第4章 新機能

本章では、Red Hat Enterprise Linux 7.7 で導入される新機能および主な機能拡張を説明します。

4.1. 認証および相互運用性

SSSD が、AD に保存されている sudo ルールに完全に対応

SSSD (System Security Services Daemon) は、AD (Active Directory) に保存されている sudo ルールに完全に対応します。この機能は、Red Hat Enterprise Linux 7.0 にテクノロジープレビューとして導入されていました。管理者は、AD スキーマを更新して、sudo ルールに対応する必要があります。

(BZ#1664447)

SSSD、AD ドメインのフォールバックとして、[nss] セクションの fallback_homedir の値の使用を廃止

RHEL 7.7 より前のバージョンでは、Active Directory (AD) プロバイダーの SSSD fallback_homedir パラメーターにはデフォルト値がありません。fallback_homedir が設定されていない場合は、SSSD が代わりに /etc/sssd/sssd.conf ファイルの [nss] セクションの同一パラメーターの値を使用していました。セキュリティを向上するため、RHEL 7.7 の SSSD は fallback_homedir のデフォルト値を導入しました。これにより、SSSD は、[nss] セクションで設定した値にフォールバックしなくなりました。AD ドメインにおいて fallback_homedir パラメーターにデフォルト以外の値を使用するには、ドメインのセクションで手動で値を設定する必要があります。

(BZ#1740779)

Directory Server がバージョン 1.3.9.1 にリベース

389-ds-base パッケージがアップストリームバージョン 1.3.9.1 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点の一覧については、1.3.9 Release Notes を更新する前にアップストリームのリリースノートをお読みください。

(BZ#1645359)

Directory Server Auto Membership プラグインが、変更操作で追加的に起動可能に

この更新では、Directory Server の自動メンバーシッププラグインが変更操作を処理するように強化されました。以前では、このプラグインは ADD 操作でしか起動されませんでした。管理者がユーザーエントリーを変更し、その変更により、ユーザーが所属する自動メンバーシップ (Auto Membership) グループが影響を受けると、ユーザーは古いグループから削除されず、新しいグループにのみ追加されていました。今回の更新により追加された機能拡張により、ユーザーは、Directory Server が上記の古いグループからユーザーを削除するように設定できるようになりました。

新しい動作を有効にするには、cn=Auto membership Plugin,cn=plugins,cn=config エントリーの autoMemberProcessbufOps 属性を on に設定します。

(BZ#1438144)

Directory Server のレプリカ合意に、replicabufUpdatereplicaJSON ステータス属性を追加

今回の更新で、replicabufUpdateUpdatebufJSON status 属性を cn=<Replication_agreement_name>,cn=replica,cn=<suffix_DN>,cn=mapping tree,cn=config エントリーに導入しました。replicaLastUpdateStatus 属性に表示されているステータスがはっきりしていませんでした。新しい属性では、明確なステータスメッセージと結果コードを示し、JSON 形式に対応したその他のアプリケーションで解析できます。

(BZ#1561769)

IdM が、CA を CRL 生成マスターにプロモートするユーティリティーを提供

この拡張により、既存の IdM (Identity Management) 認証局 (CA) を CRL (certificate revocation list) 生成マスターにプロモートするか、CA からこの機能を削除します。以前は、手動で IdM CA を CRL 生成マスターとして設定するための手順が必要でしたが、その手順は間違いやすいものでした。今回の拡張で、管理者は、ipa-crlgen-manage enable コマンドおよび ipa-crlgen-manage disable コマンドを使用して、IdM CA で CRL 生成を有効および無効にできるようになりました。

(BZ#1690037)

参照されていない automember ルールを検出して削除するコマンドが IdM に追加

Identity Management (IdM) の automember ルールは、削除されているホストグループまたはグループを参照できます。以前は、ipa automember-rebuild コマンドが突然失敗し、失敗の原因を診断するのが困難でした。この機能により ipa automember-find-orphans が IdM に追加され、参照されていない automember ルールを特定して削除します。

(BZ#1390757)

証明書の SAN 拡張で IdM が IP アドレスに対応

管理者が、Subject Alternative Name (SAN) 拡張で IP アドレスを使用して証明書を発行しないといけない場合があります。今回の更新で、この機能が追加されたため、アドレスが IdM DNS サービスで管理され、サブジェクトホストやサービスプリンシパルに関連付けると、SAN 拡張に IP アドレスを設定できます。

(BZ#1586268)

IdM は、サーバーのオフライン時に期限が切れたシステム証明書の更新に対応

この機能強化により、Identity Management (IdM) がオフラインの場合に、期限が切れたシステムの証明書を更新できます。システムの証明書の期限が切れると、IdM が起動できません。新しい ipa-cert-fixコマンドは、更新プロセスを続行するために手動で日付を戻すという回避策に代わるものです。これにより、上述のシナリオで、ダウンタイムおよびサポートのコストが減ります。

(BZ#1690191)

pki-core がバージョン 10.5.16 にリベース

pki-core パッケージがアップストリームバージョン 10.5.16 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。

(BZ#1633422)

証明書システムが、外部 CA 署名用に SKI 拡張を使用して CSR を作成できるようになる

この機能強化により、証明書システムは、外部認証局 (CA) 署名用の SKI (Subject Key Identifier) 拡張子を持つ証明書署名要求 (CSR) の作成をサポートします。特定の CA は、特定の値で、または CA 公開鍵から派生したこの拡張を必要とします。これにより、管理者は pkispawn ユーティリティに渡される設定ファイルの pki_req_ski パラメーターを使用して、SKI 拡張子を持つ CSR を作成できるようになりました。

(BZ#1491453)

証明書システムのアンインストールでは、すべてのログファイルが削除されなくなる

以前では、証明書システムはサブシステムをアンインストールすると、対応するログがすべて削除されていました。今回の更新で、pkidestroy ユーティリティーはデフォルトではログを削除しなくなりました。サブシステムをアンインストールしたときにログを削除するには、新しい --remove-logs パラメーターを pkidestroy に渡します。さらに今回の更新で、--force パラメーターが pkidestroy に追加されます。以前は、不完全なインストールにより、一部のファイルやディレクトリーが残り、証明書システムインスタンスの完全なアンインストールが行われていませんでした。--force をに渡すと、対応するすべてのサブシステムが削除できなくなります。

(BZ#1372056)

pkispawn ユーティリティーが、CA、KRA、および OCSP のインストール時に NSS データベースで作成した鍵の使用に対応

以前は、証明書システムのインストール時に、pkispawn ユーティリティーが対応しているのは、新しい鍵の作成と、システム証明書の既存の鍵のインポートのみでした。この機能強化により、pkispawn は、認証局 (CA) 、鍵復元機関 (KRA) 、オンライン証明書ステータスプロトコル (OCSP) のインストール時に、管理者が NSS データベースに直接生成するようになりました。

(BZ#1616134)

証明書システムにより、サービスを再インストールする際に、以前のインストールのログが維持されるようになりました。

以前は、既存の Certificate System ログディレクトリー構造のサーバーに Certificate System サブシステムをインストールすると、pkispawn ユーティリティーにより、名前競合エラーが報告されていました。この機能強化により、証明書システムは既存のログディレクトリー構造を再利用して以前のインストールのログを保持します。

(BZ#1644769)

証明書システムが、デフォルトで追加の強力な暗号をサポート

この更新で、FIPS (Federal Information Processing Standard) に順守している以下の追加暗号が、証明書システムでデフォルトで有効になっています。

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_GCM_SHA384

有効な暗号の完全な一覧は、次のコマンドを実行して表示します。

# /usr/lib64/nss/unsupported-tools/listsuites | grep -B1 --no-group-separator "Enabled"

証明書システムを持つ HSM (Hardware Security Module) を使用している場合は、サポートされる暗号に関する HSM ドキュメントを参照してください。

(BZ#1554055)

samba パッケージがバージョン 4.9.1 に

sambaパッケージがアップストリームバージョン 4.9.1 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。以下は、主な変更点です。

  • Clustered Trivial Database (CTDB) 設定が完全に変更になりました。管理者は、Samba 設定と同様の形式で、/etc/ctdb/ctdb.conf ファイルに ctdb サービスおよび対応するユーティリティーを指定する必要があります。詳細は、man ページの ctdb.conf(5) を参照してください。/usr/share/doc/ctdb/examples/config_migrate.sh スクリプトを使用して、現在の設定を移行します。
  • /etc/samba/smb.conf ファイルで、以下のパラメーターのデフォルト値が、以下のように変更になりました。

    • map readonly - no
    • store dos attributes - yes
    • ea support - yes
    • full_audit:success - 未設定
    • full_audit:failure - 未設定
  • Active Directory (AD) で Windows Service Principal Names (SPN) を管理するために net ads setspn コマンドが追加されました。このコマンドは、Windows で、setspn.exe ユーティリティーと同じ基本機能を提供します。たとえば、管理者は、これを使用して、AD コンピューターオブジェクトに保存されている Windows SPN を追加、削除、および一覧表示できます。
  • net ads keytab add コマンドは、Windows SPN にコマンドを渡すサービスクラスを変換して、AD コンピューターオブジェクトに追加しなくなりました。デフォルトでは、このコマンドはキータブファイルを更新するのみです。以前の動作を維持するために、net ads add_update_ads コマンドが新たに追加されました。ただし、管理者は、代わりに新しい net ads setspn add コマンドを使用する必要があります。

smbd デーモン、nmbd デーモン、または winbind デーモンの起動時に、Samba により tdb データベースファイルが自動的に更新されるようになりました。Samba を起動する前にデータベースのバックアップを行うようにしてください。Red Hat では、tdb データベースファイルをダウンロードするサポートは行っていないためご注意ください。

更新する前に、主な変更について、アップストリームのリリースノート (「Samba 4.9.0 Available for Download」) をお読みください。

(BZ#1649434)

4.2. クラスタリング

対応する RHEL HA クラスターの最大サイズが、16 ノードから 32 ノードに増加

このリリースでは、Red Hat は、最大 32 個の完全クラスターノードのクラスターデプロイメントをサポートします。

(BZ#1374857)

フェンシング動作のステータス表示の改善

pcs status コマンドの出力で、失敗した、もしくは保留中のフェンスアクションを表示します。

(BZ#1461964)

4.3. コンパイラーとツール

新しいパッケージ - python3

RHEL 7 では、Python 3.6 インタープリターと、pip ユーティリティーおよび setuptools ユーティリティーを提供する、新しい python3 パッケージが利用できます。以前は、Red Hat Software Collections で、Python 3 バージョンが利用できました。

Python 3 のインストール時、起動時、対話時には、Python のメジャーバージョンを常に指定します。たとえば、Python 3 をインストールする場合のコマンドは、yum install python3 になります。Python 関連のすべてのコマンドでバージョンを指定する必要があります (例: pip3)。

Python 3 は、RHEL 8 におけるデフォルトの Python 実装であるため、Python 2 のコードを Python 3 に移行することが推奨されます。大規模なコードベースを Python 3 に移行する方法は 「The Conservative Python 3 Porting Guide」 を参照してください。

(BZ#1597718)

新しいパッケージ - compat-sap-c++-8

compat-sap-c++-8 パッケージには、compat-sap-c++-8.so という名前の libstdc++ ライブラリーが含まれます。これは、SAP アプリケーションで必要なランタイム互換性ライブラリーです。compat-sap-c++-8 パッケージは GCC 8 に基づいています。

(BZ#1669683)

elfutils パッケージがバージョン 0.176 にリベース

elfutils パッケージが、アップストリームのバージョン 0.176 にアップグレードしました。以下は、主な変更点です。

  • 複数の CVE に関連するさまざまなバグが修正されています。
  • libdw ライブラリーは、dwelf_elf_begin() 関数で拡張されています。これは、圧縮ファイルを扱う elf_begin() のバリアントです。
  • eu-readelf ツールは、--notes オプションまたは -n オプションから、GNU Property ノートおよび GNU Build Attribute ELF ノートを認識して出力します。
  • 新しい --reloc-debug-sections-only オプションが eu-strip ツールに追加され、他のストライプを行わずにデバッグセクション間で簡単な再配置をすべて解決するツールです。この機能は、特定の環境で ET_REL ファイルにのみ関連しています。
  • 新しい関数 dwarf_next_lineslibdw ライブラリーに追加されました。この関数は、CU がない .debug_line データを読み込みます。
  • libdw ライブラリーの dwarf_begin_elf 関数は、.debug_line 関数または .debug_frame 関数のみを含む ELF ファイルを許可するようになりました。

(BZ#1676504)

gcc-libraries がバージョン 8.3.1 にリベース

gcc-libraries パッケージがアップストリームのバージョン 8.3.1 に更新され、バグ修正が数多く追加されました。

(BZ#1551629)

Geolite2 Databases が利用可能に

今回の更新で、GeoIP パッケージが提供する従来の Geolite Databases に加えて、Geolite2 Databases が導入されました。

Geolite2 Databases は、複数のパッケージで提供されます。libmaxminddb パッケージには、ライブラリーと、アドレスの手動検索を可能にする mmdblookup コマンドラインツールが同梱されています。従来の GeoIP パッケージの geoipupdate バイナリーは geoipupdate パッケージで提供されているため、従来のデータベースと新しい Geolite2 データベースの両方をダウンロードできるようになりました。

GeoIP パッケージは、レガシーデータベースとともにアップストリームでサポートされなくなり、RHEL 8 では配布されなくなります。

(BZ#1643472, BZ#1643470, BZ#1643464)

日本の年号 (令和) に対する日付形式の更新

GNU C ライブラリーは、2019 年 5 月 1 日から使用される元号「令和」に合わせて、日本の元号に適切な形式を提供するようになりました。strftime 関数および strptime 関数が使用するデータを含む、API データを処理する時間が更新されます。すべての API では、strftimeが、%EC%EY%Ey などの元号変更指定子のいずれかと一緒に使用され、令和元号が正しく出力されます。

(BZ#1555189)

SystemTap がバージョン 4.0 にリベース

SystemTap インストラクションツールがアップストリームのバージョン 4.0 にアップグレードされました。主な改善点は以下のようになります。

  • (特に文字列と関数に関する) eBPF (extended Berkeley Packet Filter) バックエンドが改良されました。このバックエンドを使用するには、SystemTap を起動する際に --runtime=bpf オプションを追加します。
  • Prometheus モニタリングシステムで使用するエクスポートネットワークサービスが新たに追加されました。
  • システムコールプロービングの実装は、必要に応じてカーネルトレースポイントを使用するように改善されました。

(BZ#1669605)

Valgrind がバージョン 3.14 にリベース

Valgrind パッケージがアップストリームバージョン 3.14 にアップグレードし、以前のバージョンにバグ修正および機能拡張が数多く追加されました。

  • Valgrind が、IBM Z アーキテクチャーの z13 プロセッサーで、整数および文字列の vector 命令を処理するようになりました。
  • アンロードされたコードのデバッグ情報を保持するために、--keep-debuginfo=no|yes オプションが追加されました。これにより、保存したスタックトレースに、より多くのケースでファイルおよびライン情報を含めることができます。詳細情報および既知の制限は、Valgrind ユーザーマニュアルを参照してください。
  • Helgrind ツールは、新しい --delta-stracktrace=yes|no オプションで完全な履歴スタックトレースをデルタとして計算するように設定できるようになりました。その結果、--history-level=full オプションで完全な Helgrind 履歴を維持すると、--delta-stracktrace=yes が追加された際に、最大 25% 高速になります。
  • AMD64 および 64 ビット ARM アーキテクチャー での Memcheck ツールの誤検出率が低下しました。特に、--expensive-definedness-checks=no|auto|yes オプションを使用して、正確性を失わずに高価な定義性チェックの分析を制御できます。

(BZ#1519410)

Performance Co-Pilot がバージョン 4.3.2 にリベース

Performance Co-Pilot (PCP) がアップストリームのバージョン 4.3.2 に更新されました。主な改善点は以下のようになります。

  • pcp-dstat ツールに、履歴分析とコンマ区切り値 (CSV) 形式の出力が追加されました。
  • ログユーティリティーで、メトリックラベルとヘルプテキストレコードを使用できます。
  • pmdaperfevent ツールが、低レベルの同時マルチスレッド (SMT) レベルで正しい CPU 番号を報告するようになりました。
  • pmdapostgresql ツールが Postgres シリーズ 10.x に対応するようになりました。
  • pmdaredis ツールが Redis シリーズ 5.x に対応するようになりました。
  • 動的プロセスフィルタリングと、各プロセスのシステムコール、ucall、および ustat により、pmdabcc ツールが強化されました。
  • pmdammv ツールが、メトリックラベルをエクスポートするようになり、フォーマットのバージョンが 3 に増えました。
  • pmdagfs2 ツールが、追加で glock および glock のホルダーメトリックスをサポートするようになりました。
  • SELinux ポリシーにいくつかの変更が加えられました。
  • pmcd ユーティリティーは、設定を変更せずに、PMDA サスペンドと再開 (フェンシング) に対応するようになりました。
  • PSI (Pressure-stall information) メトリックスが報告されるようになりました。
  • 追加の VDO メトリックスが報告されるようになりました。
  • pcp-atop ツールは、PSI (Pressure Stall Information)、infiniband、perf_event、および NVIDIA GPU の統計を報告するようになりました。
  • pmlogger ツールおよび pmie ツールが、systemd タイマーを cron ジョブの代わりとして使用できるようになりました。

(BZ#1647308, BZ#1641161)

ptp4l が active-backup モードでチームインターフェースに対応

今回の更新で、PTP Boundary/Ordinary Clock (ptp4l) に、active-backup モードのチームインターフェースのサポートが追加されるようになりました。

(BZ#1650672)

linuxptp がバージョン 2.0 にリベース

linuxptp パッケージがアップストリームバージョン 2.0 にアップグレードし、以前のバージョンにバグ修正および機能拡張が数多く追加されました。

主な機能は以下の通りです。

  • ユニキャストメッセージングのサポートが追加
  • telecom の G.8275.1 プロファイルおよび G.8275.2 プロファイルに対するサポートが追加
  • NetSync Monitor (NSM) プロトコルのサポートが追加
  • TC (transparent clock) の実装が追加

(BZ#1623919)

Perl モジュール DateTime::TimeZone が、最新のタイムゾーンの更新を認識

Olson タイムゾーンのデータベースがバージョン 2018i に更新されました。DateTime::TimeZone モジュールを使用する Perl 言語で記述されていたアプリケーションでは、データベースが古くなっているため、バージョン 2017b 以降に仕様が変更になったタイムゾーンを誤って処理していました。

(BZ#1537984)

trace-cmd パッケージが、バージョン 2.7 にアップグレード

更新されたパッケージにより、最新のバグ修正およびアップストリーム機能が提供されたため、Red Hat Enterprise Linux ユーザーが、最新の trace-cmd コマンドを使用できるようになりました。

(BZ#1655111)

vim がバージョン 7.4.629 にリベース

RHEL 6 に同梱されていた vim パッケージが、アップストリームバージョン 7.4.629 にアップグレードされました。このバージョンに対するバグ修正および機能拡張が数多く追加されました。

主な機能更新には、breakindent 機能が含まれます。この機能の詳細は、Vim で :help breakindent を参照してください。

(BZ#1563419)

4.4. デスクトップ

cups-filters が更新

バージョン 1.0.35 で配布される cups-filters パッケージが更新され、以下の機能強化を提供するようになりました。

  • バージョン 1.5 以降、CUPS から削除された機能を提供する cups-browsed デーモンは、バージョン 1.13.4 にリベースされました。ここでは、CUPS の一時キューのサポートが除外されています。
  • 高可用性および負荷分散に対応するために、新しいバックエンド implicitclass が導入されました。

(BZ#1485502)

Mutter は、大量にデプロイ可能なホモノミューテーションディスプレイ設定が可能になりました。

Mutter ウィンドウマネジャーでは、システム上の全ユーザーに事前設定されたディスプレイ設定をデプロイすることができるようになりました。その結果、Mutter では、各ユーザーの設定を独自の設定ディレクトリーにコピーする必要がなくなり、システムワイドな設定ファイルを使用できるようになりました。この機能により、Mutter が、均質化されたディスプレイ設定の大量デプロイメントに適するようになります。

シングルユーザーの設定を行うには、~/.config/monitors.xml ファイルを作成して追加します。特にログイン画面は、~/gdm/.config/monitors.xml ファイルを使用します。システム全体の設定には、/etc/xdg/monitors.xml ファイルを使用します。

(BZ#1583825)

4.5. ファイルシステム

quota レポートが改善

非冗長モードの quota ツールは、制限のないファイルシステムと、制限があり未使用のリソースがあるファイルシステムを区別します。以前は、両方のユースケースで none が出力されると明確ではありませんでした。

(BZ#1601109)

4.6. インストールおよび起動

グラフィカルインターフェースプログラムが、SMT が有効かどうかを検出

以前は、RHEL 7 グラフィカルインストールプログラムでは、Simultaneous Multithreading (SMT) がシステムで有効になっているかどうかが検出されませんでした。今回の更新で、インストールプログラムが、SMT がシステムで有効かどうかを検出するようになりました。SMT が有効になると、インストール概要 ウィンドウの下部にある ステータス バーに、警告メッセージが表示されます。

(BZ#1678353)

find-debuginfo.sh スクリプトで新しい --g-libs オプション

今回の更新で、find-debuginfo.sh スクリプトに新しい --g-libs オプションが導入されました。この新しいオプションは、バイナリーおよびライブラリーファイルからデバッグ記号だけを削除する、以前の -g オプションの代替となります。新しい --g-libs オプションは、-g と同じように動作しますが、ライブラリーファイル以外には機能しません。バイナリーファイルは完全に削除されています。

(BZ#1663264)

Image Builder がバージョン 19.7.33 にリベースになり完全サポート

RHEL 7 Extras チャンネルの lorax-composer パッケージが提供する Image Builder は、バージョン 19.7.33 にアップグレードされています。

このバージョンにおける主な変更には、以下のものがあります。

  • テクノロジープレビューとして利用できた Image Builder が、完全にサポートされるようになりました。
  • クラウドイメージは、Amazon Web Services、VMware vSphere、および OpenStack に構築できます。
  • Red Hat Content Delivery Network (CDN) リポジトリーのミラーが必要ではなくなりました。
  • これにより、ホスト名を設定して、ユーザーを作成できます。
  • nosmt=force で SMT (Simultaneous Multi-Threading) を無効にするなど、ブートローダーパラメーターを設定できます。コマンドラインの composer-cli ツールから設定できます。
  • Web コンソール UI が外部リポジトリー (「ソース」) を編集できるようになりました。
  • Image Builder が、Enforcing モードで SElinux を実行するようになりました。

Image Builder 機能にアクセスするには、composer-cli ユーティリティーのコマンドラインインターフェース、または cockpit-composer パッケージの RHEL 7 Web コンソールのグラフィカルユーザーインターフェースを使用します。

(BZ#1713880BZ#1656105、BZ#1654795、BZ#1689314BZ#1688335)

4.7. カーネル

カーネルのライブパッチが利用可能に

カーネルに対するライブパッチ (kpatch) では、プロセスの再起動を必要とせずに実行中のカーネルにパッチを当てるメカニズムを利用できます。ライブカーネルパッチは、Extended Update Support (EUS) ポリシーの RHEL のマイナーリリースストリームに対して提供され、重大および重要な CVE を修復します。

RHEL 7.7 バージョンのカーネル用の kpatch ストリームのサブスクリプション登録を行うには、RHEA-2019:2011 アドバイザリーによる kpatch-patch-3_10_0-1062 パッケージをインストールします。

詳細は、カーネル管理ガイドの「Applying patches with kernel live patching」を参照してください。

(BZ#1728504)

すべてのアーキテクチャーで IMA 機能および EVM 機能に対応

利用可能なすべてのアーキテクチャーで、Integrity Measurement Architecture (IMA) および Extended Verification Module (EVM) が完全にサポートされるようになりました。RHEL 7.6 で対応していたアーキテクチャーは、AMD64 および Intel 64 のみとなります。

IMA および EVM は、拡張属性に割り当てるラベルを使用して、ランタイム時にファイルの統合性を確認します。IMA および EVM を使用して、ファイルを誤って、または意図的に変更したかどうかを監視できます。

ima-evm-utils パッケージは、ユーザーアプリケーションと、カーネル機能との間のインターフェースにユーザー空間ユーティリティーを提供します。

(BZ#1636601)

RHEL 7.7 の新規インストールで、Spectre V2 の軽減策のデフォルトが、IBRS から Retpoline へ変更

RHEL 7.7 の新規インストールで、第 6 世代 Intel Core プロセッサーと、その類似の派生製品 [1] が搭載されているシステムにおける Spectre V2 脆弱性 (CVE-2017-5715) のデフォルトの軽減策は、Indirect Branch Restricted Speculation (IBRS) から Retpoline へ変更しました。Red Hat は、Linux コミュニティーで使用されているデフォルトに合わせて、失われたパフォーマンスを回復するようにとの Intel 社からのアドバイスを受け、この変更を実装しました。ただし、状況によっては、Retpoline を使用しても Spectre V2 を完全に軽減できない場合があります。Intel の Retpoline ドキュメント [2] は、露出の例を示しています。この攻撃の危険の程度は、このドキュメントでは、「低」と示されています。

RHEL 7.6 以前のインストールでは、IBRS がデフォルトの移行でした。RHEL 7.7 以降のバージョンでは、カーネルコマンドラインに spectre_v2=retpoline が追加されました。RHEL 7 の以前のバージョンから、RHEL 7.7 へのアップグレードについては、変更がありません。

spectre_v2 の軽減策は選択できます。Retpoline を選択する場合は、カーネルコマンドラインに "spectre_v2=retpoline" フラグを追加するか、ランタイム時に echo 1 > /sys/kernel/debug/x86/ibrs_enabled コマンドを実行します。

IBRS を選択する場合は、カーネルコマンドラインから spectre_v2=retpoline フラグを削除するか、ランタイム時に echo 1 > /sys/kernel/debug/x86/ibrs_enabled コマンドを実行します。

1 つ以上のカーネルモジュールが Retpoline サポートで構築されていない場合、/sys/devices/system/cpu/vulnerabilities/spectre_v2 ファイルは脆弱性を示し、/var/log/messages ファイルでその脆弱性が発生しているモジュールを特定します。詳細は「How to determine which modules are responsible for spectre_v2 returning "Vulnerable: Retpoline with unsafe module(s)"?」を参照してください。

[1] 「第 6 世代 Intel Core プロセッサーと、その類似の派生製品」は、Intel 社の Retpoline ドキュメントで「Skylake-generation」と呼ばれているものです。

[2] Retpoline: A Branch Target Injection Mitigation - White Paper

(BZ#1653428, BZ#1659626)

PMTU 検出およびルートのリダイレクトが VXLAN トンネルおよび GENEVE トンネルで対応

以前は、Red Hat Enterprise Linux (RHEL) のカーネルは、Virtual Extensible LAN (VXLAN) トンネルおよび Generic Network Virtualization Encapsulation (GENEVE) トンネルの Internet Control Message Protocol (ICMP) メッセージおよび ICMPv6 メッセージを処理しませんでした。その結果、VXLAN トンネルおよび GENEVE トンネルでは、Path MTU (PMTU) 検出と、ルートのリダイレクトに対応していませんでした。この更新により、カーネルが、ICMP のエラーメッセージ「Destination Unreachable」および「Redirect Message」と、ICMPv6 のエラーメッセージ「Packet Too Big」および「Destination Unreachable」を処理するようになりました。PMTU を調整し、転送情報を修正することで処理します。この結果、VXLAN トンネルおよび GENEVE トンネルを使用した PMTU 検出およびルートのリダイレクトに対応するようになりました。

(BZ#1511372)

IBM POWER でハードウェアトランザクションメモリーを無効にする新しいカーネルコマンドラインオプション

RHEL 7.7 では、カーネルコマンドラインオプション ppc_tm=off が導入されました。システムの起動時にユーザーが ppc_tm=off を渡すと、カーネルは IBM POWER システムのハードウェアトランザクションメモリーを無効にし、アプリケーションがそのメモリーを使用できなくなります。以前では、RHEL 7 カーネルは、ハードウェアおよびファームウェアでサポートされていれば、IBM POWER システムのハードウェアトランザクションメモリー機能を無条件でアプリケーションに利用できるようにしていました。

(BZ#1694778)

Intel® Omni-Path Architecture (OPA) ホストソフトウェアのサポート

Red Hat Enterprise Linux 7.7 では、Intel® Omni-Path Architecture (OPA) ホストソフトウェアが完全にサポートされています。Intel OPA を使用すると、Host Fabric Interface (HFI) ハードウェアに対して、クラスター環境内のコンピュートノードと I/O ノード間の高パフォーマンスデータ転送 (高帯域幅、高メッセージレート、低レイテンシー) 向けの初期化および設定を実行できます

Intel Omni-Path Architecture ドキュメントのインストール方法は、https://www.intel.com/content/dam/support/us/en/documents/network-and-i-o/fabric-products/Intel_OP_Software_RHEL_7_7_RN_K65224.pdfを参照してください。

(BZ#1739072)

4.8. リアルタイムカーネル

kernel-rt ソースツリーが、最新の RHEL 7 ツリーに一致

kernel-rt ソースが最新の Red Hat Enterprise Linux カーネルソースツリーをベースとするようにアップグレードされ、バグ修正および拡張機能が数多く追加されました。

(BZ#1642619)

RHEL 7 の kernel-rt タイマーホイールが、非カスケードのタイマーホイールに更新

現在のタイマーホイールが、タイマーのサブシステムが改善され、多くの操作上のオーバーヘッドを削減する非カスケードのタイマーホイールに切り替えられました。非カスケードのタイマーホイールのバックポートを使用すると、kernel-rt は、今後の改善のバックポートを可能にする点で、アップストリームのカーネルに非常に似ています。

(BZ#1593361)

4.9. ネットワーク

rpz-drop が、到達できないドメインを BIND が繰り返し解決しないようにする

RHEL 7.7 で配布されている Berkeley Internet Name Domain (BIND) バージョンでは rpz-drop ポリシーが導入されます。これにより DNS アンプ攻撃が軽減されます。以前は、攻撃者が、解決できないドメインにクエリーを多数生成すると、BIND は、常にそのようなクエリーを解決しようとし、CPU の負荷がかなり高くなります。rpz-drop を使用すると、ターゲットドメインが到達できない場合に BIND がクエリーを処理しなくなります。この動作は、CPU 量を大幅に節約します。

(BZ#1325789)

bind がバージョン 9.11 にリベース

bind パッケージがアップストリームバージョン 9.11 にアップグレードし、以前のバージョンにバグ修正および機能拡張が数多く追加されました。

新機能:

  • セカンダリーサーバー Catalog Zones をプロビジョニングする新しい方法が追加されました。
  • Domain Name System Cookies は、named サービスおよび dig ユーティリティーにより送信されるようになりました。
  • Response Rate Limiting 機能は、DNS アンプ攻撃の軽減を支援できます。
  • RPZ の (Response-Policy Zone) のパフォーマンスが改善しました。
  • map と呼ばれる新しいゾーンファイルが追加されています。この形式で保存されるゾーンデータはメモリーに直接マッピングされます。これにより、ゾーンのロードがかなり速くなります。
  • DNS クエリーの送信および結果の検証を行うために、delv (ドメインエンティティーの検索と検証) という新しいツールが追加されました。このツールは、named デーモンと同じ内部リゾルバーおよび検証論理を使用します。
  • 新しい mdig コマンドが利用できるようになりました。このコマンドは、dig コマンドの一種で、クエリーを 1 つ送り、次のクエリーを送る前に応答を待つ代わりに、パイプラインで複数のクエリーを送って応答を待ちます。
  • 再帰リゾルバーのパフォーマンスを改善する新しい prefetch オプションが追加されました。
  • ビュー間でゾーンデータを共有できる in-view ゾーンオプションが追加されました。このオプションを追加すると、複数のビューが、メモリーに複数のコピーを保存せずに、同じゾーンを命令的に保存できます。
  • ゾーンに最大の TTL を強制する max-zone-ttl オプションが追加されました。高い TTL を含むゾーンが読み込まれると、読み込みに失敗します。より高い TTL を持つ動的 DNS (DDNS) の更新は可能ですが、TTL は切り捨てられます。
  • 新しいクォータは、サービス拒否攻撃が発生している権威サーバーに、再帰リゾルバーにより送信されたクエリーを制限するために追加されました。
  • nslookup ユーティリティーは、デフォルトで IPv6 アドレスと IPv4 アドレスの両方を検索するようになりました。
  • named サービスは、起動する前に、その他のネームサーバープロセスが実行しているかどうかを確認します。
  • 署名付きゾーンを読み込むと、named が、Resource Record Signature (RSIG) の開始時間が将来時にあるかどうかを確認し、存在する場合はすぐに RRSIG を再生成するようになりました。
  • ゾーン転送は、ネットワーク使用量を低減するメッセージ圧縮を改善するために、より小さいサイズのメッセージを使用するようになりました。

機能変更:

  • 静的チャンネルに対するバージョン 3 XML スキーマは、高速解析のための新しい統計および平坦化した XML ツリーが HTTP インターフェースにより提供されます。古いバージョンの 2 XML スキーマは引き続きデフォルトの形式になります。

(BZ#1640561, BZ#1578128)

ipset がバージョン 7.1 にリベース

ipset パッケージがアップストリームバージョン 7.1 にアップグレードし、以前のバージョンにバグ修正および機能拡張が数多く追加されました。

  • ipset プロトコルのバージョン 7 では、IPSET_CMD_GET_BYNAME および IPSET_CMD_GET_BYINDEX オペレーションが導入されました。また、ユーザー領域のコンポーネントが、カーネルコンポーネントがサポートする正しい互換性レベルを検出できるようになりました。
  • メモリーリークや、解放済みメモリー領域を使用するバグなど、非常に多くのバグが修正されました。

(BZ#1649080)

NetworkManager が、ブリッジインターフェースの VLAN フィルタリングに対応

この機能を使用して、管理者は、対応する NetworkManager 接続プロファイルで、ブリッジインターフェースに仮想 LAN (VLAN) フィルタリングを設定できます。これにより、管理者がブリッジポートで直接 VLAN を定義できます。

(BZ#1652910)

NetworkManager は、ポリシールーティングルールの設定に対応

以前は、ユーザーが、NetworkManager 以外で (たとえば、NetworkManager-dispatcher-routing-rules パッケージが提供するディスパッチャースクリプトを使用して) ポリシールーティングルールを設定する必要がありました。今回の更新で、ユーザーが接続プロファイルにルールを設定できるようになりました。その結果、NetworkManager は、プロファイルが有効になった場合はルールを追加し、プロファイルが無効になった場合はルールを無効にします。

(BZ#1652653)

4.10. セキュリティー

NSS が、RSASSA-PSS に制限されている鍵をサポート

Network Security Services (NSS) ライブラリーは、付録「Probabilistic Signature Scheme (RSASSA-PSS)」で、Rivest – Shamir-Adleman Signature Scheme に制限されている鍵に対応するようになりました。従来の署名スキームである Public Key Cryptography Standard #1 (PKCS#1) v1.5 では、データや鍵の暗号化のために鍵が再利用されるようになりました。これにより、これらの鍵は、Bleichenbacher による署名偽造攻撃に対して脆弱になります。RSASSA-PSS アルゴリズムに嗅ぎを制限することで、暗号解読を利用する攻撃に対して弾力性をつけることができます。

今回の更新で、NSS は RSASSA-PSS アルゴリズムに制限されている鍵のみに対応するように設定できます。これにより、TLS 1.2 および 1.3 のサーバー認証とクライアント認証の両方で、X.509 証明書に含まれるこのような鍵を使用できるようになります。

(BZ#1431241)

NSS が、PKCS#1 v1.5 DigestInfo に正しく含まれている場合にのみ、NULL オブジェクトを使用した署名を受け入れるようになりました。

PKCS#1 v1.5 対応の署名の最初の仕様は、異なる 2 つの方法で解釈できるテキストを使用していました。署名者が暗号化したパラメーターのエンコードには、NULL ASN.1 オブジェクトのエンコードを含めるか、これを省略できます。この規格の後の改訂では、NULL オブジェクトエンコードを明示的に含めることを必須としました。

以前のバージョンの Network Security Service (NSS) は、いずれのエンコードも許可しつつ署名の検証を試行していました。このバージョンでは、PKSC#1 v1.5 署名の DigestInfo 構造に NULL オブジェクトが正しく含まれている場合にのみ、NSS が署名を受け付けます。

この変更は、PKCS#1 v1.5 に準拠していない署名を引き続き作成する実装との相互運用性に影響します。

(BZ#1552854)

OpenSC が HID crescendo 144K スマートカードに対応

この機能強化により、OpenSC は HID Crescendo 144K スマートカードに対応します。これらのトークンは、Common Access Card (CAC) 仕様と完全に互換性があるわけではありません。また、このトークンは、政府が発行する CAC トークンよりも、この仕様のより高度な部分を使用します。OpenSC ドライバーは、これらのトークンおよび CAC 仕様の特殊なケースを管理して、HID Crescendo 144K スマートカードをサポートするために改善されました。

(BZ#1612372)

FIPS モードの OpenSSH で AES-GCM 暗号化が有効

以前は、TLS では FIPS モードでのみ AES-GCM 暗号化が許可されました。現在のバージョンではこの暗号化を許可し、OpenSSH で認証できる NIST で明確にすることもできます。

これにより、FIPS モードで実行中の OpenSSH で、AES-GCM 暗号化が可能になります。

(BZ#1600869)

SCAP Security Guide が Universal Base Image に対応

SCAP Security Guide セキュリティーポリシーは、Universal Base Image (UBI) コンテナーおよび UBI イメージ (ubi-minimal イメージ) に対応するように強化されました。これにより、atomic scan コマンドを使用して UBI コンテナーおよびイメージの設定コンプライアンスのスキャンを有効にします。UBI コンテナーおよびイメージは、SCAP Security Guide に同梱されているプロファイルに対してスキャンされます。UBI 設定の保護に関連するルールだけが評価されます。これにより、誤検出が回避され、関連する結果が生成されます。UBI イメージおよびコンテナーに適用できないルールは自動的にスキップされます。

(BZ#1695213)

scap-security-guide がバージョン 0.1.43 にリベース

scap-security-guide パッケージがアップストリームのバージョン 0.1.43 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更は以下の通りです。

  • 最小サポートの Ansible バージョンが 2.5 へ変更
  • RHEL7 の新規プロファイル - VPP - Red Hat Enterprise Linux Hypervisor (RHELH) の Protection Profile for Virtualization v. 1.0

(BZ#1684545)

tangd_port_t が、Tang のデフォルトポートの変更を許可

今回の更新で、SELinux の Enforcing モードで制限したように tangd サービスの実行を許可する SELinux のタイプ tangd_port_t が導入されました。この変更により、Tang サーバーが、ユーザー定義ポートでリッスンするように設定する方法が簡単になり、Enforcing モードの SELinux が提供するセキュリティーレベルを維持します。

(BZ#1650909)

新しい SELinux のタイプ - boltd_t

新しい SELinux のタイプ boltd_t は、Thunderbolt 3 デバイスを管理するシステムデーモン boltd を制限します。その結果、boltd は現在、SELinux 強制モードの制限付きサービスとして実行されます。

(BZ#1589086)

新しい SELinux ポリシークラス - bpf

新しい SELinux ポリシークラス bpf が導入されました。bpf クラスを使用すると、SElinux を通した BPF (Berkeley Packet Filter) フローを制御できます。Extended Berkeley Packet Filter (eBPF) プログラムと、SELinux が制御するマップの検査と簡単な操作が可能になります。

(BZ#1626115)

shadow-utils がバージョン 4.6 にリベース

shadow-utils パッケージがアップストリームのバージョン 4.6 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は、UID および GID の名前空間マッピングを操作する newuidmap コマンドおよび newgidmap コマンドです。

(BZ#1498628)

4.11. サーバーとサービス

chrony がバージョン 3.4 にリベース

chrony パッケージがアップストリームバージョン 3.4 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更は以下の通りです。

  • ハードウェアタイムスタンプのサポートが改善しました。
  • サポートされるポーリング間隔の範囲が広がりました。
  • burst オプションおよび filter オプションが NTP ソースに追加されました。
  • chronyd -q コマンドがシステムサービスを破損しないように、pid ファイルが修正されました。
  • NTPv1 クライアントとの互換性が修正されました。

(BZ#1636117)

GNU が ISO-8859-15 エンコードに対応

今回の更新で、ISO-8859-15 エンコードのサポートが GNU enscript プログラムに追加されました。

(BZ#1573876)

ghostscript がバージョン 9.25 にリベース

ghostscript パッケージがアップストリームのバージョン 9.25 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。

(BZ#1636115)

libssh2 パッケージがバージョン 1.8.0 にリベース

今回の更新で、libssh2 パッケージがバージョン 1.8.0 にリベース

このバージョンは以下が含まれます。

  • HMAC-SHA-256 および HMAC-SHA-512 へのサポートが追加されている
  • diffie-hellman-group-exchange-sha256 鍵交換のサポートが追加されている
  • コード内の小さなバグが多数修正されている

(BZ#1592784)

ReaR 更新

ReaR がより新しいバージョンに更新されました。以前のバージョンの主なバグ修正と強化は以下の通りです。

  • システムが提供する共有ライブラリーは、バックアップメカニズムにより同じ名前のライブラリーがさらに必要になった場合に、ReaR レスキューシステムに正しく追加されるようになりました。NetBackup バイナリーの検証は、正しいライブラリーを使用して行われるため、レスキューイメージの作成時の検証が失敗しなくなります。その結果、ReaR とのバックアップメカニズムとして NetBackup を使用できるようになりました。これは、NetBackup 8.0.0 より前のバージョンの NetBackup にのみ適用されることに注意してください。現時点では、その他の解決できない問題により、NetBackup 8.0.0 およびそれ以降のバージョンは使用できません。
  • マルチパスのデバイスが多数ある場合にレスキューイメージを作成すると、処理速度が速くなります。以下の方法でデバイスのスキャンが改善されました。

    • スキャンではキャッシュを使用して、マルチパスデバイスのクエリーを複数回行わないようにします。
    • スキャンでは、device-mapper 固有の情報について、device-mapper デバイスのみをクエリーします。
    • スキャンでは、ファイバーチャネルデバイスについての情報の収集を回避します。
  • 複雑なネットワーク設定に影響を及ぼす ReaR のバグがいくつか修正されました。

    • チーミング時、または SIMPLIFY_BONDING オプションによるボンディングが LACP とともに使用される場合、リンクアグリゲーション制御プロトコル (LACP) 設定がレスキューシステムに正しく復元されるようになりました。
    • ネットワークインターフェースの名前が ethX などの標準名からカスタム名に変わった場合でも、レスキューシステムのインターフェースの設定が ReaR により正しく復元されるようになりました。
    • ボンディングまたはチーミングが使用される場合に、ネットワークインターフェースの正しい MAC アドレスを記録できるように ReaR が修正されました。
  • レスキューイメージの保存時のエラーを適切に報告するように、ReaR が修正されました。以前では、このようなエラーにより、使用できないレスキューイメージが作成されていました。修正の結果、ReaR がこのようなケースで失敗するようになりました。これにより、問題を正しく調べることができます。
  • 論理セクターサイズが 512 バイトでないディスクのディスクレイアウトの計算が修正されました。
  • これで、複数の起動可能なディスクを使用する IBM Power Systems の復元中に、ReaR によりブートリストが適切に設定されるようになりました。
  • TMPDIR 環境変数を使用して代替の一時ディレクトリーを指定すると、バックアップから一時ディレクトリーが正しく除外されるようになりました。
  • ReaR は現在、ISO イメージ生成の genisoimage パッケージではなく xorriso パッケージに依存しています。そのため、4 GB を超えるサイズのファイルでイメージを作成できます。これは特に、組み込みバックアップのあるイメージを作成する際に起こります。

(BZ#1652828, BZ#1652853, BZ#1631183, BZ#1610638, BZ#1426341, BZ#1655956, BZ#1462189, BZ#1700807)

tuned がバージョン 2.11 にリベース

tuned パッケージがアップストリームのバージョン 2.11 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。

  • BLS (boot loader specification) のサポートが追加されました。(BZ#1576435)
  • mssql プロファイルが更新されています。(BZ#1660178)
  • virtual-host が更新されています。(BZ#1569375)
  • CPU 拡張の範囲機能が追加されました。(BZ#1533908)
  • tuned サービスが SIGHUP (hang-up signal) を検出すると、プロファイル設定が自動的に再読み込みするようになります。(BZ#1631744)

変更の完全リストは、アップストリームの git ログ https://github.com/redhat-performance/tuned/commits/v2.11.0 を参照してください。

(BZ#1643654)

新しいパッケージ: xorriso

Xorriso は、ISO 9660 イメージの作成と操作を行い、CD-ROM や DVD-ROM の書き込みを行うためのプログラムです。このプログラムには、genisoimage ユーティリティの代替として推奨されている xorrisofs コマンドが含まれます。この xorrisofs コマンドには、genisoimage と互換性のあるインターフェースがあり、genisoimage が改善されています。たとえば、xorrisofs では、最大ファイルサイズが 4 GB に制限されなくなりました。 Xorriso はバックアップに適しているため、リカバリおよびシステム移行ユーティリティの Relax-and-Recover (ReaR) で使用されています。

(BZ#1638857)

4.12. ストレージ

DIF/DIX (Data Integrity Field/Data Integrity Extension) のサポート

DIF/DIX は、ハードウェアベンダーが認定している設定でサポートされ、RHEL で特定のホストバスアダプター (HBA) およびストレージアレイ設定に完全に対応しています。

DIF/DIX は、以下の設定ではサポートされていません。

  • これは、ブートデバイス上での使用には対応していません。
  • これは、仮想化ゲストではサポートされていません。
  • Red Hat では、DIF/DIX を有効にすると、ASMLib (Automatic Storage Management) ライブラリーを使用できません。

DIF/DIX はストレージデバイスで有効化または無効化され、アプリケーションまで (かつこれらを含む) さまざまなレイヤーを必要とします。ストレージデバイスで DIF をアクティベートする方法はデバイスに依存します。

DIF/DIX 機能の詳細は、「DIF/DIX (別名 PI) はどのような機能ですか? Red Hat のサポート対象ですか?」を参照してください。

(BZ#1649493)

新しい scan_lvs の設定

新しい lvm.conf 構成ファイルの scan_lvs 設定が追加され、デフォルトでは 0 に設定されています。新しいデフォルトの動作では、LV に存在する (可能性のある) PV を LVM が探さないようになりました。つまり、より多くの PV にアクティブな LV をスキャンできません。また、デフォルトの設定では、LVM が LV に PV を作成しないようにします。

LV の上に VM イメージを重ねる方法で、LV に PV を重ねることができます。この場合は、PV にホストがアクセスすることはと安全ではありません。このように安全ではないアクセスを回避するのが、新しいデフォルト動作の主な理由となります。アクティブな LV が多数ある環境では、LVM が行うデバイススキャンの量が大幅に低下します。

この設定を 1 に設定すると、以前の動作を復元できます。

(BZ#1674563)

4.13. システムとサブスクリプション管理

Web コンソールがバージョン 195 にリベース

cockpit パッケージが提供する Web コンソールが、バージョン 195 にアップグレードし、新機能およびバグ修正が数多く追加されました。

RHEL 7 の Base チャンネルで配布される cockpit パッケージには、以下の機能が含まれます。

  • これで、ファイアウォールでサービスのポートを個別に開くことができるようになります。
  • ファイアウォールのページで、ファイアウォールゾーンの追加と削除、特定ゾーンへのサービスの追加ができるようになりました。
  • cockpit は、SMT(Simultaneous Multi-Threading)を無効にすることで、特定のセキュリティー脆弱性の軽減策を有効にするのに役立ちます。

RHEL 7 の Extras チャンネルで配布された cockpit パッケージはバージョン 151.1 に更新されており、以下の追加機能が追加されました。

  • これで、iSCSI ダイレクトターゲットを仮想マシンのストレージプールとして追加できるようになりました。
  • 仮想マシンに関する通知が単純化され、現在は共通のプレゼンテーションを使用します。
  • 暗号化タイプはファイルシステムとは別に選択できます。

今回の更新で、RHEL 7 Web コンソールから Internet Explorer ブラウザーのサポートがなくなりました。Internet Explorer の Web コンソールを開こうとするとエラー画面が表示され、使用でき、推奨されるブラウザーの一覧が代わりに表示されます。

(BZ#1712833)

4.14. 仮想化

virt-v2v が、SUSE Linux の仮想マシンを変換

virt-v2v ユーティリティーを使用して、SUSE Linux Enterprise Server (SLES) および SUSE Linux Enterprise Desktop (SLED) ゲストのオペレーティングシステムを使用する仮想マシンを、非 KVM ハイパーバイザーから KVM へ変換します。

この変換は、SLES または SLED のゲストオペレーティングシステムバージョン 11 の Service Pack 4 以降でのみ対応します。また、グラフィックスにおける変換が適切に動作した後に、X グラフィックスを使用する SLES 11 および SLED 11 の仮想マシンを再調整する必要があります。それを行うには、移行が完了した後にゲストのオペレーティングシステムで sax2 ディストリビューションツールを使用します。

(BZ#1463620)

virt-v2v で vmx 設定ファイルを使用して VMware ゲストを変換

virt-v2v ユーティリティーには、vmx 入力モードが含まれるようになり、ユーザーは VMware vmx 設定ファイルからゲストの仮想マシンを変換できるようになりました。これを行うには、たとえば、NFS を使用してストレージをマウントして、対応する VMware ストレージにアクセスする必要もあります。-it ssh パラメーターを追加して、SSH を使用してストレージにアクセスすることもできます。

(BZ#1441197)

virt-v2v が VMWare ゲストをより迅速かつ確実に変換

virt-v2v ユーティリティーは、VDDK (VMWare Virtual Disk Development Kit) を使用して、VMWare ゲスト仮想マシンを KVM ゲストに変換できるようになりました。これにより、virt-v2v は直接 VMWare ESXi ハイパーバイザーに接続するため、変換の速度と信頼性が向上します。

この変換インポートの方法には、外部の nbdkit ユーティリティーとその VDDK プラグインが必要です。

(BZ#1477912)

virt-v2v が、RHV の UEFI ゲストを変換

virt-v2v ユーティリティーを使用すると、UEFI ファームウェアを使用して Red Hat Virtualization (RHV) で実行する仮想マシンを変換できるようになりました。

(BZ#1509931)

virt-v2v が、VMware ツールをより確実に削除

今回の更新で、virt-v2v ユーティリティーが、virt-v2v が KVM に変換する VMware 仮想マシンから VMware Tools ソフトウェアを自動的に削除するのを試みる可能性が高くなります。特に、以下のシナリオで、virt-v2v は VMWare Tools ツールを削除するようになりました。

  • Windows 仮想マシンを変換する場合
  • Linux 仮想マシンで、tarball から VMMware ツールがインストールされている場合
  • WMware ツールが open-vm-tools としてインストールされた場合

(BZ#1481930)

4.15. Atomic Host とコンテナー

Red Hat Enterprise Linux Atomic Host は、Linux コンテナーの実行のために最適化された安全、軽量で、フットプリントを最小限に抑えたオペレーティングシステムです。最新の新機能、既知のバグ、およびテクノロジープレビューは、Atomic Host およびコンテナーの『Release Notes』を参照してください。

4.16. Red Hat Software Collections

Red Hat Software Collections とは、動的なプログラミング言語、データベースサーバー、関連パッケージを提供する Red Hat のコンテンツセットのことで、AMD64 および Intel 64 アーキテクチャー、64 ビット ARM アーキテクチャー、IBM Z、ならびに IBM POWER (リトルエンディアン) 上の Red Hat Enterprise Linux 7 の全サポートリリースにインストールして使用できます。また、特定のコンポーネントが、AMD64 および Intel 64 アーキテクチャーの Red Hat Enterprise Linux 6 の全サポートリリースに提供されています。

Red Hat Developer Toolset は、Red Hat Enterprise Linux プラットフォームで作業する開発者向けに設計されており、最新版の GNU Compiler Collection、GNU Debugger、その他の各種開発用ツールやデバッグ用ツール、パフォーマンス監視用ツールなども提供しています。Red Hat Developer Toolset は、別の Software Collection として提供されています。

Red Hat Software Collections で配信される動的言語、データベースサーバーなどのツールは、Red Hat Enterprise Linux で提供されるデフォルトのシステムツールに代わるものでも、これらのデフォルトのツールよりも推奨されるツールでもありません。Red Hat Software Collections では、scl ユーティリティーをベースにした別のパッケージメカニズムを使用しており、複数のパッケージセットを並行して提供できます。Red Hat Software Collections を利用すると、Red Hat Enterprise Linux で別のバージョンをオプションで使用できます。scl ユーティリティーを使用すると、いつでも任意のパッケージバージョンを選択して実行できます。

重要

Red Hat Software Collections のライフサイクルおよびサポート期間は、Red Hat Enterprise Linux に比べて短くなります。詳細は「Red Hat Software Collections の製品ライフサイクル」を参照してください。

Red Hat Software Collections のセットに収納されているコンポーネント、システム要件、既知の問題、使用方法、各 Software Collection の詳細などは Red Hat Software Collections のドキュメント を参照してください。

この Software Collection に含まれるコンポーネント、インストール、使用方法、既知の問題などの詳細は、Red Hat Developer Toolset のドキュメント を参照してください。


このページには機械翻訳が使用されている場合があります (詳細はこちら)。