5.3. テクノロジープレビュー

本パートでは、Red Hat Enterprise Linux 8.0 で利用可能なテクノロジープレビュー機能を説明します。

テクノロジープレビュー機能に対する Red Hat のサポート範囲の詳細は、「テクノロジプレビュー機能のサポート範囲」 を参照してください。

5.3.1. カーネル

eBPF がテクノロジープレビューとして利用可能に

eBPF (extended Berkeley Packet Filtering) 機能は、テクノロジープレビューとして、ネットワーキングおよび追跡の両方に利用できます。eBPF を使用すると、ユーザー空間でカスタムプログラムをさまざまなポイント (ソケット、トレースポイント、パケット受信) に接続し、データを受信して処理できます。bpf() を使用すると、ユーザー空間でカスタムプログラムをさまざまなポイント (ソケット、トレースポイント、パケット受信) に接続し、データを受信して処理できます。新しいシステムコール bpf() は、root など、CAP_SYS_ADMIN が付与されているユーザーのみが利用できます。詳細は、man ページの bpf(2) を参照してください。

(BZ#1559616)

BCC がテクノロジープレビューとして利用可能に

BPF コンパイラーコレクション (BCC) は、Red Hat Enterprise Linux 8 でテクノロジープレビューとして利用できる、効率的なカーネルの追跡および操作プログラムを作成するユーザー空間ツールパッケージです。BCC は、eBPF (extended Berkeley Packet Filtering) を使用して、Linux オペレーティングシステムの I/O 解析、ネットワーキング、およびモニタリング用のツールを提供します。

(BZ#1548302)

RHEL 8 では、Control Group v2 がテクノロジープレビューとして利用可能に

Control Group v2 メカニズムは、統一された階層制御グループです。Control Group v2 は、プロセスを階層的に編成し、制御された設定可能な方法で、階層に従ってシステムリソースを分配します。

以前のバージョンとは異なり、Control Group v2 には階層が 1 つしかありません。このように階層が単純であるため、Linux カーネルでは次のことが可能になります。

  • 所有者の役割に基づいたプロセスの分類
  • 複数の階層でポリシーが競合する問題の解消

Control Group v2 では、多くのコントローラーに対応しています。

  • CPU コントローラーにより、CPU サイクルの配分が調整されます。このコントローラーには以下が実装されています。

    • 通常のスケジューリングポリシーに対する重みおよび絶対帯域幅制限のモデル
    • 実時間スケジューリングポリシーに対する絶対帯域幅割り当てモデル
  • メモリーコントローラーは、メモリー配分を調整します。現在、次の種類のメモリー使用量が追跡されます。

    • ユーザー側のメモリー (ページキャッシュと匿名メモリー)
    • dentry、inode などのカーネルデータ構造
    • TCP ソケットバッファー
  • I/O コントローラーは、I/O リソースの配分を制限します。
  • ライトバックコントローラーは、メモリーコントローラーおよび I/O コントローラーの両方と対話し、Control Group v2 に固有のものです。

上記の情報は、「Control Group v2」 に基づいています。ここでは、個別の Control Group v2 コントローラーに関する情報を参照できます。

(BZ#1401552)

early kdump が Red Hat Enterprise Linux 8 でテクノロジープレビューとして利用可能に

early kdump 機能により、早い段階でクラッシュしても vmcore 情報を取得するのに十分な早さでクラッシュカーネルと initramfs の読み込みが行われるようになりました。early kdump の詳細は /usr/share/doc/kexec-tools/early-kdump-howto.txt ファイルを参照してください。

(BZ#1520209)

ibmvnic デバイスドライバーがテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 8.0 では、IBM POWER アーキテクチャー (ibmvnic) 用の IBM Virtual Network Interface Controller (vNIC) ドライバーがテクノロジープレビューとして利用できます。vNIC は、エンタープライズ機能を提供し、ネットワーク管理を簡素化する PowerVM 仮想ネットワークテクノロジーです。SR-IOV NIC と組み合わせると、仮想 NIC レベルで帯域幅制御サービス品質 (QoS) 機能が提供される、高性能で効率的な技術です。vNIC は、仮想化のオーバーヘッドを大幅に削減するため、ネットワーク仮想化に必要な CPU やメモリーなど、待機時間が短縮され、サーバーリソースが少なくなります。

(BZ#1524683)

5.3.2. グラフィックインフラストラクチャー

64 ビット ARM アーキテクチャーで VNC リモートコンソールがテクノロジープレビューとして利用可能に

64 ビットの ARM アーキテクチャーでは、Virtual Network Computing (VNC) リモートコンソールがテクノロジープレビューとして利用できます。グラフィックススタックの残りの部分は、現在、64 ビット ARM アーキテクチャーでは検証されていません。

(BZ#1698565)

5.3.3. ハードウェアの有効化

クラスター対応の MD RAID1 がテクノロジープレビューとして利用可能に

RAID1 クラスターは、カーネル領域ではデフォルトで有効になっていません。RAID1 クラスターを試す場合は、最初に RAID1 クラスターをモジュールとしてカーネルを構築する必要があります。以下の手順を使用します。

  1. make menuconfig コマンドを入力します。
  2. make && make modules && make modules_install && make install コマンドを入力します。
  3. reboot コマンドを入力します。

(BZ#1654482)

5.3.4. ID 管理

DNSSEC が IdM でテクノロジープレビューとして利用可能に

統合 DNS のある Identity Management (IdM) サーバーは、DNS プロトコルのセキュリティーを強化する DNS に対する拡張セットである DNS Security Extensions (DNSSEC) に対応するようになりました。IdM サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。

DNSSEC で DNS ゾーンの安全性を強化する場合は、以下のドキュメントを参照することが推奨されます。

統合 DNS のある IdM サーバーは、DNSSEC を使用して、他の DNS サーバーから取得した DNS 回答を検証することに注意してください。これが、推奨される命名方法に従って構成されていない DNS ゾーンの可用性に影響を与える可能性があります。

(BZ#1664718)

Identity Management JSON-RPC API がテクノロジープレビューとして利用可能に

Identity Management (IdM) では API が利用できます。API を表示するために、IdM は、テクノロジープレビューとして API ブラウザーも提供します。

Red Hat Enterprise Linux 7.3 では、複数のバージョンの API コマンドを有効にするために、IdM API が拡張されました。以前は、機能拡張により、互換性のない方法でコマンドの動作が変更することがありました。IdM API を変更しても、既存のツールおよびスクリプトを引き続き使用できるようになりました。これにより、以下が可能になります。

  • 管理者は、管理しているクライアント以外のサーバーで、IdM の以前のバージョンもしくは最近のバージョンを使用できます。
  • サーバーで IdM のバージョンを変更しても、開発者は特定バージョンの IdM コールを使用できます。

すべてのケースでサーバーとの通信が可能になります。たとえば、ある機能向けの新オプションが新しいバージョンに追加されていて、通信の一方の側でこれを使用していたとしても、特に問題はありません。

API の使用方法は「Identity Management API を使用して IdM サーバーに接続する (テクノロジープレビュー)」を参照してください。

(BZ#1664719)

5.3.5. ファイルシステムおよびストレージ

Aero アダプターがテクノロジープレビューとして利用可能に

以下の Aero アダプターがテクノロジープレビューとして利用可能になりました。

  • PCI ID 0x1000:0x00e2 and 0x1000:0x00e6 (mpt3sas ドライバーにより制御)
  • PCI ID 0x1000:Ox10e5 and 0x1000:0x10e6 (megaraid_sas ドライバーにより制御)

(BZ#1663281)

Stratis が利用可能に

Stratis は、新しいローカルストレージマネージャーです。ユーザーへの追加機能を備えたストレージプールに、管理されるファイルシステムを提供します。

Stratis を使用すると、次のようなストレージタスクをより簡単に実行できます。

  • スナップショットおよびシンプロビジョニングを管理する
  • 必要に応じてファイルシステムのサイズを自動的に大きくする
  • ファイルシステムを維持する

Stratis ストレージを管理するには、バックグランドサービス stratisd と通信する stratis ユーティリティーを使用します。

Stratis はテクノロジープレビューとして提供されます。

詳細は、Stratis のドキュメント「Stratis を使用した階層化ローカルストレージの管理」を参照してください。

(JIRA:RHELPLAN-1212)

OverlayFS

OverlayFS は、ユニオンファイルシステムのタイプです。これにより、あるファイルシステムを別のファイルシステムに重ねることができます。変更は上位のファイルシステムに記録され、下位のファイルシステムは変更しません。これにより、ベースイメージが読み取り専用メディアにあるコンテナーや DVD-ROM などのファイルシステムイメージを、複数のユーザーが共有できるようになります。詳細は、Linux カーネルのドキュメント「Overlay Filesystem」を参照してください

OverlayFS は、ほとんどの状況で引き続きテクノロジープレビューになります。したがって、カーネルは、この技術がアクティブになると警告を記録します。

以下の制限下で、対応しているコンテナーエンジン (podmancri-o、または buildah) とともに使用すると、OverlayFS に完全対応となります。

  • OverlayFS は、コンテナーエンジンのグラフドライバーとしての使用のみの対応となります。その使用は、コンテナーの COW コンテンツのみに対応し、永続ストレージには対応していません。非 OverlayFS ボリュームに永続ストレージを配置する必要があります。デフォルトのコンテナーエンジン設定のみを使用できます。つまり、あるレベルのオーバーレイ、1 つの下位ディレクトリー、および下位と上位の両方のレベルが同じファイルシステムにあります。
  • 下層ファイルシステムとして使用に対応しているのは現在 XFS のみです。

また、OverlayFS の使用には、以下のルールと制限が適用されます。

  • OverlayFS カーネル ABI とユーザー空間の動作については安定しているとみなされていないため、今後の更新で変更が加えられる可能性があります。
  • OverlayFS は、POSIX 標準の制限セットを提供します。OverlayFS を使用してアプリケーションをデプロイする前に、アプリケーションを十分にテストしてください。以下のケースは、POSIX に準拠していません。

    • O_RDONLY で開いているファイルが少ない場合は、ファイルの読み取り時に st_atime の更新を受け取りません。
    • O_RDONLY で開いてから、MAP_SHARED でマッピングした下位ファイルは、後続の変更と一貫性がありません。
    • 完全に準拠した st_ino 値または d_ino 値は、RHEL 8 ではデフォルトで有効になっていませんが、モジュールオプションまたはマウントオプションを使用して、この値の完全な POSIX コンプライアンスを有効にできます。

      一貫した inode 番号を付けるには、xino=on マウントオプションを使用します。

      redirect_dir=on オプションおよび index=on オプションを使用して、POSIX コンプライアンスを向上させることもできます。この 2 つのオプションにより、上位レイヤーの形式は、このオプションなしでオーバーレイと互換性がありません。つまり、redirect_dir=on または index=on でオーバーレイを作成し、オーバーレイをアンマウントしてから、このオプションなしでオーバーレイをマウントすると、予期しない結果またはエラーが発生することがあります。

  • XFS で使用されるコマンド:

    • XFS ファイルシステムは、オーバーレイとして使用する -n ftype=1 オプションを有効にして作成する必要があります。
    • システムのインストール時に作成された rootfs およびファイルシステムを使用して、Anaconda キックスタートに --mkfsoptions=-n ftype=1 パラメーターを設定します。
    • インストール後に新しいファイルシステムを作成する場合は、# mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE コマンドを実行します。
    • 既存のファイルシステムがオーバーレイとして使用できるかどうかを確認するには、# xfs_info /PATH/TO/DEVICE | grep ftype コマンドを実行して、ftype=1 オプションが有効になっているかどうかを確認します。
  • SELinux セキュリティーラベルは、OverlayFS で対応するすべてのコンテナーエンジンでデフォルトで有効になっています。
  • このリリースでは、OverlayFS に関連する既知の問題がいくつかあります。詳細は、Linux カーネルドキュメントの「Non-standard behavior(https://www.kernel.org/doc/Documentation/filesystems/overlayfs.txt)」を参照してください。

(BZ#1690207)

ファイルシステム DAX が、テクノロジープレビューとして ext4 および XFS で利用可能

Red Hat Enterprise Linux 8.0 では、ファイルシステムの DAX がテクノロジープレビューとして利用できます。DAX は、永続メモリーをそのアドレス空間に直接マッピングする手段をアプリケーションに提供します。DAX を使用するには、システムで利用可能な永続メモリーの形式が必要になります。通常は、NVDIMM (Non-Volatile Dual In-line Memory Module) の形式で、DAX に対応するファイルシステムを NVDIMM に作成する必要があります。また、ファイルシステムは dax マウントオプションでマウントする必要があります。これにより、dax をマウントしたファイルシステムのファイルの mmap が、アプリケーションのアドレス空間にストレージを直接マッピングされます。

(BZ#1627455)

5.3.6. 高可用性およびクラスター

Pacemaker の podman バンドルがテクノロジープレビューとして利用可能に

Pacemaker コンテナーバンドルは、テクノロジープレビューとして利用できるコンテナーバンドル機能を使用して、podman コンテナープラットフォームで動作するようになりました。この機能はテクノロジープレビューとして利用できますが、例外が 1 つあります。Red Hat は、Red Hat Openstack 用の Pacemaker バンドルの使用に完全対応します。

(BZ#1619620)

5.3.7. ネットワーク

XDP がテクノロジープレビューとして利用可能に

eXpress Data Path (XDP) 機能はテクノロジープレビューとして利用でき、カーネルの入力データパスの初期段階にある高性能パケット処理に、eBPF (extended Berkeley Packet Filter) プログラムを追加する手段を提供します。これにより、効率的なプログラム可能なパケット分析、フィルタリング、および操作が可能になります。

(BZ#1503672)

eBPF がテクノロジープレビューとして利用可能に

Traffic Control (tc) カーネルサブシステムと tc ツールは、テクノロジープレビューとして、eBPF (extended Berkeley Packet Filtering) プログラムをパケットとして追加し、入力および出力の両方のキューイング規則に対するアクションを実行できます。これにより、カーネルネットワークデータパスでのプログラミング可能なパケット処理が可能になります。

(BZ#1699825)

AF_XDP がテクノロジープレビューとして利用可能に

AF_XDP (Address Family eXpress Data Path) ソケットは、高性能パケット処理用に設計されています。さらに処理するために、XDP を取り入れ、プログラムにより選択されたパケットの効率的なリダイレクトをユーザー空間アプリケーションに付与します。

(BZ#1633143)

KTLS がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 8 では、Kernel Transport Layer Security (KTLS) がテクノロジープレビューとして提供されます。KTLS は、AES-GCM 暗号化のカーネルで対称暗号化アルゴリズムまたは複号アルゴリズムを使用して TLS レコードを処理します。KTLS は、この機能に対応するネットワークインターフェースコントローラー (NIC) に TLS レコード暗号化をオフロードするインターフェースも提供します。

(BZ#1570255)

TIPC がテクノロジープレビューとして利用可能に

TIPC (Transparent Inter Process Communication) は、不安定にペアリングされたノードのクラスターで効率的な通信を行うために特別に設計されたプロトコルです。これは、カーネルモジュールとして機能し、iproute2 パッケージに tipc ツールを提供します。これにより、クラスターのどこにいるかにかかわらず、その他のアプリケーションと迅速かつ確実に通信できるアプリケーションを作成できます。この機能は、テクノロジープレビューとして利用できます。

(BZ#1581898)

5.3.8. 仮想化

KVM 仮想マシンの AMD SEV

テクノロジープレビューとして、RHEL 8 に、KVM ハイパーバイザーを使用する AMD EPYC ホストマシン用のセキュア暗号化仮想化 (SEV) 機能が同梱されます。仮想マシンで有効になっている場合は、ホストが仮想マシンのデータにアクセスできないように、SEV が仮想マシンメモリーを暗号化します。ホストがマルウェアに感染した場合は、これにより仮想マシンのセキュリティーが向上します。

1 台のホストでこの機能を同時に使用できる仮想マシンの数は、ホストのハードウェアによって決まります。現在の AMD EPYC プロセッサーは、SEV を使用して 15 台以下の稼働中の仮想マシンに対応します。

また、SEV が起動できるように設定された仮想マシンでは、ハードメモリー制限のある仮想マシンも設定する必要があります。これを行うには、仮想マシンの XML 設定に以下を追加します。

<memtune>
  <hard_limit unit='KiB'>N</hard_limit>
</memtune>

N に推奨される値は、「ゲストの RAM + 256 MiB」以上になります。たとえば、ゲストに 2 GiB の RAM が割り当てられている場合、N は 2359296 以上になります。

(BZ#1501618, BZ#1501607)

Intel vGPU

テクノロジープレビューとして、物理 Intel GPU デバイスを、仲介デバイス と呼ばれる複数の仮想デバイスに分割できるようになりました。この仲介デバイスは、仮想 GPU として複数の仮想マシンに割り当てることができます。これにより、この仮想マシンが、1 つの物理 Intel GPU のパフォーマンスを共有します。

選択した Intel GPU のみが vGPU 機能と互換性があることに注意してください。また、物理 GPU を仮想マシンに割り当てると、ホストが GPU を使用できなくなるため、ホストのグラフィカルディスプレイ出力が機能しない可能性があります。

(BZ#1528684)

IBM POWER 9 でネストされた仮想化システムが利用可能に

テクノロジープレビューとして、IBM POWER 9 システムで稼働する RHEL 8 ホストマシンでネストされた仮想化機能を使用することが可能になりました。ネストされた仮想化により、KVM 仮想マシンをハイパーバイザーとして機能させることができます。 これにより、仮想マシン内で仮想マシンを実行できます。

ネストされた仮想化は、AMD64 および Intel 64 のシステムで引き続きテクノロジープレビューとして利用できます。

また、ネストされた仮想環境では、IBM POWER 9、ホスト、ゲスト、ネストされたゲストのすべてで、以下のいずれかのオペレーティングシステムが実行している必要があります。

  • RHEL 8
  • RHEL 7 for POWER 9

(BZ#1505999, BZ#1518937)

RHEL 8 Hyper-V 仮想マシンで KVM 仮想化が利用可能

ネストされた KVM 仮想化は、テクノロジープレビューとして、Microsoft Hyper-V ハイパーバイザーで使用できるようになりました。これにより、Hyper-V ホストで実行している RHEL 8 ゲストシステムで仮想マシンを作成できます。

この機能は、現在 Intel システムでのみ有効です。また、ネストされた仮想化は、Hyper-V でデフォルトで有効になっていない場合があります。これを有効にするには、以下の Microsoft ドキュメントを参照してください。

https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/user-guide/nested-virtualization

(BZ#1519039)


このページには機械翻訳が使用されている場合があります (詳細はこちら)。