第7章 テクノロジープレビュー

本章では、Red Hat Enterprise Linux 7.7 で利用可能なテクノロジープレビュー機能を説明します。

テクノロジープレビュー機能に対する Red Hat のサポート範囲は、「テクノロジプレビュー機能のサポート範囲」 を参照してください。

7.1. 全般的な更新

systemd-importd 仮想マシンおよびコンテナーイメージのインポートおよびエクスポートのサービス

最新版の systemd バージョンには、以前のビルドでは有効でなかった systemd-importd デーモンが含まれており、これにより machinectl pull-* コマンドが失敗していました。systemd-importd デーモンはテクノロジープレビューとして提供され、不安定とみなされていました。

(BZ#1284974)

7.2. 認証および相互運用性

コンテナー化された Identity Management サーバーがテクノロジープレビューとして利用可能に

rhel7/ipa-server コンテナーイメージがテクノロジープレビューとして利用できます。rhel7/sssd コンテナーイメージは完全にサポートされるようになりました。

詳細は『Using Containerized Identity Management Services』を参照してください。

(BZ#1405325)

非表示のレプリカとして IdM を設定することがテクノロジープレビューとして利用可能に

この拡張により、管理者が Identity Management (IdM) レプリカを非表示レプリカとして設定できるようになりました。非表示レプリカは、すべてのサービスが実行して利用できる IdM サーバーになりますが、SRV レコードが DNS のサービスに存在せず、LDAP サーバーロールが有効ではないため、その他のクライアントやマスターには推奨されません。したがって、クライアントは、サービス検出を使用して、非表示のレプリカを検出できません。

非表示のレプリカは、クライアントを中断できる専用のサービス用に主に設計されています。たとえば、マスターまたはレプリカですべての IdM サービスをシャットダウンするには IdM の完全なバックアップが必要です。非表示のレプリカを使用するクライアントは存在しないため、管理者はクライアントに影響を与えることなく、このホストでサービスを一時的にシャットダウンできます。その他のユースケースには、大量インポートや詳細なクエリーなど、IdM API または LDAP サーバー上の高負荷操作が含まれます。

非表示のレプリカを新たにインストールするには、ipa-replica-install --hidden-replica コマンドを使用します。既存のレプリカのステータスを変更するには、ipa server-state コマンドを使用します。

(BZ#1518939)

DNSSEC が IdM でテクノロジープレビューとして利用可能に

統合 DNS を備える Identity Management (IdM) サーバーで DNSSEC (DNS Security Extension) がサポートされています。DNSSEC とは DNS プロトコルの安全性を強化する DNS に対する機能拡張セットです。IdM サーバーでホストされる DNS ゾーンには DNSSEC を使用した自動署名が可能です。暗号キーは自動的に生成され、ローテートされます。

DNSSEC で DNS ゾーンの安全性を強化する場合は、以下のドキュメントを参照することが推奨されます。

統合 DNS を備えた IdM サーバーは、DNSSEC を使用して、他の DNS サーバーから取得する DNS の答えを認証します。DNS ゾーンが、『Red Hat Enterprise Linux ネットワークガイド』 で説明されている推奨される命名方法に従って設定されていない場合は、その可用性に影響する場合があります。

(BZ#1115294)

Identity Management JSON-RPC API がテクノロジープレビューとして利用可能に

API が Identity Management (IdM) で利用可能になりました。API を表示するために、IdM は API ブラウザーをテクノロジープレビューとして提供しています。

Red Hat Enterprise Linux 7.3 で、IdM API で複数バージョンの API コマンドが有効となるように機能拡張されました。これまでは、機能拡張によるコマンド動作が互換性なく変わる場合がありました。今回の更新で、IdM API を変更しても、ユーザーは既存のツールやスクリプトを引き続き使用できるようになりました。これにより、以下が可能になっています。

  • 管理者は、管理しているクライアント以外のサーバーで、IdM の以前のバージョンもしくは最近のバージョンを使用できます。
  • サーバーで IdM のバージョンを変更しても、開発者は特定バージョンの IdM コールを使用できます。

すべてのケースでサーバーとの通信は可能になります。たとえば、ある機能向けの新オプションが新しいバージョンで導入されていて、通信の一方の側でこれを使用していたとしても、特に問題ありません。

API 使用の詳細は、関連するナレッジベースの記事「Identity Management API を使用して IdM サーバーに接続する (テクノロジープレビュー)」を参照してください。

(BZ#1298286)

AD および LDAP の sudo プロバイダーの使用

AD (Active Directory) プロバイダーは、AD サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.2 以降では、AD sudo プロバイダーと LDAP プロバイダーとの併用はテクノロジープレビューとしての対応になります。AD sudo プロバイダーを有効にするには、sssd.conf ファイルの [domain] セクションに sudo_provider=ad 設定を追加します。

(BZ#1068725)

Custodia シークレットサービスプロバイダーがテクノロジープレビューとして利用可能に

シークレットサービスプロバイダーの Custodia がテクノロジープレビューとして利用可能です。Custodia は鍵やパスワードなどのシークレットに対して保存したり、それらのプロキシーとして機能します。

詳細は、アップストリームドキュメント (http://custodia.readthedocs.io) を参照してください。

Custodia は、Red Hat Enterprise Linux 7.6 以降、非推奨になりました。

(BZ#1403214)

7.3. クラスタリング

テクノロジープレビューとして利用可能な corosync-qdevice のヒューリスティック

ヒューリスティックとは、起動時、クラスターメンバーシップの変更時、corosync-qnetd への接続成功時に、オプションで定期的にローカルで実行するコマンドセットのことです。すべてのコマンドが時間どおりに正常に完了すると (返されるエラーコードが 0 になると) ヒューリスティックは成功となりますが、時間どおりに完了しない場合には失敗します。ヒューリスティックの結果は corosync-qnetd に送信され、定数に達したパーティションがどれかを判断する計算で使用されます。

(BZ#1413573)

新しい fence-agents-heuristics-ping フェンスエージェント

Pacemaker は、テクノロジープレビューとして fence_heuristics_ping エージェントをサポートするようになりました。このエージェントは、実際のフェンシングは行わず、フェンシングレベルの動作を新たな方法で活用する、テスト用のフェンスエージェントのクラスを開くことを目的とします。

ヒューリスティックエージェントが実際のフェンシングを行うフェンスエージェントと同じフェンシングレベルに設定されていて、そのフェンスエージェントよりも順番が先に設定されている場合には、フェンシングを行うエージェントに対して off アクションを発行する前に、ヒューリスティックエージェントに対して発行します。ヒューリスティックエージェントが off アクションでマイナスの結果を出すと、フェンシングレベルは明らかに成功していないため、Pacemaker フェンシングがフェンシングを行うエージェントに対して off アクションを発行する手順は省略されます。ヒューリスティックエージェントはこの動作を使用して、実際にフェンシングを行うエージェントが特定の状況下でノードをフェンシングするのを防ぐことができます。

特に 2 ノードクラスターで、事前にサービスを正しく引き継ぎできないと分かっており、ノードがピアのフェンシングを行っても意味がない場合などに、このエージェントを使用できます。たとえば、ネットワークアップリンクに到達できず、サービスがクライアントに到達されない場合 (ルーターへの ping 送信が検出される可能性がある状況) には、ノードがサービスを引き継いでも意味がありません。

(BZ#1476401)

pcs ツールが Pacemaker でバンドルリソースを管理

Pacemaker が、Red Hat Enterprise Linux 7.4 以降のテクノロジープレビューとして、必要とされるインフラストラクチャーを使用する Docker コンテナーを起動する特別な構文をサポートします。Pacemaker バンドルを作成したら、バンドルがカプセル化する Pacemaker リソースを作成できます。コンテナーの Pacemaker サポートの詳細は『High Availability Add-On リファレンス』を参照してください。

テクノロジープレビューであるこの機能には 1 つの例外があります。RHEL 7.4 以降、Red Hat は、Red Hat Openstack Platform (RHOSP) デプロイメントで Pacemaker バンドルの使用を完全にサポートします。

(BZ#1433016)

新しい LVM および LVM ロックマネージャーリソースエージェント

Red Hat Enterprise Linux 7.6 では、lvmlockd および LVM-activate の 2 つのリソースエージェントがテクノロジープレビューとして新たに導入されました。

LVM-activate エージェントは、以下の複数の選択肢から、クラスター全体の LVM 管理方法を選択します。

  • タグ付け - 既存の lvm リソースエージェントを使用したタグ付けと同じ
  • clvmd - 既存の lvm リソースエージェントを使用した clvmd と同じ
  • システム ID - ボリュームグループのフェイルオーバーに対してシステム ID を使用する新たなオプション (タグ付けの代替手段)
  • lvmlockd - ボリュームグループの共有で lvmlockd および dlm を使用するための新しいオプション (clvmd の代替手段)

lvmlockd を使用するように LVM-activate を設定している場合は、lvmlockd デーモンを起動するのに新たな lvmlockd リソースエージェントを使用します。

lvmlockd および LVM に対応したリソースエージェントの詳細は、両エージェントの PCS ヘルプ画面を参照してください。LVM を設定して lvmlockd で使用する方法は、man ページの lvmlockd(8) を参照してください。

(BZ#1513957)

7.4. デスクトップ

Wayland がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux で、Wayland のディスプレイサーバープロトコルがテクノロジープレビューとして利用できるようになり、GNOME で Wayland のサポートを有効にするのに必要な、分数スケールをサポートする依存関係のパッケージが追加されました。Wayland は、libinput ライブラリーを入力ドライバーとして使用します。

以下の機能は、現在利用できない、または正常に機能しない状態です。

  • 現時点では、複数の GPU サポートが利用できません。
  • Wayland では、NVIDIA バイナリードライバーが動作しません。
  • 処理、解像度、回転、およびレイアウトに対するアプローチが異なるため、xrandr ユーティリティーは Wayland では機能しません。
  • 画面の記録、リモートデスクトップ、およびアクセシビリティーは、Wayland では正常に機能しない場合があります。
  • クリップボードマネージャーは利用できません。
  • Wayland では、現在 GNOME Shell を再起動することができません。
  • Wayland は、X11 アプリケーション (仮想マシンビューアーなど) のキーボードグラブを無視します。

(BZ#1481411)

分数スケールがテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.5 以降の GNOME では、DPI が低 (scale 1) と高 (scale 2) の中間になってしまうモニターの問題に対処するため、分数スケールがテクノロジープレビューとして提供されています。

技術的な制限により、分数スケールは Wayland でのみ利用できます。

(BZ#1481395)

7.5. ファイルシステム

ファイルシステム DAX が、テクノロジープレビューとして ext4 および XFS で利用可能

Red Hat Enterprise Linux 7.3 以降、Direct Access (DAX) は、テクノロジープレビューとして、永続メモリーをそのアドレス領域に直接マッピングする手段を提供します。

DAX を使用するには、永続メモリーがシステムに設定されている必要があります。永続メモリーは通常、1 つまたは複数の NVDIMM (Non-Volatile Dual In-line Memory Module) の形式で提供され、DAX をサポートするファイルシステムは NVDIMM に作成する必要があります。また、ファイルシステムはマウントオプション dax でマウントする必要があります。DAX でマウントしたファイルシステムにファイルを mmap すると、アプリケーションのアドレス空間にストレージが直接マッピングされます。

(BZ#1274459)

pNFS ブロックレイアウトが利用可能に

テクノロジープレビューとして、Red Hat Enterprise Linux クライアントがブロックレイアウト機能を設定して pNFS 共有をマウントできるようになりました。

Red Hat では、ブロックレイアウトと類似し、より使いやすい pNFS SCSI レイアウトの使用が推奨される点に注意してください。

(BZ#1111712)

OverlayFS

OverlayFS とはユニオンファイルシステムのタイプの 1 つで、ファイルシステムに別のファイルシステムを重ねる (オーバーレイする) ことができます。変更は上層側のファイルシステムに記録され、下層側のファイルシステムは未変更のままになります。コンテナーの場合や、ベースイメージが読み取り専用メディア (DVD-ROM など) の場合には、複数のユーザーで 1 つのファイルシステムイメージを共有できます。詳細は Linux カーネルのドキュメント を参照してください。

OverlayFS は、多くの状況で引き続きテクノロジープレビューとして提供されます。このため、OverlayFS を有効にすると、カーネルにより警告のログが記録されます。

Docker で次の制約を付けて使用する場合は、OverlayFS が完全対応となります。

  • OverlayFS は Docker のグラフドライバーとして使用する場合にのみサポートされます。サポートはコンテナー COW コンテンツでの使用に限定され、永続ストレージとしてはサポートされません。永続ストレージは OverlayFS 以外のボリュームに配置している場合に限りサポートの対象となります。使用できるのはデフォルトの Docker 設定のみです。つまり、オーバーレイレベル 1 つ、下層側ディレクトリー 1 つ、同じファイルシステムに配置された上層レベルと下層レベルという構成です。
  • 下層ファイルシステムとして使用がサポートされているのは現在 XFS のみです。
  • Red Hat Enterprise Linux 7.3 以前では、物理マシンで SELinux を有効にして Enforcing モードに設定しておく必要がありますが、コンテナーを分離する場合は、コンテナーで無効にする必要があります。つまり、/etc/sysconfig/docker ファイルに --selinux-enabled を追加しないでください。Red Hat Enterprise Linux 7.4 以降では、OverlayFS は SELinux セキュリティーラベルをサポートしているため、/etc/sysconfig/docker--selinux-enabled を指定すると、コンテナーで SELinux サポートを有効にできます。
  • OverlayFS カーネル ABI とユーザー空間の動作については安定性に欠けるとみなされているため、今後の更新で変更が加えられる可能性があります。
  • コンテナー内で yum および rpm のユーティリティーを正常に機能させるには、yum-plugin-ovl パッケージを使用する必要があります。

OverlayFS は制限付きで POSIX 標準セットを提供しています。OverlayFS で POSIX 標準を導入する場合は、導入する前にアプリケーションを十分にテストしてから導入するようにしてください。

オーバーレイとして使用するように -n ftype=1 オプションを有効にして、XFS ファイルシステムを作成する必要がある点に注意してください。システムのインストール時に作成される rootfs およびファイルシステムには、Anaconda キックスタートに --mkfsoptions=-n ftype=1 パラメーターを設定してください。インストール後に新しいファイルシステムを作成する場合は # mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE コマンドを実行します。既存のファイルシステムがオーバーレイとして使用できるかどうかを判断するには # xfs_info /PATH/TO/DEVICE | grep ftype コマンドを使用して ftype=1 オプションが有効であるかどうかを確認します。

このリリースには、OverlayFS に関連する既存の問題がいくつかあります。詳細は Linux カーネルドキュメントの「Non-standard behavior」を参照してください。

(BZ#1206277)

Btrfs ファイルシステム

B-Tree ファイルシステム (Btrfs) は、Red Hat Enterprise Linux 7 ではテクノロジープレビューとして提供されています。

この機能のアップデートは、Red Hat Enterprise Linux 7.4 で最後となることが予定されています。Btrfs は廃止予定となっており、Red Hat では Btrfs 機能を完全にはサポートせず、将来の Red Hat Enterprise Linux バージョンで削除されます。

(BZ#1477977)

7.6. ハードウェアの有効化

LSI Syncro CS HA-DAS アダプター

Red Hat Enterprise Linux 7.1 には、LSI Syncro CS の HA-DAS (high-availability direct-attached storage) アダプターを有効にするため、megaraid_sas ドライバーにコードが含まれていました。megaraid_sas ドライバーは、これまで有効であったアダプターに対して完全にサポートされますが、Syncro CS に対してはテクノロジープレビューとして提供されます。このアダプターのサポートは、LSI、システムインテグレーター、またはシステムベンダーにより直接提供されます。Red Hat Enterprise Linux 7.2 以上に Syncro CS をデプロイする場合は、Red Hat および LSI へのフィードバックにご協力ください。

(BZ#1062759)

tss2 で IBM Power LE に対して TPM 2.0 が有効に

tss2 パッケージにより、IBM Power LE アーキテクチャー向けに、Trusted Computing Group Software Stack (TSS) 2.0 の IBM 実装がテクノロジープレビューとして追加されます。このパッケージにより、TPM 2.0 デバイスとの対話が可能になります。

(BZ#1384452)

ibmvnic デバイスドライバーがテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.3 以降、IBM POWER アーキテクチャー向け IBM Virtual Network Interface Controller (vNIC) ドライバーである ibmvnic がテクノロジープレビューとして利用できるようになりました。vNIC は、エンタープライズケイパビリティーを提供し、ネットワーク管理を単純化する PowerVM 仮想ネットワークテクノロジーです。これは SR-IOV NIC と組み合わせると、仮想 NIC レベルで帯域幅の制御に関する Qos (Quality of Service) ケイパビリティーを提供する高パフォーマンスの効率的なテクノロジーとして機能します。vNIC は仮想化オーバーヘッドを大幅に削減するため、待ち時間が短縮し、ネットワークの仮想化に必要な CPU およびメモリーを含むサーバーリソースが少なくなります

Red Hat Enterprise Linux 7.6 では、ibmvnic ドライバーがバージョン 1.0 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。

  • エラー ID は Virtual Input-Output (VIOS) サーバーが提供していないため、以前はエラー情報が必要であったコードが削除されました。
  • 原因となった文字列でエラー報告が更新されているため、復旧時、ドライバーは文字列をエラーではなく警告として分類します。
  • ログインの失敗におけるエラー処理が修正されています。
  • LPAR (Logical Partitioning) の移行時のフェイルオーバー後に発生していた障害状態が修正されました。
  • ドライバーは、可能なすべてのログイン戻り値を処理できるようになりました。
  • Transmit and Receive (Tx/Rx) キューを変更している場合に、フェイルオーバー時または LPM (Link Power Management) 時に発生していたドライバークラッシュが修正されました。

(BZ#1519746)

Aero アダプターがテクノロジープレビューとして利用可能に

以下の Aero アダプターがテクノロジープレビューとして利用可能になりました。

  • PCI ID 0x1000:0x00e2 and 0x1000:0x00e6 (mpt3sas ドライバーにより制御)
  • PCI ID 0x1000:Ox10e5 and 0x1000:0x10e6 (megaraid_sas ドライバーにより制御)

(BZ#1660791, BZ#1660289)

ice ドライバーがテクノロジープレビューとして利用可能に

Intel® Ethernet Connection E800 Series Linux Driver (ice.ko.xz) はテクノロジープレビューとして利用できます。

(BZ#1454916)

igc ドライバーがテクノロジープレビューとして利用可能に

Intel® 2.5G Ethernet Linux Driver (igc.ko.xz) はテクノロジープレビューとして利用できます。

(BZ#1454918)

7.7. カーネル

トレースのための eBPF システムコール

Red Hat Enterprise Linux 7.6 で、eBPF (Extended Berkeley Packet Filter) ツールがテクノロジープレビューとして導入されました。このツールは、トレーシングサブシステムに対してのみ有効になります。詳細は Red Hat ナレッジベースの記事「Kernel tracing using eBPF」を参照してください。

(BZ#1559615)

HMM (heterogeneous memory management) 機能がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.3 で、HMM (heterogeneous memory management) 機能がテクノロジープレビューとして導入されました。この機能は、プロセスアドレス空間を独自のメモリー管理ユニット (MMU) にミラーする必要のあるデバイスのヘルパーレイヤーとして、カーネルに追加されています。これにより、CPU 以外のデバイスプロセッサーは、統一システムアドレス空間を使用してシステムメモリーを読み取ることができます。この機能を有効にするには、experimental_hmm=enable をカーネルコマンドラインに追加します。

(BZ#1230959)

kexec がテクノロジープレビューとして利用可能に

kexec システムコールがテクノロジープレビューとして提供されています。このシステムコールを使用すると現在実行中のカーネルから別のカーネルを読み込んだり、起動したりすることが可能で、カーネル内のブートローダーとして機能します。通常のシステム起動中に実行されるハードウェアの初期化が kexec の起動中に行われないため、再起動にかかる時間が大幅に短縮されます。

(BZ#1460849)

kexec fast reboot がテクノロジープレビューとして利用可能

xRed Hat Enterprise Linux 7.5 で導入された kexec fast reboot 機能は、引き続きテクノロジープレビューとして利用できます。kexec fast reboot により、再起動が著しく速くなります。この機能を使用するには、kexec カーネルを手動で読み込んで、オペレーティングシステムを再起動します。

kexec fast reboot をデフォルトの再起動アクションにすることはできません。特例は、Anacondakexec fast reboot を使用することです。この場合も、kexec fast reboot をデフォルトにすることはできませんが、Anaconda と併用すると、anaconda オプションを使用してカーネルを起動してインストールが完了したあと、オペレーティングシステムが自動的に kexec fast reboot を使用します。kexec の再起動をスケジュールするには、カーネルコマンドラインで inst.kexec コマンドを実行するか、キックスタートファイルに reboot --kexec 行を追加します。

(BZ#1464377)

perf cqmresctrl に置き換え

Intel Cache Allocation Technology (CAT) が Red Hat Enterprise Linux 7.4 でテクノロジープレビューとして導入されました。ただし、perf インストラクチャーと Cache Quality of Service Monitoring (CQM) ハードウェアサポートの不整合により、perf cqm ツールが正常に機能せず、perf cqm の使用時にさまざまな問題が生じていました。

主な問題は以下のとおりです。

  • perf cqm が、resctrl を使用して割り当てたタスクのグループをサポートしない
  • リサイクルに関するさまざまな問題により、perf cqm が不規則で不正確なデータを提供する
  • 異なるタイプのイベント (例: タスク、全システム、cgroup イベント) を同時に実行する場合、perf cqm のサポートが不十分である
  • cgroup イベントに対して perf cqm は部分的なサポートしか提供しない
  • cgroup イベントが階層構造を持つ場合、または cgroup 内のタスクと cgroup を同時に監視する場合、cgroup イベントに対する部分的なサポートが機能しない
  • ライフタイムの監視タスクにより perf オーバーヘッドが発生する
  • perf cqm がソケット全体のキャッシュ占有の集計値またはメモリー帯域幅を報告するが、多くのクラウドおよび VMM ベースのユースケースでは、ソケットごとの使用状況が求められる

Red Hat Enterprise Linux 7.5 で、perf cqm が、resctrl ファイルシステムをベースにしたアプローチで置き換えられ、上述の問題にすべて対応しました。

(BZ#1457533)

TC HW オフロード処理がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.6 以降、トラフィック制御 (TC) ハードウェアのオフロードがテクノロジープレビューとして利用できます。

ハードウェアのオフロード処理は、シェーピング、スケジューリング、ポリシング、破棄など、選択したネットワークトラフィック処理の機能が、ソフトウェア処理を待たずにハードウェアで直接実行されるようになり、パフォーマンスが改善しました。

(BZ#1503123)

AMD xgbe ネットワークドライバーがテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.6 以降、AMD xgbe ネットワークドライバーがテクノロジープレビューとして利用できます。

(BZ#1589397)

Secure Memory Encryption はテクノロジープレビューとしてのみ利用可能に

現在、Secure Memory Encryption (SME) は、kdump 機能と互換性がありません。これは、kdump カーネルが SME で暗号化したメモリーの暗号化を解除するためのメモリーキーが欠如しているためです。Red Hat は、SME を有効にすると、テスト中のサーバーが一部の機能を実行できない可能性があるため、この機能は実稼働環境での使用には適していないことを把握しています。このため、SME はサポートレベルを「サポート対象」から「テクノロジープレビュー」に変更しています。Red Hat またはシステムベンダーへのプリプロダクションのテスト中に見つかった問題を報告することが推奨されます。

(BZ#1726642)

criu がバージョン 3.5 にリベース

Red Hat Enterprise Linux 7.2 では、criu ツールがテクノロジープレビューとして導入されました。このツールは、実行中のアプリケーションをフリーズさせ、ファイルの集合としてこれを保存する Checkpoint/Restore in User-space (CRIU) を実装します。アプリケーションは、後にフリーズ状態から復元できます。

criu ツールは Protocol Buffers に依存します。これは、構造化データをシリアル化するための、言語とプラットフォームに中立的な拡張性のあるメカニズムです。依存パッケージを提供する protobuf パッケージと protobuf-c パッケージも、Red Hat Enterprise Linux 7.2 にテクノロジープレビューとして導入されています。

Red Hat Enterprise Linux 7.7 では、criu パッケージが最新のアップストリームバージョンにアップグレードされます。これにより、Podman がコンテナーのチェックポイントおよび復元を行うことをサポートします。新たに追加された機能は、SELinux サポートがなければ動作しません。

(BZ#1400230)

7.8. ネットワーク

Cisco usNIC ドライバー

Cisco Unified Communication Manager (UCM) サーバーには Cisco 専用の User Space Network Interface Controller (usNIC) を提供するオプション機能があります。これを使用すると、ユーザー領域のアプリケーションに対して Remote Direct Memory Access (RDMA) のような動作を実行できるようになります。テクノロジープレビューとして利用可能な libusnic_verbs ドライバーを使用すると、Verbs API ベースの標準 InfiniBand RDMA プログラミングで usNIC デバイスが利用可能になります。

(BZ#916384)

Cisco VIC カーネルドライバー

Cisco VIC Infiniband のカーネルドライバーをテクノロジープレビューとして利用できます。これにより、専用の Cisco アーキテクチャーで、RDMA (Remote Directory Memory Access) のようなセマンティックが使用可能になります。

(BZ#916382)

Trusted Network Connect

Trusted Network Connect はテクノロジープレビューとして利用可能で、TLS、802.1X、IPsec など既存のネットワークアクセス制御 (NAC) ソリューションと併用して、エンドポイントのポスチャー評価を一体化します。つまりエンドポイントのシステムの情報を収集します (オペレーティングシステムを構成している設定、インストールしているパッケージ、そのほか整合性測定と呼ばれているもの)。エンドポイントのネットワークへのアクセスを許可する前に、Trusted Network Connect を使用して、ネットワークアクセスポリシーに対してこれらの測定を検証します。

(BZ#755087)

qlcnic ドライバーの SR-IOV 機能

SR-IOV (Single-Root I/O virtualization) のサポートがテクノロジープレビューとして qlcnic ドライバーに追加されています。この機能のサポートは QLogic から直接提供されます。QLogic および Red Hat へのご意見ご感想をお寄せください。その他の qlcnic ドライバー機能は引き続き完全サポートとなります。

(BZ#1259547)

オフロードサポートが付いた flower 分類子

flower はトラフィック制御 (TC) 分類子で、各種プロトコルのパケットフィールドで広く知られているマッチング設定を可能にします。また、複雑なフィルタリングや分類タスクの u32 分類子に対するルール設定を容易にします。flower は、ハードウェアが対応している場合に、基礎となるハードウェアへの分類およびアクションのルールをオフロードする機能にも対応しています。flower TC 分類子はテクノロジープレビューとして提供されるようになりました。

(BZ#1393375)

7.9. Ansible を使用した Red Hat Enterprise Linux System Roles

Red Hat Enterprise Linux System Roles の postfix ロールがテクノロジープレビュー

Red Hat Enterprise Linux System Roles は、Red Hat Enterprise Linux サブシステム向けの設定インターフェースです。Ansible Roles を使用することでシステム設定が容易になります。このインターフェースにより、複数バージョンの Red Hat Enterprise Linux でシステム設定を管理することや、新しいメジャーリリースを導入することもできます。

Red Hat Enterprise Linux 7.4 以降、Red Hat Enterprise Linux System Roles パッケージは Extras チャンネルから配信されています。Red Hat Enterprise Linux System Roles の詳細は「Red Hat Enterprise Linux (RHEL) System Roles」を参照してください。

Red Hat Enterprise Linux System Roles には、現在以下の 5 つのロールから構成されます。

  • selinux
  • kdump
  • network
  • timesync
  • postfix

postfix ロールは、Red Hat Enterprise Linux 7.4 以降テクノロジープレビューとして利用できます。

残りのロールは、Red Hat Enterprise Linux 7.6 以降で完全にサポートされます。

(BZ#1439896)

7.10. セキュリティー

libreswan で SECCOMP の有効化が可能

テクノロジープレビューとして、SECCOMP (Secure Computing) モードの使用を可能にする seccomp=enabled|tolerant|disabled オプションが ipsec.conf 設定ファイルに追加されました。これにより、Libreswan を実行できるシステムコールをすべてホワイトリストに登録することで、syscall セキュリティーが改善されました。詳細は man ページの ipsec.conf(5) を参照してください。

(BZ#1375750)

pk12util で、RSA-PSS で署名した証明書のインポートが可能に

pk12util ツールは、テクノロジープレビューとして、RSA-PSS アルゴリズムを使用して署名する証明書をインポートするようになりました。

ブラウザーに鍵をインポートする際に、対応する秘密鍵をインポートして、RSA-PSS への署名アルゴリズムを制限する PrivateKeyInfo.privateKeyAlgorithm フィールドがある場合はこれが無視されます。詳細は https://bugzilla.mozilla.org/show_bug.cgi?id=1413596 を参照してください。

(BZ#1431210)

certutil で、RSA-PSS で署名した証明書のサポートが改善

certutil ツールの RSA-PSS アルゴリズムで署名された証明書のサポートが改善されました。主な機能強化および修正は以下のとおりです。

  • --pss オプションのドキュメントが作成されています。
  • 証明書で RSA-PSS の使用が制限された場合に、自己署名で PKCS#1 v1.5 アルゴリズムが使用されなくなりました。
  • subjectPublicKeyInfo フィールドの空の RSA-PSS パラメーターは、証明書の一覧を表示する際に無効と表示されなくなりました。
  • RSA-PSS アルゴリズムで署名された通常の RSA 証明書を作成する --pss-sign オプションが追加されました。

certutil で、RSA-PSS で署名した証明書のサポートがテクノロジープレビューとして利用できます。

(BZ#1425514)

NSS が、証明書の RSA-PSS 署名を確認可能

RHEL 7.5 の nss パッケージバージョン以降、Network Security Services (NSS) ライブラリーが、証明書の RSA-PSS 署名の確認をテクノロジープレビューとして提供します。この更新では、SSL バックエンドとして NSS を使用するクライアントが、RSA-PSS アルゴリズムで署名した証明書のみを提供するサーバーへの TLS 接続が確立できません。

この機能には、以下の制限があります。

  • /etc/pki/nss-legacy/rhel7.config ファイルのアルゴリズムポリシー設定は、RSA-PSS 署名で使用されるハッシュアルゴリズムに適用されます。
  • 証明書チェーン間で RSA-PSS パラメーター制約が無視され、証明書は 1 つだけ考慮されます。

(BZ#1432142)

USBGuard は、画面のロック時に USB デバイスのブロックを有効にする機能をテクノロジープレビューとして提供

USBGuard フレームワークにより、「InsertedDevicePolicy」ランタイムパラメーターの値を設定して、すでに実行中の usbguard-daemon インスタンスが、新たに挿入された USB デバイスをどのように処理できるかを制御できます。この機能はテクノロジープレビューとして提供されており、デフォルトでは、デバイスを認証するかどうかを判断するためのポリシールールが適用されます。

ナレッジベースの記事「Blocking USB devices while the screen is locked」を参照してください。

(BZ#1480100)

7.11. ストレージ

qla2xxx ドライバーを使用する Qlogic アダプターで NVMe/FC がテクノロジープレビューとして利用可能に

qla2xxx ドライバーを使用する Qlogic アダプターで、トランスポートタイプ NVMe/FC (The NVMe over Fibre Channel) がテクノロジープレビューとして利用できます。

Red Hat Enterprise Linux に導入されていた RDMA (Remote Direct Memory Access) プロトコルに加えて、NVMe/FC が、NVMe (Nonvolatile Memory Express) プロトコルのファブリックトランスポートタイプとして追加されるようになりました。

NVMe/FC により、既存のファイバーチャネルインフラストラクチャー上で、より高いパフォーマンスで低いレイテンシーな I/O プロトコルが得られます。このことは、ソリッドステートストレージアレイで特に重要になります。NVMe ストレージのパフォーマンスのメリットを、別のプロトコル (SCSI) にカプセル化するのではなく、ファブリックトランスポートを通じて渡すことができるためです。

Red Hat Enterprise Linux 7.6 以降、NVMe/FC は、lpfc ドライバーを使用する Broadcom Emulex Fibre Channel 32Gbit アダプターで完全にサポートされます。

(BZ#1387768)

SCSI 向けのマルチキュー I/O スケジューリング

Red Hat Enterprise Linux 7 には blk-mq として知られるブロックデバイス用の新しいマルチキュー I/O スケジューリングのメカニズムが含まれています。scsi-mq パッケージを使用すると SCSI (Small Computer System Interface) サブシステムにこの新しいキューメカニズムを利用させることができるようになります。この機能はテクノロジープレビューのため、デフォルトでは有効になっていません。有効にする場合は scsi_mod.use_blk_mq=Y をカーネルコマンドラインに追加します。

blk-mq は、パフォーマンスを改善するために導入されていますが (特に低レイテンシーデバイス向け)、常にパフォーマンスが改善することは保証されていません。特に、CPU が多いシステムで scsi-mq を有効にすると、パフォーマンスが大幅に低下する場合があります。

(BZ#1109348)

libStorageMgmt API の Targetd プラグイン

Red Hat Enterprise Linux 7.1 以降、ストレージアレイから独立した API である libStorageMgmt を使用したストレージアレイの管理が完全サポートされました。提供される API は安定性と整合性を備え、開発者は異なるストレージアレイをプログラムで管理し、ハードウェアアクセラレーション機能を使用できます。また、システム管理者は libStorageMgmt を使用して手動でストレージを設定したり、コマンドラインインターフェースを使用してストレージ管理タスクを自動化したりできます。

Targetd プラグインは完全サポートされず、引き続きテクノロジープレビューとして提供されます。

(BZ#1119909)

qla2xxx ドライバー lpfc ドライバーで SCSI-MQ がテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.4 で更新された qla2xxx ドライバーは、ql2xmqsupport=1 モジュールパラメーターで SCSI-MQ (multiqueue) を使用できます。デフォルトの値は 0 (無効) です。

qla2xxx ドライバーまたは lpfc ドライバーとともに使用する場合、SCSI-MQ 機能はテクノロジープレビューとして提供されます。

SCSI-MQ を使用してファイバーチャネルアダプター上での非同期 IO のパフォーマンステストを実施したところ、特定の条件下ではパフォーマンスが大幅に低下した点に注意してください。

(BZ#1414957)

7.12. システムとサブスクリプション管理

YUM 4 がテクノロジープレビューとして利用可能に

次世代 YUM パッケージマネージャーの YUM バージョン 4 が、Extras チャンネルでテクノロジープレビューとして利用できるようになりました。

YUM 4DNF 技術をベースにしており、RHEL 7 で使用される標準の YUM 3 で以下のような利点を提供します。

  • パフォーマンスの向上
  • モジューラーコンテンツのサポート
  • ツーリングと統合するために適切に設計され、安定した API

YUM 4 をインストールするには、yum install nextgen-yum4 コマンドを実行します。

subscription-manager プラグインが含まれる dnf-plugin-subscription-manager パッケージがインストールされていることを確認します。このプラグインは、Red Hat カスタマーポータルまたは Red Hat Satellite 6 が提供する、保護されているリポジトリーへのアクセス時、または /etc/yum.repos.d/redhat.repo ファイルの自動更新時に必要です。

パッケージを管理するには、yum4 コマンドをおよび特定のオプションを、yum と同じように使用します。

新しい YUM 4 ツールと、YUM 3 との間における相違点の詳細は、「Changes in DNF CLI compared to YUM」 を参照してください。

Extras チャンネルを有効にする方法は、ナレッジベースの記事 How to subscribe to the Extras channel/repo を参照してください。

(BZ#1461652)

7.13. 仮想化

KVM ゲスト用の USB 3.0 サポート

Red Hat Enterprise Linux 7 では、KVM ゲスト向けの USB 3.0 ホストアダプター (xHCI) エミュレーションが引き続きテクノロジープレビューとなります。

(BZ#1103193)

Hyper-V の RHEL 7 ゲスト OS で、一部の Intel ネットワークアダプターが SR-IOV をサポート

テクノロジープレビューとして、Hyper-V ハイパーバイザーで実行している Red Hat Enterprise Linux 7 ゲストオペレーティングシステムが、ixgbevf ドライバーおよび i40evf ドライバーがサポートする Intel ネットワークアダプターに、SR-IOV (Single-root I/O virtualization) 機能を使用できるようになりました。この機能は、以下の条件が満たされた場合に有効になります。

  • ネットワークインターフェースコントローラー (NIC) に対して SR-IOV サポートが有効になっている
  • 仮想 NIC の SR-IOV サポートが有効になっている
  • 仮想スイッチの SR-IOV サポートが有効になっている
  • NIC からの VF (Virtual Function) は、仮想マシンにアタッチされています。

この機能は、現在 Microsoft Windows Server 2019 と 2016 でサポートされています。

(BZ#1348508)

VFIO ドライバーの No-IOMMU モード

今回の更新で、VFIO (Virtual Function I/O) ドライバーの No-IOMMU モードがテクノロジープレビューとして追加されました。No-IOMMU モードは、I/O メモリー管理ユニット (IOMMU) を使用しないで、直接メモリーアクセス (DMA) 対応デバイスへの完全なユーザー空間 I/O (UIO) アクセスを提供します。しかし、このモードはサポートされないだけでなく、IOMMU で提供される I/O 管理機能がないため、安全に使用することができません。

(BZ#1299662)

RHEL 7 ゲストのホストとしての Azure M416v2

テクノロジープレビューとして、Azure M416v2 インスタンスタイプが、RHEL 7.6 以降をゲストのオペレーティングシステムとして使用する仮想マシンのホストとして使用できるようになりました。

(BZ#1661654)

virt-v2v が、Debian ゲストおよび Ubuntu ゲストを変換

テクノロジープレビューとして、virt-v2v ユーティリティーがゲスト仮想マシン Debian および Ubuntu を変換できるようになりました。現時点では、この変換を行うときに以下の問題が発生することに注意してください。

  • virt-v2v が、GRUB2 設定内のデフォルトのカーネルを変更できず、ゲスト上でより適切なバージョンのカーネルが利用できる場合でも、変換中にゲスト内に設定したカーネルを変更できません。
  • Debian または Ubuntu の VMware ゲストを KVM に変換すると、ゲストのネットワークインターフェース名が変更し、手動での設定が必要になる場合があります。

(BZ#1387213)

GPU ベースの仲介デバイスが VNC コンソールをサポート

テクノロジープレビューとして、NVIDIA vGPU テクノロジーなどの GPU ベースの仲介デバイスを使用した Virtual Network Computing (VNC) コンソールが利用できるようになり、仮想マシンのグラフィカル出力のリアルタイムレンダリングにこの仲介デバイスを使用できるようになりました。

(BZ#1475770)

OVMF (Open Virtual Machine Firmware)

Red Hat Enterprise Linux 7 では、OVMF (Open Virtual Machine Firmware) がテクノロジープレビューとして利用できます。OVMF は、AMD64 および Intel 64 ゲストに対する、UEFI のセキュアな起動環境です。

(BZ#653382)