが設定されていると、監視オペレーションを実行する場合に、ボリュームグループだけが確認されます。このパラメーターは、タグ付けボリュームを使用する場合にタイムアウトを回避するために使用できます。
WARNING: このパラメーターは、タイムアウトで問題が発生した場合と、LVM-activate エージェントではなく lvm リソースエージェントを使用する必要がある場合にのみ使用してください。(BZ#1470840)

VDO リソースエージェントをサポート

Red Hat Enterprise Linux は、VDO (Virtual Data Optimizer) ボリュームを高可用性リソースとして管理するために、vdo-vol リソースエージェントにサポートを提供するようになりました。(BZ#1538689)

pcs コマンドで、オペレーションおよびその期間によるフィルタリングリソースの不具合をサポート

Pacemaker は、リソース名およびノードのほかに、リソース操作別にリソースの不具合を追跡するようになりました。したがって、pcs resource failcount show コマンドでは、不具合のフィルタリングに、リソース、ノード、操作、および間隔を選択できます。これにより、リソースおよびノード別、もしくはリソース、ノード、操作、および間隔別に細かく集計した不具合を表示するオプションを提供します。また、pcs resource failcount reset コマンドを使用すれば、リソース、ノード、操作、および間隔別に不具合をフィルタリングできます。(BZ#1427273)

新しい pcs コマンドで、利用可能なウォッチドッグデバイスの一覧を表示し、ウォッチドッグデバイスをテスト

Pacemaker を使用して SBD を設定するために、機能的なウォッチドッグデバイスが必要になります。Red Hat Enterprise Linux 7.6 リリースは、ローカルノードで利用可能なウォッチドッグデバイスを一覧表示する pcs stonith sbd watchdog list コマンドと、ウォッチドッグデバイスをテストする pcs stonith sbd watchdog test コマンドをサポートします。(BZ#1475318)

第7章 コンパイラーとツール

Net::SMTP Perl モジュールが SSL をサポート

Net::SMTP Perl モジュールに、TLS および SSL の暗黙的および明示的な暗号化に対するサポートが追加されました。その結果、安全なチャンネルから SMTP サーバーと通信することが可能になりました。(BZ#1557574)

Net::LDAP Perl モジュールが TLS 1.0 にデフォルト設定されなくなる

以前は、保護されていない LDAP 接続から、TLS が保護された接続へアップグレードするのに Net::LDAP Perl モジュールを使用していた場合は、このモジュールで TLS プロトコルバージョン 1.0 が使用されていましたが、現在、このバージョンは保護されていないとみなされます。この更新により、Net::LDAP からデフォルトの TLS バージョンが削除され、暗示的 (LDAPS スキーマ) および明示的 (LDAP スキーマ) な TLS プロトコルの両方が、Perl モジュール IO::Socket::SSL で選択したデフォルトの TLS バージョンに依存する必要はなくなりました。sslversion 引数を start_tls() メソッドに渡してセキュリティーを保護するために、Net::LDAP クライアントで TLS バージョンを上書きする必要がなくなりました。(BZ#1520364)

timemaster がボンディングデバイスをサポート

timemaster プログラムは、ネットワークで利用可能な複数の PTP ドメインがある場合、または NTP へのフォールバックが必要な場合に利用可能なすべてのタイムソースにシステムクロックを同期するために使用できます。
この更新は、timemaster 設定ファイルの active-backup モードでボンディングデバイスを指定できるようになりました。timemaster は、アクティブなインターフェースがソフトウェアまたはハードウェアのタイムスタンプをサポートし、ボンディングインターフェースで ptp4l を起動するかどうかを確認します。(BZ#1549015)

pcp がバージョン 4.1.0 にリベース

pcp パッケージが、Performace Co-Pilot 4.1.0 のアップストリームバージョンにアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
  • pcp-zeroconf パッケージから設定したシステムで、データボリュームのサイズを減らす pmlogger_check(1) スクリプトに、サイズベースの中間圧縮が追加されました。
  • アーカイブメタデータファイルを毎日圧縮します。
  • メトリックラベルを、一等の PCP メトリックメタデータに変更しました。
  • メトリックヘルプテキストおよびラベルが、PCP アーカイブに保存されるようになりました。
  • 仮想マシン、TTY、集約中断、softirq カウンター、af_unix/udp/tcp 接続 (inet/ipv6)、VFS ロック、ログインセッション、AIO、ブロックデバイスごとの許容量など、多くの Linux カーネルメトリックが追加されました。
  • PMAPI (Performance Metrics Application Programming Interface) および PMDA (Performance Metrics Domain Agent) の API がリファクタリングされ、各機能が追加改善または非推奨になりました。
  • 新しい VDO (virtual data optimizer) メトリックが pmdadm(1) に追加されました。
  • pcp2zabbix(1) 関数で、より低レベルな検出サポートを持つ Zabbix agentd サービスとの統合が改善されました。
  • BCC および eBPF トレース命令のエクスポートに対して、新しい PMDA pmdabcc(1) が追加されました。
  • Prometheus エンドポイントからのメトリックを使用するために、新しい PMDA pmdaprometheus(1) が追加されました。(BZ#1565370)

ps ユーティリティーで、プロセスと関連付けられる Login ID を表示

ps ユーティリティーの新フォーマットオプション luid を使用すると、プロセスに関連付けられる Login ID を表示できるようになりました。
プロセスを実行するログイン ID の属性を表示するには、以下のコマンドを使用します。
$ ps -o luid
(BZ#1518986)

gcc-libraries がバージョン 8.2.1 にリベース

gcc-libraries パッケージがアップストリームバージョン 8.2.1 に更新され、以下のような拡張機能が追加されました。
  • Fortran ライブラリー libgfortran.so.5 および libgfortran.so.4 が追加され、Red Hat Developer Toolset バージョン 7 以降でビルドしたアプリケーションを実行できるようになりました。
  • libquadmath ライブラリーが libgfortran.so.5 ライブラリーの依存関係として追加されています。
  • Cilk+ ライブラリーが削除されました。(BZ#1600265)

systemtap がバージョン 3.3 にリベース

systemtap パッケージがアップストリームバージョン 3.3 にアップグレードし、バグ修正および機能拡張が数多く追加されました。
  • Intel64 アーキテクチャーおよび AMD64 アーキテクチャーで eBPF (extended Berkeley Packet Filter) トレーシングに対する限定的なサポートが追加されました。--runtime=bpf オプションを使用して、eBPF をバックエンドとして使用します。eBPF に関する様々な制限と、その SystemTap インターフェースにより、簡単なスクリプトだけが動作します。詳細はナレッジベースの記事 Kernel tracing using eBPF および man ページ stapbpf(8) を参照してください。
  • --sysroot オプションがクロスコンパイル環境に最適化
  • 新しい --example オプションを使用し、ファイルの完全パスを指定しなくても、SystemTap で配信されたサンプルスクリプトを検索できます。
  • SystemTap ランタイムおよびタップセットは、4.17 までのカーネルバージョンと互換性があります。
  • リアルタイムカーネルまたは CPU の数が多いマシンのシステムにおける SystemTap の使用が改善しました。
  • Spectre および Meltdown の攻撃に対する軽減策で使用されるコードの処理が改善しました。(BZ#1565773)

GDB が、IBM Z アーキテクチャーの z14 プロセッサーの命令を逆アセンブル可能

GDB デバッガーが拡張され、保護されたストレージ命令を含む IBM Z アーキテクチャーの z14 プロセッサーの命令を逆アセンブルするようになりました。以前の GDB は、.long 0xNNNN の形式でそのような命令の数値のみを表示していました。この更新により、GDB は、このプロセッサーを対象にするコード内で、アセンブリー命令のニーモニック名を正しく表示できます。(BZ#1553104)

新パッケージ: java-11-openjdk

java-11-openjdk パッケージは、yum ユーティリティーから OpenJDK 11 サポートを提供します。
OpenJDK 11 は、OpenJDK 8 以降、Red Hat がサポートする Java の次期 LTS (Long-Term Support) バージョンです。これは、モジュール化、アプリケーションクラスデータ共有、代替メモリーデバイスのヒープ割り当て、ラムダパラメーターに対するローカル変数の構文、および TLS 1.3 サポートを含む複数の新機能を提供します。
OpenJDK 11 は、OpenJDK 8 と完全に互換性がないため、java-11-openjdk パッケージには、バージョンのない provides が含まれません。(BZ#1570856)

glibc で新しいロケールのサポート

これにより、新しいロケール (Urdu (ur_IN) および Wolaytta (wal_ET)) のサポートが追加されます。追加サポートは、el_GR@euro などで、ユーロなど、新しい通貨記号に追加されました。新しいローカリゼーションサポートを利用する関連環境変数を使用してロケールを指定できるようになりました。(BZ#1448107)

64 ビットのオフセットプログラムに対する新しい OFD ロック定数

OFD (Open File Descriptor) ロックは、一部のアプリケーションで、プロセスごとのロックよりも優れています。この更新では、(#define _FILE_OFFSET_BITS 64 がある) 64 ビットのオフセットプログラムは、引き続きカーネルがこのような操作をサポートするかどうかを検出する必要がありますが、システムコールで F_OFD_* 定数を使用できます。この定数にアクセスしない 32 ビットファイルのオフセットを使用するプログラムは、RHEL 7 ABI が定数の翻訳をサポートしないため、この定数にはアクセスしません。(BZ#1461231)

elfutils がバージョン 0.172 にリベース

elfutils パッケージが、アップストリームのバージョン 0.172 にアップグレードしました。この更新により、DWARF5 デバッグ情報のフォーマット、split-dwarf、および GNU DebugFission にサポートを追加します。
  • eu-readelf ツールは、--debug-dump=info+ オプションを使用すると、分割単位の DIE を表示できます。
  • eu-readelf ツールは、--dwarf-skeleton オプション使用時のデバッグ情報を使用して、異なる .dwo DWARF skeleton files を検査できます。
  • libdw ライブラリーは、dwarf_set_alt() 関数で設定されていない場合でも、リンクされているデバッグ情報を含む alt file を解決しようとします。
  • libdw ライブラリーは、dwarf_die_addr_die() 関数、dwarf_get_units() 関数、dwarf_getabbrevattr_data() 関数、および dwarf_cu_info() 関数で拡張されています。(BZ#1565775)

第8章 デスクトップ

GNOME シェルがバージョン 3.28 にリベース

Red Hat Enterprise Linux 7.6 で、GNOME シェルがアップストリームバージョン 3.28 にリベースされました。主な機能拡張は以下のとおりです。
  • GNOME の新機能
  • 新しいオンスクリーンキーボード
  • 拡張デバイスのサポート (最も大きな統合は Thunderbolt 3 インターフェース)
  • GNOME ソフトウェア、dconf-editor、および GNOME ターミナルの改善
デスクトップアイコンの動作を保持するため、Nautilus ファイルマネージャーはバージョン 3.26 のままになります。(BZ#1567133)

sane-backends パッケージに systemd サポートを追加

SANE (Scanner Access Now Easy) は、sane-backends パッケージが提供するバックエンドとライブラリーの機能を持つユニバーサルスキャナーインターフェースです。この更新により SANE に以下の変更が追加されました。
  • sane-backends パッケージに systemd サポートが追加されます。
  • ユニットファイルが sane-backends に同梱されているため、ユニットファイルを手動で作成しなくても saned デーモンを実行できます。(BZ#1512252)

FreeType がバージョン 2.8 にリベース

FreeType フォントエンジンが、GNOME 3.28 で必要なバージョン 2.8 にリベースされました。バージョン 2.8 では、以前のバージョン 2.4.11 と互換性を持たせるように API および ABI (Application Binary Interface) を変更しました。(BZ#1576504)

Nvidia Volta ベースのグラフィックカードをサポート

この更新により、Nvidia Volta ベースのグラフィックカードにサポートを追加します。その結果、modesetting ユーザースペースドライバーが使用されますが、これは、基本的な操作と単純なグラフィック出力を扱うことができます。ただし、Nvidia は、3D の公開署名ファームウェアを共有しなかったため、3D グラフィックは llvmpipe ドライバーにより処理されます。カードのパフォーマンスを最大にするには、Nvidia バイナリードライバーを使用します。(BZ#1457161)

xorg-x11-server がバージョン 1.20.0-0.1 にリベース

xorg-x11-server パッケージがアップストリームのバージョン 1.20.0-0.1 にリベースし、以前のバージョンにバグ修正および機能拡張が数多く追加されました。
  • 入力デバイス Wacom Cintiq Pro 24、Wacom Cintiq Pro 32 タブレット、Wacom Pro Pen 3D のサポートが追加されました。
  • Intel Cannon Lake および Whiskey Lake のプラットフォーム GPU のサポートが追加されました。
  • OpenGL に S3TC テクスチャー圧縮のサポートが追加されました。
  • X11 バッキングストアの always モードのサポートが追加されました。
  • グラフィックスの Nvidia Volta シリーズのサポートが追加されました。
  • AMD Vega グラフィックスおよび Raven APU のサポートが追加されました。(BZ#1564632)

第9章 ファイルシステム

Red Hat Ceph Storage 3 で CephFS カーネルクライアントを完全にサポート

Ceph File System (CephFS) カーネルモジュールは、Red Hat Enterprise Linux ノードが Red Hat Ceph Storage クラスターから Ceph File System をマウントできるようになりました。Red Hat Enterprise Linux は、Red Hat Ceph Storage に同梱される FUSE (Filesystem in Userspace) クライアントに対するより効果的な代替手段です。カーネルクライアントには、現在、CephFS クォータのサポートがありません。
CephFS カーネルクライアントは、テクノロジープレビューとして Red Hat Enterprise Linux 7.3 に導入されました。Red Hat Ceph Storage 3 のリリース以降、CephFS が完全にサポートされるようになりました。
詳細は『Ceph File System Guide for Red Hat Ceph Storage 3』を参照してください。(BZ#1205497)

XFS で、マウントしたファイルシステムでラベルの修正をサポート

xfs_io ユーティリティーを使用して、マウントした XFS ファイルシステムのラベル属性を修正できるようになりました。
# xfs_io -c "label new-label" /mount-point
以前は、xfs_admin ユーティリティーを使用して、マウントしていないファイルシステムのラベルを修正することのみが可能でした。現在も、サポート対象となっています。(BZ#1322930)

クライアントおよびサーバーで pNFS SCSI レイアウトを完全サポート

パラレルの NFS (pNFS) SCSI レイアウトのクライアントおよびサーバーが完全にサポートされるようになりました。これは、Red Hat Enterprise Linux 7.3 でテクノロジープレビューとして導入されました。
ブロックレイアウトをベースに構築されている pNFS レイアウトは SCSI デバイスをまたいで定義されており、このレイアウトには論理ユニットとして順番に並んだ固定サイズのブロックが含まれています。この論理ユニットには SCSI の永続予約をサポートできる機能が必要です。論理ユニット (LU) デバイスは SCSI デバイスの ID で識別され、フェンシングは予約の割り当てで処理されます。(BZ#1305092)

ima-evm-utils が AMD64 および Intel 64 で完全サポート

AMD64 および Intel 64 アーキテクチャーで使用する場合は、ima-evm-utils パッケージが完全にサポートされます。その他のアーキテクチャーでは、ima-evm-utils がテクノロジープレビューのままになります。
ima-evm-utils パッケージの提供するユーティリティーにより、Integrity Measurement Architecture (IMA) および Extended Verification Module (EVM) 機能を使用して、実行時にファイルシステムのラベル化やシステムの整合性確認を行うことができます。このユーティリティーにより、ファイルが誤ってまたは悪意により変更されたかどうかをモニタリングできます。(BZ#1627278)

第10章 ハードウェアの有効化

IBM POWER の genwqe-tools がバージョン 4.0.20 にリベース

IBM POWER アーキテクチャー用の genwqe-tools パッケージがバージョン 4.0.20 にリベースされ、バグ修正および機能拡張が数多く追加されました。
  • CompressBound が修正されました。
  • デバッグツールが追加されました。
  • genwqe_cksum ツールが修正されました。
  • 特定ファイルについて不足していたマニュアルページが追加されました。
  • 新しいコンパイラーの警告が修正されました。
  • Z_STREAM_END 検出迂回が改善されました。(BZ#1521050)

第11章 インストールと起動

新しい network-scripts オプション: IFDOWN_ON_SHUTDOWN

この更新により、network-scriptsIFDOWN_ON_SHUTDOWN オプションが追加されました。このオプションを yes または true に設定するか、空のままにすると影響はありません。このオプションを no または false に設定すると、network サービスを停止または再起動したときに、ifdown コールが発生しないようになります。
これは、マウントが適切に解除されるまえにネットワークがシャットダウンしたため、NFS (またはその他のネットワークファイルシステム) のマウントが古い状態にある場合に便利です。(BZ#1583677)

network-scripts でエラーメッセージの内容が改善

ボンディングドライバーのインストールに失敗した場合に、network-scripts がより詳細なエラーメッセージを表示するようになりました。(BZ#1542514)

iBFT を使用して設定していない iSCSI デバイスからの起動をサポート

この更新により、iBFT (iSCSI Boot Firmware Table) に設定していない iSCSI デバイスへのブートローダーのインストールをサポートする新しいインストーラー起動オプション inst.nonibftiscsiboot が追加されました。
この更新では、iSCSI デバイスがインストールに iBFT を設定していないユースケースで役に立ちます。キックスタートの iscsi コマンドまたはインストーラー GUI を使用して手動で追加されます。iBFT は、iSCSI デバイスからインストールしたシステムを起動する際には使用されません。SAN 機能からの iPXE 起動が使用されます。(BZ#1562301)

NVDIMM デバイスからのインストールおよび起動をサポート

以前は、どのモードでも、NVDIMM (Nonvolatile Dual Inline Memory Module) デバイスがインストーラーから無視されていました。
この更新では、NVDIMM デバイスをサポートするためのカーネル実装により、システムパフォーマンスの機能を改善し、データベースまたは解析のワークロードなど、書き込みが集中するアプリケーションへのファイルシステムのアクセスが強化され、CPU オーバーヘッドが削減しました。
この更新により、以下のサポートが導入されました。
  • キックスタート nvdimm コマンドおよび GUI を使用したインストールに NVDIMM デバイスを使用。セクターモードの NVDIMM デバイスからインストールおよび起動して、インストール時にセクターモードに NVDIMM デバイスに再設定できます。
  • NVDIMM デバイスを扱うコマンドで、AnacondaKickstart スクリプトを拡張。
  • NVDIMM デバイスを処理し起動するシステムコンポーネント grub2efibootmgr、および efivar の機能。(BZ#1612965、BZ#1280500、BZ#1590319、BZ#1558942)

rpm -V コマンドに --noghost オプションを追加

この更新により、--noghost オプションが rpm -V コマンドに追加されました。このオプションを使用すると、rpm -V は、変更した非ゴーストファイルのみを検証するため、システム問題の診断に役に立ちます。(BZ#1395818)

第12章 カーネル

kdump FCoE ターゲットを kexec-tools ドキュメントに追加

この更新で、FCoE (Fibre Channel over Ethernet) ターゲットサポートにおける kdump の状態および詳細を理解できるように、kdump の FCoE ターゲットが kexec-tools のドキュメントに追加されました。(BZ#1352763)

SCHED_DEADLINE スケジューラークラスが有効に

この更新により、Linux カーネルの SCHED_DEADLINE スケジューラークラスのサポートが追加されました。このスケジューラーは、アプリケーションデッドラインに基づいて予測可能なタスクのスケジューリングを有効にします。固定の優先順位だけでなく、アプリケーションのタイミング要件に基づいたタイミング分離を保証することで、SCHED_DEADLINE は、定期的なワークロードを得ることができます。(BZ#1344565)

ユーザーマウントの名前空間を完全サポート

テクノロジープレビューとして利用できたマウントの名前空間機能が、完全にサポートされるようになりました。(BZ#1350553)

kernel.shmmax および kernel.shmall が IBM Z のカーネルのデフォルトに

以前は、アプリケーションが大量のメモリーを必要する場合に、IBM Z の kernel.shmmax パラメーターおよび kernel.shmall パラメーターの値が低くなるため突然終了する場合がありました。この更新により、カーネルデフォルトの kernel.shmmax および kernel.shmall が修正されたため、このようなクラッシュが回避できるようになりました。(BZ#1493069)

aQuantia 社の atlantic ネットワークドライバーを更新

aQuantia 社のネットワークドライバー atlantic.ko.xz がバージョン 2.0.2.1-kern に更新され、完全にサポートされるようになりました。(BZ#1451438)

Thunderbolt 3 をサポート

この更新により、Thunderbolt 3 インターフェースにサポートが追加されました。(BZ#1620372)

Intel® Omni-Path Architecture (OPA) ホストソフトウェアのサポート

Red Hat Enterprise Linux 7.6 で Intel Omni-Path Architecture (OPA) ホストソフトウェアが完全にサポートされるようになりました。
Intel OPA を使用すると、Host Fabric Interface (HFI) ハードウェアに対して、クラスター環境内のコンピュートノードと I/O ノード間の高パフォーマンスデータ転送 (高帯域幅、高メッセージレート、低レイテンシー) 向けの初期化および設定を実行できます
Intel Omni-Path Architecture ドキュメントのインストール方法は、『Intel Omni-Path Fabric Software in Red Hat Enterprise Linux 7.6』を参照してください。(BZ#1627126)

IBM POWER System (リトルエンディアン) で opal-prd がバージョン 6.0.4 にリベース

IBM POWER System (リトルエンディアン) で、opal-prd パッケージがアップストリームのバージョン 6.0.4 にアップグレードし、以前のバージョンに以下のバグ修正および機能強化が追加されました。
  • HPC (High Performance Computing) 環境のパフォーマンスが改善されました。
  • powernv_flash モジュールが、BMC (Baseboard Management Controller) に基づいてシステムに明示的にロードされるようになり、opal-prd デーモンが起動する前にフラッシュデバイスが作成されるようになりました。
  • opal-prd デーモンが、ソフトまたはハードのオフラインにおける最初の不具合のエラーを表示しなくなりました。(BZ#1564097、BZ#1537001)

AMD 仮想マシンに SEV 機能が導入

AMD Secure Encrypted Virtualization (SEV) が Red Hat Enterprise Linux 7 で利用できるようになりました。SEV により、仮想マシンのメモリーの内容を、ゲスト仮想マシンに固有のキーで透過的に暗号化できるようになりました。メモリーコントローラーには、システムで異なる仮想マシンが使用する複数キーを使用してプログラムを行うことができます。このキーのプログラミングおよび管理は AMD Secure Processor ファームウェアによって処理されます。その結果、SEV は、AMD アーキテクチャーを使用する仮想マシンのセキュリティーを大幅に強化できます。
swiotlb=262144 パラメーターがゲストのカーネルコマンドラインに追加して、SEV を使用する仮想マシンを安定させる必要があります。詳細は「既知の問題」の章を参照してください。(BZ#1361286)

第13章 リアルタイムカーネル

Red Hat Enterprise Linux for Real Time Kernel について

Red Hat Enterprise Linux for Real Time Kernel は、決定要件が非常に高いシステムにおける詳細なチューニングを可能にするものです。標準カーネルをチューニングすることで、結果の一貫性が高まります。リアルタイムカーネルを使用すると、標準カーネルのチューニングで得られる結果の一貫性がさらに向上します。
リアルタイムカーネルが、rhel-7-server-rt-rpms リポジトリーで利用できます。インストール手順は『Installation Guide』 を参照してください。その他のドキュメントは、Red Hat Enterprise Linux for Real Time のドキュメントを参照してください。

kernel-rt ソースが更新

kernel-rt ソースが最新の Red Hat Enterprise Linux カーネルソースツリーをベースとするようアップグレードされ、バグ修正および拡張機能が数多く追加されました。(BZ#1553351)

リアルタイムカーネルの SCHED_DEADLINE スケジューラークラスを完全にサポート

リアルタイムカーネルの SCHED_DEADLINE スケジューラークラスは、テクノロジープレビューとして Red Hat Enterprise Linux 7.4 に導入されましたが、完全にサポートされるようになりました。このスケジューラーにより、アプリケーションの期限に基づいて予測可能なタスクスケジューリングが可能になります。SCHED_DEADLINE は、固定した優先順位ではなく、アプリケーションのタイミング要件にも基づいてタイミングの分離を保証することで、周期的なワークロードが得られます。(BZ#1297061)

rt-entsk が、リアルタイムタスクの IPI 生成および遅延を防ぐ

chrony デーモン chronyd は、ネットワークのタイムスタンプを有効または無効にします。これにより、カーネル内の静的キーをアクティブにします。静的キーを有効または無効にすると、IPI (inter-processor interrupt) は、その他のプロセッサーにアクティベーションを通知します。
以前は、chronyd の静的キーの迅速なアクティベーションおよびアクティベーション解除により、リアルタイムタスクが遅延し、レイテンシーが急増します。この更新により、systemd が rt-entsk プラグラムを起動するようになりました。これにより、タイムスタンプが有効のままになり、IPI が生成されなくなりました。その結果、IPI が立て続けに生成されなくなり、このバグが原因でリアルタイムタスクが遅れることがなくなりました。(BZ#1616038)

第14章 ネットワーク

libnftnl パッケージおよび nftables パッケージのサポート

テクノロジープレビューとして使用できた nftables パッケージおよび libnftl パッケージがサポートされるようになりました。
nftables パッケージは、パケットのフィルタリングツールを提供します。以前のパケットフィルタリングツールの利便性、機能、およびパフォーマンスで多くの改良が追加されました。これは、iptablesip6tablesarptables、および ebtables の各ユーティリティーの後継となります。
libnftnl パッケージは、libmnl ライブラリーの nftables Netlink API と、低レベルの対話を提供します。(BZ#1332585)

ECMP の fib_multipath_hash_policy を IPv4 パケットのカーネルに追加

この更新により、fib_multipath_hash_policy を使用した ECMP (Equal-cost multi-path routing) ハッシュポリシー選択のサポートが追加されました。これは、マルチパスルートにどのハッシュポリシーを使用するかを制御する新しい sysctl 設定です。fib_multipath_hash_policy1 に設定すると、カーネルが L4 hash を実行します。これは、値の 5-tuple セット (ソース IP、ソースポート、宛先 IP、宛先ポート、IP プロトコルタイプ) に基づいた IPv4 パケットのマルチパスハッシュです。fib_multipath_hash_policy0 (デフォルト) に設定している場合は、L3 hash (ソースおよび宛先の IP アドレス) だけが使用されます。
fib_multipath_hash_policy を有効にすると、ICMP (Internet Control Message Protocol) エラーパケットが、内部パケットヘッダーに基づいたハッシュ値を持ちません。この問題は、ICMP パケットが誤ったホストに配信されてしまうため、エニキャストサービスの問題です。(BZ#1511351)

VLAN インターフェースのハードウェアタイムスタンプをサポート

この更新により、VLAN インターフェースにハードウェアタイムスタンプが追加されます (dp83640 ドライバーは除外されます)。これにより、linuxptp などのアプリケーションでハードウェアのタイムスタンプが有効になります。(BZ#1520356)

802-3-ethernet.auto-negotiation が有効な場合に speed および duplex の 802-3-ethernet プロパティーを指定することが可能に

以前は、イーサネット接続で 802-3-ethernet.auto-negotiation を有効にすると、NIC (Network Interface Card) がサポートする speed モードおよび duplex モードがすべて通知されていました。特定の speed モードおよび duplex モードを強制する唯一のオプションは、802-3-ethernet.auto-negotiation を無効にし、802-3-ethernet.speed プロパティーおよび 802-3-ethernet.duplex プロパティーを設定することです。これは、イーサネット規格 1000BASE-T および 10GBASE-Tauto-negotiation が常に有効になっている必要があったため、正しくありませんでした。この更新により、auto-negotiation が有効になっている場合に、特定の speed および duplex を有効にできます。(BZ#1487477)

IPv6 の DHCP 接続で DUID の変更をサポート

この更新により、NetworkManager の DUID (DHCP Unique Identifier) を設定して、DHCP (Dynamic Host Configuration Protocol) サーバーから IPv6 アドレスを取得できるようになりました。その結果、新しいプロパティー ipv6.dhcp-duid を使用して、DHCPv6 接続の DUID を指定できるようになりました。ipv6.dhcp-duid に設定する値の詳細は、man ページ nm-settings(5) を参照してください。(BZ#1414093)

ipset が Linux カーネルバージョン 4.17 にリベース

ipset カーネルコンポーネントが、アップストリームの Linux カーネルバージョン 4.17 にアップグレードし、以前のバージョンに拡張機能およびバグ修正が数多く追加されました。主な変更点は以下のとおりです。
  • 以下のタイプの ipset がサポートされるようになりました。
  • hash:net,net
  • hash:net,port,net
  • hash:ip,mark
  • hash:mac
  • hash:ip,mac (BZ#1557599)

ipset (ユーザー空間) のバージョンが 6.38 にリベース

ipset (ユーザー空間) パッケージがアップストリームのバージョン 6.38 にアップグレードし、以前のバージョンにバグ修正および拡張機能が数多く追加されました。主な変更点は以下のとおりです。
  • ユーザー空間の ipset において、Red Hat Enterprise Linux (RHEL) カーネルの ipset 実装でサポートされる ipset の種類が修正されました。
  • 新しいセットの種類 hash:ipmac がサポートされるようになりました。(BZ#1557600)

firewalld がバージョン 0.5.3 にリベース

firewalld サービスデーモンがアップストリームのバージョン 0.5.3 にアップグレードして、バグ修正および拡張機能が数多く追加されました。主な変更点は以下のとおりです。
  • 設定ファイルのサニティーチェックが行われる --check-config オプションが追加されました。
  • firewalld の再起動後に、docker0 などの生成されたインターフェースがゾーンに適切に再追加されるようになりました。
  • 新しい IP セットの種類 hash:mac がサポートされるようになりました。(BZ#1554993)

ipset comment拡張機能をサポート

この更新により、ipset comment 拡張機能が追加され、コメントを使用してエントリーを追加できるようになりました。詳細は man ページ ipset (8) を参照してください。(BZ#1496859)

radvd がバージョン 2.17 にリベース

router advertisement daemon (radvd) がバージョン 2.17 にアップグレードされました。最も注目すべき変更は、radvd がルーター通知のソースアドレスの選択をサポートすることです。その結果、ホスト間またはファイアウォール間でルーターのアドレスが移動したときに接続の追跡に失敗することがなくなりました。(BZ#1475983)

SMB のデフォルトのバージョンが、サポートされている中で最も高い SMB2 または SMB3 とオートネゴシエーション

この更新により、Server Message Block (SMB) プロトコルのデフォルトバージョンが、SMB1 から、サポートされている中で最も高い SMB2 または SMB3 とオートネゴシエーションします。CIFS (Common Internet File System) マウントに vers=1.0 オプションを追加することで、引き続き安全がより低い SMB1 ダイアレクト (古いサーバー用) に明示的にマウントするように選択することもできます。
SMB2 または SMB3 は Unix の拡張機能をサポートしていません。マウントオプションのレビューに Unix の拡張機能を使用している場合は、vers=1.0 を使用してください。(BZ#1471950)

nftables の add ルールまたは insert ルールの position が、handle および index に置き換え

nftables パッケージの今回の更新により、add ルールまたは insert ルールの position パラメーターが非推奨になり、handle 引数および index 引数に置き換えられました。この構文により、replace コマンドおよび delete コマンドで一貫性が向上しました。(BZ#1571968)

net-snmp の新機能

Red Hat Enterprise Linux 7 の net-snmp パッケージが拡張され、以下の機能が追加されました。
  • net-snmp が、ZFS ファイルシステムのディスクの監視をサポートするようになりました。
  • net-snmp が、ASM Cluster (AC) ファイルシステムのディスクの監視をサポートするようになりました。(BZ#1533943、BZ#1564400)

firewalld-cmd --check-config が XML 設定ファイルの有効性を確認することが可能に

この更新により、firewall-cmd コマンドおよび firewall-offline-cmd コマンドの --check-config オプションが導入されました。新しいオプションは、XML ファイルの firewalld デーモンのユーザー設定を確認します。検証スクリプトを使用すると、カスタムルール定義に構文エラーがある場合はそれが報告されます。(BZ#1477771)

第15章 Ansible を使用した Red Hat Enterprise Linux System Roles

Red Hat Enterprise Linux System Roles における選択されたロールが完全にサポート

Red Hat Enterprise Linux System Roles は、Red Hat Enterprise Linux サブシステム向けの設定インターフェースです。Ansible Roles を使用することでシステム設定が容易になります。このインターフェースにより、複数バージョンの Red Hat Enterprise Linux でシステム設定を管理することや、新しいメジャーリリースを導入することもできます。現在、このインターフェースには、以下のロールが含まれています。
  • selinux
  • kdump
  • network
  • timesync
  • postfix
Red Hat Enterprise Linux System Roles は、Red Hat Enterprise Linux 7.4 以降にテクノロジープレビューとして利用できるようになっています。この更新により、selinuxkdumpnetwork、および timesync のロールが完全にサポートされるようになりました。postfix ロールは、引き続きテクノロジープレビューとして利用できます。
Red Hat Enterprise Linux 7.4 以降、Red Hat Enterprise Linux System Roles パッケージは Extras チャンネルから配信されています。Red Hat Enterprise Linux System Roles の詳細は「Red Hat Enterprise Linux (RHEL) System Roles」を参照してください。
選択される rhel-system-roles パッケージのロールでは、インタフェースの一貫性、使いやすさ、および Ansible ベストプラクティスへの適合性を向上させるために、バグ修正と大幅な機能強化が適用されています。timesynckdump、および selinux のロールでは、この変更は後方互換ではないため、playbook を使用する場合は更新する必要があります。詳細は「RHEA-2018:2385 and RHEA-2018:2531 rhel-system-roles bug fix and enhancement update」を参照してください。(BZ#1479381)

第16章 セキュリティー

Clevis が TPM 2.0 をサポート

この更新により、PBD (Policy-Based Decryption) に対する Clevis のプラグ可能なフレームワークは、TPM 2.0 (Trusted Platform Module 2.0) チップを使用して暗号化するクライアントもサポートします。詳細と、設定可能なプロパティーは、man ページ clevis-encrypt-tpm2(1) を参照してください。
この機能は、64 ビットの Intel または AMD アーキテクチャーを使用するシステムでのみ利用できます。(BZ#1472435)

gnutls が 3.3.29 にリベース

GnuTLS (GNU Transport Layer Security) ライブラリーがアップストリームのバージョン 3.3.29 にアップグレードし、バグ修正および機能修正が数多く追加されました。主な変更点は以下のとおりです。
  • ハードウェアセキュリティーモジュール (HSM) に対する PKCS#11 暗号化トークンインターフェースが改善されました。p11tool に DSA サポートが追加され、特定の Atos HSM におけるキーインポートが修正されました。
  • TLS Cipher Block Chaining (CBC) レコードパディングに対する防護策が改善されました。以前のバージョンには問題があり、攻撃者が CPU キャッシュへのアクセスを持ち、CPA (chosen-plaintext attack) を実行する攻撃に対しては不十分でした。
  • レガシーの HMAC-SHA384 暗号化スイートをデフォルトで無効にします。(BZ#1561481)

IBM z14 における OpenSSLAES-GCM オペレーションが速くなる

この更新により、IBM z14 システムで利用可能な CPACF (CP Assist for Cryptographic Functions) 命令を持つ暗号化操作の追加アクセラレーションがサポートされるようになりました。その結果、OpenSSL ライブラリーを使用した AES-GCM オペレーションは、IBM z14 以降のハードウェアではより速く実行されるようになりました。(BZ#1519396)

sudo がバージョン 1.8.23 にリベース

sudo パッケージがアップストリームバージョン 1.8.23 にアップグレードし、以前のバージョンにバグ修正および機能拡張が数多く追加されました。
  • 新しい cvtsudoers ユーティリティーが、sudoers2ldif スクリプトおよび visudo -x 機能の両方に置き換えられました。sudoers または LDIF のいずれかの形式でファイルを読み込み、JSON、LDIF、または sudoers 出力を生成します。また、ユーザー、グループ、またはホスト名で生成した出力ファイルにフィルターを設定することもできます。
  • always_query_group_plugin オプションは、デフォルトの /etc/sudoers ファイルに明示的に設定できるようになりました。以前のバージョンからアップグレードし、以前のグループクエリー動作を維持したい場合は、アップグレード後にこの設定が適切な位置にあることを確認する必要があります。
  • パスワードが必要なくなった場合でも、PAM アカウント管理モジュールを実行できるようになりました。
  • 新しい sudoers オプション case_insensitive_user および case_insensitive_group により、sudo が、sudoers のユーザーおよびグループに対して大文字小文字を区別するかどうかを制御できます。デフォルトでは、大文字小文字を区別しません。
  • コマンドラインで空の文字列として runas ユーザーを指定する際にエラーが発生します。以前のバージョンでは、空の runas ユーザーは、未指定の runas ユーザーと同じように処理されました。
  • I/O ログファイルは、デフォルトで ID 0 グループで作成されます。ただし、iolog_user オプションまたは iolog_group オプションが sudoers に設定されている場合は作成されません。
  • env_delete リストから *=()* パターンを削除して env_reset sudoers 設定が無効になっている環境では bash シェル関数を維持できるようになりました。(BZ#1547974)

usbguard がバージョン 0.7.4 にリベース

usbguard パッケージがアップストリームのバージョン 0.7.4 にリベースされ、以前のバージョンにバグ修正および機能拡張が数多く追加されました。以下はその具体例です。
  • ロギングファイルまたは監査イベントファイルを開くことができない場合、usbguard-daemon はエラーで終了します。
  • 現在のデバイスエミュレーションアルゴリズムは、信頼性がより高くなります。エミュレーションのタイムアウトにより、usbguard-daemon プロセスが終了することはなくなりました。
  • usbguard watch コマンドに、受信したすべてのイベントに実行ファイルを実行する -e オプションが含まれるようになりました。イベントデータは、環境変数を介して実行ファイルに渡されます。(BZ#1508878)

audit が 2.8.4 にリベース

audit パッケージがアップストリームバージョン 2.8.4 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • 内部状態のダンプのサポートが追加されました。service auditd state コマンドを実行して、Audit デーモンの状態を表示できるようになりました。
  • rpm ツールおよび yum ツールで生成した SOFTWARE_UPDATE イベントのサポートが追加されました。
  • リモートロギングの設定時に無制限の再試行が許可されました。これにより、クライアントが起動する場合に集約サーバーが実行していない場合でも起動できるようになりました。
  • IPv6 リモートロギングが改善されました。(BZ#1559032)

RPM が監査イベントを提供

この更新により、RPM Package Manager (RPM) が監査イベントを提供するようになりました。ソフトウェアパッケージがインストールまたは更新されたことを示す情報は、Linux Audit システムのシステム解析で重要になります。root ユーザーがパッケージをインストールまたは更新すると、RPMSOFTWARE_UPDATE 監査イベントを作成するようになりました。(BZ#1555326)

SELinux が extended_socket_class をサポート

この更新により、新しい SELinux オブジェクトクラスを多数有効にする extended_socket_class ポリシー機能が導入され、既知のネットワークソケットアドレスファミリーをすべてサポートするようになりました。また、これにより、以前 rawip_socket クラスにマッピングされていた Internet Control Message Protocol (ICMP) ソケットおよび Stream Control Transmission Protocol (SCTP) ソケットに対して別のセキュリティークラスを使用することもできます。(BZ#1564775、BZ#1427553)

mmap() の使用時に selinux-policy がファイルパーミッションを確認

このリリースでは、mmap() システムコールに新しいパーミッションチェックが導入されました。mmap() における別のマップパーミッションチェックは、すべてのアクセスが再検証されるようにする場合に、特定のファイルのメモリーマッピングを禁止するポリシーを許可するために使用します。これは、ランタイム時にファイルを再ラベル化することが期待されるシナリオで、状態変更の反映、たとえばクロスドメインソリューションや、データをコピーしない保証されたパイプラインがない場合に便利です。
この機能はデフォルトで有効になります。また、新しい SELinux ブール値 domain_can_mmap_files が追加されています。domain_can_mmap_files が有効になっていると、すべてのドメインがすべてのファイルの mmap() と、文字デバイスまたはブロックデバイスを使用できます。domain_can_mmap_files が無効になっている場合は、mmap() を使用するドメイン一覧が制限されます。(BZ#1460322)

RHEL7 DISA STIG プロファイルが STIG バージョン 1 リリース 4 に一致

今回の SCAP Security Guide プロジェクトの更新により、RHEL7 の DISA (Defense Information Systems Agency) の STIG (Security Technical Implementation Guide) プロファイルが、STIG バージョン 1 リリース 4 に対して調整されています。特定のルールには自動化チェックが含まれていないか、修正されていません。(BZ#1443551)

Libreswan が、PKCS #7 フォーマットの X.509 証明書をサポート

この更新により、Libreswan 仮想プライベートネットワークアプリケーションが、PKCS#7 フォーマットの X.509 証明書もサポートするようになりました。これにより、Microsoft Windows を実行するシステムとの相互互換性が有効になります。(BZ#1536404)

libreswan がバージョン 3.25 にリベース

libreswan パッケージがアップストリームバージョン 3.25 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
以前は、pfs=no オプションを使用して Perfect Forward Secrecy を禁止し、ESP/AH PFS modp グループ (esp=aes-sha2;modp2048 など) を設定する誤った設定がロードされ、modp 設定を無視していました。この更新により、このような接続がロードされず、ESP DH algorithm MODP2048 is invalid as PFS policy is disabled エラーメッセージが表示されます。(BZ#1591817)

openssl-ibmca がバージョン 2.0.0 にリベース

openssl-ibmca パッケージがアップストリームバージョン 2.0.0 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
  • Elliptic-Curve Cryptography (ECC) 機能がサポートされるようになりました。
  • さまざまな OpenSSL バージョンとの互換性が追加されました。
z/VM 6.4 システムで共有 CEX4C アダプターを持つ ECC 機能を使用するために、APAR (Authorized Program Analysis Report) の VM65942 が必要になります。(BZ#1519395)

認証が必要ない場合でも、sudo が PAM スタックを実行

この更新を使用して、sudo ユーティリティーが PAM (Pluggable Authentication Module) アカウント管理モジュールを実行します。ポリシーに NOPASSWD オプションが設定されます。これにより、認証フェーズ外で PAM モジュールにより課せられた確認を有効にします。その結果、pam_time などの PAM モジュールは、上述のシナリオで適切に動作します。(BZ#1533964)

cvtsudoerssudoers フォーマット間で変換

新しい cvtsudoers ユーティリティーは、sudoers セキュリティーポリシーファイルフォーマット間でルールを変換できます。利用可能なオプション一覧と使用例は、man ページ cvtsudoers(1) を参照してください。(BZ#1548380)

SCAP セキュリティーガイドが OSPP v4.2 をサポート

今回の scap-security-guide パッケージの更新により、OSPP (General-Purpose Operating System Protection Profile) v4.2 のコア要件を定義する新しいプロファイルが導入されました。新しいプロファイル ID は ospp42 で、以前リリースしたプロファイル USGCB (United States Government Configuration Baseline) の OSPP v4.0 は ID ospp で利用できます。(BZ#1619689)

selinux-policy に、SELinux ブール値を 5 つ追加

今回の selinux-policy パッケージの更新により、以下の SELinux ブール値が導入されました。
  • keepalived_connect_any - keepalived サービスが任意のポートに接続できる
  • tomcat_use_execmem - Tomcat サーバーがそのスタックを実行できる
  • tomcat_can_network_connect_db - TomcatPosgtreSQL ポートに接続できる
  • redis_enable_notify - redis-sentinel サービスが通知スクリプトを実行できる
  • zabbix_run_sudo - zabbix_agent サービスが sudo ユーティリティーを実行できる (BZ#1443473、BZ#1565226、BZ#1477948、BZ#1421326、BZ#1347052)

第17章 サーバーとサービス

rear がバージョン 2.4 にリベース

Relax-and-Recover ツール (ReaR) を提供する rear パッケージがアップストリームのバージョン 2.4 にアップグレードし、以前のバージョンに対してバグ修正および機能拡張が数多く追加されています。
  • 移行モードでパーティションのサイズ変更を行う場合のデフォルト動作が変更しました。最後のパーティションのサイズだけがデフォルトで変更し、各パーティションの開始位置が保護されています。以前の動作が必要な場合は、AUTORESIZE_PARTITIONS 設定変数を yes に設定します。パーティションのサイズ変更を制御する方法は、/usr/share/rear/conf/default.conf ファイルの設定変数 AUTORESIZE_PARTITIONSAUTORESIZE_EXCLUDE_PARTITIONSAUTOSHRINK_DISK_SIZE_LIMIT_PERCENTAGE、および AUTOINCREASE_DISK_SIZE_THRESHOLD_PERCENTAGE の説明を参照してください。
  • ネットワーク設定はチーミング (LACP (Link Aggregation Control Protocol) は除く)、ブリッジ、ボンディング、および VLAN をサポートするようになりました。
  • TSM (Tivoli Storage Manager) のサポートが改善されました。具体的には、TSM クライアントバージョン 8.1.2 以降へのパスワード保存のサポートが追加され、TSM バージョンがバックアップに使用された場合に、生成された ISO イメージがオペレーティングシステムの復元をサポートしなかったバグが修正されました。
  • 空白文字およびスラッシュ文字を含むパーティション名のサポートが修正されました。
  • SSH シークレット (秘密鍵) は、復元システムにコピーされなくなり、漏洩しなくなります。その結果、復元システムの SSH は、元のシステムからシークレットキーを使用できません。この動作の制御方法は、/usr/share/rear/conf/default.conf ファイルの SSH_FILES 変数、SSH_ROOT_PASSWORD 変数、および SSH_UNPROTECTED_PRIVATE_KEYS 変数の説明を参照してください。
  • IBM POWER システムアーキテクチャーのサポートには、レスキューの ISO イメージ、および複数の ISO のバックアップを含むサポートなど、多数の改良が追加されています。
  • マルチパスのサポートが強化されました。たとえば、マルチパスデバイスのソフトウェア RAID のサポートが追加されました。
  • セキュアブートのサポートが追加されました。カスタム署名のブートローダーを指定するために SECURE_BOOT_BOOTLOADER変数が使用されます。
  • 不明なコンポーネントを持つソフトウェア RAID デバイスのディスクレイアウトの復元のサポートが追加されています。
  • ReaR により呼び出されるプログラムの標準エラーおよび標準出力チャンネルは、ターミナルに表示されず、ログファイルにリダイレクトされます。標準出力または標準エラーチャンネルにユーザー入力を表示するプログラムが適切に動作しません。標準出力チャンネルは、ファイル記述子 7 にリダイレクトし、標準入力チャンネルは、ファイル記述子 6 からリダイレクトされます。詳細は、ReaR wiki の Coding Style ドキュメントを参照してください。
  • LVM シンプールおよびシンボリュームを持つシステムの復元サポートが追加されました。(BZ#1496518、BZ#1484051、BZ#1534646、BZ#1498828、BZ#1571266、BZ#1539063、BZ#1464353、BZ#1536023)

rear パッケージにユーザーガイドを追加

この更新により、rear パッケージにユーザーガイドが追加され、Relax-and-Recover (ReaR) ツールが提供されました。rear をインストールすると、/usr/share/doc/rear-2.4/relax-and-recover-user-guide.html ファイルでユーザーガイドを確認できます。(BZ#1418459)

pcsc-lite インターフェースがデバイスを 32 個までサポート

Red Hat Enterprise Linux 7.6 では、pcsc-lite スマートカードインターフェースがサポートするデバイスの数が 16 から 32 に増えました。(BZ#1516993)

tuned がバージョン 2.10.0 にリベース

tuned パッケージがアップストリームのバージョン 2.10.0 にリベースされ、以前のバージョンにバグ修正および機能拡張が数多く追加されました。
主な変更には以下のものがあります。
  • (個別の tuned-profiles-mssql サブパッケージに) mssql プロファイルが追加されました。
  • tuned-adm ツールにエラーが発生すると、関連するログの抜粋が表示されます。
  • 32 個以上のコアを持つシステムで CPU マスクの検証が修正されます。(BZ#1546598)

STOU FTP コマンドで、固有のファイル名を生成するためのアルゴリズムが改善

STOU FTP コマンドを使用すると、サーバーにファイルを転送し、一意の名前でファイルを保存できます。以前のバージョンでは、STOU コマンドが、引数として渡されたファイル名の後ろに番号を付ける形でファイル名を作成し、その番号を 1 つずつ増やしていくため、競合状態が発生していました。その後、スクリプトが STOU コマンドを使用して、ファイル名が同じファイルをアップロードしようとすると失敗します。この更新により、固有のファイル名が作成されるように STOU が修正され、競合状態を回避し、STOU を使用するスクリプトの機能が改善しました。STOU を使用する固有のファイル名を生成する改善されたアルゴリズムを有効にするには、以下の行を追加して、設定ファイル (通常は /etc/vsftpd/vsftpd.conf) の better_stou オプションを有効にします。
better_stou=YES (BZ#1479237)

rsyslog imfile がシムリンクをサポート

この更新により、rsyslog imfile モジュールのパフォーマンスが向上し、設定オプションが増えました。これにより、より複雑なファイルにこのモジュールを使用してユースケースを監視できるようになりました。rsyslog を使用している場合は、設定されたパスのどこにでも、グロブパターンを使用したファイルのモニターを使用し、以前のバージョンと比較してデータのスループットが増えたときに、シムリンクのターゲットをローテートできます。(BZ#1531295)

新しい rsyslog モジュール: omkafka

kafka 集中型データストレージシナリオを有効にするには、新しい omkafka モジュールを使用して、kafka インフラストラクチャーにログを転送できるようになりました。(BZ#1482819)

新しい rsyslog モジュール: mmkubernetes

別のログコレクターを選択し、Kubernetes コンテナーメタデータが必要な場合に、rsyslog を使用したシナリオを有効にするには、新しい mmkubernetes モジュールが Red Hat Enterprise Linux に追加されました。(BZ#1539193)

第18章 ストレージ

NVMe ドライバーがバージョン 4.17-rc1 にリベース

NVMe ドライバーが、アップストリームのバージョン 4.17-rc1 にリベースされ、以前のバージョンに対するバグ修正および拡張機能が数多く追加されました。主な変更点は以下のとおりです。
  • RDMA (Remote Direct Memory Access) で、NVMe (Nonvolatile Memory Express) のエラー処理が改良されました。
  • RDMA トランスポートで接続が維持されたままになる問題が修正されました。
このドライバーは DIF/DIX (Data Integrity Field/Data Integrity Extension) の保護情報の実装をサポートせず、NVMe-over-Fabrics トランスポートのマルチパスをサポートしません。(BZ#1515584)

Broadcom Emulex ファイバーチャンネルのアダプターで NVMe/FC が完全にサポート

Broadcom Emulex Fibre Channel 32Gbit アダプターとともに使用すると、イニシエーターモードで NVMe/FC (NVMe over Fibre Channel) トランスポートタイプが完全にサポートされるようになりました。
Red Hat Enterprise Linux に導入されていた RDMA (Remote Direct Memory Access) に加えて、NVMe over Fibre Channel が、NVMe (Nonvolatile Memory Express) プロトコルのファブリックトランスポートタイプとして追加されました。
lpfc ドライバーで NVMe/FC を有効にするには、/etc/modprobe.d/lpfc.conf ファイルに以下のオプションを追加します。
lpfc_enable_fc4_type=3
この機能は、Red Hat Enterprise Linux 7.5 ではテクノロジープレビューとして利用できました。lpfc 以外のドライバーは引き続きテクノロジープレビューとして利用できます。詳細はテクノロジープレビューの説明を参照してください。
その他の制限:
  • マルチパスは、NVMe/FC ではサポートされません。
  • NVMe クラスタリングは、NVMe/FC ではサポートされません。
  • 現在、Red Hat Enterprise Linux は、イニシエーターモードで NVMe/FC および SCSI/FC の同時使用をサポートしていません。
  • kernel-alt パッケージは、NVMe/FC をサポートしません。
  • kdump は、NVMe/FC ではサポートされません。
  • SAN (Storage Area Network) の NVMe/FC からのシステム起動はサポートされません。(BZ#1584753)

プロトコルによるパスのブラックリストおよびホワイトリストへの登録が可能に

DM Multipath (Device Mapper Multipath) は、設定セクション blacklist および blacklist_exceptionsprotocol 設定オプションをサポートするようになり、scsinvme など、使用するプロトコルに基づいてパスをブラックリストまたはホワイトリストに登録できます。SCSI デバイスの場合は、scsi:fcpscsi:iscsi などのトランスポートを指定することもできます。(BZ#1593459)

パスの不具合を示すために %0 ワイルドカードが multipathd show paths format コマンドに新たに追加

multipathd show paths format コマンドは、パスの不具合を表示する %0 ワイルドカードをサポートするようになりました。このワイルドカードが利用できるようになったことで、マルチパスデバイスで問題を発生させているパスを簡単に追跡できるようになりました。(BZ#1554516)

新しい all_tg_pt マルチパス設定オプション

multipath.conf 設定ファイルの defaults セクションおよび devices セクションが all_tg_pts パラメーターをサポートするようになりました。no にデフォルト設定されています。このオプションを yes に設定すると、mpathpersist がキーを登録する際に 1 つのホストから 1 つのターゲットポートに登録したキーを、すべてのターゲットポートに向かうように扱います。一部のアレイ、特に EMC VNX は、1 つのホストとすべてのターゲットポートとの間にあるものとして予約を扱います。mpathpersist が同じように動作しないと、予約の矛盾が発生します。(BZ#1541116)

第19章 システムとサブスクリプション管理

cockpit がバージョン 173 にリベース

Cockpit のブラウザーベースの管理コンソールを提供する cockpit パッケージが、バージョン 173 にアップグレードしました。このバージョンには、バグ修正と機能拡張が数多く追加されています。主な変更点は以下のとおりです。
  • メニューおよびナビゲーションが、モバイルブラウザーと連携するようになりました。
  • Cockpit は、Cockpit の Web サーバーで、シングルサインオン (SSO) の設定を有効にする別の Kerberos キータブをサポートするようになりました。
  • Cockpit Web サーバーに Kerberos キータブを自動設定するようになりました。
  • Cockpit に対して FreeIPA を持つ SSO の自動設定が可能になりました。
  • Cockpit は、Cockpit の Web サーバーで FreeIPA SSL 証明書を要求するようになりました。
  • Cockpit は、システムのフロントページに、利用可能なパッケージの更新と、不明な登録を表示するようになりました。
  • Firewall インターフェースが追加されています。
  • 大きなファイルをダウンロードする際に、ユーザーインターフェイスのハングと、メモリーの使用量が無限となる問題を回避するフロー制御が追加されました。
  • Chrome におけるターミナルの問題が修正されました。
  • Cockpit で、数値、時間、日付が適切にローカライズされました。
  • 管理者以外のユーザーとしてアクセスするとサブスクリプションページがハングする問題が修正されました。
  • Log in が適切にローカライズされています
  • root 特権の可用性を、FreeIPA 管理者も確認できるようになりました。(BZ#1568728、BZ#1495543、BZ#1442540、BZ#1541454、BZ#1574630)

reposync が、宛先ディレクトリーにないパッケージをデフォルトで除外

reposync コマンドは、リモートのリポジトリーで指定されたパッケージへのパスの中から不適切な箇所を削除していなかったため、安全が確保されていませんでした。CVE-2018-10897 に対するセキュリティーの修正が、指定した宛先ディレクトリー外にパッケージを保存しないように、reposync のデフォルトの動作が変更しました。元々の安全が確保されていない動作を復元するには、新しい --allow-path-traversal オプションを使用します。(BZ#1609302、BZ#1600618)

yum clean all コマンドがディスクの使用量の概要を出力

yum clean all コマンドを使用している場合は、以下のヒントが常に表示されます。
Maybe you want: rm -rf /var/cache/yum
この更新によりヒントが削除され、yum clean all には、yum clean all に影響されない残りのリポジトリーに関するディスク使用量の概要が出力されます。(BZ#1481220)

yum versionlock プラグインで、yum update コマンドを実行する際にブロックされるパッケージを表示

以前は、RPM パッケージをロックするために使用されていた yum versionlock が、更新から除外されるパッケージの情報を表示しませんでした。その結果、yum update コマンドを実行する際にこのようなパッケージが更新されないことがユーザーに警告されませんでした。この更新により、yum versionlock が変更しました。このプラグインは、更新から除外されたパッケージの数を示すメッセージを表示するようになりました。さらに、新たな status サブコマンドがプラグインに追加されています。yum versionlock status コマンドは、このプラグインがブロックする利用可能なパッケージ更新を一覧表示します。(BZ#1497351)

repotrack コマンドが --repofrompath オプションをサポート

repoquery コマンドおよび repoclosure コマンドがサポートする --repofrompath option が、repotrack コマンドに追加されました。その結果、root 以外のユーザーの特権を上げなくても、追跡するカスタムリポジトリーを追加できるようになりました。(BZ#1506205)

サブスクリプションマネージャーが、rhsm.confproxy_port 設定を有効に

サブスクリプションマネージャーで、/etc/rhsm/rhsm.conf ファイルから デフォルトの proxy_port 設定への変更が有効ではありませんでした。その結果、ユーザーが proxy_port の値を変更しても、デフォルト値の 3128 が使用されていました。
この更新により、基本的なソースコードが修正され、サブスクリプションマネージャーで、デフォルトの proxy_port 設定への変更が有効になりました。ただし、/etc/rhsm/rhsm.confproxy_port 値を変更するには、Selinux ポリシーを変更する必要があります。デフォルトの proxy_port を変更する際に Selinux が無効になるのを回避するには、rhsmcertd デーモンプロセスに、以下のコマンドを実行します。
semanage port -a -t squid_port_t -p tcp <new_proxy_port>
(BZ#1576423)

新パッケージ: sos-collector

sos-collector は、マルチノード環境から sosreports を収集するユーティリティーです。sos-collector は、サポートケースのデータ収集を容易にし、ノードから、またはネットワークからその環境へアクセスできる管理者のローカルのワークステーションから実行できます。(BZ#1481861)

第20章 仮想化

virt-v2v が仮想マシンの CPU トポロジーを変換

この更新により、virt-v2v ユーティリティーが、変換した仮想マシン (VM) の CPU トポロジーを保存するようになりました。これにより、変換前と同じ方法で変換後も仮想マシンの CPU を有効にできるため、潜在的なランタイム問題を回避できます。(BZ#1541908)

virt-v2v を使用して、仮想マシンを RHV に直接インポート可能

virt-v2v ユーティリティーが、変換した仮想マシン (VM) を Red Hat Virtualization (RHV) クライアントに直接出力できるようになりました。その結果、Red Hat Virtualization Manager (RHVM) を使用して、virt-v2v が変換した仮想マシンをより速く、簡単にインポートできるようになり、信頼性もあがりました。
この機能を適切に動作させるには、バージョン 4.2 以降の RHV が必要です。(BZ#1557273)

i6300esb ウォッチドッグが libvirt でサポート

この更新により、libvirt API は、i6300esb ウォッチドッグデバイスをサポートするようになりました。その結果、KVM 仮想マシンはこのデバイスを使用して、ゲスト OS が応答できない、または突然終了した場合にコアダンプを保存するなど、特定のアクションを自動的に起動できるようになりました。(BZ#1447169)

準仮想化クロックを Red Hat Enterprise Linux の仮想マシンに追加

この更新により、準仮想化 sched_clock() 関数が Red Hat Enterprise Linux カーネルに統合されました。これにより、VMWare ハイパーバイザーで実行している Red Hat Enterprise Linux 仮想マシン (VM) のパフォーマンスが改善します。
この機能はデフォルトで有効になります。これを無効にするには、no-vmw-sched-clock オプションをカーネルコマンドラインに追加します。(BZ#1507027)

VNC コンソールが IBM Z でサポート対象に

この更新により、IBM Z アーキテクチャーで実行するゲストの virtio-gpu カーネル設定を有効にします。その結果、IBM Z ホストの KVM ゲストで VNC コンソールを使用して、グラフィカルな出力を表示できるようになりました。(BZ#1570090)

QEMU ゲストエージェント診断が改善

qemu-guest-agents で、VDSM の最新バージョンとの互換性を維持するため、最新のアップストリームのバージョンから多くの機能がバックポートされています。
たとえば、QEMU Guest Agent の診断能力を改善する qemu-get-host-name コマンド、qemu-get-users コマンド、qemu-get-osinfo コマンド、および qemu-get-timezone コマンドが追加されました。(BZ#1569013)

第21章 Atomic Host とコンテナー

Red Hat Enterprise Linux Atomic Host

Red Hat Enterprise Linux Atomic Host は、Linux コンテナーの実行のために最適化された安全、軽量で、フットプリントを最小限に抑えたオペレーティングシステムです。最新の新機能、既知のバグ、およびテクノロジープレビューは、Atomic Host およびコンテナーの『Release Notes』を参照してください。

第22章 Red Hat Software Collections

Red Hat Software Collections とは、動的なプログラミング言語、データベースサーバー、関連パッケージを提供する Red Hat のコンテンツセットのことで、AMD64 および Intel 64 アーキテクチャー、64 ビット ARM アーキテクチャー、IBM Z、ならびに IBM POWER (リトルエンディアン) 上の Red Hat Enterprise Linux 7 の全サポートリリースにインストールして使用できます。また、特定のコンポーネントが、AMD64 および Intel 64 アーキテクチャー上の Red Hat Enterprise Linux 6 の全サポートリリースに向けて提供されています。
Red Hat Developer Toolset は Red Hat Enterprise Linux プラットフォームで作業する開発者向けに設計されており、最新版の GNU Compiler Collection、GNU Debugger、その他の各種開発用ツールやデバッグ用ツール、パフォーマンス監視用ツールなども提供しています。Red Hat Developer Toolset は、別の Software Collection として提供されています。
Red Hat Software Collections で配信される動的言語、データベースサーバーなどのツールは Red Hat Enterprise Linux で提供されるデフォルトのシステムツールに代わるものでも、これらのデフォルトのツールよりも推奨されるツールでもありません。Red Hat Software Collections では、scl ユーティリティーをベースにした別のパッケージメカニズムを使用しており、複数のパッケージセットを並行して提供できます。Red Hat Software Collections を利用すると、Red Hat Enterprise Linux で別のバージョンをオプションで使用できます。scl ユーティリティーを使用すると、いつでも任意のパッケージバージョンを選択して実行できます。

重要

Red Hat Software Collections のライフサイクルおよびサポート期間は、Red Hat Enterprise Linux に比べて短くなります。詳細は「Red Hat Software Collections 製品ライフサイクル」を参照してください。
Red Hat Software Collections のセットに収納されているコンポーネント、システム要件、既知の問題、使用方法、各 Software Collection の詳細などは Red Hat Software Collections のドキュメント を参照してください。
Red Hat Software Collections で提供される Red Hat Developer Toolset に含まれるコンポーネント、インストール、使用方法、既知の問題などの詳細は Red Hat Developer Toolset のドキュメント を参照してください。

パート II. 主なバグ修正

ここでは、ユーザーに大きな影響を与える Red Hat Enterprise Linux 7.6 で修正されたバグを説明します。

第23章 備考

バグ修正の説明は、現在、本ドキュメントの英語バージョンにのみ含まれています。

パート III. テクノロジープレビュー

本パートでは、Red Hat Enterprise Linux 7.6 で利用可能なすべてのテクノロジープレビュー機能を一覧にして示します。
テクノロジープレビュー機能に対する Red Hat のサポート対象範囲は、https://access.redhat.com/support/offerings/techpreview/ を参照してください。

第24章 全般的な更新

systemd-importd 仮想マシンおよびコンテナーイメージのインポートおよびエクスポートのサービス

最新版の systemd バージョンには、以前のビルドでは有効でなかった systemd-importd デーモンが含まれます。これにより、machinectl pull-* コマンドが失敗していました。systemd-importd デーモンはテクノロジープレビューとして提供され、安定していないとみなされていました。(BZ#1284974)

第25章 認証および相互運用性

AD および LDAP の sudo プロバイダーの使用

AD (Active Directory) プロバイダーは、AD サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.2 以降では、AD sudo プロバイダーと LDAP プロバイダーとの併用はテクノロジープレビューとしての対応になります。AD sudo プロバイダーを有効にするには、sssd.conf ファイルの [domain] セクションに sudo_provider=ad 設定を追加します。(BZ#1068725)

DNSSEC が IdM でテクノロジープレビューとして利用可能

統合 DNS を備える Identity Management (IdM) サーバーで DNSSEC (DNS Security Extension) がサポートされています。DNSSEC とは DNS プロトコルの安全性を強化する DNS に対する機能拡張セットです。IdM サーバーでホストされる DNS ゾーンには DNSSEC を使用した自動署名が可能です。暗号キーは自動的に生成され、ローテートされます。
DNSSEC で DNS ゾーンの安全性を強化する場合は、以下のドキュメントを参照することが推奨されます。
統合 DNS を備えた IdM サーバーは、他の DNS サーバーから取得する DNS の答えを DNSSEC を使用して認証します。DNS ゾーンが、Red Hat Enterprise Linux ネットワークガイド (「推奨される命名プラクティス」) に記載されている推奨の命名方法に従って設定されていない場合は、その可用性に影響する場合があるため注意してください。(BZ#1115294)

Identity Management JSON-RPC API がテクノロジープレビューとして利用可能

API が Identity Management (IdM) で利用可能になりました。API を表示するために、IdM は API ブラウザーをテクノロジープレビューとして提供しています。
Red Hat Enterprise Linux 7.3 で、IdM API で複数バージョンの API コマンドが有効となるように機能拡張されました。これまでは、機能拡張によるコマンド動作が互換性なく変わる場合がありました。今回の更新で、IdM API を変更しても、ユーザーは既存のツールやスクリプトを引き続き使用できるようになりました。これにより、以下が可能になっています。
  • 管理者は、管理しているクライアント以外のサーバーで、IdM の以前のバージョンもしくは最近のバージョンを使用できます。
  • IdM のバージョンを変更しても、開発者は特定バージョンの IdM コールを使用できます。
すべてのケースでサーバーとの通信は可能になります。たとえば、ある機能向けの新オプションが新しいバージョンで導入されていて、通信の一方の側でこれを使用していたとしても、特に問題ありません。

Custodia シークレットサービスプロバイダーが利用可能

シークレットサービスプロバイダーの Custodia がテクノロジープレビューとして利用可能です。Custodia はキーやパスワードなどのシークレットに対して保存したり、それらのプロキシーとして機能します。
詳細は、アップストリームドキュメント (http://custodia.readthedocs.io) を参照してください。(BZ#1403214)

コンテナー化された Identity Management サーバーがテクノロジープレビューとして利用可能

rhel7/ipa-server コンテナーイメージがテクノロジープレビューとして利用できます。rhel7/sssd コンテナーイメージは完全にサポートされます。
詳細は『Using Containerized Identity Management Services』を参照してください。(BZ#1405325、BZ#1405326)

第26章 クラスタリング

pcs ツールが Pacemaker でバンドルリソースを管理

Pacemaker が、Red Hat Enterprise Linux 7.4 以降のテクノロジープレビューとして、必要とされるインフラストラクチャーを使用する Docker コンテナーを起動する特別な構文をサポートします。Pacemaker バンドルを作成したら、バンドルがカプセル化する Pacemaker リソースを作成できます。コンテナーの Pacemaker サポートの詳細は『High Availability Add-On リファレンス』を参照してください。
テクノロジープレビューであるこの機能には 1 つの例外があります。RHEL 7.4 以降、Red Hat は、Red Hat Openstack Platform (RHOSP) デプロイメントで Pacemaker バンドルの使用を完全にサポートします。(BZ#1433016)

新しい fence-agents-heuristics-ping フェンスエージェント

Pacemaker は、テクノロジープレビューとして fence_heuristics_ping エージェントをサポートするようになりました。このエージェントは、実際のフェンシングは行わず、フェンシングレベルの動作を新たな方法で活用する、テスト用のフェンスエージェントのクラスを開くことを目的とします。
ヒューリスティックエージェントが実際のフェンシングを行うフェンスエージェントと同じフェンシングレベルに設定されていて、そのフェンスエージェントよりも順番が先に設定されている場合には、フェンシングを行うエージェントに対して off アクションを発行する前に、ヒューリスティックエージェントに対して発行します。ヒューリスティックエージェントが off アクションでマイナスの結果を出す場合、フェンシングレベルは明らかに成功していないため、Pacemaker フェンシングがフェンシングを行うエージェントに対して off アクションを発行する手順は省略されます。ヒューリスティックエージェントはこの動作を使用して、実際にフェンシングを行うエージェントが特定の状況下でノードをフェンシングするのを防ぐことができます。
特にノードが 2 つのクラスターで、事前にサービスを正しく引き継ぎできないと分かっており、ピアのフェンシングを行っても意味がない場合などに、このエージェントを使用できます。たとえば、ネットワークアップリンクに到達できず、サービスがクライアントに到達されない場合 (ルーターへの ping 送信が検出される可能性がある状況) には、ノードがサービスを引き継いでも意味がありません。(BZ#1476401)

テクノロジープレビューとして corosync-qdevice でサポートされるヒューリスティック

ヒューリスティックとは、起動時、クラスターメンバーシップの変更時、corosync-qnetd への接続成功時に、オプションで定期的にローカルで実行されるコマンドセットのことです。すべてのコマンドが時間どおりに正常に完了した場合に (返されるエラーコードが 0 の場合) ヒューリスティックは成功となりますが、時間どおりに完了しない場合には失敗します。ヒューリスティックの結果は corosync-qnetd に送信され、定数に達したパーティションがどれかを判断する計算で使用されます。(BZ#1413573、BZ#1389209)

新しい LVM および LVM ロックマネージャーリソースエージェント

Red Hat Enterprise Linux 7.6 では、lvmlockd および LVM-activate の 2 つのリソースエージェントがテクノロジープレビューとして新たに導入されました。
LVM-activate エージェントは、以下の複数の選択肢から、クラスター全体の LVM 管理方法を選択します。
  • タグ付け: 既存の lvm リソースエージェントを使用したタグ付けと同じ
  • clvmd: 既存の lvm リソースエージェントを使用した clvmd と同じ
  • システム ID: ボリュームグループのフェイルオーバーに対してシステム ID を使用するための新たなオプション (タグ付けの代替手段)
  • lvmlockd: ボリュームグループの共有で lvmlockd および dlm を使用するための新しいオプション (clvmd の代替手段)
lvmlockd を使用するように LVM-activate を設定している場合は、lvmlockd デーモンを起動するのに新たな lvmlockd リソースエージェントを使用します。
lvmlockd および LVM に対応したリソースエージェントの詳細は、両エージェントの PCS ヘルプ画面を参照してください。LVM を設定して lvmlockd で使用する方法は、lvmlockd(8) の man ページを参照してください。(BZ#1513957、BZ#1634729)

第27章 デスクトップ

Wayland がテクノロジープレビューとして利用可能

Red Hat Enterprise Linux で、Wayland のディスプレイサーバープロトコルがテクノロジープレビューとして利用できるようになり、GNOME で Wayland のサポートを有効にするのに必要な依存関係のパッケージが追加され、libinput ライブラリーを入力ドライバーとして使用する分数スケール Wayland がサポートされます。(BZ#1481411)
以下の機能は、現在利用できない、または正常に機能しない状態です。
  • 現時点では、複数の GPU サポートが利用できません。
  • WaylandNVIDIA バイナリードライバーが動作しません。
  • 処理、解像度、回転、およびレイアウトに対するアプローチが異なるため、xrandr ユーティリティーは Wayland では機能しません。
  • 画面の記録、リモートデスクトップ、およびアクセシビリティーは、Wayland では正常に機能しない場合があります。
  • クリップボードマネージャーは利用することができません。
  • WaylandGNOME Shell を起動することは現在できません。
  • Wayland は、X11 アプリケーション (仮想マシンビューアーなど) のキーボードグラブを無視します。(BZ#1481411)

分数スケールがテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.5 以降の GNOME では、DPI が低 (scale 1) と高 (scale 2) の中間になってしまうモニターの問題に対処するため、分数スケールがテクノロジープレビューとして提供されています。
技術的な制限により、分数スケールは Wayland でのみ利用できます。(BZ#1481395)

第28章 ファイルシステム

ext4 ファイルシステムおよび XFS ファイルシステムが DAX をサポート

Red Hat Enterprise Linux 7.3 以降、Direct Access (DAX) では、アプリケーションがアドレス空間に永続メモリーを直接マッピングする手段がテクノロジープレビューとして提供されるようになりました。DAX を使用するには、永続メモリーがシステムに設定されている必要があります。永続メモリーは通常、1 つまたは複数の NVDIMM (Non-Volatile Dual In-line Memory Module) の形式で提供され、DAX をサポートするファイルシステムは NVDIMM に作成する必要があります。また、ファイルシステムはマウントオプション dax でマウントする必要があります。DAX でマウントしたファイルシステムにファイルを mmap すると、アプリケーションのアドレス空間にストレージが直接マッピングされます。(BZ#1274459)

pNFS ブロックレイアウトが利用可能に

テクノロジープレビューとして、Red Hat Enterprise Linux クライアントがブロックレイアウト機能を設定して pNFS 共有をマウントできるようになりました。
Red Hat では、ブロックレイアウトと類似し、より使いやすい pNFS SCSI レイアウトの使用が推奨される点に注意してください。(BZ#1111712)

OverlayFS

OverlayFS とはユニオンファイルシステムのタイプの 1 つで、任意のファイルシステムに別のファイルシステムを重ねる (オーバーレイする) ことができます。変更は上層側のファイルシステムに記録され、下層側のファイルシステムは未変更のままになります。コンテナーの場合や、ベースイメージが読み取り専用メディア (DVD-ROM など) の場合には、複数のユーザーで 1 つのファイルシステムイメージを共有できます。詳細は Linux カーネルのドキュメント を参照してください。
OverlayFS は、多くの状況で引き続きテクノロジープレビューとして提供されます。このため、OverlayFS を有効にすると、カーネルにより警告のログが記録されます。
Docker で次の制約を付けて使用する場合は完全対応として利用していただけます。
  • OverlayFS は Docker のグラフドライバーとして使用する場合にのみサポートされます。サポートはコンテナー COW コンテンツでの使用に限定され、永続ストレージとしてはサポートされません。永続ストレージは OverlayFS 以外のボリュームに配置している場合に限りサポートの対象となります。使用できるのはデフォルトの Docker 設定のみです。つまり、オーバーレイレベル 1 つ、下層側ディレクトリー 1 つ、同じファイルシステムに配置された上層レベルと下層レベルという構成です。
  • 下層ファイルシステムとして使用がサポートされているのは現在 XFS のみです。
  • Red Hat Enterprise Linux 7.3 以前では、物理マシンで SELinux を有効にして Enforcing モードに設定しておく必要がありますが、コンテナーを分離する場合は、コンテナーで無効にする必要があります。つまり、/etc/sysconfig/docker ファイルに --selinux-enabled を追加しないでください。Red Hat Enterprise Linux 7.4 以降では、OverlayFS は SELinux セキュリティーラベルをサポートしているため、/etc/sysconfig/docker--selinux-enabled を指定すると、コンテナーで SELinux サポートを有効にできます。
  • OverlayFS カーネル ABI とユーザー空間の動作については安定性に欠けるとみなされているため、今後の更新で変更が加えられる可能性があります。
  • コンテナー内で yum および rpm のユーティリティーを正常に機能させるには、yum-plugin-ovl パッケージを使用する必要があります。
OverlayFS は制限付きで POSIX 標準セットを提供しています。OverlayFS で POSIX 標準を導入する場合は、導入する前にアプリケーションテストを十分に行ってから導入するようにしてください。
オーバーレイとして使用するように -n ftype=1 オプションを有効にして、XFS ファイルシステムを作成する必要がある点に注意してください。システムのインストール時に作成される rootfs およびファイルシステムについては、Anaconda キックスタートで --mkfsoptions=-n ftype=1 のパラメーターを設定してください。インストール後に新しいファイルシステムを作成する場合は # mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE コマンドを実行します。既存のファイルシステムがオーバーレイとして使用できるかどうかを判断するには # xfs_info /PATH/TO/DEVICE | grep ftype コマンドを使用して ftype=1 オプションが有効であるかどうかを確認します。
このリリースには、OverlayFS に関連する既存の問題がいくつかあります。詳細は Linux カーネルドキュメントの「Non-standard behavior」を参照してください。(BZ#1206277)

Btrfs ファイルシステム

Btrfs (B-Tree) ファイルシステムは、Red Hat Enterprise Linux 7 ではテクノロジープレビューとして提供されています。
この機能のアップデートは、Red Hat Enterprise Linux 7.4 で最後となることが予定されています。Btrfs は廃止予定となっており、Red Hat では Btrfs 機能を完全にはサポートせず、将来の Red Hat Enterprise Linux バージョンで削除されます。(BZ#1477977)

特定のアーキテクチャーに対するテクノロジープレビューとして ima-evm-utils が利用可能

テクノロジープレビューとして利用可能な ima-evm-utils パッケージの提供するユーティリティーにより、Integrity Measurement Architecture (IMA) および Extended Verification Module (EVM) 機能を使用して、実行時にファイルシステムのラベル化やシステムの整合性確認を行うことができます。これらのユーティリティーにより、ファイルが誤ってまたは悪意により変更されたかどうかをモニタリングできます。
ima-evm-utils は、AMD64 および Intel 64 アーキテクチャーでは完全にサポートされていますが、その他のアーキテクチャーではテクノロジープレビューのままになります。(BZ#1384450)

第29章 ハードウェアの有効化

LSI Syncro CS HA-DAS アダプター

Red Hat Enterprise Linux 7.1 には、LSI Syncro CS の HA-DAS (high-availability direct-attached storage) アダプターを有効にするため、megaraid_sas ドライバーにコードが含まれていました。megaraid_sas ドライバーは、これまで有効であったアダプターに対して完全にサポートされますが、Syncro CS に対してはテクノロジープレビューとして提供されます。このアダプターのサポートは、LSI、システムインテグレーター、またはシステムベンダーにより直接提供されます。Red Hat Enterprise Linux 7.2 以上に Syncro CS をデプロイする場合は、Red Hat および LSI へのフィードバックにご協力ください (http://www.lsi.com/products/shared-das/pages/default.aspx にアクセス)。(BZ#1062759)。

tss2 で IBM Power LE に対して TPM 2.0 が有効に

tss2 パッケージが、IBM Power LE アーキテクチャー向けに、Trusted Computing Group Software Stack (TSS) 2.0 の IBM 実装をテクノロジープレビューとして追加します。このパッケージにより、TPM 2.0 デバイスとの対話が可能になります。(BZ#1384452)

ibmvnic デバイスドライバーがテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.3 以降、IBM POWER アーキテクチャー向け IBM Virtual Network Interface Controller (vNIC) ドライバーである ibmvnic がテクノロジープレビューとして利用できます。vNIC (Virtual Network Interface Controller) は、エンタープライズケイパビリティーを提供し、ネットワーク管理を単純化する PowerVM 仮想ネットワークテクノロジーです。これは SR-IOV NIC と組み合わせると、仮想 NIC レベルで帯域幅の制御に関する Qos (Quality of Service) ケイパビリティーを提供する高パフォーマンスの効率的なテクノロジーとして機能します。vNIC は仮想化オーバーヘッドを大幅に削減するため、待ち時間が短縮し、ネットワークの仮想化に必要な CPU およびメモリーを含むサーバーリソースが少なくなります
Red Hat Enterprise Linux 7.6 では、ibmvnic がバージョン 1.0 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • エラー IDは Virtual Input-Output (VIOS) サーバーが提供していないため、以前はエラー情報が必要であったコードが削除されました。
  • 原因となった文字列でエラー報告が更新されています。その結果、復旧時、ドライバーは文字列をエラーではなく警告として分類します。
  • ログインの失敗におけるエラー処理が修正されています。
  • LPAR (Logical Partitioning) の移行時のフェイルオーバー後に発生していた障害状態が修正されました。
  • ドライバーは、可能なすべてのログイン戻り値を処理できるようになりました。
  • Transmit and Receive (Tx/Rx) キューを変更している場合に、フェイルオーバー時または LPM (Link Power Management) 時に発生していたドライバークラッシュが修正されました。(BZ#1519746)

第30章 インストールと起動

Composer でカスタムのシステムイメージの作成がテクノロジープレビューとして利用可能

Composer ツールを使用すると、カスタマイズされた RHEL イメージを作成できます。Red Hat Enterprise Linux 7.6 以降、Composer は、Extras チャンネルの lorax-composer パッケージでテクノロジープレビューとして利用できます。
Composer を使用すると、追加パッケージを含むカスタムのシステムイメージを作成できます。Composer 機能は、Web コンソールからグラフィカルユーザーインターフェースを使用してアクセスするか、コマンドラインで composer-cli ツールを使用します。Composer で出力される内容には以下のものがあります。
  • ISO ディスクイメージ
  • 仮想マシンで直接使用する qcow2 ファイル
  • ファイルシステムのイメージファイル
Composer の詳細は、インストールガイドの「Building Custom System Images with Composer」を参照してください。(BZ#1613966)

第31章 カーネル

トレースのための eBPF システムコール

Red Hat Enterprise Linux 7.6 では、eBPF (Extended Berkeley Packet Filter) ツールがテクノロジープレビューとして導入されます。このツールは、トレーシングサブシステムに対してのみ有効になります。詳細は Red Hat ナレッジベースの記事「Kernel tracing using eBPF」を参照してください。(BZ#1559615、BZ#1559756、BZ#1311586)

HMM (heterogeneous memory management) 機能がテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.3 では、HMM (heterogeneous memory management) 機能がテクノロジープレビューとして導入されました。この機能は、プロセスアドレス空間を独自のメモリー管理ユニット (MMU) にミラーする必要のあるデバイスのヘルパーレイヤーとして、カーネルに追加されています。これにより、CPU 以外のデバイスプロセッサーは、統一システムアドレス空間を使用してシステムメモリーを読み取ることができます。この機能を有効にするには、experimental_hmm=enable をカーネルコマンドラインに追加します。(BZ#1230959)

criu がバージョン 3.5 にリベース

Red Hat Enterprise Linux 7.2 では、criu ツールがテクノロジープレビューとして導入されました。このツールは、実行中のアプリケーションをフリーズさせ、ファイルの集合としてこれを保存する Checkpoint/Restore in User-space (CRIU) を実装します。アプリケーションは、後にフリーズ状態から復元できます。
criu ツールは Protocol Buffers に依存します。これは、構造化データをシリアル化するための、言語とプラットフォームに中立的な拡張性のあるメカニズムです。依存パッケージを提供する protobuf パッケージと protobuf-c パッケージも、Red Hat Enterprise Linux 7.2 にテクノロジープレビューとして導入されています。
Red Hat Enterprise Linux 7.6 で、criu パッケージがアップストリームのバージョン 3.9 にアップグレードされました。runC コンテナーランタイムに対して多数のバグ修正および最適化を提供します。さらに、64 ビットの ARM アーキテクチャーと、IBM Power Systems CPU アーキテクチャー (リトルエンディアン) のサポートが修正されました。(BZ#1400230、BZ#1464596)

kexec がテクノロジープレビューとして利用可能

kexec システムコールがテクノロジープレビューとして提供されています。このシステムコールを使用すると現在実行中のカーネルから別のカーネルを読み込んだり、起動したりすることが可能で、カーネル内のブートローダーとして機能します。通常のシステム起動中に実行されるハードウェアの初期化が kexec 起動中に行われないため、再起動にかかる時間が大幅に短縮されます。(BZ#1460849)

kexec fast がテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.5 で導入された kexec fast reboot は引き続きテクノロジープレビューとして利用できます。kexec fast reboot を使用すると再起動が著しく速くなります。この機能を使用するには、kexec カーネルを手動でロードしてから、オペレーティングシステムを再起動する必要があります。kexec fast reboot をデフォルトの再起動操作にすることはできません。Anacondakexec fast reboot だけが特別です。kexec fast reboot をデフォルトにすることはできません。ただし、Anaconda とともに使用すると、オペレーティングシステムが anaconda オプションでカーネルをブートして完了した後に kexec fast reboot を自動的に使用します。kexec の再起動スケジュールを作成するには、kernel コマンドラインで inst.kexec コマンドを使用するか、キックスタートファイルに reboot --kexec 行を追加します。(BZ#1464377)

perf cqmresctrl に置き換え

Intel Cache Allocation Technology (CAT) が Red Hat Enterprise Linux 7.4 でテクノロジープレビューとして導入されました。ただし、perf インストラクチャーと Cache Quality of Service Monitoring (CQM) ハードウェアサポートの不整合により、perf cqm ツールが正常に機能しませんでした。したがって、perf cqm の使用時にさまざまな問題が生じていました。
主な問題は以下のとおりです。
  • perf cqm が、resctrl を使用して割り当てたタスクのグループをサポートしない
  • リサイクルに関するさまざまな問題により、perf cqm が不規則で不正確なデータを提供する
  • 異なるタイプのイベント (例: タスク、全システム、cgroup イベント) を同時に実行する場合、perf cqm のサポートが不十分である
  • cgroup イベントに対して perf cqm は部分的なサポートしか提供しない
  • cgroup イベントが階層構造を持つ場合、または cgroup 内のタスクと cgroup を同時に監視する場合、cgroup イベントに対する部分的なサポートが機能しない
  • ライフタイムの監視タスクにより perf オーバーヘッドが発生する
  • perf cqm がソケット全体のキャッシュ占有の集計値またはメモリー帯域幅を報告するが、多くのクラウドおよび VMM ベースのユースケースでは、ソケットごとの使用状況が求められる
Red Hat Enterprise Linux 7.5 で、perf cqm が、resctrl ファイルシステムをベースにしたアプローチで置き換えられ、上述の問題にすべて対応しました。(BZ#1457533、BZ#1288964)

TC HW オフロード処理がテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.6 以降、トラフィック制御 (TC) ハードウェアのオフロードがテクノロジープレビューとして利用できます。
ハードウェアのオフロード処理は、シェーピング、スケジューリング、ポリシング、破棄など、選択したネットワークトラフィック処理の機能が、ソフトウェア処理を待たずにハードウェアで直接実行されるようになり、パフォーマンスが改善しました。(BZ#1503123)

AMD xgbe ネットワークドライバーがテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.6 以降、AMD xgbe ネットワークドライバーがテクノロジープレビューとして利用できます。(BZ#1589397)

第32章 ネットワーク

Cisco usNIC ドライバー

Cisco Unified Communication Manager (UCM) サーバーには Cisco 専用の User Space Network Interface Controller (usNIC) を提供するオプション機能があります。これを使用すると、ユーザースペースのアプリケーションに対して Remote Direct Memory Access (RDMA) のような動作を実行できるようになります。テクノロジープレビューとして利用可能な libusnic_verbs ドライバーを使用すると、Verbs API ベースの標準 InfiniBand RDMA プログラミングで usNIC デバイスが利用可能になります。(BZ#916384)

Cisco VIC カーネルドライバー

Cisco VIC Infiniband のカーネルドライバーをテクノロジープレビューとして利用できます。これにより、専用の Cisco アーキテクチャーで、RDMA (Remote Directory Memory Access) のようなセマンティックが使用可能になります。(BZ#916382)

Trusted Network Connect

Trusted Network Connect はテクノロジープレビューとして利用可能で、TLS、802.1X、IPsec など既存のネットワークアクセス制御 (NAC) ソリューションと併用して、エンドポイントのポスチャー評価を一体化します。つまりエンドポイントのシステムの情報を収集します (オペレーティングシステムを構成している設定、インストールしているパッケージ、そのほか整合性測定と呼ばれているもの)。エンドポイントのネットワークへのアクセスを許可する前に、Trusted Network Connect を使用して、ネットワークアクセスポリシーに対してこれらの測定を検証します。(BZ#755087)

qlcnic ドライバーの SR-IOV 機能

SR-IOV (Single-Root I/O virtualization) のサポートがテクノロジープレビューとして qlcnic ドライバーに追加されています。この機能のサポートは QLogic から直接提供されます。QLogic および Red Hat へのご意見ご感想をお寄せください。その他の qlcnic ドライバー機能は引き続き完全サポートとなります。(BZ#1259547)

オフロードサポートが付いた flower 分類子

flower はトラフィック制御 (TC) 分類子で、各種プロトコルのパケットフィールドで広く知られているマッチング設定を可能にします。また、複雑なフィルタリングや分類タスクの u32 分類子に対するルール設定を容易にします。flower は、ハードウェアが対応している場合に、基礎となるハードウェアへの分類およびアクションのルールをオフロードする機能もサポートしています。flower TC 分類子はテクノロジープレビューとして提供されるようになりました。(BZ#1393375)

第33章 Ansible を使用した Red Hat Enterprise Linux System Roles

Red Hat Enterprise Linux System Roles の postfix ロールがテクノロジープレビュー

Red Hat Enterprise Linux System Roles は、Red Hat Enterprise Linux サブシステム向けの設定インターフェースです。Ansible Roles を使用することでシステム設定が容易になります。このインターフェースにより、複数バージョンの Red Hat Enterprise Linux でシステム設定を管理することや、新しいメジャーリリースを導入することもできます。
Red Hat Enterprise Linux 7.4 以降、Red Hat Enterprise Linux System Roles パッケージは Extras チャンネルから配信されています。Red Hat Enterprise Linux System Roles の詳細は 「Red Hat Enterprise Linux (RHEL) System Roles 」 を参照してください。
Red Hat Enterprise Linux System Roles には、現在以下の 5 つのロールから構成されます。
  • selinux
  • kdump
  • network
  • timesync
  • postfix
postfix ロールは、Red Hat Enterprise Linux 7.4 以降テクノロジープレビューとして利用できます。
残りのロールは、Red Hat Enterprise Linux 7.6 以降で完全にサポートされます。(BZ#1439896)

第34章 セキュリティー

USBGuard は、画面のロック時に USB デバイスのブロックを有効にする機能をテクノロジープレビューとして提供

USBGuard フレームワークにより、InsertedDevicePolicy ランタイムパラメーターの値を設定して、すでに実行中の usbguard-daemon インスタンスが、新たに挿入された USB デバイスをどのように処理できるかを制御できます。この機能はテクノロジープレビューとして提供されており、デフォルトでは、デバイスを認証するかどうかを判断するためのポリシールールが適用されます。
ナレッジベースの記事 「Blocking USB devices while the screen is locked (Tech Preview)」を参照してください。(BZ#1480100)

pk12util で、RSA-PSS で署名した証明書のインポートが可能に

pk12util ツールは、テクノロジープレビューとして、RSA-PSS アルゴリズムを使用して署名する証明書をインポートするようになりました。
ブラウザーにキーをインポートする際に、対応する秘密鍵をインポートして、RSA-PSS への署名アルゴリズムを制限する PrivateKeyInfo.privateKeyAlgorithm フィールドがある場合は無視されます。詳細は https://bugzilla.mozilla.org/show_bug.cgi?id=1413596 を参照してください。(BZ#1431210)

certutil で、RSA-PSS で署名した証明書のサポートが改善

certutil ツールの RSA-PSS アルゴリズムで署名された証明書のサポートが改善されました。主な機能強化および修正は以下のとおりです。
  • --pss オプションのドキュメントが作成されています。
  • 証明書で RSA-PSS の使用が制限された場合に、自己署名で PKCS#1 v1.5 アルゴリズムが使用されなくなりました。
  • subjectPublicKeyInfo フィールドの空の RSA-PSS パラメーターは、証明書の一覧を表示する際に無効と表示されなくなりました。
  • RSA-PSS アルゴリズムで署名された通常の RSA 証明書を作成する --pss-sign オプションが追加されました。
certutilRSA-PSS で署名された証明書のサポートは、テクノロジープレビューとして提供されています。(BZ#1425514)

NSS が、証明書の RSA-PSS 署名を確認可能

nss パッケージの新しいバージョンで、Network Security Services (NSS) ライブラリーが、証明書の RSA-PSS 署名の確認をテクノロジープレビューとして提供します。この更新では、SSL バックエンドとしてNSS を使用するクライアントが、RSA-PSS アルゴリズムで署名した証明書のみを提供するサーバーへの TLS 接続を確立できません。
この機能には、以下の制限があります。
  • /etc/pki/nss-legacy/rhel7.config ファイルのアルゴリズムポリシー設定は、RSA-PSS 署名で使用されるハッシュアルゴリズムに適用されます。
  • 証明書チェーン間で RSA-PSS パラメーター制約が無視され、証明書は 1 つだけ考慮されます。(BZ#1432142)

libreswan で SECCOMP の有効化が可能

テクノロジープレビューとして、SECCOMP (Secure Computing) モードの使用を可能にする seccomp=enabled|tolerant|disabled オプションが ipsec.conf 設定ファイルに追加されました。これにより、Libreswan を実行できるシステムコールをホワイトリストに登録することで、syscall セキュリティーが改善されました。詳細は man ページ ipsec.conf(5) を参照してください。(BZ#1375750)

第35章 ストレージ

SCSI 向けのマルチキュー I/O スケジューリング

Red Hat Enterprise Linux 7 には blk-mq として知られるブロックデバイス用の新しいマルチキュー I/O スケジューリングのメカニズムが含まれています。scsi-mq パッケージを使用すると SCSI (Small Computer System Interface) サブシステムにこの新しいキューメカニズムを利用させることができるようになります。この機能はテクノロジープレビューのため、デフォルトでは有効になっていません。有効にする場合は scsi_mod.use_blk_mq=Y をカーネルコマンドラインに追加します。
blk-mq は、パフォーマンスを改善するために導入されていますが (特に低レイテンシーデバイス向け)、常にパフォーマンスが改善することは保証されていません。特に、CPU が多いシステムで scsi-mq を有効にすると、パフォーマンスが著しく低下する場合があります。(BZ#1109348)

libStorageMgmt API の Targetd プラグイン

Red Hat Enterprise Linux 7.1 から、ストレージアレイから独立した API である libStorageMgmt を使用したストレージアレイの管理が完全サポートされました。提供される API は安定性と整合性を備え、開発者は異なるストレージアレイをプログラム的に管理し、ハードウェアアクセラレーション機能を使用できます。また、システム管理者は libStorageMgmt を使用して手動でストレージを設定したり、コマンドラインインターフェースを使用してストレージ管理タスクを自動化したりできます。
Targetdプラグインは完全サポートされず、引き続きテクノロジープレビューとして提供されます。(BZ#1119909)

DIF/DIX (Data Integrity Field/Data Integrity Extension) のサポート

DIF/DIX が新たに SCSI 標準に追加されました。Red Hat Enterprise Linux 7 では「新しい機能」の章に記載されている HBA およびストレージアレイに対して完全サポートされますが、その他の HBA およびストレージアレイに対しては引き続きテクノロジープレビューとなります。
DIF/DIX により DIF (Data Integrity Field) が追加され、一般的に使用される 512 バイトのディスクブロックのサイズが 512 から 520 バイトに増加します。DIF は、書き込みの発生時に HBA (Host Bus Adapter) により算出されるデータブロックのチェックサム値を保存します。その後、受信時にストレージデバイスがチェックサムを確認し、データとチェックサムの両方を保存します。読み取りが発生すると、チェックサムはストレージデバイスおよび受信する HBA により検証されます。(BZ#1072107)

qla2xxx ドライバーおよび lpfc ドライバーで SCSI-MQ がテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.4 で更新された qla2xxx ドライバーは、ql2xmqsupport=1 モジュールパラメーターで SCSI-MQ (multiqueue) を使用できます。デフォルトの値は 0 (無効) です。
qla2xxx ドライバーまたは lpfc ドライバーとともに使用する場合、SCSI-MQ 機能はテクノロジープレビューとして提供されます。
SCSI-MQ を使用してファイバーチャネルアダプター上での非同期 IO のパフォーマンステストを実施したところ、特定の条件下では大幅なパフォーマンス低下が確認された点に注意してください。(BZ#1414957)

qla2xxx ドライバーを使用する Qlogic アダプターで NVMe/FC がテクノロジープレビューとして利用可能

qla2xxx ドライバーを使用する Qlogic アダプターは、トランスポートタイプ NVMe/FC (The NVMe over Fibre Channel) はテクノロジープレビューとして利用できます。
Red Hat Enterprise Linux に導入されていた RDMA (Remote Direct Memory Access) に加えて、NVMe over Fibre Channel が、NVMe (Nonvolatile Memory Express) プロトコルのファブリックトランスポートタイプとして追加されるようになりました。
NVMe/FC により、既存のファイバーチャネルインフラストラクチャー上で、より高いパフォーマンスで低いレイテンシーな I/O プロトコルが得られます。このことは、ソリッドステートストレージアレイで特に重要になります。NVMe ストレージのパフォーマンスメリットを、別のプロトコル (SCSI) にカプセル化するのではなく、ファブリックトランスポートを通じて渡すことができるためです。
Red Hat Enterprise Linux 7.6 以降、NVMe/FC は、lpfc ドライバーを使用する Broadcom Emulex Fibre Channel 32Gbit アダプターで完全にサポートされます。「新機能」の章に記載されている制限を参照してください。(BZ#1387768, BZ#1454386)

第36章 システムとサブスクリプション管理

YUM 4 がテクノロジープレビューとして利用可能

YUM パッケージマネージャーの次世代である YUM バージョン 4 が、Red Hat Enterprise Linux 7 Extras チャンネルでテクノロジープレビューとして利用できるようになりました。
YUM 4DNF 技術をベースにしており、RHEL 7 で使用される標準の YUM 3 で以下のような利点を提供しています。
  • パフォーマンスの向上
  • モジューラーコンテンツのサポート
  • ツーリングと統合するために適切に設計され、安定した API
YUM 4 をインストールするには、yum install nextgen-yum4 コマンドを実行します。
subscription-manager プラグインが含まれる dnf-plugin-subscription-manager パッケージがインストールされていることを確認します。このプラグインは、Red Hat カスタマーポータルまたは Red Hat Satellite 6 が提供する保護されているリポジトリーへのアクセス時、または /etc/yum.repos.d/redhat.repo ファイルの自動更新時に必要です。
パッケージを管理するには、yum4 コマンドをおよび特定のオプションを、yum と同じように使用します。
新しい YUM 4 ツールと YUM 3 の相違点は、http://dnf.readthedocs.io/en/latest/cli_vs_yum.html を参照してください。(BZ#1461652、BZ#1558411)

第37章 仮想化

KVM ゲスト用の USB 3.0 サポート

Red Hat Enterprise Linux 7 では、KVM ゲスト向けの USB 3.0 ホストアダプター (xHCI) エミュレーションは引き続きテクノロジープレビューとなります。(BZ#1103193)

Hyper-V のゲストで、Intel ネットワークアダプターが SR-IOV をサポート

Hyper-V を実行する Red Hat Enterprise Linux ゲスト仮想マシンの今回の更新では、新しい PCI パススルードライバーが追加され、ixgbevf ドライバーでサポートされる Intel ネットワークアダプターに SR-IOV (Single-Root I/O Virtualization) 機能を使用できるようになりました。この機能は、以下の条件が満たされた場合に有効になります。
  • ネットワークインターフェースコントローラー (NIC) に対して SR-IOV サポートが有効になっている
  • 仮想 NIC の SR-IOV サポートが有効になっている
  • 仮想スイッチの SR-IOV サポートが有効になっている
NIC からの VF (Virtual Function) は、仮想マシンにアタッチされています。
この機能は、現在 Microsoft Windows Server 2016 でサポートされています。(BZ#1348508)

VFIO ドライバーの No-IOMMU モード

今回の更新により、VFIO (Virtual Function I/O) ドライバーの No-IOMMU モードがテクノロジープレビューとして追加されました。No-IOMMU モードは、I/O メモリー管理ユニット (IOMMU) なしに直接メモリーアクセス (DMA) 対応デバイスへの完全なユーザー空間 I/O (UIO) アクセスを提供します。しかし、このモードはサポートされないだけでなく、IOMMU で提供される I/O 管理機能がないため、安全に使用することができません。(BZ#1299662)

virt-v2v で vmx 設定ファイルを使用して VMware ゲストを変換

virt-v2v ユーティリティーには、テクノロジープレビューとして vmx 入力モードが含まれるようになり、ユーザーは VMware vmx 設定ファイルからゲストの仮想マシンを変換できるようになりました。これを行うには、たとえば、NFS を使用してストレージをマウントして、対応する VMware ストレージにアクセスする必要もあります。-it ssh パラメーターを追加して、SSH を使用してストレージにアクセスすることもできます。(BZ#1441197、BZ#1523767)

virt-v2v が、Debian ゲストおよび Ubuntu ゲストを変換

テクノロジープレビューとして、virt-v2v ユーティリティーがゲスト仮想マシン Debian および Ubuntu を変換できるようになりました。現時点では、この変換を行うときに以下の問題が発生することに注意してください。
  • virt-v2v が、GRUB2 設定内のデフォルトのカーネルを変更できず、ゲスト上でより適切なバージョンのカーネルが利用できる場合でも、変換中にゲスト内に設定したカーネルを変更できません。
  • Debian または Ubuntu VMware ゲストを KVM に変換すると、ゲストのネットワークインターフェース名が変更し、手動での設定が必要になる場合があります。(BZ#1387213)

Virtio デバイスで vIOMMU が利用可能

今回の更新で、virtio デバイスで、テクノロジープレビューとして vIOMMU (virtual Input/Output Memory Management Unit) を使用できるようになりました。これにより、デバイスの DMA (Direct Memory Access) を、事前に許可したアドレスに制限することで、DMA のセキュリティーが確保されます。ただし、この機能を使用できるのは、Red Hat Enterprise Linux 7.4 以降を使用するゲスト仮想マシンに限定されます。(BZ#1283251、BZ#1464891)

virt-v2v が VMWare ゲストをより迅速かつ確実に変換

virt-v2v ユーティリティーは、VDDK (VMWare Virtual Disk Development Kit) をテクノロジープレビューとして使用して、VMWare ゲスト仮想マシンを KVM ゲストにインポートできるようになりました。これにより、virt-v2v は直接 VMWare ESXi ハイパーバイザーに接続されるため、変換の速度と信頼性が向上します。
この変換インポートの方法には、外部の nbdkit ユーティリティーとその VDDK プラグインが必要です。(BZ#1477912)

Open Virtual Machine Firmware

Red Hat Enterprise Linux 7 では、OVMF (Open Virtual Machine Firmware) がテクノロジープレビューとして利用できます。OVMF は、AMD64 および Intel 64 ゲストに対する、UEFI のセキュアな起動環境です。(BZ#653382)

GPU ベースの仲介デバイスが VNC コンソールをサポート

テクノロジープレビューとして、NVIDIA vGPU テクノロジーなどの GPU ベースの仲介デバイスを使用した Virtual Network Computing (VNC) コンソールが利用できるようになり、仮想マシンのグラフィカル出力のリアルタイムレンダリングにこの仲介デバイスを使用できるようになりました。(BZ#1475770、BZ#1470154、BZ#1555246)

パート IV. デバイスドライバー

本パートでは、Red Hat Enterprise Linux 7.6 で新たに追加されたデバイスドライバー、または今回更新されたデバイスドライバーをすべて網羅します。

第38章 新しいドライバー

ネットワークドライバー

  • Thunderbolt ネットワークドライバー (thunderbolt-net.ko.xz)
  • AMD 10 Gigabit イーサネットドライバー (amd-xgbe.ko.xz)

ストレージドライバー

  • Command Queue Host Controller Interface ドライバー (cqhci.ko.xz)

グラフィックスドライバーおよびその他のドライバー

  • DRM GPU スケジューラー (gpu-sched.ko.xz)
  • クローズドハッシュテーブル (chash.ko.xz)
  • RMI4 SMBus ドライバー (rmi_smbus.ko.xz)
  • RMI バス
  • RMI F03 モジュール (rmi_core.ko.xz)
  • Dell WMI ディスクリプタードライバー (dell-wmi-descriptor.ko.xz)
  • Intel® PMC Core Driver (intel_pmc_core.ko.xz)
  • Intel® WMI Thunderbolt フォースパワードライバー (intel-wmi-thunderbolt.ko.xz)
  • ACPI Hardware Watchdog (WDAT) ドライバー (wdat_wdt.ko.xz)
  • トリガーされたバッファーを設定する IIO ヘルパー機能 (industrialio-triggered-buffer.ko.xz)
  • HID Sensor Pressure (hid-sensor-press.ko.xz)
  • HID Sensor Device Rotation (hid-sensor-rotation.ko.xz)
  • HID Sensor Inclinometer 3D (hid-sensor-incl-3d.ko.xz)
  • HID Sensor トリガー処理 (hid-sensor-trigger.ko.xz)
  • HID Sensor 一般属性処理 (hid-sensor-iio-common.ko.xz)
  • HID Sensor Magnetometer 3D (hid-sensor-magn-3d.ko.xz)
  • HID Sensor ALS (hid-sensor-als.ko.xz)
  • HID Sensor Proximity (hid-sensor-prox.ko.xz)
  • HID Sensor Gyroscope 3D (hid-sensor-gyro-3d.ko.xz)
  • HID Sensor Accel 3D (hid-sensor-accel-3d.ko.xz)
  • HID Sensor Hub ドライバー (hid-sensor-hub.ko.xz)
  • HID Sensor Custom および Generic センサードライバー (hid-sensor-custom.ko.xz)

第39章 更新されたドライバー

ストレージドライバー

  • Microsemi Smart Family Controller ドライバー (smartpqi.ko.xz) がバージョン 1.1.4-115 に更新されました。
  • HP Smart Array Controller ドライバー (hpsa.ko.xz) がバージョン 3.4.20-125-RH1 に更新されました。
  • Emulex LightPulse Fibre Channel SCSI ドライバー (lpfc.ko.xz) がバージョン 0:12.0.0.5 に更新されました。
  • Avago MegaRAID SAS ドライバー (megaraid_sas.ko.xz) がバージョン 07.705.02.00-rh1 に更新されました。
  • Dell PERC2, 2/Si, 3/Si, 3/Di、Adaptec Advanced Raid Products、HP NetRAID-4M, IBM ServeRAID、および ICP SCS ドライバー (aacraid.ko.xz) がバージョン 1.2.1[50877]-custom に更新されました。
  • QLogic FastLinQ 4xxxx iSCSI Module ドライバー (qedi.ko.xz) がバージョン 8.33.0.20 に更新されました。
  • QLogic Fibre Channel HBA ドライバー (qla2xxx.ko.xz) がバージョン 10.00.00.06.07.6-k に更新されました。
  • QLogic QEDF 25/40/50/100Gb FCoE ドライバー (qedf.ko.x) がバージョン 8.33.0.20 に更新されました。
  • LSI MPT Fusion SAS 3.0 Device ドライバー (mpt3sas.ko.xz) がバージョン 16.100.01.00 に更新されました。
  • LSI MPT Fusion SAS 2.0 Device ドライバー (mpt2sas.ko.xz) がバージョン 20.103.01.00 に更新されました。

ネットワークドライバーの更新

  • Realtek RTL8152/RTL8153 Based USB Ethernet Adapters ドライバー (r8152.ko.xz) がバージョン v1.09.9 に更新されました。
  • VMware vmxnet3 仮想 NIC ドライバー (vmxnet3.ko.xz) がバージョン 1.4.14.0-k に更新されました。
  • Intel® Ethernet Connection XL710 ネットワークドライバー (i40e.ko.xz) がバージョン 2.3.2-k に更新されました。
  • The Intel® 10 Gigabit 仮想機能ネットワークドライバー (ixgbevf.ko.xz) がバージョン 4.1.0-k-rh7.6 に更新されました。
  • Intel® 10 Gigabit PCI Express ネットワークドライバー (ixgbe.ko.xz) がバージョン 5.1.0-k-rh7.6 に更新されました。
  • Intel® XL710 X710 仮想機能ネットワークドライバー (i40evf.ko.xz) がバージョン 3.2.2-k に更新されました。
  • Intel® Ethernet Switch Host Interface ドライバー (fm10k.ko.xz) がバージョン 0.22.1-k に更新されました。
  • Broadcom BCM573xx ネットワークドライバー (bnxt_en.ko.xz) がバージョン 1.9.1 に更新されました。
  • Cavium LiquidIO Intelligent Server Adapter ドライバー (liquidio.ko.xz) がバージョン 1.7.2 に更新されました。
  • Cavium LiquidIO Intelligent Server Adapter 仮想機能ドライバー (liquidio_vf.ko.xz) がバージョン 1.7.2 に更新されました。
  • Elastic Network Adapter (ENA) ドライバー (ena.ko.xz) がバージョン 1.5.0K に更新されました。
  • aQuantia Corporation ネットワークドライバー (atlantic.ko.xz) がバージョン 2.0.2.1-kern に更新されました。
  • QLogic FastLinQ 4xxxx Ethernet ドライバー (qede.ko.xz) がバージョン 8.33.0.20 に更新されました。
  • QLogic FastLinQ 4xxxx Core Module ドライバー (qed.ko.xz) がバージョン 8.33.0.20 に更新されました。
  • Cisco VIC Ethernet NIC ドライバー (enic.ko.xz) がバージョン 2.3.0.53 に更新されました。

グラフィックドライバーおよびその他のドライバー

  • VMware Memory Control (Balloon) ドライバーが (vmw_balloon.ko.xz) バージョン 1.4.1.0-k に更新されました。
  • HP ウォッチドッグドライバー (hpwdt.ko.xz) がバージョン 1.4.0-RH1k に更新されました。
  • VMware SVGA デバイス (vmwgfx.ko.xz) のスタンドアロン drm ドライバーがバージョン 2.14.1.0 に更新されました。

第40章 非推奨の機能

本章では、Red Hat Enterprise Linux 7.6 までの Red Hat Enterprise Linux 7 のマイナーリリースで非推奨となった機能の概要を説明します。
非推奨の機能は、Red Hat Enterprise Linux 7 のライフサイクルが終了するまでサポートされます。非推奨の機能は、本製品の今後のメジャーリリースではサポートされない可能性が高く、新たに実装することは推奨されません。特定のメジャーリリースにおける非推奨機能の最新情報は、そのメジャーリリースの最新版のリリースノートを参照してください。
現行および今後のメジャーリリースでは、非推奨の ハードウェア コンポーネントの新規実装は推奨されません。ハードウェアドライバーの更新は、セキュリティーと重大な修正に限定されます。Red Hat は、このようなハードウェアはできるだけ早い機会に取り替えることをお勧めします。
パッケージ が非推奨となり、使用を継続することは推奨されない場合があります。特定の状況では、パッケージが製品から削除されることもあります。その場合には、製品のドキュメントで、非推奨となったパッケージと同様、同一、またはより高度な機能を提供する最近のパッケージが指定され、詳しい推奨事項が記載されます。

Python 2 を非推奨化

Python 2 は、次期 Red Hat Enterprise Linux (RHEL) メジャーリリースの Python 3 に置き換えられます。
大規模なコードベースを Python 3 に移行する方法は『Conservative Python 3 Porting Guide』 を参照してください。
RHEL をお使いの場合は Python 3 がご利用になれます。RHEL では Red Hat Software Collections としてサポートされます。

LVM ライブラリーおよび LVM Python バインディングを非推奨化

lvm2-python-libs パッケージで提供されている lvm2app ライブラリーおよび LVM Python バインディングは非推奨となりました。
Red Hat では、代替として以下のソリューションを推奨します。
  • LVM D-Bus API と lvm2-dbusd サービスの組み合わせ。このソリューションでは Python バージョン 3 を使用する必要があります。
  • JSON 形式の LVM コマンドラインユーティリティー。このフォーマットは、パッケージのバージョン 2.02.158 以降で利用できます。

LVM でのミラー化されたミラーログを非推奨化

ミラー化された LVM ボリュームでのミラー化されたミラーログ機能が非推奨となりました。Red Hat Enterprise Linux の今後のメジャーリリースでは、ミラー化されたミラーログを持つ LVM ボリュームの作成またはアクティブ化はサポートされない予定です。
推奨される代替ソリューションは以下のとおりです。
  • RAID1 LVM ボリューム。RAID1 ボリュームの優れた点は、劣化モードにおいても機能し、一時的な障害の後に回復できることです。ミラー化されたボリュームを RAID1 に変換する方法は『論理ボリュームマネージャーの管理』の「ミラー化 LVM デバイスの RAID1 デバイスへの変換」セクションを参照してください。
  • ディスクのミラーログ。ミラー化されたミラーログをディスクのミラーログに変換するには、lvconvert --mirrorlog disk my_vg/my_lv コマンドを実行します。

clvmd デーモンを非推奨化

共有ストレージデバイスを管理するための clvmd デーモンが非推奨になりました。Red Hat Enterprise Linux の将来のメジャーリリースでは、代わりに lvmlockd デーモンを使用します。

lvmetad デーモンを非推奨化

メタデータのキャッシュを取得する lvmetad デーモンは非推奨になりました。Red Hat Enterprise Linux の将来のメジャーリリースでは、LVM は常にディスクからメタデータを読み取るようになります。
以前は、論理ボリュームの自動アクティベーションは、lvm.conf 設定ファイルの use_lvmetad 設定に間接的に関連していました。lvm.conf ファイルに auto_activation_volume_list=[] (空の一覧) を設定し続ける自動アクティベーションを無効にすることが適切な方法となります。

Identity Management およびセキュリティーに関連する非推奨パッケージ

以下のパッケージは非推奨となり、Red Hat Enterprise Linux の今後のメジャーリリースには含まれません。
非推奨パッケージ提案される代替パッケージまたは製品
authconfigauthselect
pam_pkcs11sssd [a]
pam_krb5sssd [b]
openldap-servers ユースケースによっては、Red Hat Enterprise Linux に同梱される Identity Management、または Red Hat Directory Server に移行します。[c]
mod_auth_kerb mod_auth_gssapi
python-kerberos
python-krbV
python-gssapi
python-requests-kerberospython-requests-gssapi
hesiod代替パッケージ/製品はありません。
mod_nssmod_ssl
mod_revocator代替パッケージ/製品はありません。
[a] System Security Services Daemon (SSSD) には拡張スマートカード機能が含まれています。
[b] pam_krb5 から sssd への移行の詳細は、アップストリームの SSSD ドキュメントの『Migrating from pam_krb5 to sssd』を参照してください。
[c] Red Hat Directory Server には、有効な Directory Server サブスクリプションが必要です。詳細は、Red Hat ナレッジベース「What is the support status of the LDAP-server shipped with Red Hat Enterprise Linux?」を参照してください。

注記

Red Hat Enterprise Linux 7.5 では、以下のパッケージが上記の表に追加されました。
  • mod_auth_kerb
  • python-kerberospython-krbV
  • python-requests-kerberos
  • hesiod
  • mod_nss
  • mod_revocator

Clevis HTTP ピンを非推奨化

Clevis HTTP ピンは非推奨になり、この機能は Red Hat Enterprise Linux の次期メジャーバージョンでは提供されず、別途通知があるまでディストリビューションには同梱されなくなります。

3DES が、Python SSL のデフォルトの暗号リストから削除

3DES (Triple Data Encryption Standard) アルゴリズムが、Python SSL のデフォルトの暗号リストから削除されました。これにより、SSL を使用して、Python アプリケーションが PCI DSS と互換性を持つようになりました。

sssd-secrets を非推奨化

System Security Services Daemon (SSSD) の sssd-secrets コンポーネントは、Red Hat Enterprise Linux 7.6 では非推奨になります。Custodia シークレットサービスプロバイダーは、以前よりも活発に開発されなくなったためです。その他の Identity Management ツールを使用して Vault などのシークレットを保存するシークレットを保存します。

初期の IdM サーバー、およびドメインレベル 0 の IdM レプリカに対するサポートを制限

Red Hat では、Red Hat Enterprise Linux (RHEL) 7.3 以前で動作している Identity Management (IdM) サーバーと、RHEL の次期メジャーリリースの IdM クライアントの組み合わせをサポートする計画はありません。RHEL の次期メジャーバージョンで動作するクライアントシステムを、現在 RHEL 7.3 以前で動作している IdM サーバーにより管理されているデプロイメントに導入することを計画している場合には、サーバーをアップグレードして RHEL 7.4 以降に移行する必要がある点に注意してください。
RHEL の次期メジャーリリースでは、ドメインレベル 1 のレプリカしかサポートされません。RHEL の次期メジャーバージョン上で動作する IdM レプリカを既存のデプロイメントに導入する前に、すべての IdM サーバーを RHEL 7.4 以降にアップグレードして、ドメインレベルを 1 に変更する必要がある点に注意してください。
ご自分のデプロイメントが影響を受ける場合には、事前にアップグレードを計画することを検討してください。

バグ修正は、次期メジャーリリースの Red Hat Enterprise Linux の nss-pam-ldapd パッケージおよび NIS パッケージにのみ提供

Red Hat Enterprise Linux の今後のメジャーリリースでは、nss-pam-ldapd パッケージと、NIS サーバー に関連するパッケージがリリースされる予定ですが、サポートの範囲は限定されます。Red Hat は、バグレポートを受け付けますが、新たな機能強化は対象外となり、以下の代替ソリューションに移行することが推奨されます。
影響を受けるパッケージ提案される代替パッケージまたは製品
nss-pam-ldapdsssd
ypserv
ypbind
portmap
yp-tools
Red Hat Enterprise Linux の Identity Management

golang の代わりに Go Toolset を使用

golang パッケージは、以前は Optional チャンネルで利用できるため、Red Hat Enterprise Linux 7 で更新を受け取らなくなります。開発者は、代わりに Red Hat Developer program で利用できる Go Toolset を使用することが推奨されます。

mesa-private-llvmllvm-private に置き換え

Mesa の LLVM ベースのランタイムサポートが含まれる mesa-private-llvm パッケージは、Red Hat Enterprise Linux 7 の将来のマイナーリリースで llvm-private パッケージに置き換えられます。

libdbi および libdbi-drivers を非推奨化

libdbi パッケージおよび libdbi-drivers パッケージは、Red Hat Enterprise Linux (RHEL) の次期メジャーリリースには同梱されません。

Extras チャンネルの Ansible を非推奨化

Ansible およびその依存関係は、今後 Extras チャンネルを通じて更新されることはありません。代わりに、Red Hat Enterprise Linux サブスクリプションで Red Hat Ansible Engine 製品を利用することができ、公式な Ansible Engine チャンネルにアクセスできます。今後、エラータが Extras チャンネルから提供されなくなるため、これまで、Extras チャンネルから Ansible およびその依存関係をインストールしていた場合は、Ansible Engine チャンネルから有効化および更新を行うか、パッケージをアンインストールしてください。
これまで、Ansible は、(AMD64 および Intel 64 アーキティチャーならびに IBM POWER リトルエンディアン用として) Extras チャンネルで Red Hat Enterprise Linux (RHEL) System Roles のランタイム依存関係として提供され、サポートもこの範囲に限られていましたが、これからは、AMD64 および Intel 64 のアーキティチャーで Ansible Engine を利用することが可能です。IBM POWER については、近々リトルエンディアンへの対応が開始される予定です。
Extras チャンネルの Ansible は、Red Hat Enterprise Linux FIPS 検証プロセスに含まれていなかった点に注意してください。
以下のパッケージが Extras チャンネルで非推奨となりました。
  • ansible(-doc)
  • libtomcrypt
  • libtommath(-devel)
  • python2-crypto
  • python2-jmespath
  • python-httplib2
  • python-paramiko(-doc)
  • python-passlib
  • sshpass
詳細は、Red Hat ナレッジベースの記事 「Ansible deprecated in the Extras channel」を参照してください。
Red Hat Enterprise Linux System Roles は、Extras チャンネルから引き続き配信されます。Red Hat Enterprise Linux System Roles は ansible パッケージでは提供されなくなりますが、Red Hat Enterprise Linux System Roles を使用する playbook を実行するには、引き続き Ansible Engine リポジトリーから ansible をインストールする必要があります。

signtool を非推奨化

nss パッケージの signtool ツールでは、保護されていない署名アルゴリズムが使用されているため非推奨となっており、Red Hat Enterprise Linux の今後のマイナーリリースには同梱されません。

TLS 圧縮機能のサポートを nss から削除

CRIME 攻撃などのセキュリティー関連リスクを回避するために、NSS ライブラリーにある TLS の全バージョンから TLS 圧縮機能のサポートを削除しました。この変更では API の互換性は維持されます。

パブリック Web CA は、デフォルトではコード署名で信頼されない

Red Hat Enterprise Linux 7.5 と共に配信される Mozilla CA 信頼できる証明書リストでは、パブリック Web CA はコード署名として信頼されなくなりました。したがって、NSSOpenSSL 等の関連フラグを使用するソフトウェアは、デフォルトでこれらの CA をコード署名として信頼しなくなりました。このソフトウェアでは、引き続きコード署名による信頼性が完全にサポートされます。また、システム設定を使用して、引き続き CA 証明書を信頼できるコード署名として設定することは可能です。

Sendmail を非推奨化

Sendmail は Red Hat Enterprise Linux 7 で非推奨となっており、デフォルトの MTA (Mail Transfer Agent) として設定されている Postfix を使用することが推奨されています。

dmraid を非推奨化

Red Hat Enterprise Linux 7.5 以降、dmraid パッケージが非推奨となっています。Red Hat Enterprise Linux 7 リリースでは引き続き利用可能ですが、今後のメジャーリリースでは、ハードウェア/ソフトウェアを組み合わせたレガシー RAID ホストバスアダプター (HBA) はサポートされません。

ソケットレイヤーからの DCCP モジュールの自動読み込みをデフォルトで無効化

セキュリティー上の理由から、ソケットレイヤーからの Datagram Congestion Control Protocol (DCCP) カーネルモジュールの自動読み込みは、デフォルトでは無効になりました。これにより、悪意を持ったユーザー空間アプリケーションは、モジュールを読み込むことができません。引き続き、modprobe プログラムを使用して、DCCP に関連するすべてのモジュールを手動で読み込むことができます。
DCCP モジュールをブラックリストに登録する /etc/modprobe.d/dccp-blacklist.conf 設定ファイルが、カーネルパッケージに含まれています。このファイルを編集してそのエントリーをクリアするか、またはファイルそのものを削除することで、以前の動作に戻すことができます。
同じカーネルパッケージまたは異なるバージョンのカーネルパッケージを再インストールしても、手動で加えた変更はオーバーライドされない点に注意してください。ファイルを手動で編集または削除した場合、これらの変更はパッケージのインストール後も維持されます。

rsyslog-libdbi を非推奨化

あまり使用されない rsyslog モジュールの 1 つが含まれる rsyslog-libdbi サブパッケージは非推奨となり、Red Hat Enterprise Linux の今後のメジャーリリースには含まれません。使用されない、またはほとんど使用されないモジュールを削除すると、使用するデータベース出力を容易に探すことができます。

rsyslog imudp モジュールの inputname オプションを非推奨

rsyslog サービスの imudp モジュールの inputname オプションは非推奨になっています。代わりに name オプションを使用します。

SMBv1 が Microsoft Windows 10 および 2016 (アップデート 1709 以降) にインストールされない

Microsoft が、最新バージョンの Microsoft Windows および Microsoft Windows Server に、SMBv1 (Server Message Block version 1) プロトコルをインストールしないと発表しました。また、Microsoft は、これらの製品の旧バージョンでは SMBv1 を無効にすることを推奨しています。
この変更により、Linux と Windows の複合環境でシステムを運用している場合に影響を受けます。Red Hat Enterprise Linux 7.1 以前では、バージョンが SMBv1 のプロトコルしかサポートされません。SMBv2 に対するサポートは、Red Hat Enterprise Linux 7.2 で導入されました。
Red Hat をお使いの場合に、この変更がどのような影響を及ぼすかは、Red Hat ナレッジベースの「SMBv1 no longer installed with latest Microsoft Windows 10 and 2016 update (version 1709)」 を参照してください。

tc コマンドの -ok オプションを非推奨化

tc コマンドの -ok オプションは非推奨になり、この機能は Red Hat Enterprise Linux の次期メジャーバージョンでは提供されません。

FedFS を非推奨化

アップストリームの FedFS プロジェクトが積極的に保守されなくなったため、FedFS (Federated File System) が非推奨となりました。Red Hat では、FedFS のインストールを移行して autofs を使用することを推奨します。これにより、柔軟な機能が得られます。

Btrfs を非推奨化

Btrfs ファイルシステムは Red Hat Enterprise Linux 6 の初回リリース以降、テクノロジープレビューにとどまっています。Red Hat は Btrfs を完全なサポート機能に移行する予定はなく、今後の Red Hat Enterprise Linux メジャーリリースでは削除される予定です。
これまで、Btrfs ファイルシステムは Red Hat Enterprise Linux 7.4 のアップストリームから各種更新を受け取っており、Red Hat Enterprise Linux 7 シリーズでは引き続き利用できますが、この機能に対する更新はこれで最後となる予定です。

tcp_wrappers を非推奨化

tcp_wrappers パッケージは非推奨になっています。tcp_wrappers は、auditcyrus-imapdovecotnfs-utilsopensshopenldapproftpdsendmailstunnelsyslog-ngvsftpd、およびその他のネットワークサービスに対して、受信要求を監視またはフィルタリングできるライブラリー、および小規模のデーモンプログラムを提供します。

nautilus-open-terminalgnome-terminal-nautilus に置き換え

Red Hat Enterprise Linux 7.3 以降、nautilus-open-terminal パッケージは非推奨となっており、gnome-terminal-nautilus パッケージに置き換えられます。このパッケージでは、Nautilus でコンテキストメニューを右クリックして、Open in Terminal オプションを追加する Nautilus 拡張機能を提供します。nautilus-open-terminal は、システムのアップグレード時に gnome-terminal-nautilus に置き換えられます。

sslwrap()Python から削除

sslwrap() 機能は Python 2.7 から削除されています。466 Python Enhancement Proposal が実装されて以降、この機能を使用するとセグメンテーションフォールトになります。この削除は、アップストリームと一致しています。
Red Hat は、代わりに、ssl.SSLContext クラスや ssl.SSLContext.wrap_socket() 関数を使用することを推奨します。大概のアプリケーションは単に ssl.create_default_context() 関数を使用しますが、この関数は、安全なデフォルト設定でコンテキストを作成します。デフォルトのコンテキストでは、システムのデフォルトのトラストストアが使用されます。

依存関係としてリンク付けされたライブラリーのシンボルが、ld では解決されない

以前のリリースでは、リンク付けされた全ライブラリーのシンボルがすべて ld リンカーによって解決されていました (他のライブラリーの依存関係として暗示的にしかリンク付けされていない場合も同様)。そのため、開発者が暗示的にリンク付けされたライブラリーのシンボルをアプリケーションコードに使用するのに、これらのライブラリーのリンクを明示的に指定する必要はありませんでした。
セキュリティー上の理由から ld が変更し、依存関係として暗示的にリンク付けされたライブラリーのシンボルに対する参照を解決しないようになりました。
その結果、ライブラリーのリンクを宣言せず依存関係として暗示的にしかリンク付けしていない場合には、アプリケーションコードでそのライブラリーのシンボルの使用を試みると、ld とのリンクに失敗します。依存関係としてリンク付けされたライブラリーのシンボルを使用する場合、開発者はこれらのライブラリーとも明示的にリンク付けする必要があります。
ld の以前の動作を復元するには、コマンドラインオプション -copy-dt-needed-entries を使用します。(BZ#1292230)

Windows ゲスト仮想マシンのサポートが限定

Red Hat Enterprise Linux 7 では、Windows ゲストの仮想マシンが、Advanced Mission Critical (AMC) などの特定のサブスクリプションプログラムでのみサポートされます。

libnetlink を非推奨化

iproute-devel パッケージに同梱される libnetlink ライブラリーが非推奨になりました。代わりに libnl ライブラリーおよび libmnl ライブラリーを使用する必要があります。

KVM の S3 および S4 の電源管理状態を非推奨化

S3 (Suspend to RAM) および S4 (Suspend to Disk) の電源管理状態に対する KVM のネイティブサポートが廃止されました。この機能は、以前はテクノロジープレビューとして提供されていました。

Certificate Server の udnPwdDirAuth プラグインが廃止

Red Hat Certificate Server の udnPwdDirAuth 認証プラグインは、Red Hat Enterprise Linux 7.3 で削除されました。このプラグインを使用するプロファイルはサポートされなくなりました。証明書が udnPwdDirAuth プラグインを使用するプロファイルで作成され、承認されている場合は有効のままになります。

IdM 向けの Red Hat Access プラグインが廃止

Red Hat Enterprise Linux 7.3 で、Identity Management (IdM) 向けの Red Hat Access プラグインが廃止されました。redhat-access-plugin-ipa パッケージは、システムの更新時に自動的にアンインストールされます。ナレッジベースへのアクセスやサポートケースエンゲージメントなど、このプラグインにより提供されていた機能は、Red Hat カスタマーポータルで引き続き利用できます。Red Hat では、redhat-support-tool ツールなどの代替オプションを検討されることを推奨します。

フェデレーション方式のシングルサインオン向けの Ipsilon 認証プロバイダーサービス

ipsilon パッケージは Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして導入されました。Ipsilon は認証プロバイダーとアプリケーション/ユーティリティーをリンクして、シングルサインオン (SSO) を可能にします。
Red Hat は、テクノロジープレビューの Ipsilon を、完全にサポートされる機能にアップグレードする予定はありません。ipsilon パッケージは、Red Hat Enterprise Linux の今後のマイナーリリースで削除される予定です。
Red Hat では、Keycloak コミュニティープロジェクトをベースとした Web SSO ソリューションとして Red Hat Single Sign-On をリリースしました。Red Hat Single Sign-On は、Ipsilon よりも優れた機能を提供し、Red Hat の製品ポートフォリオ全体の標準 Web SSO ソリューションとして設計されています。

一部の rsyslog オプションを非推奨化

Red Hat Enterprise Linux 7.4 の rsyslog ユーティリティーバージョンで、複数のオプションが非推奨になりました。これらのオプションは有効ではなくなり、警告が表示されます。
  • オプション -c-u-q-x-A-Q-4-6 が以前提供していた機能は、rsyslog 設定で実現できます。
  • -l オプションおよび -s オプションで提供していた機能に対する代替機能はありません。

memkind ライブラリーのシンボルを非推奨化

memkind ライブラリーで、以下のシンボルが非推奨になっています。
  • memkind_finalize()
  • memkind_get_num_kind()
  • memkind_get_kind_by_partition()
  • memkind_get_kind_by_name()
  • memkind_partition_mmap()
  • memkind_get_size()
  • MEMKIND_ERROR_MEMALIGN
  • MEMKIND_ERROR_MALLCTL
  • MEMKIND_ERROR_GETCPU
  • MEMKIND_ERROR_PMTT
  • MEMKIND_ERROR_TIEDISTANCE
  • MEMKIND_ERROR_ALIGNMENT
  • MEMKIND_ERROR_MALLOCX
  • MEMKIND_ERROR_REPNAME
  • MEMKIND_ERROR_PTHREAD
  • MEMKIND_ERROR_BADPOLICY
  • MEMKIND_ERROR_REPPOLICY

SCTP (RFC 6458) のソケット API 拡張オプションを非推奨化

ストリーム制御伝送プロトコルにおけるソケット API 拡張機能の SCTP_SNDRCV オプション、SCTP_EXTRCV オプション、および SCTP_DEFAULT_SEND_PARAM オプションは、RFC 6458 の仕様に従い非推奨になりました。
非推奨になったオプションの代替オプションとして、SCTP_SNDINFOSCTP_NXTINFOSCTP_NXTINFOSCTP_DEFAULT_SNDINFO が実装されています。

SSLv2 および SSLv3 を使用した NetApp ONTAP の管理が libstorageMgmt ではサポートされない

NetApp ONTAP ストレージアレイへの SSLv2 および SSLv3 接続が、libstorageMgmt ライブラリーではサポートされなくなりました。ユーザーは、NetApp サポートに連絡して Transport Layer Security (TLS) プロトコルを有効にすることができます。

dconf-dbus-1 が非推奨になり、dconf-editor を別途提供

この更新により、dconf-dbus-1 API が削除されましたが、バイナリー互換性のために dconf-dbus-1 ライブラリーがバックポートされています。Red Hat は、dconf-dbus-1 の代わりに GDBus を使用することを推奨します。
dconf-error.h ファイルの名前が dconf-enums.h に変更されています。さらに、dconf Editor は、別の dconf-editor パッケージで提供されています。

FreeRADIUSAuth-Type := System が許可されなくなる

FreeRADIUS サーバーは、rlm_unix 認証モジュールの Auth-Type := System オプションを受け付けなくなり、設定ファイルの authorize セクションの unix モジュールに置き換えられました。

非推奨となったデバイスドライバー

以下のデバイスドライバーは、Red Hat Enterprise Linux 7 のライフサイクル終了までサポートされます。ただし、本製品の今後のメジャーリリースではサポートされない可能性が高いため、新規実装は推奨されません。
  • 3w-9xxx
  • 3w-sas
  • aic79xx
  • aoe
  • arcmsr
  • ata ドライバー:
    • acard-ahci
    • sata_mv
    • sata_nv
    • sata_promise
    • sata_qstor
    • sata_sil
    • sata_sil24
    • sata_sis
    • sata_svw
    • sata_sx4
    • sata_uli
    • sata_via
    • sata_vsc
  • bfa
  • cxgb3
  • cxgb3i
  • e1000
  • hptiop
  • initio
  • isci
  • iw_cxgb3
  • mptbase
  • mptctl
  • mptsas
  • mptscsih
  • mptspi
  • mtip32xx
  • mvsas
  • mvumi
  • OSD ドライバー:
    • osd
    • libosd
  • osst
  • pata ドライバー:
    • pata_acpi
    • pata_ali
    • pata_amd
    • pata_arasan_cf
    • pata_artop
    • pata_atiixp
    • pata_atp867x
    • pata_cmd64x
    • pata_cs5536
    • pata_hpt366
    • pata_hpt37x
    • pata_hpt3x2n
    • pata_hpt3x3
    • pata_it8213
    • pata_it821x
    • pata_jmicron
    • pata_marvell
    • pata_netcell
    • pata_ninja32
    • pata_oldpiix
    • pata_pdc2027x
    • pata_pdc202xx_old
    • pata_piccolo
    • pata_rdc
    • pata_sch
    • pata_serverworks
    • pata_sil680
    • pata_sis
    • pata_via
    • pdc_adma
  • pm80xx(pm8001)
  • pmcraid
  • qla3xxx
  • stex
  • sx8
  • ufshcd
  • 無線ドライバー:
    • carl9170
    • iwl4965
    • iwl3945
    • mwl8k
    • rt73usb
    • rt61pci
    • rtl8187
    • wil6210

非推奨のアダプター

  • aacraid ドライバーで、以下のアダプターが非推奨になりました。
    • PERC 2/Si (Iguana/PERC2Si)、PCI ID 0x1028:0x0001
    • PERC 3/Di (Opal/PERC3Di)、PCI ID 0x1028:0x0002
    • PERC 3/Si (SlimFast/PERC3Si)、PCI ID 0x1028:0x0003
    • PERC 3/Di (Iguana FlipChip/PERC3DiF)、PCI ID 0x1028:0x0004
    • PERC 3/Di (Viper/PERC3DiV)、PCI ID 0x1028:0x0002
    • PERC 3/Di (Lexus/PERC3DiL)、PCI ID 0x1028:0x0002
    • PERC 3/Di (Jaguar/PERC3DiJ)、PCI ID 0x1028:0x000a
    • PERC 3/Di (Dagger/PERC3DiD)、PCI ID 0x1028:0x000a
    • PERC 3/Di (Boxster/PERC3DiB)、PCI ID 0x1028:0x000a
    • catapult、PCI ID 0x9005:0x0283
    • tomcat、PCI ID 0x9005:0x0284
    • Adaptec 2120S (Crusader)、PCI ID 0x9005:0x0285
    • Adaptec 2200S (Vulcan)、PCI ID 0x9005:0x0285
    • Adaptec 2200S (Vulcan-2m)、PCI ID 0x9005:0x0285
    • Legend S220 (Legend Crusader)、PCI ID 0x9005:0x0285
    • Legend S230 (Legend Vulcan)、PCI ID 0x9005:0x0285
    • Adaptec 3230S (Harrier)、PCI ID 0x9005:0x0285
    • Adaptec 3240S (Tornado)、PCI ID 0x9005:0x0285
    • ASR-2020ZCR SCSI PCI-X ZCR (Skyhawk)、PCI ID 0x9005:0x0285
    • ASR-2025ZCR SCSI SO-DIMM PCI-X ZCR (Terminator)、PCI ID 0x9005:0x0285
    • ASR-2230S + ASR-2230SLP PCI-X (Lancer)、PCI ID 0x9005:0x0286
    • ASR-2130S (Lancer)、PCI ID 0x9005:0x0286
    • AAR-2820SA (Intruder)、PCI ID 0x9005:0x0286
    • AAR-2620SA (Intruder)、PCI ID 0x9005:0x0286
    • AAR-2420SA (Intruder)、PCI ID 0x9005:0x0286
    • ICP9024RO (Lancer)、PCI ID 0x9005:0x0286
    • ICP9014RO (Lancer)、PCI ID 0x9005:0x0286
    • ICP9047MA (Lancer)、PCI ID 0x9005:0x0286
    • ICP9087MA (Lancer)、PCI ID 0x9005:0x0286
    • ICP5445AU (Hurricane44)、PCI ID 0x9005:0x0286
    • ICP9085LI (Marauder-X)、PCI ID 0x9005:0x0285
    • ICP5085BR (Marauder-E)、PCI ID 0x9005:0x0285
    • ICP9067MA (Intruder-6)、PCI ID 0x9005:0x0286
    • Themisto Jupiter Platform、PCI ID 0x9005:0x0287
    • Themisto Jupiter Platform、PCI ID 0x9005:0x0200
    • Callisto Jupiter Platform、PCI ID 0x9005:0x0286
    • ASR-2020SA SATA PCI-X ZCR (Skyhawk)、PCI ID 0x9005:0x0285
    • ASR-2025SA SATA SO-DIMM PCI-X ZCR (Terminator)、PCI ID 0x9005:0x0285
    • AAR-2410SA PCI SATA 4ch (Jaguar II)、PCI ID 0x9005:0x0285
    • CERC SATA RAID 2 PCI SATA 6ch (DellCorsair)、PCI ID 0x9005:0x0285
    • AAR-2810SA PCI SATA 8ch (Corsair-8)、PCI ID 0x9005:0x0285
    • AAR-21610SA PCI SATA 16ch (Corsair-16)、PCI ID 0x9005:0x0285
    • ESD SO-DIMM PCI-X SATA ZCR (Prowler)、PCI ID 0x9005:0x0285
    • AAR-2610SA PCI SATA 6ch、PCI ID 0x9005:0x0285
    • ASR-2240S (SabreExpress)、PCI ID 0x9005:0x0285
    • ASR-4005、PCI ID 0x9005:0x0285
    • IBM 8i (AvonPark)、PCI ID 0x9005:0x0285
    • IBM 8i (AvonPark Lite)、PCI ID 0x9005:0x0285
    • IBM 8k/8k-l8 (Aurora)、PCI ID 0x9005:0x0286
    • IBM 8k/8k-l4 (Aurora Lite)、PCI ID 0x9005:0x0286
    • ASR-4000 (BlackBird)、PCI ID 0x9005:0x0285
    • ASR-4800SAS (Marauder-X)、PCI ID 0x9005:0x0285
    • ASR-4805SAS (Marauder-E)、PCI ID 0x9005:0x0285
    • ASR-3800 (Hurricane44)、PCI ID 0x9005:0x0286
    • Perc 320/DC、PCI ID 0x9005:0x0285
    • Adaptec 5400S (Mustang)、PCI ID 0x1011:0x0046
    • Adaptec 5400S (Mustang)、PCI ID 0x1011:0x0046
    • Dell PERC2/QC、PCI ID 0x1011:0x0046
    • HP NetRAID-4M、PCI ID 0x1011:0x0046
    • Dell Catchall、PCI ID 0x9005:0x0285
    • Legend Catchall、PCI ID 0x9005:0x0285
    • Adaptec Catch All、PCI ID 0x9005:0x0285
    • Adaptec Rocket Catch All、PCI ID 0x9005:0x0286
    • Adaptec NEMER/ARK Catch All、PCI ID 0x9005:0x0288
  • mpt2sas ドライバーで、以下のアダプターが非推奨になりました。
    • SAS2004、PCI ID 0x1000:0x0070
    • SAS2008、PCI ID 0x1000:0x0072
    • SAS2108_1、PCI ID 0x1000:0x0074
    • SAS2108_2、PCI ID 0x1000:0x0076
    • SAS2108_3、PCI ID 0x1000:0x0077
    • SAS2116_1、PCI ID 0x1000:0x0064
    • SAS2116_2、PCI ID 0x1000:0x0065
    • SSS6200、PCI ID 0x1000:0x007E
  • megaraid_sas ドライバーで、以下のアダプターが非推奨になりました。
    • Dell PERC5、PCI ID 0x1028:0x15
    • SAS1078R、PCI ID 0x1000:0x60
    • SAS1078DE、PCI ID 0x1000:0x7C
    • SAS1064R、PCI ID 0x1000:0x411
    • VERDE_ZCR、PCI ID 0x1000:0x413
    • SAS1078GEN2、PCI ID 0x1000:0x78
    • SAS0079GEN2、PCI ID 0x1000:0x79
    • SAS0073SKINNY、PCI ID 0x1000:0x73
    • SAS0071SKINNY、PCI ID 0x1000:0x71
  • qla2xxx ドライバーで、以下のアダプターが非推奨になりました。
    • ISP24xx、PCI ID 0x1077:0x2422
    • ISP24xx、PCI ID 0x1077:0x2432
    • ISP2422、PCI ID 0x1077:0x5422
    • QLE220、PCI ID 0x1077:0x5432
    • QLE81xx、PCI ID 0x1077:0x8001
    • QLE10000、PCI ID 0x1077:0xF000
    • QLE84xx、PCI ID 0x1077:0x8044
    • QLE8000、PCI ID 0x1077:0x8432
    • QLE82xx、PCI ID 0x1077:0x8021
  • qla4xxx ドライバーで、以下のアダプターが非推奨になりました。
    • QLOGIC_ISP8022、PCI ID 0x1077:0x8022
    • QLOGIC_ISP8324、PCI ID 0x1077:0x8032
    • QLOGIC_ISP8042、PCI ID 0x1077:0x8042
  • be2iscsi ドライバーで、以下のアダプターが非推奨になりました。
    • BladeEngine 2 (BE2) デバイス
      • BladeEngine2 10Gb iSCSI Initiator (汎用)、PCI ID 0x19a2:0x212
      • OneConnect OCe10101、OCm10101、OCe10102、OCm10102 BE2 アダプターファミリー、PCI ID 0x19a2:0x702
      • OCe10100 BE2 アダプターファミリー、PCI ID 0x19a2:0x703
    • BladeEngine 3 (BE3) デバイス
      • OneConnect TOMCAT iSCSI、PCI ID 0x19a2:0x0712
      • BladeEngine3 iSCSI、PCI ID 0x19a2:0x0222
  • be2net ドライバーが制御する Ethernet ドライバー は非推奨になりました。
    • BladeEngine 2 (BE2) デバイス
      • OneConnect TIGERSHARK NIC、PCI ID 0x19a2:0700
      • BladeEngine2 Network Adapter、PCI ID 0x19a2:0211
    • BladeEngine 3 (BE3) デバイス
      • OneConnect TOMCAT NIC、PCI ID 0x19a2:0x0710
      • BladeEngine3 Network Adapter、PCI ID 0x19a2:0221
  • lpfc ドライバーで、以下のアダプターが非推奨になりました。
    • BladeEngine 2 (BE2) デバイス
      • OneConnect TIGERSHARK FCoE、PCI ID 0x19a2:0x0704
    • BladeEngine 3 (BE3) デバイス
      • OneConnect TOMCAT FCoE、PCI ID 0x19a2:0x0714
    • ファイバーチャネル (FC) デバイス
      • FIREFLY、PCI ID 0x10df:0x1ae5
      • PROTEUS_VF、PCI ID 0x10df:0xe100
      • BALIUS、PCI ID 0x10df:0xe131
      • PROTEUS_PF、PCI ID 0x10df:0xe180
      • RFLY、PCI ID 0x10df:0xf095
      • PFLY、PCI ID 0x10df:0xf098
      • LP101、PCI ID 0x10df:0xf0a1
      • TFLY、PCI ID 0x10df:0xf0a5
      • BSMB、PCI ID 0x10df:0xf0d1
      • BMID、PCI ID 0x10df:0xf0d5
      • ZSMB、PCI ID 0x10df:0xf0e1
      • ZMID、PCI ID 0x10df:0xf0e5
      • NEPTUNE、PCI ID 0x10df:0xf0f5
      • NEPTUNE_SCSP、PCI ID 0x10df:0xf0f6
      • NEPTUNE_DCSP、PCI ID 0x10df:0xf0f7
      • FALCON、PCI ID 0x10df:0xf180
      • SUPERFLY、PCI ID 0x10df:0xf700
      • DRAGONFLY、PCI ID 0x10df:0xf800
      • CENTAUR、PCI ID 0x10df:0xf900
      • PEGASUS、PCI ID 0x10df:0xf980
      • THOR、PCI ID 0x10df:0xfa00
      • VIPER、PCI ID 0x10df:0xfb00
      • LP10000S、PCI ID 0x10df:0xfc00
      • LP11000S、PCI ID 0x10df:0xfc10
      • LPE11000S、PCI ID 0x10df:0xfc20
      • PROTEUS_S、PCI ID 0x10df:0xfc50
      • HELIOS、PCI ID 0x10df:0xfd00
      • HELIOS_SCSP、PCI ID 0x10df:0xfd11
      • HELIOS_DCSP、PCI ID 0x10df:0xfd12
      • ZEPHYR、PCI ID 0x10df:0xfe00
      • HORNET、PCI ID 0x10df:0xfe05
      • ZEPHYR_SCSP、PCI ID 0x10df:0xfe11
      • ZEPHYR_DCSP、PCI ID 0x10df:0xfe12
    • Lancer FCoE CNA デバイス
      • OCe15104-FM、PCI ID 0x10df:0xe260
      • OCe15102-FM、PCI ID 0x10df:0xe260
      • OCm15108-F-P、PCI ID 0x10df:0xe260
ご使用のシステムでハードウェアの PCI ID を確認するには、lspci -nn コマンドを実行します。
上記ドライバーのアダプターの中で、この一覧に含まれていないものについては変更がありません。

libcxgb3 ライブラリーおよび cxgb3 ファームウェアパッケージを非推奨化

libibverbs パッケージおよび cxgb3 ファームウェアパッケージが提供する libcxgb3 ライブラリーは非推奨になりました。Red Hat Enterprise Linux 7 では引き続きサポートされますが、この製品の次期メジャーリリースではサポートされません。この変更は、cxgb3 ドライバー、cxgb3i ドライバー、および iw_cxgb3 ドライバーの廃止に対応しています。

SFN4XXX アダプターを非推奨化

Red Hat Enterprise Linux 7.4 以降、SFN4XXX Solarflare ネットワークアダプターが非推奨となっています。以前は、Solarflare のすべてのアダプターには、ドライバーが 1 つ (sfc) ありました。最近、SFN4XXX のサポートが sfc から分割し、sfc-falcon という名前の新しい SFN4XXX 専用ドライバーになりました。いずれのドライバーも現時点ではサポートされますが、sfc-falcon と SFN4XXX のサポートは今後のメジャーリリースで削除される予定です。

Software-initiated-only FCoE ストレージ技術を非推奨化

Fibre Channel over Ethernet (FCoE) ストレージ技術の software-initiated-only タイプは、広く使用されなかったため非推奨となりました。software-initiated-only ストレージ技術は、Red Hat Enterprise Linux 7 のライフサイクル期間中は引き続きサポートされます。非推奨化の通知では、Red Hat Enterprise Linux の今後のメジャーリリースでは software-initiated ベースの FCoE がサポートされない意向が示されています。
ハードウェアサポートおよび関連ユーザー領域ツール (libfc ドライバー、libfcoe ドライバーなど) は、この非推奨通知の影響を受けません。

libvirt-lxc ツールを使用するコンテナーを非推奨化

Red Hat Enterprise Linux 7.1 以降、以下の libvirt-lxc パッケージが非推奨となっています。
  • libvirt-daemon-driver-lxc
  • libvirt-daemon-lxc
  • libvirt-login-shell
Linux コンテナーフレームワークに関する今後の開発は、docker コマンドラインインターフェースがベースになります。libvirt-lxc ツールは今後の Red Hat Enterprise Linux リリース (Red Hat Enterprise Linux 7 を含む) からは削除される可能性があるため、カスタムなコンテナー管理アプリケーションを開発する際には依存しないようにしてください。
詳細は、Red Hat ナレッジベースの記事 「libvirt-lxc を使用した Linux コンテナー (廃止)」 を参照してください。

Directory Server の Perl スクリプトおよびシェルスクリプトを非推奨化

389-ds-base パッケージが提供する Perl およびシェルスクリプトは非推奨になっています。このスクリプトは、Red Hat Enterprise Linux の次期メジャーリリースで、新しいユーティリティーに置き換わります。
Red Hat Directory Server Command, Configuration, and File Reference』 の Shell Scripts および Perl Scripts セクションが更新されています。影響を受けるスクリプトの説明には、廃止されたことを示す注記が含まれます。

libguestfs が、ISO インストーラーファイルを検査できなくなる

たとえば、guestfish ユーティリティーまたは virt-inspector ユーティリティーを使用した場合に、libguestfs ライブラリーは、ISO インストーラーファイルの調査をサポートしなくなります。代わりに、osinfo-detect コマンドを使用して ISO ファイルを調査にします。このコマンドは、libosinfo パッケージから取得できます。

仮想マシンの内部スナップショットの作成を非推奨化

最大化および安定性が欠けているため、内部仮想マシンのスナップショットが非推奨になっています。別の外部スナップショットを使用することが推奨されます。外部スナップショットの説明は『仮想化の導入および管理ガイド』を参照してください。

IVSHMEM を非推奨化

IVSHMEM デバイス (inter-VM shared memory) の機能は非推奨になりました。RHEL の将来のメジャーリリースで、仮想マシン (VM) を設定した場合は、VM が起動できない場合に、メモリーをゲストに公開する PCI デバイスの形で複数の仮想マシン間でメモリーを共有するように設定します。

gnome-shell-browser-plugin サブパッケージを非推奨化

Firefox では、Extended Support Release (ESR 60) 以降 gnome-shell-browser-plugin サブパッケージが使用する Netscape Plugin Application Programming Interface (NPAPI) をサポートしなくなりました。このサブパッケージは、GNOME シェル拡張をインストールする機能を提供するため、GNOME シェル拡張は gnome-software パッケージで直接処理されるようになりました。

VDO 読み込みキャッシュを非推奨に

VDO (Virtual Data Optimizer) の読み取りキャッシュ機能が非推奨になりました。新しい VDO ボリュームで、読み取りキャッシュがデフォルトで無効になっています。
Red Hat Enterprise Linux の次期メジャーリリースでは読み取りキャッシュ機能が削除され、vdo ユーティリティーの --readCache オプションを使用して有効にすることができません。

cpuid を非推奨化

cpuid コマンドが非推奨になっています。Red Hat Enterprise Linux の将来のメジャーリリースは、cpuid を使用して各 CPU の CPUID 命令に関する情報をダンプすることをサポートしなくなりました。同様の情報を取得するには、代わりに lscpu コマンドを使用してください。

KDE を非推奨化

デフォルトの GNOME デスクトップ環境に代わる選択肢として提供されている KDE Plasma Workspaces (KDE) が非推奨になりました。Red Hat Enterprise Linux の将来のメジャーリリースは、デフォルトの GNOME デスクトップ環境の代わりに KDE の使用をサポートしなくなりました。

lwresd デーモンを非推奨化

bind パッケージに同梱される lwresd デーモンが非推奨になりました。Red Hat Enterprise Linux の将来のメジャーリリースでは、lwresd を使用する BIND 9 軽量リゾルバーを使用するクライアントに名前検索を提供しなくなりました。
推奨される代替ソリューションは以下のとおりです。
  • systemd パッケージが提供する systemd-resolved デーモンおよび nss-resolve API
  • unbound パッケージおよび unbound-libs パッケージが提供する unbound ライブラリーの API およびデーモン
  • ライブラリーコールの getaddrinfo および関連する glibc

/etc/sysconfig/nfs ファイルおよびレガシーの NFS サービス名を非推奨に

Red Hat Enterprise Linux の将来のメジャーリリースでは、NFS 設定が /etc/sysconfig/nfs ファイルから /etc/nfs.conf に移動します。
Red Hat Enterprise Linux 7 は、現在、この両方のファイルをサポートします。Red Hat は、新しい /etc/nfs.conf ファイルを使用して、Red Hat Enterprise Linux のすべてのバージョンの NFS 設定を、自動化した設定システムと互換性を持たせるようにすることを推奨します。
また、以下の NFS サービスエイリアスが削除され、アップストリームの名前に置き換えられます。
  • nfs.servicenfs-server.service に置き換え
  • nfs-secure.servicerpc-gssd.service に置き換え
  • rpcgssd.servicerpc-gssd.service に置き換え
  • nfs-idmap.servicenfs-idmapd.service に置き換え
  • rpcidmapd.servicenfs-idmapd.service に置き換え
  • nfs-lock.servicerpc-statd.service に置き換え
  • nfslock.servicerpc-statd.service に置き換え

パート V. 既知の問題

ここでは Red Hat Enterprise Linux 7.6 の既知の問題を説明します。

第41章 認証および相互運用性

RADIUS プロキシー機能が、FIPS モードで実行している IdM でも利用可能に

FIPS モードの OpenSSL では、デフォルトで MD5 ダイジェストアルゴリズムの使用が無効になりました。その結果、RADIUS プロトコルでは、RADIUS クライアントおよび RADIUS サーバーとの間でシークレットを暗号化する MD5 が必要になり、FIPS モードで MD5 が利用できないため、RHEL の IdM (Identity Management) の RADIUS プロキシサーバーが失敗します。
RADIUS サーバーが、IdM マスターと同じホストで実効しているため、問題を回避して、安全な境界内で MD5 を有効にできます。
これを行うには、以下の内容で /etc/systemd/system/radiusd.service.d/ipa-otp.conf ファイルを作成します。
# /etc/systemd/system/radiusd.service.d/ipa-otp.conf
[Service] 
Environment=OPENSSL_FIPS_NON_APPROVED_MD5_ALLOW=1
変更を適用するには、systemd 設定を再ロードします。
# systemctl daemon-reload
および radiusd サービスを起動します。
# systemctl start radiusd
RADIUS プロキシーの設定には、認証情報をラップするために、クライアントとサーバーとの間にコモンシークレットを使用する必要があります。コマンドラインインターフェース (CLI) または web UI を使用して、RHEL IdM で RADIUS プロキシーの設定でこのシークレットを指定します。CLI でこれを行うには、以下のコマンドを実行します。
# ipa radiusproxy-add name_of_your_proxy_server --secret your_secret
(BZ#1571754)

第42章 コンパイラーとツール

RHEL に同梱される GCC スレッドサニタイザーが動作しなくなる

カーネルメモリーマッピングにおける非互換性変更により、RHEL の GNU C Compiler (GCC) コンパイラーのバージョンに同梱されるスレッドサニタイザーが動作しなくなりました。さらには、スレッドサニタイザーが互換性のないメモリーレイアウトには適用されません。その結果、RHEL に同梱される GCC スレッドサニタイザーは使用されなくなります。
回避策として、コードのビルドには、Red Hat Developer Toolset に同梱されるバージョンの GCC を使用してください。スレッドサニタイザーが使用されています。(BZ#1569484)

第43章 デスクトップ

IBM Z および POWER で Firefox 60.1 ESR が起動できない

Firefox 60.1 Extended Support Release (ESR) ブラウザーの JavaScript エンジンが変更しました。その結果、IBM Z および POWER アーキテクチャーの Firefox 60.1 ESR が起動できず、セグメンテーションフォールトエラーメッセージが発生します。(BZ#1576289、BZ#1579705)

GV100GL グラフィックスで複数のモニターを適切に使用できない

GV100GL グラフィックスに署名付きファームウェアが存在しないため、GV100GL にモニターを複数接続することができませんでした。2 台目のモニターを接続すると認識され、グラフィックスが正しい解像度を設定しますが、モニターは電力消費モードのままになります。この問題を回避するには、NVIDIA バイナリードライバーをインストールします。その結果、上述の環境で、2 台目のモニター出力が期待通りに動作します。(BZ#1624337)

Files アプリケーションが、デフォルトインストールでディスクを焼くことができない

Files アプリケーションのデフォルトインストールには、CD または DVD を焼くのに必要な brasero-nautilus パッケージが含まれません。その結果、Files アプリケーションにより、ファイルを CD デバイスまたは DVD デバイスにドラッグアンドドロップすることはできますが、CD または DVD に焼くことができません。この問題は、以下のコマンドで brasero-nautilus パッケージをインストールすると回避できます。
# yum install brasero-nautilus
(BZ#1600163)

on screen keyboard 機能 GTK アプリケーションで表示されない

on screen keyboard メニューを使用して Settings - Universal Access - Typing - Screen keyboard 機能を有効にすると、gedit などの GIMP Toolkit (GTK) アプリケーションにアクセスするための on screen keyboard が表示されません。
この問題を回避するには、以下の行を /etc/environment 設定ファイルに追加して、GNOME を再起動します。
GTK_IM_MODULE=ibus
(BZ#1625700)

システムのインストールまたはアップグレード時に、32 ビットおよび 64 ビットの fwupd パッケージを使用できない

32 ビットと 64 ビットアーキテクチャーで、fwupd パッケージの /usr/lib/systemd/system/fwupd.service ファイルは異なります。そのため、32 ビットおよび 64 ビットの両方の fwupd パッケージをインストールすることはできません。また、32 ビットおよび 64 ビットの fwupd パッケージの両方を使用して、Red Hat Enterprise Linux 7.5 を Red Hat Enterprise Linux 7.6 にアップグレードすることもできません。
この問題を回避するには、以下の手順を実行します。
  • マルチバイナリーの fwupd パッケージをインストールしないでください。
  • または、Red Hat Enterprise Linux 7.5 から Red Hat Enterprise Linux 7.6 にアップグレードする前に、32 ビットまたは 64 ビットの fwupd パッケージを削除します。(BZ#1623466)

Huawei サーバーでは、グラフィカルモードでインストールして起動することができない

AMD64 プロセッサーおよび Intel 64 プロセッサーを使用する Huawei サーバーのグラフィカルモードに RHEL 7.6 をインストールすると、画面が不鮮明になり、インストールインターフェースが表示されなくなります。コンソールモードでインストールを終了しても、オペレーティングシステムをグラフィカルモードで起動することができなくなります。
この問題を回避するには、以下の手順を実行します。
1. システムをインストールする際に、カーネルコマンドラインパラメーター inst.xdriver=fbdev を追加し、server with GUI としてシステムをインストールします。2. インストールが完了したら、システムを再起動してカーネルコマンドライン single を追加して、メンテナンスモードでシステムを起動します。3. 以下のコマンドを実行します。
rpm -e  xorg-x11-drivers
rpm -e xorg-x11-drv-vesa
init 5
(BZ#1624847)

ユーザーの簡易切り替え時に、X.org サーバーがクラッシュ

X.Org X11 の qxl ビデオドライバーが、シャットダウン時に仮想ターミナル終了イベントをエミュレートしません。その結果、ユーザーの簡易切り替え時に X.Org ディスプレイサーバーが突然終了し、ユーザーの切り替え時に現在のユーザーセッションが終了します。(BZ#1640918)

Lenovo T580 で X.org X11 がクラッシュ

libpciaccess ライブラリーのバグが原因で、Lenovo T580 ラップトップで X.org X11 サーバーが突然終了します。(BZ#1641044)

i915 を使用したカーネルでの起動時に、ソフトロックアップが発生する場合がある

ごくまれに、GM45 システムのファームウェア設定に誤りがあると、システムの起動時に、誤った DisplayPort ホットプラグにより、i915 ドライバーがオーバーロードする場合があります。その結果、ビデオドライバーがこの問題を回避しようとすると、特定の GM45 システムの起動時間が非常に遅くなる可能性があります。カーネルがソフトロックアップの発生を報告する場合があります。ハードウェアベンダーに、この問題に対応しているファームウェアへの更新をお問い合わせください。(BZ#1608704)

Xinerama が有効な場合はブラックスクリーンで起動する

nvidia/nouveau ドライバーを使用するシステムの /etc/X11/xorg.conf で Xinerama の拡張が有効になっている場合は、RANDR X 拡張が無効になります。その結果、RANDR X 拡張が無効になっている場合は、システムの起動時にログイン画面が起動しません。この問題を回避するには、/etc/X11/xorg.conf で Xinerama を有効にしないでください。(BZ#1579257)

第44章 ファイルシステム

存在しない NFS エクスポートをマウントすると、RHEL 6 とは異なるエラーが出力される

NFS クライアントが、存在しないサーバーエクスポートをマウントしようとすると、mount ユーティリティーが operation not permitted エラーメッセージを出力します。同じ状況でも、Red Hat Enterprise Linux 6 では access denied メッセージが出力されません。(BZ#1428549)

XFS は、各 inode の DAX 機能を無効にする

この機能で発生していた問題が解決できなかったため、各 inode の DAX (direct access) オプションが XFS ファイルシステムで無効になっていました。XFS は、ディスク上の既存の各 inode の DAX フラグを無視します。
dax マウントオプションを使用して、ファイルシステムの DAX 動作を設定することもできます。
# mount -o dax device mount-point
(BZ#1623150)

第45章 インストールと起動

バイナリー DVD で特定の RPM パッケージが利用できない

1 層 DVD では容量が限られるため、virt-p2v RPM、syslinux-tftpbootLibreOfficeKDE 言語パッケージは Red Hat Enterprise Linux バイナリー DVD では利用できません。Anaconda インストール後に関連する更新を有効にすることで、パッケージは引き続き Red Hat Subscription Management および Red Hat Network から使用できます。このパッケージは https://access.redhat.com/downloads からダウンロードできます。
また、syslinux-tftpboot パッケージが、Optional チャンネルからベースチャンネル (サーバーのバリアント) に移動しており、IBM POWER (リトルエンディアン) アーキテクチャーでも利用できるようになりました。(BZ#1611665、BZ#1592748、BZ#1616396)

Red Hat 仮想ホストでコンテンツロケーション検出コードが動作しない

Red Hat 仮想ホストで、ローカルにインストールしたコンテンツからハードニングプロファイルを選択できません。この問題を回避するには、oscap-anaconda-addon パッケージを使用して、URL から Red Hat Enterprise Linux データストリームファイルを取得します。
1. Red Hat Enterprise Linux 7 の scap-security-guide パッケージからネットワークに ssg-rhel7-ds.xml データストリームファイルをアップロードすると、Anaconda が検出できるようになります。
それを行うには、以下のように行います。
a) Python を使用して、ssg-rhel7-ds.xml データストリームを含むディレクトリーに web サーバーを設定 (例: python2 -m SimpleHTTPServer または python3 -m http.server) し、ポート 8000 をリッスンします。
または
b) HTTPS サーバーまたは FTP サーバーに ssg-rhel7-ds.xml データストリームファイルをアップロードします。
2. Anaconda のグラフィカルユーザーインターフェースの Security Policy ウィンドウで、Change Content をクリックして、ssg-rhel7-ds.xml データストリームファイルを指定する URL (http://gateway:8000/ssg-rhel7-ds.xml or ftp://my-ftp-server/ssg-rhel7-ds.xml など) を入力します。
ssg-rhel7-ds.xml データストリームファイルが利用できるようになり、Red Hat 仮想ホストはハードニングプロファイルを選択できるようになりました。(BZ#1636847)

Composer がライブの ISO システムイメージを作成できない

依存関係の解決に問題があるため、ライブの ISO イメージを構築するツールは、ランタイム時に Composer に認識されません。その結果、Composer はライブの ISO イメージを構築できず、ユーザーはこの種のシステムイメージを作成することはできません。
Composer がテクノロジープレビューとして利用可能です。(BZ#1642156)

第46章 カーネル

ファームウェアが ACPI PPTT をサポートしない場合は、キャッシュ情報が sysfs にない

kernel-alt パッケージが更新され、ACPI PPTT (Advanced Configuration and Power Interface Processor Properties Topology Table) を使用して、CPU のキャッシュ情報を含む CPU トポロジーを追加するようになりました。その結果、ACPI PPTT をサポートしないファームウェアを持つシステムでは、/sys/devices/system/cpu/cpu0/cache ファイルにキャッシュ情報が含まれません。この問題を回避するには、ハードウェアベンダーとともに ACPI PPTT サポートを含む更新したファームウェアを確認します。(BZ#1615370)

HPE ProLiant Gen8 および Gen9 のデフォルト設定では、PCIe スロットに接続するデバイスの PCI パススルーができない

HPE ProLiant Gen8 および Gen9 システムのデフォルト設定では、PCIe スロットに接続するデバイスに PCI パススルーを使用できません。その結果、そのようなデバイスをパススルーしようとすると失敗し、カーネルログに以下のメッセージが表示されます。
Device is ineligible for IOMMU domain attach due to platform RMRR requirement. Contact your platform vendor.
この問題を回避するには、以下の手順を実行します。
  • HPE ProLiant Gen8 では、HPE が提供する conrep ツールを使用して、既知のシステム設定を再作成します。
  • HPE ProLiant Gen9 では、使用済みの NIC の種類に従って、システムファームウェアまたは NIC ファームウェアを更新します。

非 RoCE デバイスを RXE ドライバーに追加するとカーネルパニックが発生する問題を修正

Soft RoCE (Soft RDMA Over Converged Ethernet) インターフェースを作成し、非 RoCE デバイスを追加すると、RXE ドライバーで問題が発生します。その結果、ホストの再起動またはシャットダウン時にカーネルパニックが発生していました。この更新により、ホストを再起動またはシャットダウンする前に Soft RoCE インターフェースを無効にするとこの問題が修正されます。その結果、上述のシナリオではホストでパニックが発生しません。(BZ#1520302)

64 ビット AMD アーキテクチャーおよび Intel アーキテクチャーに対してのみ BCC パッケージの有効化

BPF Compiler Collection (BCC) ライブラリーおよび pcp-pmda-bcc プラグインは、64 ビットの AMD アーキテクチャーおよび Intel CPU アーキテクチャーでのみ有効な bpf() システムコールを使用します。その結果、Red Hat Enterprise Linux 7 では、64 ビットの AMD アーキテクチャーおよび Intel CPU アーキテクチャー向けの BCC および pcp-pmda-bcc のみをサポートします。(BZ#1633185)

SEV を使用する仮想マシンでカーネルパニックが発生する場合がある

現在、virtio トラフィックが高い場合に SEV (Secure Encrypted Virtualization) 機能が適切に動作しない場合があります。その結果、SEV を使用する仮想マシンでカーネルパニックが発生し、DMA: Out of SW-IOMMU space エラーメッセージを生成する場合があります。
この問題を回避するには、ゲストのカーネルコマンドラインに swiotlb=262144 パラメーターを追加して、SWIOTLB (Software Input/Output Translation Lookaside Buffer) に 512 MiB を予約します。(BZ#1637992)

三項演算子の分岐予測でシステムパニックが発生する問題を修正

以前は、三項演算子の分岐予測で、mddev->queue 構造を確認する前に、コンパイラーが誤って blk_queue_nonrot() 関数を呼び出していました。その結果、システムでパニックが発生していました。この更新により、mddev->queue を確認し、blk_queue_nonrot() を呼び出すことで、バグの発生を回避できます。その結果、上述のシナリオでシステムのパニックが発生しなくなりました。(BZ#1627563)

RAID1 write-behind によりカーネルパニックが発生

RAID1 (Redundant Array of Independent Disks Mode 1) 仮想化技術におけるライトビハインドモードは、最下層のディスクに書き込まれた bio 構造が戻る直後に解放される上層の bio 構造を使用します。その結果、カーネルパニックが発生し、write-behind 関数を使用することができなくなります。(BZ#1632575)

第47章 ネットワーク

Red Hat Enterprise Linux 7 で、MD5 ハッシュアルゴリズムを使用した署名の検証が無効になる

MD5 で署名された証明書を必要とする WPA (Wi-Fi Protected Access) の AP (Enterprise Access Point) に接続することはできません。この問題を回避するには、wpa_supplicant.service ファイルを /usr/lib/systemd/system ディレクトリーから /etc/systemd/system/ ディレクトリーにコピーして、そのファイルの Service のセクションに以下の行を追加します。
Environment=OPENSSL_ENABLE_MD5_VERIFY=1
次に、root として systemctl daemon-reload コマンドを実行し、サービスファイルを再ロードします。
重要: MD5 証明書は安全性が非常に低いため、Red Hat では使用を推奨していません。(BZ#1062656)

第48章 セキュリティー

OpenSCAP rpmverifypackage が正常に動作しない

rpmverifypackage プローブにより、システムコール chdir および chroot が 2 回呼び出されます。その結果、カスタムの Open Vulnerability and Assessment Language (OVAL) コンテンツを使用した OpenSCAP のスキャン時にそのプルーブを使用すると、エラーメッセージが出力されます。
この問題を回避するには、コンテンツで rpmverifypackage_test OVAL テストを使用しないか、rpmverifypackage_test が使用されていない scap-security-guide パッケージのコンテンツのみを使用します。(BZ#1603347)

OVAL が dconf データベースを確認しない

SCAP Security Guide プロジェクトで使用されている OVAL (Open Vulnerability and Assessment Language) の確認が、dconf バイナリーデータベースを読み込めず、データベースの生成にファイルを使用するだけです。データベースは自動的に再生成されず、管理者は dconf update コマンドを実行する必要があります。その結果、/etc/dconf/db/ ディレクトリーのファイルを使用して行われなかったデータベースへの変更は、スキャンで検出することはできません。これにより、誤検出が発生する場合があります。
この問題を回避するには、たとえば /etc/crontab 設定ファイルを使用して dconf update を定期的に実行します。(BZ#1631378)

SCAP Workbench がカスタムプロファイルから結果ベースの修正を生成することができない

SCAP Workbench ツールを使用してカスタムプロファイルから結果ベースの修正ロールを生成しようとすると、以下のエラーが発生します。
Error generating remediation role '.../remediation.sh': Exit code of 'oscap' was 1: [output truncated]
この問題を回避するには、oscap コマンドに --tailoring-file オプションを付けて実行します。(BZ#1533108)

OpenSCAP スキャナーの結果には、SELinux コンテキストのエラーメッセージが多数含まれます。

OpenSCAP スキャナーは、実際のエラーでない状況でも、ERROR レベルで SELinux コンテキストを取得できないことをログに記録します。その結果、OpenSCAP のスキャナーの出力結果には、SELinux コンテキストのエラーメッセージが多数含まれます。このため、oscap コマンドラインユーティリティーおよび SCAP Workbench グラフィカルユーティリティーの出力結果が簡単に確認できませんでした。(BZ#1640522)

oscap スキャンがメモリーを過剰に使用

OVAL (Open Vulnerability Assessment Language) プルーブは、スキャン中はメモリーに存在したままとなり、レポートの生成にもメモリーを大量に使用します。その結果、スキャンするファイルシステムの規模が非常に大きくなると、oscap プロセスは利用可能なメモリーをすべて取得し、オペレーティングシステムにより強制終了されます。
この問題を回避するには、ファイルシステム全体をスキャンするルールを除外するカスタムファイルを使用して、そのルールを個別に実行します。--oval-results オプションは使用しないでください。これにより、処理するデータ量を減らすと、メモリーを過度に使用しなくなるため、システムのスキャンがクラッシュしなくなります。(BZ#1548949)

第49章 サーバーとサービス

ファイルを開くことができるデフォルトの最大数を超えると Rsyslog を続行できない

ファイルを開くことができるデフォルトの最大数を超えると Rsyslog が実行し、rsyslog が新しいファイルを開くことができなくなる場合があります。
この問題を回避するには、systemd-journald に合わせてこの制限を増やすことで rsyslog 設定を修正できます。それを行うには、以下の内容で、/etc/systemd/system/rsyslog.service.d/increase_nofile_limit.conf という名前の一時ファイルを作成します。
[Service]
LimitNOFILE=16384
(BZ#1553700)

RHOSP 10 で RHEL 7.5 から RHEL 7.6 へノードをアップグレードすると、そのノードの仮想マシンが起動しなくなる

現在、Red Hat OpenStack Plaform 10 で Red Hat Enterprise Linux 7.5 から Red Hat Enterprise Linux 7.6 へノードをアップグレードすると、そのノードにホストされている仮想マシンが起動できなくなります。
この問題を回避するには、そのノードの /etc/modprobe.d/kvm.rt.tuned.conf ファイルから以下の行を削除し、ノードを再起動します。
options kvm_intel ple_gap=0
確実に動作するように、ノードを RHEL 7.5 から RHEL 7.6 へアップグレードする前に変更します。(BZ#1649408)

第50章 ストレージ

LVM が、不完全なボリュームグループのイベントベースの自動アクティベーションをサポートしない

ボリュームグループが完了しておらず、物理ボリュームが不足している場合、LVM は、ボリュームグループの自動 LVM イベントベースのアクティベーションをサポートしません。これは、自動アクティベーションが行われると --activationmode complete が設定されることを意味します。--activationmode complete オプションおよび自動アクティベーションの詳細は、man ページ vgchange(8) および pvscan(8) を参照してください。
/etc/lvm/lvm.conf 設定ファイルで global/use_lvmetad=1 設定を使用して lvmetad を有効にすると、イベント駆動型の自動アクティベーションフックが有効になります。また、自動アクティベーションを使用しないと、起動時の正確な時刻に直接アクティベーションフックが存在し、その時点で使用可能な物理ボリュームでのみボリュームグループがアクティベーションされることに注意してください。その後表示される物理ボリュームはいずれも考慮されません。
この問題は、initramfs (dracut) での初期ブートには影響せず、vgchange コールおよび lvchange コールを使用してコマンドラインから直接アクティベーションに影響します。これにより、degraded アクティベーションモードにデフォルト設定されます。(BZ#1337220)

Red Hat Enterprise Linux 7.6 へのアップグレード後に vdo サービスが無効になる

Red Hat Enterprise Linux 7.5 で vdo サービスが有効になっていた場合は、 7.6 へのアップグレード時に無効になります。これは、vdo RPM パッケージの systemd マクロが不足していたためです。
この問題は、7.6 リリースで修正されました。Red Hat Enterprise Linux 7.6 から以降のリリースへのアップグレード時に vdo が無効になることはありません。(BZ#1617896)

VDO 上で RAID 10 リシェイプによるデータ破損

VDO 上で (LVM および mdadm を使用した) RAID 10 リシェイプ。VDO 上の RAID 10 (またはその他の RAID タイプ) をスタックしても、VDO の重複機能および圧縮機能が活用されないため、使用は推奨されません。(BZ#1528466、BZ#1530776)

ndctl により、システムの起動が遅れる場合がある

ndctl パッケージによりインストールされている udev ルールにより、NVDIMM (Non-Volatile Dual In-line Memory Module) デバイスがあるシステムで、システムの起動プロセスが数分間遅れる場合があります。この場合、systemd は、以下のようなメッセージを表示します。
INFO: task systemd-udevd:1554 blocked for more than 120 seconds.
...
nvdimm_bus_check_dimm_count+0x31/0xa0 [libnvdimm]
...
問題を回避するには、以下のコマンドを使用して udev ルールを無効にします。
# rm /usr/lib/udev/rules.d/80-ndctl.rules
udev ルールを無効にすると、この問題は発生しなくなりました。(BZ#1635441)

LVM において、物理ボリュームの割り当て可能スペースの最初の 128kB でデータ破損が発生する場合がある

LVM の I/O 層にあるバグにより、LVM は、ディスクの LVM メタデータの後に続く最初の 128kB を読み書きしようとします。LVM コマンドを使用中に別のプログラムまたはファイルシステムがこのブロックを修正しようとすると、その変更が失われ、まれにデータの破損につながる場合があります。
この問題を回避するには、ボリュームグループ (VG) で論理ボリューム (LV) を使用している場合は、ボリュームグループメタデータを変更する LVM コマンド (lvcreatelvextend など) を使用しないようにしてください。(BZ#1643651)

第51章 システムとサブスクリプション管理

RHEL 7.6 EUS、AUS、TUS、および E4S ストリームにおける Red Hat Satellite 5.8 の可用性

Red Hat Satellite 5 のコンテンツ ISO は、毎月利用可能になります。これにより、RHEL 7.6 の一般公開時には、以下の RHEL 7.6 ストリームの Red Hat Satellite 5.8 ではコンテンツの ISO が利用できません。
  • Extended Update Support (EUS)
  • Advanced Update Support (AUS)
  • Telco Extended Update Support (TUS)
  • Update Services for SAP Solutions (E4S)
予想される遅延は 2 ~ 4 週間です。Red Hat Satellite 6 インスタンスは影響を受けません。
詳細は「Red Hat Satellite 5.8 availability of RHEL 7.6 EUS/E4S/AUS/TUS」を参照してください。(BZ#1635135)

付録A コンポーネントのバージョン

本付録では、Red Hat Enterprise Linux 7.6 リリースの主要コンポーネントとそのバージョンを一覧にして示します。

表A.1 コンポーネントのバージョン

コンポーネント
バージョン
kernel
3.10.0-957
kernel-alt
4.14.0-115
QLogic qla2xxx ドライバー
10.00.00.06.07.6-k
QLogic qla4xxx ドライバー
5.04.00.00.07.02-k0
Emulex lpfc ドライバー
0:12.0.0.5
iSCSI イニシエーターユーティリティー (iscsi-initiator-utils)
6.2.0.874-10
DM-Multipath (device-mapper-multipath)
0.4.9-123
LVM (lvm2)
2.02.180-8
qemu-kvm[a]
1.5.3-160
qemu-kvm-ma[b]
2.12.0-18
[a] qemu-kvm パッケージは、AMD64 および Intel 64 のシステムに KVM 仮想化を提供します。
[b] qemu-kvm-ma パッケージにより、IBM POWER8、IBM POWER9、および IBM Z で KVM 仮想化が提供されます。IBM POWER9 および IBM Z の KVM 仮想化には、kernel-alt パッケージも使用する必要がある点に注意してください。

付録B コンポーネント別の Bugzilla リスト

本付録では、本リリースノートに含まれるすべてのコンポーネントと、関連する Bugzilla のリストを記載します。

表B.1 コンポーネント別の Bugzilla リスト

コンポーネント新機能主なバグ修正テクノロジープレビュー既知の問題
389-ds-baseBZ#1560653BZ#1515190、BZ#1525256、BZ#1551071、BZ#1552698、BZ#1559945、BZ#1566444、BZ#1568462、BZ#1570033、BZ#1570649、BZ#1576485、BZ#1581737、BZ#1582092、BZ#1582747、BZ#1593807、BZ#1598478、BZ#1598718、BZ#1614501  
NetworkManagerBZ#1414093、BZ#1487477BZ#1507864  
OVMF  BZ#653382 
anacondaBZ#1562301BZ#1360223、BZ#1436304、BZ#1535781、BZ#1554271、BZ#1557485、BZ#1561662、BZ#1561930  
auditBZ#1559032   
augeas BZ#1544520  
bindBZ#1452091、BZ#1510008   
binutils BZ#1553842、BZ#1557346  
clevisBZ#1472435   
cockpitBZ#1568728   
corosync  BZ#1413573 
criu  BZ#1400230 
custodia  BZ#1403214 
device-mapper-multipathBZ#1541116, BZ#1554516、BZ#1593459BZ#1498724、BZ#1526876、BZ#1544958、BZ#1584228、BZ#1610263  
distributionBZ#1567133  BZ#1062656
dnf  BZ#1461652 
elfutilsBZ#1565775   
fence-agents  BZ#1476401 
firefox   BZ#1576289
firewalldBZ#1477771、BZ#1554993BZ#1498923  
freetypeBZ#1576504   
fwupd   BZ#1623466
gcc BZ#1552021  
gcc-librariesBZ#1600265   
gdbBZ#1553104BZ#1347993、BZ#1578378  
genwqe-toolsBZ#1521050   
ghostscript BZ#1551782  
git BZ#1213059、BZ#1284081  
glibcBZ#1448107、BZ#1461231BZ#1401665  
gnome-shell  BZ#1481395BZ#1625700
gnutlsBZ#1561481   
ima-evm-utilsBZ#1627278 BZ#1384450 
initscriptsBZ#1493069、BZ#1542514、BZ#1583677BZ#1554364、BZ#1554690、BZ#1559384、BZ#1572659  
ipa  BZ#1115294、BZ#1298286 
ipa-server-container  BZ#1405325 
ipsetBZ#1557600   
java-11-openjdkBZ#1570856   
jssBZ#1557575、BZ#1560682   
kernelBZ#1205497、BZ#1305092、BZ#1322930、BZ#1344565、BZ#1350553、BZ#1361286、BZ#1451438、BZ#1457161、BZ#1471950、BZ#1496859、BZ#1507027、BZ#1511351、BZ#1515584、BZ#1520356、BZ#1557599、BZ#1570090、BZ#1584753、BZ#1620372BZ#1527799、BZ#1541250、BZ#1544920、BZ#1554907、BZ#1636930BZ#916382、BZ#1109348、BZ#1111712、BZ#1206277、BZ#1230959、BZ#1274459、BZ#1299662、BZ#1348508、BZ#1387768、BZ#1393375、BZ#1414957、BZ#1457533、BZ#1460849、BZ#1503123、BZ#1519746、BZ#1589397BZ#1428549、BZ#1520302、BZ#1528466、BZ#1608704、BZ#1615210、BZ#1623150、BZ#1627563、BZ#1632575、BZ#1637992
kernel-alt   BZ#1615370
kernel-rtBZ#1297061、BZ#1553351BZ#1608672  
kexec-toolsBZ#1352763   
libcgroup BZ#1549175  
libguestfsBZ#1541908、BZ#1557273 BZ#1387213、BZ#1441197、BZ#1477912 
libnftnlBZ#1332585   
libpciaccess   BZ#1641044
libreswanBZ#1536404、BZ#1591817 BZ#1375750 
libsepolBZ#1564775   
libstoragemgmt  BZ#1119909 
libusnic_verbs  BZ#916384 
libvirtBZ#1447169 BZ#1283251、BZ#1475770 
linuxptpBZ#1549015   
lorax-composer   BZ#1642156
lvm2   BZ#1337220、BZ#1643651
man-db BZ#1515352  
mutter   BZ#1579257
nautilus   BZ#1600163
ndctl   BZ#1635441
net-snmpBZ#1533943   
nftablesBZ#1571968   
nmap BZ#1546246、BZ#1573411  
nss  BZ#1425514、BZ#1431210、BZ#1432142 
nuxwdog BZ#1615617  
opal-prdBZ#1564097   
openjpeg BZ#1553235  
opensc BZ#1547117、BZ#1562277、BZ#1562572  
openscap BZ#1556988 BZ#1548949、BZ#1603347、BZ#1640522
opensslBZ#1519396   
openssl-ibmcaBZ#1519395   
oscap-anaconda-addon   BZ#1636847
otherBZ#1432080、BZ#1609302、BZ#1612965、BZ#1627126 BZ#1062759、BZ#1072107、BZ#1259547、BZ#1464377、BZ#1477977、BZ#1559615、BZ#1613966BZ#1569484、BZ#1571754、BZ#1611665、BZ#1633185、BZ#1635135
pacemakerBZ#1590483   
pam_pkcs11BZ#1578029   
pcpBZ#1565370   
pcsBZ#1427273、BZ#1475318BZ#1566382、BZ#1572886、BZ#1588667、BZ#1590533BZ#1433016 
pcsc-liteBZ#1516993   
pcsc-lite-ccidBZ#1558258   
perlBZ#1557574   
perl-LDAPBZ#1520364   
pki-coreBZ#1550742、BZ#1550786、BZ#1557569、BZ#1562423、BZ#1585866BZ#1546708、BZ#1549632、BZ#1568615、BZ#1580394  
powerpc-utils BZ#1540067、BZ#1592429、BZ#1596121、BZ#1628907  
procps-ngBZ#1518986BZ#1507356  
qemu-guest-agentBZ#1569013   
qemu-kvm  BZ#1103193 
radvdBZ#1475983   
rearBZ#1418459、BZ#1496518   
resource-agentsBZ#1470840、BZ#1538689、BZ#1568588、BZ#1568589 BZ#1513957 
rhel-system-rolesBZ#1479381 BZ#1439896 
rpmBZ#1395818、BZ#1555326   
rsyslogBZ#1482819、BZ#1531295、BZ#1539193  BZ#1553700
rt-setupBZ#1616038   
sambaBZ#1558560   
sane-backendsBZ#1512252   
scap-security-guideBZ#1443551、BZ#1619689  BZ#1631378
scap-workbench   BZ#1533108
selinux-policyBZ#1443473、BZ#1460322   
sos-collectorBZ#1481861   
sssdBZ#1416528 BZ#1068725 
strongimcv  BZ#755087 
subscription-managerBZ#1576423   
sudoBZ#1533964、BZ#1547974、BZ#1548380BZ#1560657  
systemd  BZ#1284974 
systemtapBZ#1565773   
tss2  BZ#1384452 
tunedBZ#1546598  BZ#1649408
usbguardBZ#1508878 BZ#1480100 
vdo   BZ#1617896
vsftpdBZ#1479237   
wayland  BZ#1481411 
wpa_supplicant BZ#1434434、BZ#1505404  
xorg-x11-drv-nouveau   BZ#1624337
xorg-x11-drv-qxl   BZ#1640918
xorg-x11-serverBZ#1564632  BZ#1624847
ypserv BZ#1492892  
yumBZ#1481220BZ#1528608  
yum-utilsBZ#1497351、BZ#1506205   

付録C 改訂履歴

改訂履歴
改訂 0.0-14Thu Nov 15 2018Lenka Špačková
非推奨の機能および既知の問題に若干の更新
改訂 0.0-13Tue Nov 13 2018Lenka Špačková
既知の問題の追加 (サーバーおよびサービス)
改訂 0.0-12Mon Nov 12 2018Lenka Špačková
既知の問題の追加 (セキュリティー)
外部リンクの修正
改訂 0.0-11Fri Nov 09 2018Lenka Špačková
非推奨の機能、コンパイラーおよびツール、デスクトップ、およびその他の項目に若干の更新
改訂 0.0-10Tue Nov 06 2018Lenka Špačková
RHEL の NVMe/FC 制限に関する説明の修正
改訂 0.0-9Mon Nov 05 2018Lenka Špačková
非推奨の機能の更新
eBPF をカーネルの章へ移動
改訂 0.0-8Fri Nov 02 2018Lenka Špačková
NVMe/FC 関連の注記の更新
非推奨の機能の更新
その他のさまざまな追加および更新
改訂 0.0-7Tue Oct 30 2018Lenka Špačková
Red Hat Enterprise Linux 6.8 リリースノートの公開
改訂 0.0-0Wed Aug 22 2018Lenka Špačková
Red Hat Enterprise Linux 7.6 Beta リリースノートの公開

法律上の通知

Copyright © 2018 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.

このページには機械翻訳が使用されている場合があります (詳細はこちら)。