第7章 テクノロジープレビュー

本章では、Red Hat Enterprise Linux 7 で利用可能なテクノロジープレビュー機能を説明します。

テクノロジープレビュー機能に対する Red Hat のサポート範囲の詳細は、「テクノロジプレビュー機能のサポート範囲」 を参照してください。

7.1. 全般的な更新

systemd-importd 仮想マシンおよびコンテナーイメージのインポートおよびエクスポートのサービス

最新版の systemd バージョンには、以前のビルドでは有効でなかった systemd-importd デーモンが含まれており、これにより machinectl pull-* コマンドが失敗していました。systemd-importd デーモンはテクノロジープレビューとして提供され、安定性に欠けると見なされています。

(BZ#1284974)

7.2. 認証および相互運用性

コンテナー化された Identity Management サーバーがテクノロジープレビューとして利用可能に

rhel7/ipa-server コンテナーイメージがテクノロジープレビューとして利用できます。rhel7/sssd コンテナーイメージは完全にサポートされるようになりました。

詳細は『コンテナー Identitty Management サービスの使用』を参照してください。

(BZ#1405325)

DNSSEC が IdM でテクノロジープレビューとして利用可能に

統合 DNS のある Identity Management (IdM) サーバーは、DNS プロトコルのセキュリティーを強化する DNS に対する拡張セットである DNS Security Extensions (DNSSEC) に対応するようになりました。IdM サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。

DNSSEC で DNS ゾーンの安全性を強化する場合は、以下のドキュメントを参照することが推奨されます。

統合 DNS のある IdM サーバーは、DNSSEC を使用して、他の DNS サーバーから取得した DNS 回答を検証することに注意してください。DNS ゾーンが、『Red Hat Enterprise Linux ネットワークガイド』で説明されている推奨される命名方法に従って設定されていない場合は、その可用性に影響する場合があります。

(BZ#1115294)

Identity Management JSON-RPC API がテクノロジープレビューとして利用可能に

Identity Management (IdM) では API が利用できます。API を表示するために、IdM は、テクノロジープレビューとして API ブラウザーも提供します。

RHEL 7.3 では、複数のバージョンの API コマンドを有効にするために、IdM API が拡張されました。以前は、機能拡張により、互換性のない方法でコマンドの動作が変更することがありました。IdM API を変更しても、既存のツールおよびスクリプトを引き続き使用できるようになりました。これにより、以下が可能になります。

  • 管理者は、管理しているクライアント以外のサーバーで、IdM の以前のバージョンもしくは最近のバージョンを使用できます。
  • サーバーで IdM のバージョンを変更しても、開発者は特定バージョンの IdM コールを使用できます。

すべてのケースでサーバーとの通信は可能になります。たとえば、新しいバージョンである機能の新しいオプションが導入されていて、通信の一方の側でこれを使用していたとしても、特に問題はありません。

API 使用の詳細は、関連するナレッジベースアーティクル「Identity Management API を使用して IdM サーバーに接続する (テクノロジープレビュー)」を参照してください。

(BZ#1298286)

非表示のレプリカとして IdM を設定することがテクノロジープレビューとして利用可能に

この機能拡張により、管理者は Identity Management (IdM) レプリカを隠しレプリカとして設定できるようになりました。隠しレプリカは、稼働中および利用できるすべてのサービスを持つ IdM サーバーです。ただし、DNS のサービスに SRV レコードが存在せず、LDAP サーバーロールが有効になっていないため、他のクライアントやマスターには通知されません。そのため、クライアントはサービス検出を使用して隠しレプリカを検出することはできません。

隠しレプリカは主にクライアントを中断できる専用のサービス用に設計されています。たとえば、IdM の完全バックアップは、マスターまたはレプリカ上のすべての IdM サービスをシャットダウンする必要があります。非表示のレプリカを使用するクライアントはないため、管理者はクライアントに影響を与えることなく、このホスト上のサービスを一時的にシャットダウンできます。その他のユースケースには、大量インポートや詳細なクエリーなど、IdM API または LDAP サーバーの高負荷操作が含まれます。

隠しレプリカを新たにインストールするには、ipa-replica-install -- hidden-replica コマンドを使用します。既存のレプリカの状態を変更するには、ipa server-state コマンドを使用します。

(BZ#1518939)

AD および LDAP の sudo プロバイダーの使用

AD (Active Directory) プロバイダーは、AD サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.2 以降では、AD sudo プロバイダーと LDAP プロバイダーとの併用はテクノロジープレビューとしての対応になります。AD sudo プロバイダーを有効にするには、sssd.conf ファイルの [domain] セクションに sudo_provider=ad 設定を追加します。

(BZ#1068725)

Custodia シークレットサービスプロバイダーがテクノロジープレビューとして利用可能に

シークレットサービスプロバイダーの Custodia がテクノロジープレビューとして利用できます。Custodia は鍵やパスワードなどのシークレットのプロキシーとして保存または機能します。

詳細は、アップストリームドキュメント (http://custodia.readthedocs.io) を参照してください。

Custodia は、Red Hat Enterprise Linux 7.6 以降で非推奨になりました。

(BZ#1403214)

7.3. クラスタリング

テクノロジープレビューとして利用可能な corosync-qdevice のヒューリスティック

ヒューリスティックは、起動、クラスターメンバーシップの変更、corosync-qnetd への正常な接続でローカルに実行され、任意で定期的に実行される一連のコマンドです。すべてのコマンドが時間どおりに正常に終了すると (返されるエラーコードがゼロである場合)、ヒューリスティックは渡されますが、それ以外の場合は失敗します。ヒューリスティックの結果は corosync-qnetd に送信され、クォーラムとなるべきパーティションを判断するための計算に使用されます。

(BZ#1413573)

新しい fence-agents-heuristics-ping フェンスエージェント

Pacemaker は、テクノロジープレビューとして fence_heuristics_ping エージェントに対応するようになりました。このエージェントの目的は、実際にはフェンシングを行わず、フェンシングレベルの動作を新しい方法で活用する実験的なフェンスエージェントのクラスを開くことです。

ヒューリスティックエージェントが、実際のフェンシングを行うフェンスエージェントと同じフェンシングレベルで設定されいて、そのエージェントよりも順番が前に設定されているとします。その場合、フェンシグを行うエージェントで off 操作を行う前に、ヒューリスティックエージェントで、この操作を行います。このヒューリスティックエージェントが off アクションに対して失敗する場合、このフェンシングレベルが成功しないのは既に明らかです。そのため、Pacemaker フェンシングは、フェンシングを行うエージェントで off 操作を行うステップをスキップします。ヒューリスティックエージェントはこの動作を利用して、特定の条件下で、実際のフェンシングを行うエージェントがフェンシングできないようにできます。

サービスを適切に引き継ぐことができないことを事前に把握できる場合は、ノードがピアをフェンシングする意味がないのであれば、ユーザーは特に 2 ノードクラスターでこのエージェントを使用できます。たとえば、ネットワークアップリンクに到達してサービスがクライアントに到達できない場合は、ノードがサービスを引き継ぐ意味はありません。これは、ルーターへの ping が検出できる状況が考えられます。

(BZ#1476401)

pcs ツールが Pacemaker でバンドルリソースを管理

Pacemaker が、Red Hat Enterprise Linux 7.4 以降のテクノロジープレビューとして、必要とされるインフラストラクチャーを使用する Docker コンテナーを起動する特別な構文に対応します。Pacemaker バンドルを作成したら、バンドルがカプセル化する Pacemaker リソースを作成できます。コンテナーの Pacemaker サポートの詳細は、『High Availability Add-On Reference』を参照してください。

テクノロジープレビューであるこの機能には 1 つの例外があります。RHEL 7.4 以降、Red Hat は、Red Hat Openstack Platform (RHOSP) デプロイメントで Pacemaker バンドルの使用を完全にサポートします。

(BZ#1433016)

新しい LVM および LVM ロックマネージャーリソースエージェント

Red Hat Enterprise Linux 7.6 では、lvmlockd および LVM-activate の 2 つのリソースエージェントがテクノロジープレビューとして新たに導入されました。

LVM-activate エージェントは、以下の複数の選択肢から、クラスター全体の LVM 管理方法を選択します。

  • タグ付け - 既存の lvm リソースエージェントを使用したタグ付けと同じ
  • clvmd - 既存の lvm リソースエージェントを使用した clvmd と同じ
  • システム ID - ボリュームグループのフェイルオーバーに対してシステム ID を使用する新たなオプション (タグ付けの代替手段)
  • lvmlockd - ボリュームグループの共有で lvmlockd および dlm を使用するための新しいオプション (clvmd の代替手段)

lvmlockd を使用するように LVM-activate を設定している場合は、lvmlockd デーモンを起動するのに新たな lvmlockd リソースエージェントを使用します。

lvmlockd および LVM に対応したリソースエージェントの詳細は、両エージェントの PCS ヘルプ画面を参照してください。LVM を設定して lvmlockd で使用する方法は、man ページの lvmlockd(8) を参照してください。

(BZ#1513957)

7.4. デスクトップ

Wayland がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux で、Wayland のディスプレイサーバープロトコルがテクノロジープレビューとして利用できるようになり、GNOME で Wayland のサポートを有効にするのに必要な分数スケールに対応する依存関係のパッケージが追加されました。Wayland は、libinput ライブラリーを入力ドライバーとして使用します。

以下の機能は、現在利用できない、または正常に機能しない状態です。

  • 現時点では、複数の GPU サポートが利用できません。
  • Wayland では、NVIDIA バイナリードライバーが有効ではありません。
  • xrandr ユーティリティーは、解像度、ローテーション、およびレイアウトの処理方法が異なるため、Wayland では有効ではありません。
  • 画面の録画、リモートデスクトップ、およびアクセシビリティーは、Wayland では正常に機能しない場合があります。
  • クリップボードマネージャーは利用できません。
  • Wayland では、現在 GNOME Shell を再起動することができません。
  • Wayland は、仮想マシンビューアーなどの X11 アプリケーションのキーボードグラブを無視します。

(BZ#1481411)

分数スケールがテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.5 以降の GNOME では、DPI が低 (scale 1) と高 (scale 2) の中間になってしまうモニターの問題に対処するため、分数スケールがテクノロジープレビューとして提供されています。

技術的な制限により、分数スケールは Wayland でのみ利用できます。

(BZ#1481395)

7.5. ファイルシステム

ファイルシステム DAX が、テクノロジープレビューとして ext4 および XFS で利用可能

Red Hat Enterprise Linux 7.3 以降、Direct Access (DAX) は、テクノロジープレビューとして、永続メモリーをそのアドレス領域に直接マッピングする手段を提供します。

DAX を使用するには、システムで利用可能な永続メモリーの形式が必要になります。通常は、NVDIMM (Non-Volatile Dual In-line Memory Module) の形式で、DAX に対応するファイルシステムを NVDIMM に作成する必要があります。また、ファイルシステムは dax マウントオプションでマウントする必要があります。これにより、dax をマウントしたファイルシステムのファイルの mmap が、アプリケーションのアドレス空間にストレージを直接マッピングします。

(BZ#1274459)

pNFS ブロックレイアウトが利用可能に

テクノロジープレビューとして、Red Hat Enterprise Linux クライアントがブロックレイアウト機能を設定して pNFS 共有をマウントできるようになりました。

Red Hat では、ブロックレイアウトと類似し、より使いやすい pNFS SCSI レイアウトの使用が推奨される点に注意してください。

(BZ#1111712)

OverlayFS

OverlayFS は、ユニオンファイルシステムのタイプです。ユーザーは、あるファイルシステムに別のファイルシステムを重ねることができます。変更は上位のファイルシステムに記録され、下位のファイルシステムは変更しません。これにより、ベースイメージが読み取り専用メディアにあるコンテナーや DVD-ROM などのファイルシステムイメージを、複数のユーザーが共有できるようになります。追加情報は、Linux カーネルのドキュメント を参照してください。

OverlayFS は、ほとんどの状況で引き続きテクノロジープレビューになります。このため、OverlayFS を有効にすると、カーネルにより警告のログが記録されます。

Docker で次の制約を付けて使用する場合は、OverlayFS が完全対応となります。

  • OverlayFS は Docker のグラフドライバーとして使用する場合にのみサポートされます。サポートはコンテナー COW コンテンツでの使用に限定され、永続ストレージとしてはサポートされません。永続ストレージは OverlayFS 以外のボリュームに配置している場合に限りサポートの対象となります。使用できるのはデフォルトの Docker 設定のみです。つまり、オーバーレイレベル 1 つ、下層側ディレクトリー 1 つ、同じファイルシステムに配置された上層レベルと下層レベルという構成です。
  • 下層ファイルシステムとして使用がサポートされているのは現在 XFS のみです。
  • Red Hat Enterprise Linux 7.3 以前では、物理マシンで SELinux を有効にして Enforcing モードに設定しておく必要がありますが、コンテナーを分離する場合は、コンテナーで無効にする必要があります。つまり、/etc/sysconfig/docker ファイルに --selinux-enabled を追加しないでください。Red Hat Enterprise Linux 7.4 以降では、OverlayFS は SELinux セキュリティーラベルに対応しているため、/etc/sysconfig/docker--selinux-enabled を指定すると、コンテナーで SELinux サポートを有効にできます。
  • OverlayFS カーネル ABI とユーザー空間の動作については安定性に欠けると見なされているため、今後の更新で変更が加えられる可能性があります。
  • コンテナー内で yum および rpm のユーティリティーを正常に機能させるには、yum-plugin-ovl パッケージを使用する必要があります。

OverlayFS は制限付きで POSIX 標準セットを提供しています。OverlayFS を使用してアプリケーションをデプロイする前に、アプリケーションを十分にテストしてください。

オーバーレイとして使用するように -n ftype=1 オプションを有効にして、XFS ファイルシステムを作成する必要がある点に注意してください。rootfs、およびシステムのインストール時に作成されたファイルシステムを使用して、Anaconda キックスタートに --mkfsoptions=-n ftype=1 パラメーターを設定します。インストール後に新しいファイルシステムを作成する場合は、# mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE コマンドを実行します。既存のファイルシステムがオーバーレイとして使用できるかどうかを確認するには、# xfs_info /PATH/TO/DEVICE | grep ftype コマンドを実行して、ftype=1 オプションが有効になっているかどうかを確認します。

このリリースには、OverlayFS に関連する既存の問題がいくつかあります。詳細は Linux カーネルドキュメント「Non-standard behavior」を参照してください。

(BZ#1206277)

Btrfs ファイルシステム

B-Tree ファイルシステム (Btrfs) は、Red Hat Enterprise Linux 7 ではテクノロジープレビューとして提供されています。

この機能の更新は、Red Hat Enterprise Linux 7.4 で最後となることが予定されています。Btrfs は廃止予定となっており、Red Hat は Btrfs 機能を完全にはサポートせず、将来の Red Hat Enterprise Linux メジャーリリースで削除されます。

(BZ#1477977)

7.6. ハードウェアの有効化

LSI Syncro CS HA-DAS アダプター

Red Hat Enterprise Linux 7.1 には、LSI Syncro CS の HA-DAS (high-availability direct-attached storage) アダプターを有効にするため、megaraid_sas ドライバーにコードが含まれていました。megaraid_sas ドライバーは、これまで有効であったアダプターに対して完全にサポートされますが、Syncro CS に対してはテクノロジープレビューとして提供されます。このアダプターのサポートは、LSI、システムインテグレーター、またはシステムベンダーにより直接提供されます。Red Hat Enterprise Linux 7.2 以上に Syncro CS をデプロイする場合は、Red Hat および LSI へのフィードバックにご協力ください。

(BZ#1062759)

tss2 で IBM Power LE に対して TPM 2.0 が有効に

tss2 パッケージにより、IBM Power LE アーキテクチャー向けに、テクノロジープレビューとして Trusted Computing Group Software Stack (TSS) 2.0 の IBM 実装が追加されます。このパッケージにより、TPM 2.0 デバイスとの対話が可能になります。

(BZ#1384452)

ibmvnic デバイスドライバーがテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.3 以降、IBM POWER アーキテクチャー向け IBM Virtual Network Interface Controller (vNIC) ドライバーである ibmvnic がテクノロジープレビューとして利用できるようになりました。vNIC は、エンタープライズ機能を提供し、ネットワーク管理を簡素化する PowerVM 仮想ネットワーク技術です。SR-IOV NIC と組み合わせると、仮想 NIC レベルで帯域幅制御サービス品質 (QoS) 機能が提供される、高性能で効率的な技術です。vNIC は、仮想化のオーバーヘッドを大幅に削減するため、ネットワーク仮想化に必要な CPU やメモリーなど、待機時間が短縮され、サーバーリソースが少なくなります。

Red Hat Enterprise Linux 7.6 では、ibmvnic ドライバーがバージョン 1.0 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。以下は、主な変更点です。

  • エラー ID は Virtual Input-Output (VIOS) サーバーが提供していないため、以前はエラー情報が必要であったコードが削除されました。
  • 原因となった文字列でエラー報告が更新されています。その結果、復旧時、ドライバーは文字列をエラーではなく警告として分類します。
  • ログインの失敗におけるエラー処理が修正されています。
  • LPAR (Logical Partitioning) の移行時のフェイルオーバー後に発生していた障害状態が修正されました。
  • ドライバーは、可能なすべてのログイン戻り値を処理できるようになりました。
  • Tx/Rx (Transmit and Receive) キューを変更している場合に、フェイルオーバー時または LPM (Link Power Management) 時に発生していたドライバークラッシュが修正されました。

(BZ#1519746)

igc ドライバーがテクノロジープレビューとして利用可能に

Intel® 2.5G Ethernet Linux Driver (igc.ko.xz) はテクノロジープレビューとして利用できます。

(BZ#1454918)

ice ドライバーがテクノロジープレビューとして利用可能に

Intel® Ethernet Connection E800 Series Linux Driver (ice.ko.xz) はテクノロジープレビューとして利用できます。

(BZ#1454916)

7.7. カーネル

トレースのための eBPF システムコール

Red Hat Enterprise Linux 7.6 では、eBPF (Extended Berkeley Packet Filter) ツールがテクノロジープレビューとして導入されます。このツールは、トレーシングサブシステムに対してのみ有効になります。詳細は Red Hat ナレッジベースアーティクル「Kernel tracing using eBPF」を参照してください。

(BZ#1559615)

HMM (heterogeneous memory management) 機能がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7 では、HMM (heterogeneous memory management) 機能がテクノロジープレビューとして導入されました。この機能は、プロセスアドレス空間を独自のメモリー管理ユニット (MMU) にミラーする必要のあるデバイスのヘルパーレイヤーとして、カーネルに追加されています。これにより、CPU 以外のデバイスプロセッサーは、統一システムアドレス空間を使用してシステムメモリーを読み取ることができます。この機能を有効にするには、experimental_hmm=enable をカーネルコマンドラインに追加します。

(BZ#1230959)

kexec がテクノロジープレビューとして利用可能に

kexec システムコールがテクノロジープレビューとして提供されています。このシステムコールを使用すると現在実行中のカーネルから別のカーネルを読み込んだり、起動したりすることが可能で、カーネル内のブートローダーとして機能します。通常はシステム起動中に実行されるハードウェアの初期化が kexec の起動中に行われないため、再起動にかかる時間が大幅に短縮されます。

(BZ#1460849)

テクノロジープレビューとしての kexec fast reboot

Red Hat Enterprise Linux 7.5 で導入された kexec fast reboot 機能は、引き続きテクノロジープレビューとして利用できます。kexec fast reboot を使用するとシステムの再起動の速度が大幅に向上します。この機能を使用するには、kexec カーネルを手動で読み込んでから、オペレーティングシステムを再起動する必要があります。

kexec fast reboot をデフォルトの再起動アクションにすることはできません。特例は、Anacondakexec fast reboot を使用することです。この場合も、kexec fast reboot をデフォルトにすることはできません。ただし、Anaconda と併用すると、anaconda オプションを使用してカーネルを起動してインストールが完了したあと、オペレーティングシステムが自動的に kexec fast reboot を使用します。kexec の再起動スケジュールを設定するには、カーネルコマンドラインの inst.kexec コマンドを使用するか、キックスタートファイルに reboot --kexec 行を追加します。

(BZ#1464377)

perf cqmresctrl に置き換え

Intel Cache Allocation Technology (CAT) が Red Hat Enterprise Linux 7.4 でテクノロジープレビューとして導入されました。ただし、perf インストラクチャーと CQM (Cache Quality of Service Monitoring) ハードウェアサポートの不整合により、perf cqm ツールが正常に機能しませんでした。したがって、perf cqm の使用時にさまざまな問題が生じていました。

主な問題は以下のとおりです。

  • perf cqm が、resctrl を使用して割り当てたタスクのグループに対応しない
  • リサイクルに関するさまざまな問題により、perf cqm が不規則で不正確なデータを提供する
  • 異なるタイプのイベント (例: タスク、全システム、cgroup イベント) を同時に実行する場合に、perf cqm のサポートが不十分である
  • cgroup イベントに対して perf cqm は部分的なサポートしか提供しない
  • cgroup イベントが階層構造を持つ場合、または cgroup 内のタスクと cgroup を同時に監視する場合、cgroup イベントに対する部分的なサポートが機能しない
  • ライフタイムの監視タスクにより perf オーバーヘッドが発生する
  • perf cqm がソケット全体のキャッシュ占有の集計値またはメモリー帯域幅を報告するが、多くのクラウドおよび VMM ベースのユースケースでは、ソケットごとの使用状況が求められる

Red Hat Enterprise Linux 7.5 で、perf cqm が、resctrl ファイルシステムをベースにしたアプローチで置き換えられ、上述の問題にすべて対応しました。

(BZ#1457533)

TC HW オフロード処理がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.6 以降、トラフィック制御 (TC) ハードウェアのオフロードがテクノロジープレビューとして利用できます。

ハードウェアのオフロード処理は、シェーピング、スケジューリング、ポリシング、破棄など、選択したネットワークトラフィック処理の機能が、ソフトウェア処理を待たずにハードウェアで直接実行されるようになり、パフォーマンスが改善しました。

(BZ#1503123)

AMD xgbe ネットワークドライバーがテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.6 以降、AMD xgbe ネットワークドライバーがテクノロジープレビューとして利用できます。

(BZ#1589397)

Secure Memory Encryption はテクノロジープレビューとしてのみ利用可能に

現在、Secure Memory Encryption (SME) には、kdump 機能と互換性がありません。これは、kdump カーネルが SME で暗号化したメモリーの暗号化を解除するためのメモリーキーが欠如しているためです。Red Hat は、SME を有効にすると、テスト中のサーバーが一部の機能を実行できない可能性があるため、この機能は実稼働環境での使用には適していないことを把握しています。このため、SME はサポートレベルを「サポート対象」から「テクノロジープレビュー」に変更しています。Red Hat またはシステムベンダーへの実稼働前のテスト中に見つかった問題を報告することが推奨されます。

(BZ#1726642)

criu がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.2 では、criu ツールがテクノロジープレビューとして導入されました。このツールは、実行中のアプリケーションをフリーズさせ、ファイルの集合としてこれを保存する Checkpoint/Restore in User-space (CRIU) を実装します。アプリケーションは、後にフリーズ状態から復元できます。

criu ツールは Protocol Buffers に依存します。これは、構造化データをシリアル化するための、言語とプラットフォームに中立的な拡張性のあるメカニズムです。依存パッケージを提供する protobuf パッケージと protobuf-c パッケージも、Red Hat Enterprise Linux 7.2 にテクノロジープレビューとして導入されています。Red Hat Enterprise Linux 7.8 以降、criu パッケージでは、コンテナーのチェックポイントおよび復元を行うための Podman サポートが提供されます。新たに追加された機能は、SELinux サポートなしでのみ動作します。

(BZ#1400230)

7.8. ネットワーク

Cisco usNIC ドライバー

UCM (Cisco Unified Communication Manager) サーバーには Cisco 専用の usNIC (User Space Network Interface Controller) を提供するオプション機能があります。これを使用すると、ユーザー空間のアプリケーションに対して RDMA (Remote Direct Memory Access) のような動作を実行できるようになります。テクノロジープレビューとして利用可能な libusnic_verbs ドライバーにより、Verbs API に基づいた標準の InfiniBand RDMA プログラミングを介して usNIC デバイスを使用できます。

(BZ#916384)

Cisco VIC カーネルドライバー

Cisco VIC Infiniband のカーネルドライバーをテクノロジープレビューとして利用できます。これにより、専用の Cisco アーキテクチャーで、RDMA (Remote Directory Memory Access) のようなセマンティックが使用可能になります。

(BZ#916382)

TNC (Trusted Network Connect)

TNC (Trusted Network Connect) はテクノロジープレビューとして利用可能で、TLS、802.1X、IPsec など既存のネットワークアクセス制御 (NAC) ソリューションと併用し、エンドポイントのポスチャー評価を一体化します。つまりエンドポイントのシステムの情報を収集します (オペレーティングシステムを構成している設定、インストールしているパッケージ、そのほか整合性測定と呼ばれているもの)。TNC を使用して、このような測定値をネットワークアクセスポリシーと照合してから、エンドポイントがネットワークにアクセスできるようにします。

(BZ#755087)

qlcnic ドライバーの SR-IOV 機能

SR-IOV (Single-Root I/O virtualization) のサポートがテクノロジープレビューとして qlcnic ドライバーに追加されています。この機能のサポートは QLogic から直接提供されます。QLogic および Red Hat へのご意見ご感想をお寄せください。qlcnic ドライバーのその他の機能では引き続きフルサポートが提供されます。

qlcnic ドライバーは RHEL 8 では非推奨であり、利用できないことに注意してください。

(BZ#1259547)

オフロードサポートが付いた flower 分類子

flower はトラフィック制御 (TC) 分類子で、各種プロトコルのパケットフィールドで広く知られているマッチング設定を可能にします。これは、複雑なフィルタリングおよび分類タスクの u32 分類子に対するルールの設定を容易にすることを目的としています。また、flower は、ハードウェアが対応している場合、基盤のハードウェアに分類およびアクションルールをオフロードする機能もサポートします。flower TC 分類子はテクノロジープレビューとして提供されるようになりました。

(BZ#1393375)

7.9. Red Hat Enterprise Linux システムロール

RHEL システムロールの postfix ロールが、テクノロジープレビューとして利用可能になりました。

Red Hat Enterprise Linux システムロールは、Red Hat Enterprise Linux サブシステムの設定インターフェースを提供します。これにより、Ansible ロールを介したシステム設定が簡単になります。このインターフェースにより、複数バージョンの Red Hat Enterprise Linux でシステム設定を管理することや、新しいメジャーリリースを導入することもできます。

Red Hat Enterprise Linux 7.4 以降、rhel-system-roles パッケージは Extras リポジトリーから配布されています。

postfix ロールはテクノロジープレビューとして利用できます。

以下のロールが完全にサポートされています。

  • kdump
  • network
  • selinux
  • storage
  • timesync

詳細は、ナレッジベースアーティクル「Red Hat Enterprise Linux (RHEL) System Roles」を参照してください。

(BZ#1439896)

RHEL-system-roles-sap がテクノロジープレビューとして利用可能

rhel-system-roles-sap パッケージは、SAP 向けの Red Hat Enterprise Linux (RHEL) システムロールを提供します。これは、RHEL システムの設定を自動化して SAP ワークロードロードを実行するたに使用できます。これらのロールは、関連する SAP ノート記載のベストプラクティスに基づいて最適な設定を自動的に適用することで、SAP ワークロードを実行するようにシステムを設定する時間を大幅に短縮できます。アクセスは、RHEL for SAP Solutions 製品に限定されます。サブスクリプションに関するサポートが必要な場合は、Red Hat カスタマーサポートまでご連絡ください。

rhel-system-roles-sap パッケージの以下の新しいロール がテクノロジープレビューとして利用できます。

  • sap-preconfigure
  • sap-netweaver-preconfigure
  • sap-hana-preconfigure

詳細は、『Red Hat Enterprise Linux System Roles for SAP』を参照してください。

注記: 現時点では、RHEL 7.8 for SAP Solutions は、Intel 64 アーキテクチャーおよび IBM POWER8 で SAP HANA とともに使用できるように検証される予定はありません。その他の SAP アプリケーションやデータベース製品 (SAP NetWeaver、SAP ASE など) は、RHEL 7.8 の機能を使用できます。検証されたリリースと SAP サポートの最新情報は、SAP Notes 2369910 および 2235581 を参照してください。

(BZ#1660838)

7.10. セキュリティー

libreswan で SECCOMP の有効化が可能

テクノロジープレビューとして、SECCOMP (Secure Computing) モードの使用を可能にする seccomp=enabled|tolerant|disabled オプションが ipsec.conf 設定ファイルに追加されました。これにより、Libreswan を実行できるシステムコールをすべてホワイトリストに登録することで、syscall セキュリティーが改善されました。詳細は man ページの ipsec.conf(5) を参照してください。

(BZ#1375750)

pk12util で、RSA-PSS 鍵を使用した証明書のインポートが可能に

pk12util ツールは、テクノロジープレビューとして、RSA-PSS アルゴリズムを使用して署名する証明書をインポートするようになりました。

対応する秘密鍵をインポートして、RSA-PSS への署名アルゴリズムを制限する PrivateKeyInfo.privateKeyAlgorithm フィールドがある場合は、鍵をインポートするときに無視されることに注意してください。詳細は、MZBZ#1413596 を参照してください。

(BZ#1431210)

certutil で、RSA-PSS で署名した証明書のサポートが改善

certutil ツールの RSA-PSS アルゴリズムで署名された証明書のサポートが改善されました。主な機能強化および修正は以下のとおりです。

  • --pss オプションのドキュメントが作成されている。
  • 証明書で RSA-PSS の使用が制限されている場合は、自己署名で PKCS#1 v1.5 アルゴリズムが使用されなくなった。
  • subjectPublicKeyInfo フィールドの空の RSA-PSS パラメーターは、証明書の一覧を表示する際に無効と表示されなくなった。
  • RSA-PSS アルゴリズムで署名された通常の RSA 証明書を作成する --pss-sign オプションが追加された。

certutil で、RSA-PSS で署名した証明書のサポートがテクノロジープレビューとして利用できます。

(BZ#1425514)

NSS が、証明書の RSA-PSS 署名を確認可能

nss パッケージの RHEL 7.5 バージョン以降、Network Security Services (NSS) ライブラリーが、証明書の RSA-PSS 署名の確認をテクノロジープレビューとして提供します。この更新では、SSL バックエンドとして NSS を使用するクライアントが、RSA-PSS アルゴリズムで署名した証明書のみを提供するサーバーへの TLS 接続が確立できません。

この機能には、以下の制限があります。

  • /etc/pki/nss-legacy/rhel7.config ファイルのアルゴリズムポリシー設定は、RSA-PSS 署名で使用されるハッシュアルゴリズムに適用されます。
  • 証明書チェーン間で RSA-PSS パラメーター制約が無視され、証明書は 1 つだけ考慮されます。

(BZ#1432142)

USBGuard は、画面のロック時に USB デバイスのブロックを有効にする機能をテクノロジープレビューとして提供。

USBGuard フレームワークにより、InsertedDevicePolicy ランタイムパラメーターの値を設定して、すでに実行されている usbguard-daemon インスタンスが、新たに挿入された USB デバイスをどのように処理するかを制御できます。この機能はテクノロジープレビューとして提供されており、デフォルトでは、デバイスを認証するかどうかを判断するポリシールールが適用されます。

ナレッジベースアーティクル「Blocking USB devices while the screen is locked」を参照してください。

(BZ#1480100)

7.11. ストレージ

SCSI 向けのマルチキュー I/O スケジューリング

Red Hat Enterprise Linux 7 には blk-mq として知られるブロックデバイス用の新しいマルチキュー I/O スケジューリングのメカニズムが含まれています。scsi-mq パッケージを使用すると SCSI (Small Computer System Interface) サブシステムにこの新しいキューメカニズムを利用できるようになります。この機能はテクノロジープレビューのため、デフォルトでは有効になっていません。有効にする場合は scsi_mod.use_blk_mq=Y をカーネルコマンドラインに追加します。

blk-mq は、パフォーマンスを改善するために導入されていますが (特に低レイテンシーデバイス向け)、常にパフォーマンスが改善することは保証されていません。特に、CPU が多いシステムで scsi-mq を有効にすると、パフォーマンスが大幅に低下する場合があります。

(BZ#1109348)

libStorageMgmt API の Targetd プラグイン

Red Hat Enterprise Linux 7.1 から、ストレージアレイから独立した API である libStorageMgmt を使用したストレージアレイの管理が完全サポートされています。提供される API は安定性と整合性を備え、開発者は異なるストレージアレイをプログラム的に管理し、ハードウェアアクセラレーション機能を使用できます。また、システム管理者は libStorageMgmt を使用して手動でストレージを設定したり、コマンドラインインターフェースを使用してストレージ管理タスクを自動化したりできます。

Targetd プラグインは完全サポートされず、引き続きテクノロジープレビューとして提供されます。

(BZ#1119909)

qla2xxx ドライバーおよび lpfc ドライバーで SCSI-MQ がテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.4 で更新された qla2xxx ドライバーは、ql2xmqsupport=1 モジュールパラメーターで SCSI-MQ (multiqueue) を使用できます。デフォルトの値は 0 (無効) です。

qla2xxx ドライバーまたは lpfc ドライバーとともに使用する場合、SCSI-MQ 機能はテクノロジープレビューとして提供されます。

SCSI-MQ を使用してファイバーチャネルアダプター上での非同期 IO のパフォーマンステストを実施したところ、特定の条件下ではパフォーマンスが大幅に低下した点に注意してください。

(BZ#1414957)

7.12. システムおよびサブスクリプション管理

YUM 4 がテクノロジープレビューとして利用可能に

YUM パッケージマネージャーの次世代である YUM バージョン 4 が、Red Hat Enterprise Linux 7 の Extras リポジトリー でテクノロジープレビューとして利用できるようになりました。

YUM 4DNF 技術をベースにしており、RHEL 7 で使用される標準の YUM 3 で以下のような利点を提供します。

  • パフォーマンスの向上
  • モジューラーコンテンツへの対応
  • ツーリングと統合するために適切に設計され、安定した API

YUM 4 をインストールするには、yum install nextgen-yum4 コマンドを実行します。

subscription-manager プラグインが含まれる dnf-plugin-subscription-manager パッケージがインストールされていることを確認します。このプラグインは、Red Hat カスタマーポータルまたは Red Hat Satellite 6 が提供する保護されているリポジトリーへのアクセス時、または /etc/yum.repos.d/redhat.repo ファイルの自動更新時に必要です。

パッケージを管理するには、yum4 コマンドをおよび特定のオプションを、yum と同じように使用します。

新しい YUM 4 ツールと、YUM 3 との間における相違点の詳細は、「Changes in DNF CLI compared to YUM」を参照してください。

Extras リポジトリーを有効にする方法は、ナレッジベースアーティクル「新しい Extras チャンネルまたはリポジトリをサブスクライブする」を参照してください。

(BZ#1461652)

7.13. 仮想化

KVM ゲスト用の USB 3.0 サポート

Red Hat Enterprise Linux 7 では、KVM ゲスト向けの USB 3.0 ホストアダプター (xHCI) エミュレーションが引き続きテクノロジープレビューとなります。

(BZ#1103193)

VFIO ドライバーの No-IOMMU モード

今回の更新により、VFIO (Virtual Function I/O) ドライバーの No-IOMMU モードがテクノロジープレビューとして追加されました。No-IOMMU モードは、I/O メモリー管理ユニット (IOMMU) を使用せずに直接メモリーアクセス (DMA) 対応デバイスへの完全なユーザー空間 I/O (UIO) アクセスを提供します。しかし、このモードはサポートされないだけでなく、IOMMU で提供される I/O 管理機能がないため、安全に使用することができません。

(BZ#1299662)

RHEL 7 ゲストのホストとしての Azure M416v2

テクノロジープレビューとして、Azure M416v2 インスタンスタイプが、RHEL 7.6 以降をゲストのオペレーティングシステムとして使用する仮想マシンのホストとして使用できるようになりました。

(BZ#1661654)

virt-v2v が、Debian ゲストおよび Ubuntu ゲストを変換

テクノロジープレビューとして、virt-v2v ユーティリティーがゲスト仮想マシン Debian および Ubuntu を変換できるようになりました。現時点では、この変換を行うときに以下の問題が発生することに注意してください。

  • virt-v2v は、GRUB2 設定内のデフォルトカーネルを変更できず、ゲストで構成されたカーネルは、ゲストでより最適なバージョンのカーネルが利用可能であっても、変換中に変更されません。
  • Debian または Ubuntu の VMware ゲストを KVM に変換すると、ゲストのネットワークインターフェース名が変更し、手動での設定が必要になる場合があります。

(BZ#1387213)

GPU ベースの仲介デバイスが VNC コンソールをサポート

テクノロジープレビューとして、NVIDIA vGPU 技術などの GPU ベースの仲介デバイスを使用した Virtual Network Computing (VNC) コンソールが利用できるようになりました。これにより、仮想マシンのグラフィカル出力のリアルタイムレンダリングにこの仲介デバイスを使用できるようになりました。

(BZ#1475770)

OVMF (Open Virtual Machine Firmware)

Red Hat Enterprise Linux 7 では、OVMF (Open Virtual Machine Firmware) がテクノロジープレビューとして利用できます。OVMF は、AMD64 および Intel 64 ゲストに対する、UEFI のセキュアブート環境です。ただし、OVMF は、RHEL 7 で利用可能な仮想化コンポーネントでは起動できません。OVMF は、RHEL 8 で完全に対応することに注意してください。

(BZ#653382)

7.14. クラウド環境の RHEL

Hyper-V の RHEL ゲストで、Intel ネットワークアダプターが SR-IOV に対応

テクノロジープレビューとして、Hyper-V ハイパーバイザーで実行している Red Hat Enterprise Linux のゲストオペレーティングシステムは、ixgbevf および ixgbevf ドライバーがサポートする Intel ネットワークアダプターに、シングルルート I/O 仮想化 (SR-IOV) 機能を使用することができるようになりました。この機能は、以下の条件が満たされると有効になります。

  • ネットワークインターフェースコントローラー (NIC) に対して SR-IOV サポートが有効になっている
  • 仮想 NIC の SR-IOV サポートが有効になっている
  • 仮想スイッチの SR-IOV サポートが有効になっている
  • NIC からの VF (Virtual Function) が仮想マシンに割り当てられている

この機能は現在、Microsoft Windows Server 2019 および 2016 で対応しています。

(BZ#1348508)


このページには機械翻訳が使用されている場合があります (詳細はこちら)。