第5章 RHEL 8.1.0 リリース

5.1. 新機能

ここでは、Red Hat Enterprise Linux 8.1 に追加された新機能および主要な機能拡張を説明します。

5.1.1. インストーラーおよびイメージの作成

キックスタートインストール時にモジュールを無効化できるようになりました。

この改善により、ユーザーはモジュールからパッケージをインストールしないようにモジュールを無効化できるようになりました。キックスタートインストール中にモジュールを無効にするには、以下のコマンドを使用します。

module --name=foo --stream=bar --disable

(BZ#1655523)

Blueprint に対する repo.git セクションのサポートが利用可能になりました。

新しい repo.git Blueprint セクションにより、ユーザーはイメージビルドにさらにファイルを含めることができます。このファイルは、lorax-composer ビルドサーバーからアクセス可能な git リポジトリーでホストされる必要があります。

(BZ#1709594)

Image Builder が、より多くのクラウドプロバイダーのイメージ作成に対応します。

今回の更新で、Image Builder がイメージを作成できるクラウドプロバイダーの数が増えました。そのため、Google Cloud および Alibaba Cloud でもデプロイ可能な RHEL イメージを作成して、これらのプラットフォームでカスタムインスタンスを実行できるようになりました。

(BZ#1689140)

5.1.2. ソフトウェア管理

dnf-utils の名前が yum-utils に変更されました。

今回の更新で、YUM スタックの一部である dnf-utils パッケージのバージョンが、yum-utils に変更されました。互換性の理由から、このパッケージは依然として dnf-utils 名を使用してインストールしできます。また、システムのアップグレード時に自動的に元のパッケージを置き換えます。

(BZ#1722093)

5.1.3. サブスクリプション管理

subscription-manager が、ロール、使用率、アドオンの値を報告するようになりました。

この更新により、subscription-manager は、カスタマーポータルまたはサテライトのいずれかに登録されている現在の組織で利用可能な各サブスクリプションの Role、Usage、Add-ons の値を表示できるようになりました。

  • Role、Usage、Add-ons の値を追加した、利用可能なサブスクリプションを表示するには、以下のコマンドを実行します。

    # subscription-manager list --available
  • 追加の Role、Usage、Add-ons 値を含む、消費したサブスクリプションを表示するには、以下を使用します。

    # subscription-manager list --consumed

(BZ#1665167)

5.1.4. Red Hat Enterprise Linux System Roles

新しい ストレージ ロールが RHEL システムロールに追加されました。

rhel-system-roles パッケージが提供する RHEL システム ロールに、ストレージ ロールが追加されました。ストレージロールは、Ansible を使用してローカルストレージを管理するために使用できます。

現時点で、ストレージロールは以下のタイプに対応しています。

  • ディスク全体におけるファイルシステムの管理
  • LVM ボリュームグループとそのファイルシステムの管理
  • 論理ボリュームとそのファイルシステムの管理

詳細は、『ファイルシステムの管理』および『論理ボリュームの設定および管理』を参照してください。

(BZ#1691966)

rhel-system-roles-sap をバージョン 1.1.1 にリベース

ハイライトと主なバグ修正:

  1. SAP システムロールは、英語意外のロケールのホストで機能します。kernel.pid_maxsysctl モジュールによって設定されます。nproc は、HANA に対して無制限に設定されます (SAP note 2772999 step 9 を参照)。
  2. ハードプロセス制限は、ソフトプロセス制限よりも前に設定されます。
  3. プロセス制限を設定するコードが、sap-preconfigure ロールと同じように動作するようになりました。
  4. handlers/main.yml は、uefi 以外のシステムでのみ機能し、uefi システムではメッセージなしで無視されます。
  5. rhel-system-roles の未使用の依存関係を削除
  6. sap_hana_preconfigure_packages から libssh2 を削除
  7. 特定の CPU 設定がサポートされていない場合の障害を防ぐために、追加チェックを追加
  8. true および false をすべて小文字に変換
  9. 最小限のパッケージ処理を更新
  10. ホスト名およびドメイン名を正しく設定
  11. 多くのマイナーな修正

(BZ#1766622)

5.1.5. インフラストラクチャーサービス

tuned がバージョン 2.12 にリベースされました。

tuned パッケージがアップストリームバージョン 2.12 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。主な改善点は以下の通りです。

  • 削除、再接続されているデバイスの処理が修正されました。
  • CPU リストのネゴシエーションサポートが追加されました。
  • sysctl ツールから Tuned固有の新しい実装に切り替えることで、ランタイムカーネルパラメーター設定のパフォーマンスが改善しました。

(BZ#1685585)

chrony がバージョン 3.5 にリベースされました。

tuned パッケージがアップストリームバージョン 3.5 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。主な改善点は以下の通りです。

  • RHEL 8.1 カーネルのハードウェアタイムスタンプとシステムクロックの同期がより正確になるサポートが追加されました。
  • ハードウェアのタイムスタンプが大幅に改善されました。
  • 利用可能なポーリング間隔の範囲が広がりました。
  • フィルターオプションが NTP ソースに追加されました。

(BZ#1685469)

新しい FRRouting ルーティングプロトコルスタックが利用できるようになりました。

今回の更新で、QuaggaFree Range Routing (FRRouting (FRR)) に置き換えられました。これは、新しいルーティングプロトコルスタックです。FRR は、AppStream リポジトリーで利用可能な frr パッケージで提供されます。

FRR は、複数の IPv4 および IPv6 ルーティングプロトコル (BGPIS-ISOSPFPIM、および RIPなど) をサポートする TCP/IP ベースの ルーティングサービスを提供します。

FRR がインストールされている場合、システムは専用ルーターとして動作します。これにより、内部ネットワークまたは外部ネットワークのいずれかの、その他のルーターとルーティング情報を交換します。

詳細は「システムのルーティングプロトコルの設定」を参照してください。

(BZ#1657029)

GNU が ISO-8859-15 エンコードに対応しました。

今回の更新で、ISO-8859-15 エンコードへの対応が GNU enscript プログラムに追加されました。

(BZ#1664366)

phc2sys でのシステムクロックオフセットの測定精度の改善しました。

linuxptp パッケージの phc2sys プログラムが、システムクロックのオフセット測定をより正確に行える方法に対応しました。

(BZ#1677217)

ptp4l が active-backup モードでのチームインターフェースに対応しました。

今回の更新で、PTP Boundary/Ordinary Clock (ptp4) に、active-backup モードのチームインターフェースサポートが追加されました。

(BZ#1685467)

macvlan インターフェースでの PTP 時間同期に対応しました。

今回の更新で、macvlan インターフェースのハードウェアタイムスタンプのサポートが Linux カーネルに追加されました。これにより、macvlan インターフェースは、時刻の同期に Precision Time Protocol (PTP) を使用できるようになりました。

(BZ#1664359)

5.1.6. セキュリティー

新しいパッケージ: fapolicyd

fapolicyd ソフトウェアフレームワークは、ユーザー定義ポリシーに基づいたアプリケーションのホワイトリスト化およびブラックリスト化の形式を導入しました。アプリケーションのホワイトリスト機能では、システム上で信頼されていないアプリケーションや悪意のあるアプリケーションを実行しないようにするための最も効率的な方法を利用できます。

fapolicyd フレームワークは、以下のコンテンツを提供します。

  • fapolicyd サービス
  • fapolicyd コマンドラインユーティリティー
  • yum プラグイン
  • ルール言語

管理者は、すべてのアプリケーションのパス、ハッシュ、MIME タイプ、信頼に基づいて、allow および deny 実行ルールを両者とも監査できるようにして定義することができます。

すべての fapolicyd 設定は、全体的なシステムのパフォーマンスに影響を与えることに注意してください。パフォーマンスヒットは、ユースケースによって異なります。アプリケーションをホワイトリストにすると、open() および exec() システムコールが遅くなるため、主にこのようなシステムコーリを頻繁に実行するアプリケーションに影響します。

詳細は、RHEL 8 セキュリティー強化タイトルの「アプリケーションのホワイトリストの設定および管理」セクションと、man ページの fapolicyd (8)、fapolicyd.rules (5)、および fapolicyd.conf (5) を参照してください。

(BZ#1673323)

新しいパッケージ: udica

新しい udica パッケージでは、コンテナー用の SELinux ポリシーのツールを利用できます。udica を使用すると、最適なセキュリティーポリシーを作成して、ストレージ、デバイス、ネットワークなどのホストシステムリソースにコンテナーがアクセスする方法を制御することができます。これにより、セキュリティー違反に対してコンテナーのデプロイメントを強化でき、規制コンプライアンスの実現や維持も簡単になります。

詳細は、SELinux タイトルを使用した RHEL 8 の「Creating SELinux policies for containers」セクションを参照してください。

(BZ#1673643)

SELinux ユーザース空間ツールがバージョン 2.9 へ更新されました。

libsepollibselinuxlibsemanagepolicycoreutilscheckpolicy、および mcstrans SELinux ユーザー空間ツールが最新のアップストリームリリース 2.9 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。

(BZ#1672638, BZ#1672642, BZ#1672637, BZ#1672640, BZ#1672635, BZ#1672641)

SETools がバージョン4.2.2に更新されました。

SETools の一連のツールとライブラリーが最新のアップストリームリリース 4.2.2 にアップグレードされました。この更新では、以下の変更が行われました。

  • ロードソースポリシーのサポートが停止したため、man ページのソースポリシーリファレンスを削除しました。
  • エイリアスのロードでのパフォーマンスリグレッションを修正しました。

(BZ#1672631)

selinux-policy が 3.14.3 にリベースされました。

selinux-policy パッケージがアップストリームバージョン 3.14.3 にアップグレードされ、以前バージョンの許可ルールに対してバグ修正および機能拡張が数多く追加されました。

(BZ#1673107)

新しい SELinux のタイプ: boltd_t

新しい SELinux のタイプ boltd_t は、Thunderbolt 3 デバイスのマッピングにシステムデーモン boltd を制限します。その結果、boltd が SELinux 強制モードの制限付きサービスとして実行されるようになりました。

(BZ#1684103)

新しい SELinux ポリシークラス: bpf

新しい SELinux ポリシークラス bpf が導入されました。bpf クラスを使用すると、ユーザーは SElinux を介して Berkeley Packet Filter (BPF) フローを制御できます。また、Extended Berkeley Packet Filter (eBPF) プログラムと、SELinux が制御するマップの検査と簡単な操作が可能になります。

(BZ#1673056)

OpenSCAP がバージョン 1.3.1 にリベースされました。

openscap パッケージがアップストリームバージョン 1.3.1 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点:

  • SCAP 1.3 ソースデータストリームのサポート: 評価、XML スキーマ、およびバリデーション
  • テーラリングファイルは ARF の結果ファイルに含まれます
  • OVAL 詳細は常に HTML レポートで表示されます。ユーザーは --oval-results オプションを指定する必要はありません。
  • HTML レポートは、OVAL extend_definition 要素を使用して、その他の OVAL 定義に含まれる OVAL テストの OVAL テスト詳細を表示します。
  • OVAL テスト ID が HTML レポートに表示されます
  • ルール ID が HTML ガイドに表示されます

(BZ#1718826)

OpenSCAP が SCAP 1.3 に対応しました。

OpenSCAP スイートは、最新バージョンの SCAP 標準 (SCAP 1.3) に準拠するデータストリームに対応するようになりました。scap-security-guide パッケージに含まれるものなど、SCAP 1.3 データストリームを、追加のユーザビリティー制限のない SCAP 1.2 データストリームと同じように使用できるようになりました。

(BZ#1709429)

scap-security-guide がバージョン 0.1.46 にリベースされました。

scap-security-guide パッケージがアップストリームバージョン 0.1.46 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。*SCAP コンテンツが最新バージョンの SCAP 規格に準拠し、SCAP 1.3 * SCAP コンテンツが UBI イメージに対応

(BZ#1718839)

OpenSSH が 8.0p1 にリベースされました。

openssh パッケージがアップストリームバージョン 80p1 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点:

  • ssh-keygen ツール用のデフォルトの RSA 鍵サイズを 3072 ビットに増加
  • ShowPatchLevel 設定オプションのサポートを廃止
  • Kerberos クリーンアップ手順の修正など、GSSAPI 鍵交換コードの修正を適用
  • sshd_net_t SELinux コンテンツへのフォールバックを廃止
  • Match final ブロックのサポートを追加
  • ssh-copy-id コマンドのマイナーな問題点を修正
  • scp ユーティリティーに関連する Common Vulnerabilities and Exposures (CVE) を修正(CVE-2019-6111、CVE-2018-20685、CVE-2019-6109)

このリリースでは、CVE-2019-6111 の緩和策として、scp の非互換性が導入されている点に注意してください。スクリプトが、scp ダウンロード中にパスの高度な bash 展開に依存する場合は、-T スイッチを使用して、信頼できるサーバーに接続するときにもこれらの緩和策を一時的にオフにすることができます。

(BZ#1691045)

libssh がシステム全体の crypto-policies に準拠するようになりました。

libssh クライアントとサーバーが、/etc/libssh/libssh_client.config ファイルと /etc/libssh/libssh_server.config を自動的にロードするようになりました。この設定ファイルには、libssh バックエンドのシステム全体の crypto-policies コンポーネントで設定されるオプションと、/etc/ssh/ssh_config または /etc/ssh/sshd_config OpenSSH 設定ファイルで設定したオプションが含まれます。設定ファイルの自動読み込みにより、libssh は、crypto-policies により設定されたシステム全体の暗号化ポリシー設定を使用するようになりました。この変更により、アプリケーションで使用される暗号化アルゴリズムのセットの制御が簡素化されます。

(BZ#1610883, BZ#1610884)

FROMHOST のケースを維持する rsyslog のオプションを利用できるようになりました。

rsyslog サービスへの今回の更新では、imudp および imtcp モジュールの FROMHOST プロパティーの大文字と小文字を保持する管理を行うためのオプションが導入されました。preservecase 値を on に設定すると、FROMHOST プロパティーが大文字と小文字を区別する状態で処理されます。既存の設定を壊さないように、preservecase のデフォルト値は、imtcp には on で、imudp には off になっています。

(BZ#1614181)

5.1.7. ネットワーク

PMTU 検出およびルートのリダイレクトが VXLAN トンネルおよび GENEVE トンネルで対応するようになりました。

Red Hat Enterprise Linux (RHEL) 8.0 のカーネルは、Virtual Extensible LAN (VXLAN) および Generic Network Virtualization Encapsulation (GENEVE) トンネルの Internet Control Message Protocol (ICMP) および ICMPv6 メッセージを処理していませんでした。これにより、8.1 以前の RHEL リリースでは、パス MTU (PMTU) の検出およびルートのリダイレクトは VXLAN トンネルおよび GENEVE トンネルでサポートされていませんでした。今回の更新で、カーネルが ICMP の「Destination Un reachable」と「Redirect Message」、および ICMPv6「Packet Too Big」エラーメッセージを、PMTU を調整すると転送情報を修正することで、「Destination UnPeerEndpoints」エラーメッセージを処理するようになりました。これにより、RHEL 8.1 は、VXLAN と GENEVE トンネルによる PMTU 検出およびルートのリダイレクトに対応しています。

(BZ#1652222)

カーネルにおける XDP 機能とネットワーク eBPF 機能の主な変更点

kernel パッケージの XDP およびネットワーク eBPF 機能がアップストリームのバージョン 5.0 にアップグレードされ、以前のバージョンに対してバグ修正および機能拡張が数多く追加されました。

  • eBPF プログラムが、TCP/IP スタックと適切に対話でき、フローの分散セクションを実行でき、多くの bpf ヘルパー関数が利用可能になり、新しいマップタイプにアクセスできるようになりました。
  • XDP メタデータが AF_XDP ソケットで使用できるようになりました。

(BZ#1687459)

ioctl() の新しい PTP_SYS_OFFSET_EXTENDED コントロールにより、測定された system-PHC オフセットの正確性が改善されます。

この改善により、ioctl() 関数にシステム precision time protocol (PTP) ハードウェアクロック (PHC) オフセットの測定をさらに性格に調整するために、PTP_SYS_OFFSET_EXTENDED コントロールが追加されました。たとえば、chrony サービスが PHC とシステム間のオフセットを測定するのに使用する PTP_SYS_OFFSET コントロールは、十分に正確ではありません。新しい PTP_SYS_OFFSET_EXTENDED コントロールを使用では、ドライバーは最小のビットの読み込みを分離できます。これにより、測定されたオフセットの精度が改善されます。ネットワークドライバーは通常、複数の PCI レジスターを読み込みます。また、このドライバーは、システムクロックの 2 つの値において、PHC タイムスタンプの最も低いビットを読み取りません。

(BZ#1677215)

ipset がバージョン 7.1 にリベースされました。

ipset パッケージがアップストリームバージョン 7.1 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。

  • ipset プロトコルのバージョン 7 では、IPSET_CMD_GET_BYNAME および IPSET_CMD_GET_BYINDEX オペレーションが導入されました。また、ユーザー空間コンポーネントは、カーネルコンポーネントに対応する正確な互換性レベルを検出できるようになりました。
  • メモリーリークや user-after-free バグなど、非常に多くのバグが修正されました。

(BZ#1649090)

5.1.8. カーネル

カーネルに対するライブパッチが利用可能になりました。

カーネル用のライブパッチ kpatch では、プロセスのリブートまたは再起動なしで、実行中のカーネルにパッチを当てるメカニズムを利用できます。ライブカーネルパッチは、影響度が「重大」および「重要」な CVE を修正するための Extended Update Support (EUS) の RHEL で対象となる一部のマイナーリリースストリームに提供されます。

カーネルの RHEL 8.1 バージョンの kpatch ストリームに登録するには、RHEA-2019:3695 アドバイザリーによる kpatch-patch-4_18_0-147 パッケージをインストールします。

詳細は、カーネルの管理、監視、および更新の「カーネルライブパッチを使用したパッチの適用」を参照してください。

(BZ#1763780)

RHEL 8 の Extended Berkeley Packet Filter

eBPF (extended Berkeley Packet Filter) は、一連の制限付きの関数にアクセスできる制限付きサンドボックス環境において、カーネル領域でのコード実行を可能にするカーネル内の仮想マシンです。この仮想マシンは、特別なアセンブリーのようなコードを実行します。そして、このコードはカーネルにロードされ、実行時コンパイラーでネイティブマシンコードに変換されます。eBPF 仮想マシンを使用する Red Hat には、多くのコンポーネントが同梱されています。各コンポーネントの開発フェーズはさまざまです。そのため、現在すべてのコンポーネントが完全にサポートされている訳ではありません。

RHEL 8.1 では、BPF Compiler Collection (BCC) ツールパッケージは、AMD および Intel 64 ビットアーキテクチャーで完全にサポートされています。BCC ツールパッケージは、eBPF 仮想マシンを使用する動的なカーネル追跡ユーティリティーのコレクションです。

現在、以下の eBPF コンポーネントをテクノロジープレビューとして利用できます。

  • 以下のアーキテクチャーの BCC ツールパッケージ: 64 ビット ARM アーキテクチャー、IBM Power Systems、リトルエンディアン、および IBM Z
  • すべてのアーキテクチャーにおける BCC ライブラリー
  • bpftrace トレース言語
  • eXpress Data Path (XDP) 機能

テクノロジープレビューのコンポーネントの詳細は、「カーネル」を参照してください。

(BZ#1780124)

Red Hat Enterprise Linux 8 が、early kdumpに対応しました。

early kdump 機能により、早い段階でクラッシュしても vmcore 情報を取得するのに十分な早さでクラッシュカーネルと initramfs の読み込みが行われるようになりました。

early kdump の詳細は /usr/share/doc/kexec-tools/early-kdump-howto.txt ファイルを参照してください。

(BZ#1520209)

RHEL 8 が ipcmni _extendに対応しました。

Red Hat Enterprise Linux 8 に、新しいカーネルコマンドラインパラメーター ipcmni_extend が追加されました。このパラメーターは、現在の最大 32 KB (15 ビット) から 16 MB (24 ビット) までの一意の System V プロセス間通信 (IPC) 識別子の数を拡張します。その結果、アプリケーションが多くの共有メモリーセグメントを生成するユーザーは、32 KB の制限を超過することなく、より強力な IPC 識別子を作成できます。

ipcmni_extend を使用すると、多少のパフォーマンスのオーバーヘッドが生まれます。そのため、アプリケーションが 32 KB 以上の一意の IPC 識別子を必要とする場合にのみ使用するようにしてください。

(BZ#1710480)

永続メモリーの初期化コードが並列初期化に対応しました。

永続メモリーの初期化コードを使用すると、永続メモリーの複数のノードを持つシステムで並列初期化が可能になります。並列初期化では、大量の永続メモリーを使用するシステムの全体的なメモリー初期化時間が大幅に削減されます。その結果、このシステムの起動速度がより高速になりました。

(BZ#1634343)

TPM ユーザー空間ツールが最新バージョンに更新されました。

tpm2-tools ユーザー空間ツールがバージョン 2.0 に更新されました。この更新で、tpm2-tools が多くの不具合を修正できるようになりました。

(BZ#1664498)

rngd デーモンが、root 以外の特権で実行可能になりました。

乱数ジェネレーターデーモン (rngd) は、乱数性のソースによって供給されるデータが十分にランダムなものかどうかをチェックしてから、カーネルの乱数エントロピープールにデータを格納します。今回の更新で、システムセキュリティーを向上するために、root 以外のユーザー権限で rngd を実行できるようになりました。

(BZ#1692435)

ibmvnic ドライバーの完全サポート

Red Hat Enterprise Linux 8.0 の導入では、IBM POWER アーキテクチャー (ibmvnic) 用の IBM Virtual Network Interface Controller (vNIC) ドライバーがテクノロジープレビューとして利用できました。vNIC は、エンタープライズ機能を提供し、ネットワーク管理を簡素化する PowerVM 仮想ネットワークテクノロジーです。SR-IOV NIC と組み合わせると、仮想 NIC レベルで帯域幅制御サービス品質 (QoS) 機能が提供される、高性能で効率的な技術です。vNIC は、仮想化のオーバーヘッドを大幅に削減するため、ネットワーク仮想化に必要な CPU やメモリーなど、待機時間が短縮され、サーバーリソースが少なくなります。

Red Hat Enterprise Linux 8.1 以降、ibmvnic デバイスドライバーは IBM POWER9 システムで完全にサポートされています。

(BZ#1665717)

Intel® Omni-Path Architecture (OPA) ホストソフトウェア

Red Hat Enterprise Linux 8.1 は、Intel Omni-Path Architecture (OPA) ホストソフトウェアに完全に対応しています。Intel OPA は、クラスター環境のコンピュートと I/O ノード間の高性能データ転送 (高帯域幅、高メッセージレート、低レイテンシー) のために、初期化とセットアップを行う Host Fabric Interface (HFI) ハードウェアを提供します。

Intel Omni-Path Architecture のインストール方法は、https://cdrdv2.intel.com/v1/dl/getContent/616368 を参照してください。

(BZ#1766186)

UBSan が、RHEL 8 のデバッグカーネルで有効化されました。

Undefined Behavior Sanitizer (UBSan) ユーティティーは、ランタイムでの C コード言語で未定義の動作の不具合を明らかにします。コンパイラーの動作が、開発者が予期したものと異なる場合があったため、このユーティリティーがデバッグカーネルで有効になりました。特に、コンパイラーの最適化の場合は、詳細なバグが表示されます。これにより、UBSan を有効にしてデバッグカーネルを実行すると、システムがこのようなバグを簡単に検出できるようになります。

(BZ#1571628)

RHEL 8 で fadump インフラストラクチャーが RHEL 8 での再登録に対応しました。

このサポートは、クラッシュメモリー範囲を更新するメモリーホットアド/リムーブの操作後に、ファームウェア支援ダンプ (fadump) インフラストラクチャーの再登録 (登録解除と登録) を行うために追加されました。この機能は、udev イベント時に fadump をユーザー空間から登録と登録を行う際に、システムの潜在的な問題が発生することを防ぐことを目的としています。

(BZ#1710288)

determine_maximum_mpps.sh スクリプトが RHEL for Real Time 8 に導入されました。

queuelat テストプログラムの使用を容易にするために、determine_maximum_mpps.sh スクリプトが導入されました。このスクリプトは queuelat を実行して、マシンが 1 秒あたりに処理可能な最大パケットを判断します。

(BZ#1686494)

kernel-rt ソースツリーが、最新の RHEL 8 ツリーに一致するようになりました。

kernel-rt ソースが最新の Red Hat Enterprise Linux カーネルソースツリーをベースとするようにアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。

(BZ#1678887)

ssdd テストが RHEL for Real Time 8 に追加されました。

ssdd テストが追加され、追跡サブシステムのストレステストが可能になりました。このテストは複数の追跡スレッドを実行して、追跡システム内でのロックが適切であることを確認します。

(BZ#1666351)

5.1.9. ハードウェアの有効化

Optane DC 永続メモリー技術用のメモリーモードに完全対応

Intel Optane DC Persistent Memory ストレージデバイスは、データセンタークラスの永続メモリー技術を提供し、トランザクションのスループットを大幅に向上させます。

メモリーモード技術を使用するために、システムに特別なドライバーや特定の認定を設定する必要ありません。メモリーモードは、オペレーティングシステムに対して透過的です。

(BZ#1718422)

IBM Z がシステムブート署名の検証に対応しました。

セキュアブートにより、システムファームウェアでカーネル空間コードの署名に使用された暗号鍵の信頼性をチェックできます。その結果、信頼できるベンダーのコードのみが実行可能なため、この機能によりセキュリティーが強化されます。

IBM z15 はセキュアブートを使用する必要があることに注意してください。

(BZ#1659399)

5.1.10. ファイルシステムおよびストレージ

DIF/DIX (Data Integrity Field/Data Integrity Extension) への対応

DIF/DIX は、ハードウェアの製造元が認定した設定に対応し、RHEL で特定のホストバスアダプター (HBA) およびストレージアレイ設定に完全対応します。

DIF/DIX は、以下の設定では対応していません。

  • 起動デバイスでの使用には対応していません。
  • 仮想化ゲストでは対応していません。
  • Red Hat は、DIF/DIX が有効な場合に、Automatic Storage Management ライブラリー (ASMLib) の使用に対応しません。

DIF/DIX は、ストレージデバイスで有効または無効になります。これは、そのアプリケーションまでのさまざまな層 (そのアプリケーションも含む) に関与します。ストレージデバイスで DIF をアクティベートする方法は、デバイスによって異なります。

DIF/DIX 機能の詳細は「DIF/DIX (別名 PI) はどのような機能ですか? Red Hat のサポート対象ですか?」を参照してください。

(BZ#1649493)

Optane DC メモリーシステムが EDAC レポートに対応するようになりました。

以前では、メモリーアドレスが NVDIMM モジュール内にある場合は、修正済みまたは未修正イベントを報告することができませんでした。今回の更新で、EDAC は正しいメモリーモジュール情報とともにイベントを適切に報告できるようになりました。

(BZ#1571534)

VDO Ansible モジュールが Ansible パッケージに移動しました。

以前では、VDO Ansible モジュールは vdo RPM パッケージで提供されていました。このリリースから、このモジュールは代わりに ansible パッケージで提供されます。

VDO Ansible モジュールファイルの元の場所は以下の通りです。

/usr/share/doc/vdo/examples/ansible/vdo.py

このファイルの新しい場所は、以下の通りです。

/usr/lib/python3.6/site-packages/ansible/modules/system/vdo.py

vdo パッケージは引き続き Ansible Playbook を配信します。

Ansible についての詳細は、http://docs.ansible.com/ を参照してください。

(BZ#1669534)

Aero アダプターが完全対応になりました。

以前テクノロジープレビューとして利用できた以下の Aero アダプターが、完全にサポートされるようになりました。

  • PCI ID 0x1000:0x00e2 and 0x1000:0x00e6 (mpt3sas ドライバーにより制御)
  • PCI ID 0x1000:Ox10e5 and 0x1000:0x10e6 (megaraid_sas ドライバーにより制御)

(BZ#1663281)

LUKS2 がオンライン再暗号化をサポートするようになりました。

Linux Unified Key Setup バージョン 2 (LUKS2) 形式は、デバイスが使用中の間に暗号化したデバイスの再暗号化に対応しています。たとえば、以下のタスクを実行するにあたり、デバイスでファイルシステムをアンマウントする必要はありません。

  • ボリュームキーの変更
  • 暗号化アルゴリズムの変更

暗号化されていないデバイスを暗号化する場合は、ファイルシステムのマウントを依然として解除する必要がありますが、暗号化は大幅に速くなります。暗号化の短い初期化後にファイルシステムを再マウントできます。

また、LUKS2 の再暗号化は、より回復力があります。再暗号化プロセスで、パフォーマンスやデータ保護の優先度を設定する複数のオプションを選択できます。

LUKS2 再暗号化を実行するには、cryptsetup reencrypt サブコマンドを使用します。Red Hat は、LUKS2 形式への cryptsetup-reencrypt ユーティリティーの使用推奨をやめました。

LUKS1 形式は、オンライン再暗号化に対応しておらず、cryptsetup reencrypt サブコマンドは LUKS1 と互換性がなことに注意してください。LUKS1 デバイスを暗号化または再暗号化するには、cryptsetup-reencrypt ユーティリティーを使用します。

ディスク暗号化の詳細は、「LUKS を使用したブロックデバイスの暗号化」ください。

(BZ#1676622)

RHEL 8 で利用可能な ext4 の新機能

RHEL 8 において、新しく完全に対応した ext4 の機能は次のとおりです。

  • デフォルト以外の機能:

    • project
    • quota
    • mmp
  • デフォルト以外のマウントオプション:

    • bsddf|minixdf
    • grpid|bsdgroups および nogrpid|sysvgroups
    • resgid=n および resuid=n
    • errors={continue|remount-ro|panic}
    • commit=nrsec
    • max_batch_time=usec
    • min_batch_time=usec
    • grpquota|noquota|quota|usrquota
    • prjquota
    • DAX
    • lazytime|nolazytime
    • discard|nodiscard
    • init_itable|noinit_itable
    • jqfmt={vfsold|vfsv0|vfsv1}
    • usrjquota=aquota.user|grpjquota=aquota.group

機能およびマウントオプションの詳細は、man ページの ext4 を参照してください。その他の ext4 機能またはマウントオプション、あるいはこれら両方、機能の組み合わせまたはマウントオプション、あるいはその両方は、Red Hat では完全にサポートされていない場合があります。Red Hat リリースで完全に対応していない機能またはマウントオプションが特別なワークロードに必要な場合は、Red Hat サポートまでご連絡ください。対応リストへの包含を検討させていただきます。

(BZ#1741531)

NVMe over RDMA が IBM Coral システムのターゲットモードでの Infiniband に対応しました。

RHEL 8.1 では、NMVe over RDMA が、NVMe PCIe 1 をカードにターゲットとして追加して、IBM Coral システムのターゲットモードでの Infiniband に対応するようになりました。

(BZ#1721683)

5.1.11. 高可用性およびクラスター

Pacemaker が、concurrent-fencing クラスタープロパティーを true にデフォルト設定するようになりました。

複数のクラスターノードが同時にフェンシングされる必要があり、設定済みの異なるフェンスデバイスを使用する場合、Pacemaker は、以前と同様にシリアル化されるのではなく、フェンシングを同時に実行するようになりました。これにより、複数のノードがフェンスされる必要がある場合、大規模なクラスターにの復旧が素早くなることがあります。

(BZ#1715426)

共有論理ボリュームの拡張では、すべてのクラスターノードでの更新が不要になりました。

今回のリリースで、共有論理ボリュームを拡張する際に、いずれかのクラスターノードで lvextend コマンドを実行した後、すべてのクラスターノードでの更新が不要になりました。GFS2 ファイルシステムのサイズを拡張するすべての手順は、「GFS2 ファイルシステムの拡張」を参照してください。

(BZ#1649086)

対応している RHEL HA クラスターの最大サイズが 16 ノードから 32 ノードに増大しました。

今回のリリースで、Red Hat は、最大 32 個の完全クラスターノードのクラスターデプロイメントに対応します。

(BZ#1693491)

5.1.12. 動的プログラミング言語、Web サーバー、およびデータベースサーバー

新しいモジュールストリーム: php:7.3

RHEL 8.1 では PHP 7.3 が導入され、数多くの新機能および機能強化が追加されました。以下は、主な変更点です。

  • 強化され、より柔軟になった heredocnowdoc 構文
  • PCRE 拡張を PCRE2 にアップグレード
  • 改善されたマルチバイト文字列処理
  • LDAP コントロールのサポート
  • 改善された FastCGI Process Manager (FPM) ロギング
  • 非推奨および後方互換性のない変更

詳細は「Migrating from PHP 7.2.x to PHP 7.3.x」を参照してください。

RHEL 8 バージョンの PHP 7.3 は、Argon2 パスワードハッシュアルゴリズムに対応していません。

php:7.3 ストリームをインストールするには、以下を使用します。

# yum install @php:7.3

php:7.2 ストリームからアップグレードする場合は、「後続のストリームへの切り替え」を参照してください。

(BZ#1653109)

新しいモジュールストリーム: ruby:2.6

新しいモジュールストリーム ruby:2.6 が利用できるようになりました。RHEL 8.1 に含まれている Ruby 2.6.3 は、RHEL 8.0 で配布されていたバージョン 2.5 に対して新機能、機能拡張、バグ、セキュリティー修正などを多数提供しています。

主な機能強化は、以下の通りです。

  • 定数名が、ASCII 以外の大文字で開始できるようになりました。
  • 制限なしの範囲サポートが追加されました。
  • 新しい Binding#source_location メソッドを利用できるようになりました。
  • $SAFE はプロセスのグローバル状態となります。これは 0 に戻すことができます。

以下のパフォーマンスの向上が実装されています。

  • Proc#call および block.call プロセスが最適化されました。
  • 新しいガベッジコレクターマネージドヒープの theap (Transient heap) が導入されました。
  • 各アーキテクチャーに、コルーチンのネイティブ実装が導入されました。

また、ruby:2.5 ストリームで提供される Ruby 2.5 は、バージョン 2.5.5 にアップグレードされ、バグ修正およびセキュリティー修正が数多く追加されました。

ruby:2.6 ストリームをインストールするには、以下を実行します。

# yum install @ruby:2.6

php:2.5 ストリームからアップグレードする場合は、「後続のストリームへの切り替え」を参照してください。

(BZ#1672575)

新しいモジュールストリーム: nodejs:12

RHEL 8.1 では Node.js 12 が導入され、バージョン 10 に対する新機能および機能強化が数多く追加されました。以下は、主な変更点です。

  • V8 エンジンがバージョン 7.4 にアップグレード
  • 新しいデフォルト HTTP パーサー、llhttp (実験対象外になりました)
  • ヒープダンプ生成の統合機能
  • ECMAScript 2015 (ES6) モジュールのサポート
  • ネイティブモジュールのサポートの改善
  • ワーカースレッドへのフラグが不要に
  • 実験的な診断機能を新たに追加
  • パフォーマンスの向上

nodejs:12 ストリームをインストールするには、以下を使用します。

# yum install @nodejs:12

nodejs:10 ストリームからアップグレードする場合は、「後続のストリームへの切り替え」を参照してください。

(BZ#1685191)

Judy-devel が CRB で利用可能になりました。

Judy-devel パッケージが、CodeReady Linux Builder リポジトリー (CRB)mariadb-devel:10.3 モジュールの一部として利用できるようになりました。そのため、開発者は Judy ライブラリーを使用してアプリケーションをビルドできるようになりました。

Judy-devel パッケージをインストールするには、まず mariadb-devel:10.3 モジュールを有効にします。

# yum module enable mariadb-devel:10.3
# yum install Judy-devel

(BZ#1657053)

Python 3 の FIPS コンプライアンス

今回の更新で、OpenSSL FIPS モードのサポートが Python 3 に追加されました。説明:

  • FIPS モードでは、blake2sha3、および shake ハッシュ は OpenSSL ラッパーを使用します。ただし、拡張機能 (キー、ツリーハッシュ、カスタムダイジェストサイズなど) は提供しません。
  • FIPS モードでは、hmac.HMAC クラスは OpenSSL ラッパーまたは OpenSSL ハッシュ名が digestmod 引数として指定された文字列でのみインスタンス化できます。md5 アルゴリズムのデフォルトの代わりに、引数を指定する必要があります。

ハッシュ関数は、OpenSSL FIPS モードでセキュアでないハッシュの使用を可能にする、usedforsecurity 引数に対応していることに注意してください。ユーザーは、関連するすべての標準への準拠を確実にする必要があります。

(BZ#1731424)

python3-wheel における FIPS コンプライアンスの変更

python3-wheel パッケージの今回の更新で、FIPS に準拠していないデータの署名および検証を行うための組み込みの実装が削除されます。

(BZ#1731526)

新しいモジュールストリーム: nginx:1.16

nginx 1.16 Web およびプロキシーサーバーが利用できるようになりました。このサーバーでは、1.14 に対する数多くの新しい機能や強化を提供します。以下に例を示します。

  • SSL に関連する多くの更新 (変数からの SSL 証明書および秘密鍵のロード。ssl_certificate ディレクティブおよび ssl_certificate_key ディレクティブ、新しい ssl_early_data ディレクティブにおける変数サポート)
  • 新しい keepalive 関連のディレクティブ
  • 負荷分散を分配するための新しい random ディレクティブ
  • 既存のディレクティブに対する新パラメーターおよび改善 (listen ディレクティブのポート範囲、limit_req ディレクティブの新しい delay パラメーター。2 ステージのレート制限を有効化)
  • 新しい $upstream_bytes_sent 変数
  • UDP (User Datagram Protocol) プロキシーの改善

その他の主な変更点は次の通りです。

  • nginx:1.16 ストリームでは、nginx パッケージには nginx-all-modules パッケージは必要ありません。したがって、nginx モジュールを明示的にインストールする必要があります。nginx をモジュールとしてインストールする場合、nginx-all-modules パッケージは、デフォルトのプロファイルである common プロファイルの一部としてインストールされます。
  • ssl ディレクティブが非推奨となり、代わりに listen ディレクティブに ssl パラメーターを使用します。
  • nginx が、設定テスト時に欠如している SSL 証明書を検出するようになりました。
  • listen ディレクティブでホスト名を使用する場合、nginx が、ホスト名が解決するすべてのアドレスに対してリスニングソケットを作成します。

nginx:1.16 ストリームをインストールするには、以下を実行します。

# yum install @nginx:1.16

nginx:1.14 ストリームからアップグレードする場合は、「後続のストリームへの切り替え」を参照してください。

(BZ#1690292)

perl-IO-Socket-SSL がバージョン 2.066 にリベースされました。

perl-IO-Socket-SSL パッケージがバージョン 2.066 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。例:

  • TLS 1.3 のサポートが改善されました。特に、セッション再利用、クライアントサイドでの自動ハンドシェイク認証が改善されています。
  • 複数の曲線、曲線の自動設定、部分的な信頼チェーン、および同一ドメインの RSA 証明書および ECDSA 証明書のサポートを追加しました。

(BZ#1632600)

perl-Net-SSLeay がバージョン 1.88 にリベースされました。

perl-Net-SSLeay パッケージがバージョン 1.88 にアップグレードされ、バグ修正および機能強化が複数追加されました。以下は、主な変更点です。

  • 証明書および X509 ストアのスタックの操作、楕円曲線およびグループの選択など、OpenSSL 1.1.1 との互換性を強化
  • TLS 1.3 との互換性の向上 (セッションの再使用、ハンドシェイク認証など)
  • cb_data_advanced_put() サブルーチンでのメモリー漏えいが修正されました。

(BZ#1632597)

5.1.13. コンパイラーおよび開発ツール

GCC Toolset 9 が利用可能になりました。

Red Hat Enterprise Linux 8.1 では、最新バージョンの開発ツールを含むアプリケーションストリームの GCC Toolset 9 が導入されました。

以下のツールおよびバージョンは、GCC Toolset 9 で利用できます。

ツールバージョン

GCC

9.1.1

GDB

8.3

Valgrind

3.15.0

SystemTap

4.1

Dyninst

10.1.0

binutils

2.32

elfutils

0.176

dwz

0.12

make

4.2.1

strace

5.1

ltrace

0.7.91

annobin

8.79

GCC Toolset 9 は、AppStream リポジトリー内の Software Collection の形式で、Application Stream として利用できます。GCC Toolset は、RHEL 7 の Red Hat Developer Toolset に類似したツールセットです。

GCC Toolset 9 をインストールするには、以下のコマンドを実行します。

# yum install gcc-toolset-9

GCC Toolset 9 のツールを実行するには、以下のコマンドを実行します。

$ scl enable gcc-toolset-9 tool

GCC Toolset 9 のツールバージョンが、これらのツールのシステムバージョンよりも優先されるシェルセッションを実行するには、以下のコマンドを実行します。

$ scl enable gcc-toolset-9 bash

使用方法の詳細は「GCC Toolset の使用」参照してください。

(BZ#1685482)

アップグレードされたコンパイラーツールセット

アプリケーションストリームとして配布されている以下のコンパイラーツールセットが、RHEL 8.1 でアップグレードされました。

  • LLVM コンパイラーインフラストラクチャーフレームワーク、C および C++ 言語用の Clang コンパイラー、LLDB デバッガー、コード分析用の関連ツールをバージョン 8.0.1 に提供する Clang と LLVM Toolset。
  • Rust プログラミング言語コンパイラー rustccargo ビルドツールおよび依存マネージャー、および必要なライブラリーをバージョン 1.37 に提供します。
  • Go Toolset は、Go (golang) プログラミング言語ツールおよびライブラリーをバージョン 1.12.8 に提供します。

(BZ#1731502, BZ#1691975, BZ#1680091, BZ#1677819, BZ#1681643)

SystemTap がバージョン 4.1 にリベースされました。

SystemTap インストラクションツールが、アップストリームバージョン 4.1 に更新されました。以下は、主な改善点です。

  • eBPF ランタイムバックエンドは、文字列変数やリッチフォーマット印刷などのスクリプト言語のより多くの機能を処理できます。
  • トランスレーターのパフォーマンスが大幅に改善されました。
  • 最適化された C コードでさらにタイプのデータを DWARF4 debuginfo コンストラクトで抽出できるようになりました。

(BZ#1675740)

DHATツールの一般公開

Red Hat Enterprise Linux 8.1 では、DHAT ツールが一般公開されました。これは、valgrind ツールバージョン 3.15.0 をベースにしています。

valgrind ツール機能の変更および実行機能は以下のとおりです。

  • --tool=exp-dhat の代わりに --tool=dhat を使用します。
  • dchat ツールがプログラム終了後に最低限のデータを出力するため、--show-top-n オプションおよび --sort-by オプションは削除されました。
  • JavaScript プログラムである新しいビューアーの dh_view.html には、プロファイル結果が含まれます。短いメッセージでは、実行終了後に結果を表示する方法が説明されています。
  • ビューアーのドキュメントは /usr/libexec/valgrind/dh_view.html にあります。
  • DHAT ツールに関するドキュメントは、/usr/share/doc/valgrind/html/dh-manual.html にあります。
  • amd64 (x86_64) のサポート: RDRAND および F16C insn セットの拡張機能が追加されました。
  • cachegrind では、cg_annotate コマンドに新たなオプション --show-percs が追加されました。これは、すべてのイベント数の横にパーセンテージを出力します。
  • callgrind では、callgrind_annotate コマンドに新たなオプション --show-percs が追加されました。これは、すべてのイベント数の横にパーセンテージを出力します。
  • massif では、--read-inline-info のデフォルト値が yes になりました。
  • 出力リークが xtree 形式になる memcheck オプションの --xtree-leak=yesでは、--show-leak-kinds=all オプションが自動的に有効になります。
  • 新しいオプションの --show-error-list=no|yes を指定すると、実行の最後に、検出されたエラーと使用した抑制が表示されます。以前では、ユーザーは valgrind コマンドに -v オプションを指定できましたが、混乱する可能性のある情報が多く表示されていました。オプション -s は、--show-error-list=yes オプションと同等の意味を持ちます。

(BZ#1683715)

elfutils がバージョン 0.176 にリベースされました。

elfutils パッケージが、アップストリームバージョン 0.176 に更新されました。このバージョンでは、さまざまなバグ修正が提供され、以下の脆弱を解決しています。

以下は、主な改善点です。

  • libdw ライブラリーは、dwelf_elf_begin() 関数で拡張されています。これは、圧縮ファイルを扱う elf_begin() のバリアントです。
  • 新しい --reloc-debug-sections-only オプションが eu- strip ツールに追加され、その他のストライプなしでデバッグセクション間の簡単な再配置をすべて解決します。この機能は、特定の状況における ET_REL ファイルにのみ関連します。

(BZ#1683705)

glibc の追加メモリー割り当てチェック

アプリケーションメモリーの破損は、アプリケーションとセキュリティー上の問題を引き起こします。検出のコストとの釣り合いの破損などの早期検出では、アプリケーション開発者は大きなメリットが得られます。

検出を改善するために、RHEL のコア C ライブラリーである GNU C ライブラリー (glibc) の malloc メタデータに、さらに 6 つのメモリー破損チェックが追加されました。これらの追加チェックは、ランタイムパフォーマンスをさほど犠牲にせずに追加されました。

(BZ#1651283)

GDB はより多くの POWER8 レジスターにアクセスできます。

今回の更新で、GNU デバッガー (GDB) とリモートのスタブ gdbserver は、以下の追加レジスターにアクセスでき、IBM の POWER8 プロセッサー行のセットを登録します。

  • PPR
  • DSCR
  • TAR
  • EBB/PMU
  • HTM

(BZ#1187581)

binutils 逆アセンブラーが NFP バイナリーファイルを処理できるようになりました。

binutils パッケージの逆アセンブリーツールが、Netronome Flow Processor (NFP) ハードウェアシリーズのバイナリーファイルを処理するように拡張されました。この機能は、BPF (bpftool Berkeley Packet Filter) コードコンパイラーでさらなる機能を有効にする必要があります。

(BZ#1644391)

部分的に書き込み可能な GOT セクションが IBM Z アーキテクチャーでサポートされるようになりました。

ローダーの「レイジーバインディング」機能を使用する IBM Z バイナリーは、部分的に書き込み可能なグローバルオフセットテーブル (GOT) セクションを生成することで強化できるようになりました。これらのバイナリーには、読み取り/書き込み可能な GOT が必要ですが、すべてのエントリーを書き込み可能にする必要はありません。今回の更新により、潜在的な攻撃からエントリーを保護できるようになりました。

(BZ#1525406)

binutils が IBM Z の Arch13 プロセッサーに対応するようになりました。

今回の更新で、Arch13 プロセッサーに関連する拡張機能のサポートが IBM Z アーキテクチャーの binutils パッケージに追加されました。その結果、IBM Z の arch13 対応 CPU で利用可能な機能を使用できるカーネルを構築できるようになりました。

(BZ#1659437)

dyninst がバージョン 10.1.0 にリベースされました。

Dyninst インストゥルメンテーションライブラリーがアップストリームバージョン 10.1.0 に更新されました。以下は、主な変更点です。

  • Dynist は、Linux PowerPC Little Endian (ppcle) および 64 ビット ARM (aarch64) アーキテクチャーに対応します。
  • パラレルコード分析を使用することで、開始時間を改善しました。

(BZ#1648441)

日本語の令和に対する日付形式が更新されました。

GNU C ライブラリーは、2019 年 5 月 1 日をもって、令和に正しい日本語の年号フォーマットを利用できるようになりました。strftime 関数および strptime 関数によって使用されるデータなど、API データを処理する時間が更新されました。strftime%EC%EY、または %Ey など、いずれかの年号の変換指定子とともに使用されると、すべての API は令和時代を正しく出力します。

(BZ#1577438)

Performance Co-Pilot がバージョン 4.3.2 にリベースされました。

RHEL 8.1 では、Performance Co-Pilot (PCP) ツールがアップストリームバージョン 4.3.2 に更新されました。以下は、主な改善点です。

  • Linux カーネルエントロピー、Pressure Stall Information、Nvidia GPU 統計など、新しいメトリクスが追加されました。
  • pcp-dstatpcp-atopperfevent PMDA などのツールが、新しいメトリクスを報告するように更新されました。
  • Grafana によるパフォーマンス PCP 統合を行うための pmseries ユーティリティーおよび pmproxy ユーティリティーが更新されました。

このリリースは、ライブラリー、有線プロトコル、オンディスク PC アーカイブフォーマットと後方互換性があります。

(BZ#1685302)

5.1.14. ID 管理

IdM が、インストールおよび管理用の Ansible ロールとモジュールに対応しました。

今回の更新で、Identity Management (IdM) のデプロイメントおよび管理の Ansible ロールとモジュールを提供する ansible-freeipa パッケージが導入されました。Ansible ロールを使用して、IdM サーバー、レプリカ、およびクライアントのインストールとアンインストールを行うことができます。Ansible モジュールを使用して、IdM グループ、トポロジー、およびユーザーを管理できます。また、サンプル Playbook も用意されています。

今回の更新で、IdM ベースのソリューションのインストールおよび設定が容易になります。

(JIRA:RHELPLAN-2542)

IdM デプロイメントの全体的な適合性をテストするための新しいツール: healthcheck

今回の更新で、Identity Management (IdM) に Healthcheck ツールが追加されました。このツールでは、現在の IdM サーバーが正しく設定され、正しく実行されていることを確認するテストを利用できます。

現在対象のチェック項目: * 証明書の設定と有効期限 * レプリケーションエラー * レプリケーショントポロジー * AD Trust 設定 * サービスステータス * 重要な設定ファイル のファイルパーミッション * ファイルシステムの容量

The Healthcheck ツールは、コマンドラインインターフェース (CLI) で利用できます。

(JIRA:RHELPLAN-13066)

IdM は、サーバーがオフライン時の期限切れのシステム証明書の更新を行えるようになりました。

この機能強化により、Identity Management (IdM) がオフラインのときでも、管理者は期限が切れたシステムの証明書を更新できます。システム証明書の期限が切れると、IdM が起動できません。新しい ipa-cert-fix コマンドは、新しいプロセスを続行するために日付を手動で設定する回避策に取って代わります。その結果、上述のシナリオのダウンタイムとサポートコストが低減します。

(JIRA:RHELPLAN-13074)

Identity Management が Windows Server 2019 との信頼に対応しました。

Identity Management を使用すると、Windows Server 2019 によって実行される Active Directory フォレストへの、対応フォレストトラストを確立できるようになりました。対応のフォレストおよびドメイン機能レベルは変更されず、最大レベル Windows Server 2016 まで対応されます。

(JIRA:RHELPLAN-15036)

Samba がバージョン 4.10.4 にリベースされました。

samba パッケージがアップストリームバージョン 4.10.4 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。

  • Samba 4.10 は Python 3 に完全に対応します。今後の Samba バージョンには、Python 2 のランタイムサポートが含まれないことに注意してください。
  • JSON (JavaScript Object Notation) ロギング機能が、認証メッセージの Windows イベント ID とログオンタイプをログに記録するようになりました。
  • ユーザー空間 (FUSE) モジュールで新たな vfs_glusterfs_fuse ファイルシステムにより、Samba が GlusterFS ボリュームにアクセスする際にパフォーマンスが向上します。このモジュールを有効にするには、/etc/samba/smb.conf ファイルの共有の vfs_objects パラメーターに glusterfs_fuse を追加します。vfs_glusterfs_fuse は、既存の vfs_glusterfs モジュールに取って代わるわけではないことに注意してください。
  • サーバーメッセージブロック (SMB) クライアントの Python バインディングは非推奨となり、今後の Samba リリースでは削除されます。これは、Samba Python バインディングを使用して独自のユーティリティーを書き込むユーザーにのみ適用されます。

smbdnmbd、または winbind サービスが起動すると、Samba は tdb データベースファイルを自動的に更新します。Samba を起動する前にデータベースファイルをバックアップします。Red Hat は、tdb データベースファイルのダウングレードをサポートしていないことに注意してください。

主な変更の詳細は、更新前のアップストリームのリリースノート https://www.samba.org/samba/history/samba-4.10.0.html をお読みください。

(BZ#1638001)

OpenLDAP のシステム全体の証明書ストアの場所を更新しました。

OpenLDAP の信頼できる CA のデフォルトの場所が、/etc/openldap/certs ではなく、システム全体の証明書ストア (/etc/pki/ca-trust/source) を使用するよう更新されました。この変更により、CA 信頼の設定が簡素化されています。

サービス固有の要件がない限り、CA 信頼の設定に特別な設定は不要です。たとえば、LDAP サーバーの証明書を LDAP クライアント接続用にのみ信頼する必要があるとします。この場合は、事前に CA 証明書を設定する必要があります。

(JIRA:RHELPLAN-7109)

IdM CRL マスターの管理を簡素化するために、新しい ipa-crl-generation コマンドが導入されました。

今回の更新で、ipa-crl-generation status/enable/disable コマンドが導入されました。これらのコマンドは、root ユーザーで実行すると、IdM の Certificate Revocation List (CRL) で簡単に機能します。以前は、CRL 生成マスターの、ある IdM CA サーバーから別のサーバーへの移動が、手動で行われ、エラーを引き起こし易い手順でした。

ipa-crl-generation status コマンドは、現在のホストが CRL 生成マスターかどうかを確認します。ipa-crl-generation enable コマンドは、現在のホストが IdM CA サーバーの場合、現在のホストを IdM の CRL 生成マスターにします。ipa-crl-generation disable コマンドは、現在のホストでの CRL 生成を停止します。

さらに、ipa-server-install --uninstall コマンドには、ホストが CRL 生成マスターであるかどうかについての安全確認が含まれるようになりました。このように、IdM は、システム管理者がトポロジーから CRL 生成マスターを削除しないようにします。

(JIRA:RHELPLAN-13068)

keycloak-httpd-client-install における OpenID Connect サポート

keycloak-httpd-client-install アイデンティティープロバイダーは以前、mod_auth_mellon 認証モジュールによる SAML (Security Assertion Markup Language) 認証のみをサポートしていました。このリベースでは mod_auth_openidc 認証モジュールサポートが導入され、OpenID Connect 認証の設定が可能になります。

keycloak-httpd-client-install アイデンティティープロバイダーでは、mod_auth_openidc を設定して、apache インスタンスを OpenID Connect クライアントとして設定できます。

(BZ#1553890)

非表示のレプリカとして IdM を設定することがテクノロジープレビューとして利用可能になりました。

この機能拡張により、管理者は Identity Management (IdM) レプリカを隠しレプリカとして設定できるようになりました。隠しレプリカは、稼働中および利用できるすべてのサービスを持つ IdM サーバーです。ただし、DNS のサービスに SRV レコードが存在せず、LDAP サーバーロールが有効になっていないため、他のクライアントやマスターには通知されません。そのため、クライアントはサービス検出を使用して隠しレプリカを検出することはできません。

隠しレプリカは主にクライアントを中断できる専用のサービス用に設計されています。たとえば、IdM の完全バックアップは、マスターまたはレプリカ上のすべての IdM サービスをシャットダウンする必要があります。非表示のレプリカを使用するクライアントはないため、管理者はクライアントに影響を与えることなく、このホスト上のサービスを一時的にシャットダウンできます。その他のユースケースには、大量インポートや詳細なクエリーなど、IdM API または LDAP サーバーの高負荷操作が含まれます。

隠しレプリカを新たにインストールするには、ipa-replica-install -- hidden-replica コマンドを使用します。既存のレプリカの状態を変更するには、ipa server-state コマンドを使用します。

(BZ#1719767)

IdM がテクノロジープレビューとして、IdM ドメインメンバーでの Samba サーバー設定に対応しました。

今回の更新で、Identity Management (IdM) ドメインメンバーに Samba サーバーを設定できるようになりました。同じ名前パッケージに含まれる新しい ipa-client-samba ユーティリティーは、Samba 固有の Kerberos サービスプリンシパルを IdM に追加し、IdM クライアントを準備します。たとえば、ユーティリティーは、sss ID マッピングバックエンドの ID マッピング設定で /etc/samba/smb.conf を作成します。これにより、管理者が IdM ドメインメンバーに Samba を設定できるようになりました。

詳細は、「IdM ドメインメンバーで Samba を設定」参照してください。

(JIRA:RHELPLAN-13195)

5.1.15. デスクトップ

GNOME クラシックでのワークスペーススイッチの変更を行いました。

GNOME クラシック環境のワークスペーススイッチが変更されました。このスイッチは、一番下のバーの右部分に移動され、横線のサムネイルとして設計されています。ワークスペース間の切り替えは、必要なサムネイルをクリックすることで可能です。または、Ctrl+Alt+down/up arrow キーの組み合わせを使用してワークスペース間を切り換えることもできます。アクティブなワークスペースの内容は、ウィンドウリストの形式で、下部のバーの左側に表示されます。

特定のワークスペース内で Super キーを押すと、このワークスペースで開いているすべてのウィンドウを含む、ウィンドウピッカー が表示されます。ただし、ウィンドウピッカーには、以前の RHEL リリースで使用できた以下の要素が表示されなくなりました。

  • dock (画面の左端にある垂直バー)
  • ワークスペーススイッチ (画面の右側の垂直バー)
  • 検索エントリー

これらの要素で以前に達成されていた特定のタスクには、以下の方法が採用されます。

  • アプリケーションを起動するには、dock を使うのではなく、以下を行います。

    • トップバーで アプリケーション メニューを使用する
    • kdb:[Alt + F2] キーを押すと、Enter a Command 画面が表示されます。この画面で実行可能ファイルの名前を書き込みます。
  • 垂直の ワークスペーススイッチ を使用せずにワークスペース間の切り換えるには、右下部のバーの水平の ワークスペーススイッチ を使用します。
  • 検索エントリー または垂直の ワークスペーススイッチ が必要な場合は、GNOME クラシックではなく GNOME Standard 環境を使用します。

(BZ#1704360)

5.1.16. グラフィックインフラストラクチャー

DRM が Linux カーネルバージョン 5.1 にリベースされました。

DRM (Direct Rendering Manager) カーネルグラフィックサブシステムが、アップストリームの Linux カーネルバージョン 5.1 にリベースされ、バグ修正および拡張機能が数多く追加されました。以下に例を示します。

  • mgag200 ドライバーが更新されました。このドライバーは、Matrox G200 eh3 GPU を使用する HPE Proliant Gen10 システムのサポートを継続的に提供します。この更新されたドライバーは、現在および新しい Dell EMC PowerEdge サーバーにも対応しています。
  • NVIDIA GPU を使用する現在および今後の Lenovo プラットフォームにハードウェア対応を提供するように、nouveau ドライバーが更新されました。
  • 現在および新しい Intel GPU のサポートを継続するために、i915 ディスプレイドライバーが更新されました。
  • Aspeed ASt BMC ディスプレイチップのバグ修正が追加されました。
  • AMD Raven 2 セットの Accelerated Processing Units (APU) のサポートが追加されました。
  • AMD Picasso APU のサポートが追加されました。
  • AMD Vega GPU のサポートが追加されました。
  • Intel Amber Lake-Y および Intel Comet Lake-U GPU のサポートが追加されました。

(BZ#1685552)

AMD Picasso グラフィックカードのサポート

今回の更新で、amdgpu グラフィックドライバーが導入されました。これにより、AMD Picasso グラフィックカードが RHEL 8 で完全にサポートされるようになりました。

(BZ#1685427)

5.1.17. Web コンソール

SMT の有効化と無効化

RHEL 8 では、同時マルチスレッド (SMT) 設定が利用できるようになりました。Web コンソールで SMT を無効にすると、以下のような CPU セキュリティー脆弱性を軽減できます。

(BZ#1678956)

Services ページの検索ボックスの追加

Services ページには、以下別にサービスをフィルタリングするための検索ボックスがあります。

  • 名前
  • 説明
  • 状態

さらに、サービスの状態が 1 つのリストにマージされました。また、ページ上部のスイッチボタンもタブに変更され、サービス ページのユーザーエクスペリエンスが向上されました。

(BZ#1657752)

ファイアウォールゾーンのサポートの追加

Networking ページのファイアウォール設定が、以下に対応するようになりました。

  • ゾーンの追加および削除
  • 任意のゾーンへのサービスの追加または削除
  • firewalld サービスに加え、カスタムポートの設定。

(BZ#1678473)

仮想マシン設定の改善の追加

この更新では、RHEL 8 Web コンソールに、Virtual Machines ページの多くの改善が含まれます。以下が可能になります。

  • さまざまなタイプのストレージプールの管理
  • 仮想マシンの自動起動の設定
  • 既存の qcow イメージのインポート
  • PXE ブートによる仮想マシンのインストール
  • メモリー割り当ての変更
  • 仮想マシンの一時停止/再開
  • キャッシュ特性の設定 (directsync、ライトバック)
  • ブート順序の変更

(BZ#1658847)

5.1.18. 仮想化

Windows は必要な virtio-win ドライバーを自動的に検出します。

Windows は virtio-win ドライバーを自動的に見つけることで、ユーザーがこれらの配置フォルダーを選択しなくても、ドライバー ISO から必要なドライバーを自動的に見つけることができます。

BZ#1223668

KVM が、5 レベルのページングをサポートします。

Red Hat Enterprise Linux 8 では、KVM 仮想化は、5 レベルのページング機能をサポートします。これにより、選択したホスト CPU で、ホストおよびゲストのシステムが使用できる物理アドレスおよび仮想アドレス空間が大幅に増加します。

(BZ#1526548)

スマートカード共有が ActiveClient ドライバーにより Windows ゲストで対応するようになりました。

今回の更新で、Windows ゲスト OS および ActivClient ドライバーを使用する仮想マシンでスマートカードの共有のサポートが追加されました。これにより、これらの仮想マシンでエミュレートされたスマートカードまたは共有スマートカードを使用したユーザーログインに対するスマートカード認証が有効になります。

BZ#1615840

virt-xml に新しいオプションが追加されました。

virt-xml ユーティリティーで、以下のコマンドラインオプションを指定できるようになりました。

  • --no-define - virt-xml コマンドによる仮想マシン (VM) への変更は永続設定に保存されません。
  • --start - 要求された変更を行った後に、仮想マシンを起動します。

これらの 2 つのオプションを指定して、ユーザーは仮想マシンの構成を変更し、変更を永続化せずに、新しい設定で仮想マシンを起動します。たとえば、次の起動で testguest 仮想マシンの起動順序がネットワークに変更され、起動を開始します。

virt-xml testguest  --start --no-define --edit --boot network

(JIRA:RHELPLAN-13960)

KVM で対応する IBM z14 GA2 CPU

この更新により、KVM は IBM z14 GA2 CPU モデルに対応しています。これにより、RHEL 8 を使用する IBM z14 GA2 ホストで、ゲスト内に IBM z14 GA2 CPU を持つホスト OS として仮想マシンを作成できます。

(JIRA:RHELPLAN-13649)

NVIDIA NVLink2 が、IBM POWER9 の仮想マシンと互換性を持つようになりました。

NVLink2 機能に対応した NVIDIA vGPU が、IBM POWER9 システムの RHEL 8 ホストで実行している仮想マシンに割り当てられるようになりました。これにより、これらの仮想マシンが NVLink2 をフルに活用できるようになりました。

(JIRA:RHELPLAN-12811)


このページには機械翻訳が使用されている場合があります (詳細はこちら)。