第5章 RHEL 8.3.0 リリース

5.1. 新機能

ここでは、Red Hat Enterprise Linux 8.3 に追加された新機能および主要な機能強化を説明します。

5.1.1. インストーラーおよびイメージの作成

Anaconda をバージョン 33.16 にリベース

今回のリリースで、Anaconda がバージョン 33.16 にリベースされました。このバージョンでは、以前のバージョンに対する主な機能強化が提供されています。

  • インストールプログラムで、静的 IPv6 アドレスが複数の行に表示されるようになり、ウィンドウのサイズが変更されなくなりました。
  • インストールプログラムに、対応している NVDIMM デバイスセクターサイズが表示されるようになりました。
  • IPv6 静的設定のあるインストール済みシステムで、ホスト名が正しく設定されるようになりました。
  • ディスク暗号化パスフレーズで、ASCII 以外の文字を使用できるようになりました。
  • インストールプログラムでは、/boot、/tmp、およびすべての /var および /usr マウントポイント (/var/local および /var/www を除く) で新しいファイルシステムを作成するのに適切な推奨事項が表示されます。
  • インストールプログラムでキーボードレイアウトが正しくチェックされるようになり、キーボードキー (ALT+SHIFT) を使用して異なるレイアウトや言語を切り替える際に、キーボードレイアウト画面のステータスが変更されなくなりました。
  • 既存の RAID1 パーティションが設定されたシステムでレスキューモードが失敗しなくなりました。
  • 手動パーティション設定 画面で、コンテナーの LUKS バージョンを変更できるようになりました。
  • インストールプログラムは、btrfs-progs パッケージなしでインストールを正常に終了します。
  • インストールプログラムで、暗号化したコンテナーにデフォルトの LUKS2 バージョンが使用されるようになりました。
  • キックスタートファイルで論理ボリュームグループ(VG)の物理ボリューム(PV)が ignoredisk 一覧に配置されると、インストールプログラムがクラッシュしなくなりました。
  • システムルート用の新しいマウントパス /mnt/sysroot が導入されました。このパスは、ターゲットシステムのマウント / に使用されます。通常、物理ルートとシステムの root は同じであるため、/mnt/sysroot/mnt/sysimage と同じファイルシステムに接続されます。唯一の例外は、デプロイメントに基づいてシステムの root が変更する rpm-ostree システムのみです。これにより、/mnt/sysroot/mnt/sysimage のサブディレクトリーに割り当てられます。chroot には /mnt/sysroot を使用することが推奨されます。

(BZ#1691319, BZ#1679893, BZ#1684045, BZ#1688478, BZ#1700450, BZ#1720145, BZ#1723888, BZ#1754977, BZ#1755996, BZ#1784360, BZ#1796310, BZ#1871680)

RHEL インストールプログラムにおける GUI の変更

RHEL インストールプログラムのインストール概要画面に、以下のユーザー設定が含まれるようになりました。

  • Root パスワード
  • ユーザーの作成

この変更により、インストールを開始する前に、root パスワードを設定してユーザーアカウントを作成できるようになりました。以前は、インストールプロセスを開始した後で、root パスワードの設定とユーザーアカウントの作成を行っていました。

root パスワードは、システム管理タスクに使用する管理者 (スーパーユーザーまたは root としても知られる) アカウントへのログインに使用されます。コマンドラインからログインするには、ユーザー名を使用します。グラフィカル環境をインストールする場合、グラフィカルログインマネージャーは、フルネームを使用します。詳細は『 標準的な RHEL インストールの実行 』を参照してください。

(JIRA:RHELPLAN-40469)

Image Builder バックエンド osbuild-composerlorax-composerに置き換え

osbuild-composer バックエンドは、lorax-composer に代わるものです。新しいサービスは、イメージビルドに REST API を提供します。その結果、ユーザーはより信頼性の高いバックエンドと予測可能な出力イメージの利点を活用できます。

(BZ#1836211)

Image Builder osbuild-composer は、イメージタイプセットをサポートします。

osbuild-composer バックエンドの置き換えにより、この時間でサポートされる osbuild-composer には以下のイメージタイプのセットが使用されます。

  • TAR アーカイブ (.tar)
  • QEMU QCOW2 (.qcow2)
  • VMware 仮想マシンディスク (.vmdk)
  • Amazon マシンイメージ (.ami)
  • Azure ディスクイメージ (.vhd)
  • OpenStack イメージ (.qcow2)

以下の出力は今回はサポートされません。

  • ext4-filesystem
  • partitioned-disk
  • Alibaba Cloud
  • Google GCE

(JIRA:RHELPLAN-42617)

Image Builder が、GUI 経由でのクラウドへのプッシュに対応

今回の機能拡張により、ユーザーはイメージの作成時に、GUI Image Builder を使用して Azure および AWS サービスクラウドにプッシュするオプションを選択できるようになりました。これにより、アップロードやインスタンス化が容易になります。

(JIRA:RHELPLAN-30878)

5.1.2. RHEL for Edge

RHEL for Edge イメージの概要

今回のリリースで、Edge サーバー用にカスタマイズされた RHEL イメージを作成できるようになりました。

Image Builder を使用して RHEL for Edge イメージを作成し、RHEL インストーラーを使用して AMD および Intel 64 ビットシステムにデプロイできます。Image Builder は、.tar ファイルに rhel-edge-commit として RHEL for Edge イメージを生成します。

RHEL for Edge イメージは、Edge サーバーに RHEL をリモートにインストールするシステムパッケージを含む rpm-ostree イメージです。

システムパッケージには以下が含まれます。

  • ベース OS パッケージ
  • コンテナーエンジンとしての podman

イメージをカスタマイズして、要件に従って OS コンテンツを設定し、物理マシンおよび仮想マシンにデプロイできます。

RHEL for Edge イメージを使用すると、以下を実行できます。

  • アトミックアップグレード。各更新の状態が認識され、デバイスを再起動するまで変更は表示されません。
  • 、アップグレードに失敗した場合に回復性を確保する、Greenboot およびインテリジェントロールバックを使用したカスタムヘルスチェック。
  • コンテナー中心のワークフロー: アプリケーションの更新からコア OS の更新を分離し、異なるバージョンのアプリケーションをテストおよびデプロイできます。
  • 低帯域幅環境向けに最適化された OTA ペイロード。
  • 回復性を確保するために Graboot を使用したカスタムヘルスチェック。

RHEL for Edge イメージの作成、インストール、および管理の詳細は、『 RHEL for Edge イメージの作成、インストール、および管理』を参照してください。

(JIRA:RHELPLAN-56676)

5.1.3. ソフトウェア管理

best dnf 設定オプションのデフォルト値が True から Falseに変更

今回の更新で、元の dnf 動作を維持するために、デフォルトの設定ファイルで best dnf 設定オプションの値が True に設定されるようになりました。結果として、デフォルトの設定ファイルを使用するユーザーの場合は、動作に変更はありません。

独自の設定ファイルを提供する場合は、元の動作を保持する best=True オプションがあることを確認してください。

(BZ#1832869)

dnf reposync コマンドの新しい --norepopath オプションが利用可能になりました。

以前は、reposync コマンドは、デフォルトでダウンロードした各リポジトリーの --download-path ディレクトリーにサブディレクトリーを作成していました。今回の更新で、--norepopath オプションが導入され、reposync はサブディレクトリーを作成しなくなりました。これにより、リポジトリーは --download-path で指定されたディレクトリーに直接ダウンロード されます。このオプションは YUM v3 にも存在します。

(BZ#1842285)

libdnf プラグインを有効または無効にする機能

以前は、サブスクリプションの確認は、libdnf プラグインの RHEL バージョンにハードコードされていました。今回の更新で、microdnf ユーティリティーは libdnf プラグインを有効または無効にするようになり、DNF と同じようにサブスクリプションの確認を無効にできるようになりました。サブスクリプションの確認を無効にするには、--disableplugin=subscription-manager コマンドを使用します。すべてのプラグインを無効にするには、--noplugins コマンドを使用します。

(BZ#1781126)

5.1.4. シェルおよびコマンドラインツール

ReaR が更新されました。

RHEL 8.3 では、ReaR(Relax-and-Recover)ユーティリティーに多くの更新が導入されました。以下は、主な変更点です。

  • 外部バックアップソフトウェアが追加されているため、サードパーティーの Overcloudbrik Cloud Data Management (CDM) のサポートが追加されました。これを使用するには、設定ファイルの BACKUP オプションを CDM に設定します。
  • IBM POWER のリトルエンディアンアーキテクチャーで、4 GB を超えるファイルを含むレスキューイメージの作成が有効化されました。
  • ReaR が作成したディスクレイアウトには、Rancher 2 Longhorn iSCSI デバイスおよびファイルシステムのエントリーが含まれなくなりました。

(BZ#1743303)

smartmontools がバージョン 7.1 にリベースされました。

smartmontools パッケージがバージョン 7.1 にアップグレードされ、バグ修正および機能強化が複数追加されました。以下は、主な変更点です。

  • HDD、SSD、USB がドライブデータベースに追加されました。
  • 新しいオプション -j および - -json は、JSON 出力モードを有効にします。
  • 一部の SAS SSD から 不完全なログサブページの応答に対する回避策。
  • READ CAPACITY コマンドの処理を向上
  • ログページのデコードに関するさまざまな改善。

(BZ#1671154)

opencryptoki がバージョン 3.14.0 にリベースされました。

opencryptoki パッケージがバージョン 3.14.0 にアップグレードされ、バグ修正および機能強化が複数追加されました。以下は、主な変更点です。

  • EP11 暗号化サービスの機能強化:

    • Dilithium のサポート
    • Elastics-curve デジタル署名アルゴリズム (EdDSA) のサポート
    • 非 SHA1 ハッシュおよびとマスク生成機能 (MGF) を使用した Rivest-Shamir-Adleman の最適非対称暗号化パディング (RSA-OAEP) のサポート
  • プロセスとスレッドロックの強化
  • Btree および オブジェクト のロックの強化
  • 新しい IBM Z ハードウェア z15 のサポート
  • Trusted Platform Module (TPM)、IBM 暗号化アーキテクチャー (ICA)、および integrated cryptographic service facility (ICSF) の複数のトークンインスタンスのサポート
  • openCryptoki トークンリポジトリーのトークンキーを一覧表示 する新しいツール p11 sak を追加
  • トークンリポジトリーを FIPS 準拠の暗号化に移行するユーティリティーを追加
  • pkcsep 11_migrate ツールを修正
  • ICSF ソフトウェアの軽微な修正

(BZ#1780293)

gpgme がバージョン 1.13.1 にリベースされました。

gpgme パッケージがアップストリームバージョン 1.13.1 にアップグレードされました。以下は、主な変更点です。

  • 新しいコンテキストフラグ no-symkey-cache (GnuPG 2.2.7 以降で使用すると有効)、request-origin (GnuPG 2.2.6 以降で使用すると有効)、auto-key-locate および trust- model が導入されました。
  • Web ブラウザー用のネイティブメッセージングサーバーとしての新しいツール gpgme-json が追加されました。現時点では、公開鍵の暗号化と復号がサポートされています。
  • 非表示の受信者オプションやファイルからのキー取得などのダイレクトキー仕様をサポートする新しい暗号化 API が導入されました。これにより、サブキーも使用できます。

(BZ#1829822)

5.1.5. インフラストラクチャーサービス

PowerTOP がバージョン 2.12 にリベースされました。

powertop パッケージが、バージョン 2.12 にアップグレードされました。以前利用できたバージョン 2.11 への主な変更点は、以下のとおりです。

  • SATA リンク PM に Device Interface Power Management (DIPM) を使用します。
  • Intel Comet Lake モバイルおよびデスクトップシステム、Sk Skylake サーバー、および Atom ベースの Tremont アーキテクチャー (Jasper Lake) のサポート。

(BZ#1783110)

tuned がバージョン 2.14.0 にリベースされました。

tuned パッケージがアップストリームバージョン 2.14.0 にアップグレードされました。主な機能強化は、次のとおりです。

  • optimize-serial-console プロファイルが導入されました。
  • ロード後プロファイルに対するサポートが追加されました。
  • irqbalance 設定を処理する irqbalance プラグインが追加されました。
  • Marvell ThunderX および AMD ベースのプラットフォーム向けにアーキテクチャー固有のチューニングが追加されました。
  • スケジューラープラグインが拡張され、CPU アフィニティー設定の cgroups-v1 をサポートするようになりました。

(BZ#1792264)

tcpdump をバージョン 4.9.3 にリベース

tcpdump ユーティリティーがバージョン 4.9.3 に更新され、CVE(Common Vulnerabilities and Exposures)が修正されました。

(BZ#1804063)

libpcap がバージョン 1.9.1 にリベースされました。

libpcap パッケージがバージョン 1.9.1 に更新され、CVE(Common Vulnerabilities and Exposures)が修正されました。

(BZ#1806422)

iperf3 がクライアント側で sctp オプションに対応

今回の機能強化により、ユーザーはネットワークのスループットをテストするクライアント側で、TCP (Transmission Control Protocol) の代わりに SCTP (Stream Control Transmission Protocol) を使用できるようになりました。

iperf3 の以下のオプションが、テストのクライアント側で利用できるようになりました。

  • --sctp
  • --xbind
  • --nstreams

詳細は、iperf3 man ページ の Client Specific Options を参照してください。

(BZ#1665142)

iperf3SSLに対応

今回の機能強化により、ユーザーはクライアントとサーバーの間で RSA 認証を使用して、サーバーへの接続を正当なクライアントのみに制限できるようになりました。

iperf3 の以下のオプションがサーバー側で利用できるようになりました。

  • --rsa-private-key-path
  • --authorized-users-path

iperf3 の以下のオプションが、通信のクライアント側で利用できるようになりました。

  • --username
  • --rsa-public-key-path

(BZ#1700497)

bind を 9.11.20 にリベース

bind パッケージがバージョン 9.9.11.20 にアップグレードされ、バグ修正および機能強化が複数追加されました。以下は、主な変更点です。

  • 複数の競合状態を修正することで、多数の CPU コアを搭載したシステムの信頼性を向上しました。
  • 詳細なエラーレポート: dig およびその他のツールが存在する場合は、拡張 DNS Error(EDE)オプションを出力できるようになりました。
  • 一貫性がない場合、インバウンド DNS ゾーン転送プロトコル (AXFR) 転送のメッセージ ID を確認してログに記録します。

(BZ#1818785)

printk 値を低くすることで、I/O を シリアルコンソールに減らすための新しい optimize-serial-console TuneD プロファイル

今回の更新で、新しい optimize-serial-console TuneD プロファイルが利用できるようになりました。シナリオによっては、カーネルドライバーが大量の I/O 操作をシリアルコンソールに送信できます。このような動作により、I/O がシリアルコンソールに書き込まれるときに一時的に応答しなくなることがあります。optimize-serial-console プロファイルでは、デフォルトの 7 4 1 7 から 4 4 7 までの printk 値を減らすことで、この I/O を 減らし ます。システムでこの変更を行うシリアルコンソールを持つユーザーは、以下のようにシステムをインストルメント化できます。

# tuned-adm profile throughput-performance optimize-serial-console

その結果、再起動後も持続する printk 値が低いため、システムがハングする可能性が低くなります。

この TuneD プロファイルは、デバッグ情報を削除して、シリアルコンソールに書き込まれた I/O の量を減らします。このデバッグ情報を収集する必要がある場合は、このプロファイルが有効になっていないことと、printk 値が 7 4 1 7 に設定されていることを確認してください。printk run の値を確認するには、次のコマンドを実行します。

# cat /proc/sys/kernel/printk

(BZ#1840689)

AMD ベースのプラットフォームに追加された新しい TuneD プロファイル

RHEL 8.3 では、AMD ベースのプラットフォームのチューニングを含むように throughput-performance TuneD プロファイルが更新されました。手動でパラメーターを変更する必要はありません。チューニングは AMD システムに自動的に適用されます。AMD Epyc Naples および Rome システムは、デフォルトの throughput-performance プロファイルで以下のパラメーターを変更します。

sched_migration_cost_ns=5000000 and kernel.numa_balancing=0

今回の機能拡張により、システムパフォーマンスが ~5% まで向上しました。

(BZ#1746957)

memcached がバージョン 1.5.22 にリベースされました。

memcached パッケージがバージョン 1.5.22 にアップグレードされました。以前のバージョンに対する主な変更点は、以下のとおりです。

  • TLS が有効になりました。
  • -o inline_ascii_response オプションが削除されました。
  • ASCII プロトコルの認証モードとともに -Y [authfile] オプションが追加されました。
  • Memcached は、再起動間でキャッシュを復元できるようになりました。
  • 新しい実験的なメタコマンドが追加されました。
  • さまざまなパフォーマンスが向上しました。

(BZ#1809536)

5.1.6. セキュリティー

Cyrus SASL が SASL /GSSAPI プラグインおよび SASL/ GSS-SPNEGO プラグインを使用したチャネルバインディングに対応

今回の更新で、SASL/GSSAPI プラグインおよび SASL/ GSS-SPNEGO プラグインを使用したチャネルバインディングのサポートが追加されました。これにより、openldap ライブラリーで使用すると、Cyrus SASL を有効にして、LDAP 接続の必須チャネルバインディングを導入して Microsoft Active Directory および Microsoft Windows システムとの互換性を維持することが可能になります。

(BZ#1817054)

Libreswan を 3.32 にリベース

今回の更新で、Libreswan がアップストリームバージョン 3.32 にリベースされました。これには、新機能およびバグ修正が複数含まれます。主な変更には以下のものがあります。

  • Libreswan では、個別の FIPS 140-2 認定が必要なくなりました。
  • Libreswan は、RFC 8247 の暗号推奨事項を実装し、設定を SHA-1 および RSA-PKCS v1.5 から SHA-2 および RSA-PSS に変更するようになりました。
  • Libreswan は、ファイアウォールルールの作成を簡素化する XFRMi 仮想 ipsecXX インターフェースに対応します。
  • フルメッシュの暗号化ネットワークでの、クラッシュしたノードおよびリブートしたノードの復旧が改善されました。

(BZ#1820206)

libssh ライブラリーがバージョン 0.9.4 にリベースされました。

SSH プロトコルを実装する libssh ライブラリーがバージョン 0.9.4 にアップグレードされました。

この更新には、以下のようなバグ修正および機能拡張が数多く含まれています。

  • PEM ファイルの Ed25519 鍵のサポートを追加
  • diffie-hellman- group14-sha256 鍵交換アルゴリズムのサポートが追加されました。
  • libssh クライアント設定ファイルの Match キーワードで localuser のサポートが追加されました。
  • 条件キーワード の引数で大文字と小文字が区別されるようになりました(キーワードでは大文字と小文字は区別されませんが、キーワードの引数では大文字と小文字が区別されることに注意してください)。
  • CVE-2019-14889 および CVE-2020-1730 を修正しました。
  • 既知のホストファイル用に提供されたパス文字列で見つかった、不足しているディレクトリーを再帰的に作成するためのサポートが追加されました。
  • コメントと先頭の空白文字を使用した PEM ファイルの OpenSSH キーのサポートを追加
  • libssh サーバー設定に含まれる OpenSSH サーバー設定を削除。

(BZ#1804797)

gnutls が 3.6.14 にリベースされました。

gnutls パッケージがアップストリームバージョン 3.6.14 にリベースされました。このバージョンでは、主なバグ修正および機能強化が数多く追加されました。

  • GnuTLS、無効な文字またはフォーマットが含まれる Time フィールドのある証明書を拒否します。
  • GnuTLS は、信頼できる CA 証明書の最小の鍵サイズをチェックするようになりました。
  • 暗号化した秘密鍵を表示すると、certtool ユーティリティーにプレーンテキストの説明が含まれなくなりました。
  • gnutls を使用するサーバーで OCSP-stapling サポートを通知するようになりました。
  • gnutls を使用するクライアントが、要求時にのみ OCSP staples を送信するようになりました。

(BZ#1789392)

GnuTLS FIPS DH チェックが NIST SP 800-56A rev に準拠するようになりました。3

gnutls パッケージの更新により、NIST Special Publication 800-56A Revision 3 セクション 5.7.1.1 および 5.7.1.2、ステップ 2 で必要なチェックが提供されます。この変更は、今後の FIPS 140-2 証明書に必要です。その結果、gnutls は、FIPS モードで動作している Diffie-Hellman 鍵交換時に RFC 7919 および RFC 3526 からの 2048 ビットまたはそれ以上のパラメーターのみを受け入れるようになりました。

(BZ#1849079)

GnuTLS が NIST SP 800-56A rev 3 に従って検証を実行

gnutls パッケージの更新により、NIST Special Publication 800-56A Revision 3 セクション 5.6.2.2.2 および 5.6.2.1.3、ステップ 2 で必要なチェックが追加されました。この追加により、今後の FIPS 140-2 証明書に対して gnutls を準備できます。これにより、gnutls は、FIPS モードで動作している Diffie-Hellman 鍵交換時に、生成および受信した公開鍵に対して追加の検証手順を実行します。

(BZ#1855803)

update-crypto-policies and fips-mode-setup moved into crypto-policies-scripts

crypto-policies パッケージに以前含まれていた update - crypto-policies および fips-mode- setup スクリプトは、別の RPM サブパッケージ crypto-policies-scripts に移動しました。パッケージは、通常のインストールの Recommends 依存関係を介して自動的にインストールされます。これにより、ubi8/ubi-minimal イメージが有効になり、Python 言語インタープリターが含まないようにし、イメージサイズを縮小できます。

(BZ#1832743)

OpenSC をバージョン 0.20.0 にリベース

opensc パッケージが、複数のバグやセキュリティーの問題に対応するバージョン 0.20.0 にリベースされました。以下は、主な変更点です。

  • 今回の更新では、CVE-2019-6502CVE-2019-15946CVE-2019-15945CVE-2019-19480CVE-2019-19481 および CVE-2019-19479 のセキュリティーに関する問題が修正されました。
  • OpenSC モジュールは、C_WrapKey および C_UnwrapKey 機能 対応するようになりました。
  • ファシリティーを使用して、期待どおりカードリーダーの挿入および削除を検出できるようになりました。
  • pkcs11-tool ユーティリティーが CKA_ALLOWED_MECHANISMS 属性に 対応するようになりました。
  • 今回の更新で、OsEID カードのデフォルトの検出が可能になりました。
  • OpenPGP Card v3 は、ECC (Elliptic Curve Cryptography: 楕円曲線暗号) に対応するようになりました。
  • PKCS#11 URI はリーダー名を省略記号で切り捨てられるようになりました。

(BZ#1810660)

stunnel がバージョン 5.56 にリベースされました。

今回の更新で、stunnel 暗号化ラッパーがアップストリームバージョン 5.56 にリベースされました。これには、複数の新機能およびバグ修正が含まれます。主な変更には以下のものがあります。

  • 発行 たセッションチケットの機密性および整合性保護を制御する新しい ticketKeySecret および ticketMacSecret オプション。これらのオプションを使用すると、クラスター内の他のノードでセッションを再開できます。
  • OpenSSL 1.1.0 以降の電子曲線の一覧を制御する新しい曲線 オプション
  • 許可される TLS 1.3 暗号スイート の一覧を制御する新しい暗号スイートオプション。
  • OpenSSL 1.1.0 以降 sslVersion sslVersionMin および sslVersionMax を追加。

(BZ#1808365)

libkcapi がバージョン 1.2.0 にリベースされました。

libkcapi パッケージがアップストリームバージョン 1.2.0 にリベースされました。これにはマイナーな変更が含まれます。

(BZ#1683123)

setools を 4.3.0 にリベース

setools パッケージが、バージョン 4.3.0 にアップグレードされました。これは、SELinux ポリシー分析を促進するために設計されたツールのコレクションです。

この更新には、以下のようなバグ修正および機能拡張が数多く含まれています。

  • タイプの 適用 (TE)ルールの sediff メソッドを変更。これにより、メモリーとランタイムの問題が大幅に削減されます。
  • seinfo、sediff、および apolinfiniband コンテキストサポート 追加されました。
  • オンラインドキュメントの表示に使用する Qt アシスタントツールの場所に apol 設定を追加します。
  • 以下の sediff の問題を修正

    • 要求されていないときにプロパティーヘッダーが表示される。
    • type_transition ファイルの名前の比較。
  • マップソケットの送信 情報 フロー方向のパーミッションを修正しました。
  • TypeAttribute クラス にメソッドが追加され、完全な Python コレクションになりました。
  • Genfscon は、libsepol からドロップされた固定値ではなく、クラスを検索するようになりました。

setools パッケージには、以下のパッケージが必要です。

  • setools-console
  • setools-console-analyses
  • setools-gui

(BZ#1820079)

個別の CephFS ファイルおよびディレクトリーで SELinux ラベルを使用可能に

Ceph File System (CephFS) では最近、SELinux ラベルをファイルの拡張属性で保存できるようになりました。以前のリリースでは、CephFS ボリュームの全ファイルに、共通のラベル system_u:object_r:cephfs_t:s0 というラベルが付けられました。今回の機能拡張により、個々のファイルのラベルを変更でき、SELinux が移行ルールに基づいて新規作成されたファイルのラベルを定義するようになりました。以前にラベル付けされていないファイルには、明示的に変更されるまで、system_u:object_r:cephfs_t:s0 ラベルが付きます。

(BZ#1823764)

OpenSCAP をバージョン 1.3.3 にリベース

openscap パッケージがアップストリームバージョン 1.3.3 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点:

  • コマンドラインインターフェース(CLI)を使用してテーラリングファイルを生成できるようにする autotailor スクリプト が追加されました。
  • XCCDF (Extensible Configuration Checklist Description Format: セキュリティ設定チェックリスト記述形式) TestResult の開始および終了タイムスタンプにタイムゾーン部分を追加
  • yamlfilecontent の独立 たプローブをドラフト実装として追加しました。
  • XCCDF に urn:xccdf:fix:script:kubernetes の修正タイプが導入されました。
  • machineconfig 修正を生成する機能を追加
  • oscap-podman ツールが、あいまいスキャンターゲットを検出できるようになりました。
  • rpmverifyfile プローブが、/bin ディレクトリーのファイルを検証できるようになりました。
  • textfilecontent 58 プローブで複雑な regexes を実行するとクラッシュが修正されました。
  • XCCDF レポートの評価の特性が、system_info プローブの OVAL エンティティーと一致するようになりました。
  • textfilecontent 58 プローブのオフラインモードでのファイルパスパターンの照合を 修正しました。
  • systemdunitdependency プローブの無限再帰を修正 ました。

(BZ#1829761)

SCAP セキュリティーガイドで、CIS RHEL 8 Benchmark v1.0.0 に一致するプロファイルを提供

今回の更新で、scap-security-guide パッケージが CIS Red Hat Enterprise Linux 8 Benchmark v1.0.0 に一致するプロファイルを提供するようになりました。このプロファイルを使用すると、Center for Internet Security (CIS) のガイドラインを使用して、システムの設定を強化できます。これにより、CIS Ansible Playbook および CIS SCAP プロファイルを使用して、CIS で RHEL 8 システムのコンプライアンスを設定および自動化できます。

CIS プロファイルの rpm_verify_permissions ルールは正常に機能しません。

(BZ#1760734)

scap-security-guide が HIPAA を実装するプロファイルを提供

scap-security-guide パッケージの今回の更新で、Health Insurance Portability and Accountability Act(HIPAA)プロファイルが RHEL 8 セキュリティーコンプライアンスコンテンツに追加されました。このプロファイル は、HIPAA プライバシールール の Web サイトで説明されている推奨事項を実装します。

HIPAA セキュリティールールは、対象エンティティーによって作成、受信、使用、または維持される個人の健康に関する電子情報を保護するため、米国国内の標準を確立します。セキュリティールールには、電子的に保護された健康情報の機密性、整合性、およびセキュリティーを確保するために、適切な管理的、物理的、および技術的な保護策が必要です。

(BZ#1832760)

scap-security-guide が 0.1.50 にリベースされました。

Linux システム用の最新の セキュリティーポリシーセットを含む scap-security-guide パッケージが、バージョン 0.1.50 にアップグレードされました。

この更新には、バグ修正および機能拡張が含まれています。主要なものは次のとおりです。

  • Ansible コンテンツが改善されました。多くのルールに Ansible の修正が初めて含まれ、バグ修正に対応するその他のルールが更新されました。
  • RHEL7 システムをスキャンするための scap-security-guide コンテンツの修正および改善。以下に例を示します。

    • scap-security-guide パッケージで、CIS RHEL 7 Benchmark v2.2.0 に一致するプロファイルが提供されるようになりました。CIS プロファイルの rpm_verify_permissions ルールは正常に機能しません。CIS プロファイル rpm_verify_permissions が失敗することに注意して ください。
    • SCAP セキュリティーガイドプロファイルで、開始すべきでないサービスが正しく無効化およびマスクされるようになりました。
    • scap-security-guide パッケージの audit_rules_privileged_commands ルールが、特権コマンドに対して正常に機能するようになりました。
    • scap-security-guide パッケージの dconf_gnome_login_banner_text ルールの修正が、誤って失敗しなくなりました。

(BZ#1815007)

SCAP Workbench が、カスタムプロファイルから結果ベースの修正を生成できるようになりました。

今回の更新で、SCAP Workbench ツールを使用して、カスタマイズしたプロファイルから結果ベースの修正ロールを生成できるようになりました。

(BZ#1640715)

新しい Ansible ロールにより、Clevis クライアントの自動デプロイメントが可能に

rhel-system-roles パッケージの今回の更新で、nbde_client RHEL システムロールが導入されました。この Ansible ロールにより、複数の Clevis クライアントを自動的にデプロイできます。

(BZ#1716040)

新しい Ansible ロールが Tang サーバーを設定可能に

今回の機能拡張により、新しい nbde_server システムロールを使用して、自動ディスク暗号化ソリューションの一部として Tang サーバー をデプロイして管理できるようになりました。rhel-system-roles パッケージに含まれる nbde_server Ansible ロール は、以下の機能をサポートします。

  • Tang 鍵のローテーション
  • Tang 鍵のデプロイおよびバックアップ

詳細は「 Tang サーバーの鍵のローテーション 」を参照してください。

(BZ#1716039)

Clevis がバージョン 13 にリベースされました。

clevis パッケージがバージョン 13 にリベースされ、バグ修正および機能強化が複数追加されました。以下は、主な変更点です。

  • clevis luks unlock は、非対話モードで鍵ファイルを持つデバイスで使用できます。
  • Clevis encrypt tpm2 は、入力が JSON 配列として指定されている場合に pcr _ids フィールドを解析します。
  • man ページの clevis-luks-unbind(1) は LUKS v1 のみを参照しなくなりました。
  • パスワードが正しくない場合、clevis luks bind は非アクティブスロットに書き込まれません。
  • clevis luks bind がシステムが英語でないロケールを使用している際に機能するようになりました。
  • tpm2-tools 4.x のサポートが追加されました。

(BZ#1818780)

clevis luks edit を使用すると、特定のピン設定を編集

clevis パッケージの今回の更新で、特定のピン設定を編集できる新しい clevis luks edit サブコマンドが導入されました。たとえば、Tang サーバーの URL アドレスと TPM2 設定の pcr _ids パラメーターを変更できるようになりました。新しい sss ピンを追加および削除し、sss ピンのしきい値を変更することもでき ます。

(BZ#1436735)

clevis luks bind -y が自動バインディングが可能に

今回の機能拡張により、Clevis は -y パラメーターを使用した自動バインディングをサポートするようになりました。clevis luks bind コマンドで -y オプションを使用できるようになりました。これは、後続のプロンプトに対して自動的に yes と応答します。たとえば、Tang ピンを使用する場合は、Tang 鍵を手動で信頼する必要はありません。

(BZ#1819767)

fapolicyd がバージョン 1.0 にリベースされました。

fapolicyd パッケージがバージョン 1.0 にリベースされ、バグ修正および機能強化が複数追加されました。以下は、主な変更点です。

  • 複数のスレッド同期の問題を解決しました。
  • データベースサイズとロード時間が短縮され、パフォーマンスが向上しました。
  • 信頼バックエンドをカスタマイズするため、fapolicyd .conf ファイルの fapolicyd パッケージの新しい信頼オプションが追加されました。すべての信頼できるファイル、バイナリー、およびスクリプトは、新しい /etc/fapolicyd/fapolicyd.trust ファイルに追加できます。
  • CLI を使用して fapolicyd.trust ファイルを管理できます。
  • CLI を使用してデータベースのクリーニングまたはダンプを実行できます。
  • fapolicyd パッケージは、スクリプトのデコードを改善するためにマジックデータベースを上書きします。CLI は、上書きに従って、file コマンドと似たファイルの MIME タイプを出力します。
  • /etc/fapolicyd/fapolicyd.rules ファイルは、値のグループを属性値としてサポートします。
  • fapolicyd デーモンには、audit/sylog イベントの 形式を設定する syslog_ format オプションがあり ます。

(BZ#1817413)

fapolicydfapolicyd-selinuxで独自の SELinux ポリシーを提供するようになりました。

今回の機能強化により、fapolicyd フレームワークが独自の SELinux セキュリティーポリシーを提供するようになりました。デーモンは fapolicyd_t ドメインに制限され、ポリシーは fapolicyd-selinux サブパッケージを介してインストールされます。

(BZ#1714529)

usbguard がバージョン 0.7.8 にリベースされました。

usbguard パッケージがバージョン 0.7.8 にリベースされ、バグ修正および機能強化が複数追加されました。以下は、主な変更点です。

  • /etc/usbguard/usbguard-daemon.conf ファイルの HidePII =true|false パラメーターにより、監査エントリーから個人を特定できる情報が非表示になりました。
  • /etc/usbguard/usbguard-daemon.conf ファイルの AuthorizedDefault =keep|none|all|internal パラメーターは、コントローラーデバイスの認可状態を事前定義できます。
  • 新しい with-connect-type ルール属性を使用すると、ユーザーはデバイスの接続タイプを区別できるようになりました。
  • ユーザーは、-t オプションを使用して一時的なルールを追加できるようになりました。一時的なルールは、デーモンが再起動されるまでの間のみメモリー内に残ります。
  • usbguard list-rules は、特定のプロパティーに従ってルールをフィルターできるようになりました。
  • usbguard generate-policy で、特定のデバイスのポリシーを生成できるようになりました。
  • usbguard allow|block|reject コマンドはルール文字列を処理できるようになり、指定したルール文字列に一致する各デバイスにターゲットが適用されます。
  • 新しいサブパッケージ usbguard-notifier および usbguard-selinux が含まれます。

(BZ#1738590)

USBGuard は、企業デスクトップユーザー向けに多くの改善を提供します。

USBGuard プロジェクトに対する今回の追加には、企業デスクトップユーザーのユーザビリティーを向上させる機能強化およびバグ修正が含まれています。以下は、重要な変更点です。

  • /etc/usbguard/rules.conf ルールファイルのクリーニングを維持するには、ユーザーは RuleFolder=/etc/usbguard/rules.d/ ディレクトリー内に複数の設定ファイルを定義できます。デフォルトでは、RuleFolder/etc/usbguard-daemon.conf ファイルで指定されます。
  • usbguard-notifier ツールに GUI 通知が提供されるようになりました。このツールは、デバイスが接続または接続解除されたとき、および任意のユーザーがデバイスを許可、ブロック、または拒否されしているかをユーザーに通知します。
  • usbguard-daemon# で始まる行を解析しなくなるため、設定ファイルにコメントを含められるようになりました。

(BZ#1667395)

usbguard が usbguard-selinuxで独自の SELinux ポリシーを提供するようになりました。

今回の機能強化により、USBGuard フレームワークで独自の SELinux セキュリティーポリシーが提供されるようになりました。デーモンは usbguard_t ドメインで制限され、ポリシーは usbguard-selinux サブパッケージを介してインストールされます。

(BZ#1683567)

libcap が ambient 機能に対応

今回の更新で、ユーザーはログイン時に ambient 機能を付与でき、適切に設定されたプロセスに対する root アクセスが不要になりました。

(BZ#1487388)

libseccomp ライブラリーをバージョン 2.4.3 にリベース

seccomp システムコールフィルターメカニズムにインターフェースを提供する libseccomp ライブラリーがバージョン 2.4.3 にアップグレードされました。

今回の更新で、バグ修正および機能強化が数多く追加されました。以下は、主な変更点です。

  • Linux v5.4-rc4 の syscall テーブルを更新しました。
  • 存在しないシステムコールの __NR_x 値を定義しなくなりました。
  • __SNR_x が内部で使用されるようになりました。
  • for __SNR_ppoll の 定義 を追加しまし た。
  • s390/s390x shm* システムコールの多重化の問題を修正しました。
  • libseccomp ツールコンパイルから 静的 フラグを削除しました。
  • io-uring 関連のシステムコールのサポートが 追加されました。
  • v2.4.0 リリースで導入された Python モジュールの命名の問題を修正しました。このモジュールは、以前と同様に seccomp という名前が付けられています。
  • scmp _bpf_sim ツールの clang で識別される潜在的なメモリーリークを修正し ました。

(BZ#1770693)

omamqp1 モジュールのサポート

今回の更新で、AMQP 1.0 プロトコルはバス上の宛先へのメッセージの送信に対応します。以前は、Openstack は AMQP1 プロトコルを通信標準として使用していました。また、このプロトコルは AMQP メッセージにメッセージをログに記録できるようになりました。今回の更新で、rsyslog-omamqp1 サブパッケージが導入され、omamqp1 出力モードが提供され、メッセージをログに記録し、バスの宛先に送信するようになりました。

(BZ#1713427)

OpenSCAP がリモートコンテンツを圧縮するように。

今回の更新で、OpenSCAP はリモートコンテンツの転送に gzip 圧縮を使用するようになりました。リモートコンテンツで最も一般的な種類はテキストベースの CVE フィードで、これは時間が経つにつれてサイズが大きくなり、通常はスキャンするたびにダウンロードする必要があります。gzip 圧縮では、圧縮されていないコンテンツに必要な帯域幅の 10% に帯域幅が減少します。その結果、スキャンしたシステムと、リモートコンテンツをホストするサーバーとの間のチェーン全体における帯域幅要件が軽減されます。

(BZ#1855708)

SCAP セキュリティーガイドは NIST-800-171 に準拠したプロファイルを提供されるように。

今回の更新で、scap-security-guide パッケージが NIST- 800-171 規格に準拠するプロファイルを提供するようになりました。このプロファイルを使用することで、連邦情報システム以外での Controlled Unclassificated Information (CUI) の保護に関するセキュリティー要件に合わせて、システム設定を強化できます。その結果、NIST-800-171 規格に準拠するように、これまでよりも簡単にシステムを設定できるようになりました。

(BZ#1762962)

5.1.7. ネットワーク

IPv4 および IPv6 接続追跡モジュールが nf_conntrack モジュールにマージされました。

今回の機能拡張により、nf_conntrack_ipv4nf_conntrack_ipv6 Netfilter 接続追跡モジュールが nf_conntrack カーネルモジュールにマージされました。この変更により、アドレスファミリー固有のモジュールのブラックリスト登録が RHEL 8.3 では動作しなくなり、nf_conntrack モジュールのみをブラックリストに登録して、IPv4 プロトコルおよび IPv6 プロトコルの両方の接続追跡のサポートを無効にすることができます。

(BZ#1822085)

firewalld をバージョン 0.8.2 にリベース

firewalld パッケージがアップストリームバージョン 0.8.2 にアップグレードされ、以前のバージョンに対するバグ修正が数多く追加されました。詳細は、firewalld 0.8.2 リリースノート を参照してください。

(BZ#1809636)

NetworkManager をバージョン 1.26.0 にリベース

NetworkManager パッケージがアップストリームバージョン 1.26.0 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。

  • NetworkManager は、デバイスを非アクティブ化する際、オートネゴシエーション、速度、およびデュプレックスの設定を元の値にリセットします。
  • 以前のアクティベーション試行がすべて失敗した場合、Wi-Fi プロファイルが自動的に接続されるようになりました。つまり、最初にネットワークへの自動接続が失敗しても、自動性は妨げられません。副次的な影響として、以前にブロックされた既存の Wi-Fi プロファイルに自動的に接続されるようになりました。
  • nm-settings-nmcli(5) および nm-settings-dbus(5) の man ページが追加されました。
  • 多数のブリッジパラメーターに対応するようになりました。
  • VRF (Virtual Routing and Forwarding: 仮想ルーティング/転送) インターフェースのサポートが追加されました。詳細は「 別のインターフェースで同じ IP アドレスを永続的に再利用 」を参照してください。
  • Wi-Fi ネットワーク用の Opportunistic Wireless Encryption モード (OWE) のサポートが追加されました。
  • NetworkManager は、RFC 3021 に従って IPv4 のポイントツーポイントリンクで 31 ビットプレフィックスをサポートするようになりました。
  • nmcli ユーティリティーは、nmcli connection modify <connection_name> remove <setting> コマンドを使用した設定の削除をサポートするようになりました。
  • NetworkManager は、マスターデバイスが見つからない場合、スレーブデバイスを作成およびアクティブにしなくなりました。

主な変更の詳細は、アップストリームのリリースノートを参照してください。

(BZ#1814746)

XDP に条件付きサポートを追加

Red Hat は、以下の条件がすべて適用されている場合に限り、eXpress Data Path (XDP) 機能をサポートします。

  • AMD または Intel 64 ビットアーキテクチャーに XDP プログラムを読み込みます。
  • libxdp ライブラリーを使用して、カーネルにプログラムを読み込みます。
  • XDP プログラムは、XDP _ABORTED、XDP_ DROP、または XDP_PASS のいずれかの戻りコードを使用します。
  • XDP プログラムが XDP ハードウェアオフロードを使用しません

サポート対象外の XDP 機能の詳細は、「 テクノロジープレビューとして利用可能な XDP 機能の概要」を参照してください。

(BZ#1889736)

xdp-tools が部分的にサポートされます

xdp-tools パッケージが、AMD および Intel 64 ビットアーキテクチャーでサポートされるようになりました。このパッケージには、カーネルの eXpress Data Path(XDP)機能のユーザー領域サポートユーティリティーが含まれます。これには、libxdp ライブラリー、XDP プログラムを読み込む xdp-loader ユーティリティー、およびパケットフィルタリング用の xdp-filter のサンプルプログラムが含まれます。XDP が有効になっているネットワークインターフェースからパケットをキャプチャーするための xdpdump ユーティリティーは、引き続きテクノロジープレビューであることに注意してください。(BZ#1820670)

デフォルトでは dracut ユーティリティーが初期 RAM ディスクで NetworkManager を使用するようになりました。

以前は、dracut ユーティリティーはシェルスクリプトを使用して初期 RAM ディスク initrd のネットワークを管理していました。この場合、特定のケースで問題が発生する可能性があります。たとえば、RAM ディスクのスクリプトが IP アドレスをすでに要求していた場合でも、NetworkManager が別の DHCP 要求を送信します。これによって、タイムアウトが発生する可能性がありました。

今回の更新で、dracut はデフォルトで初期 RAM ディスクの NetworkManager を使用し、システムの実行に問題が発生しなくなりました。以前の実装に戻して RAM ディスクイメージを再作成する場合は、以下のコマンドを使用します。

# echo 'add_dracutmodules+=" network-legacy "' > /etc/dracut.conf.d/enable-network-legacy.conf

# dracut -vf --regenerate-all

(BZ#1626348)

カーネルコマンドラインのネットワーク設定を ip パラメーターに統合

カーネルコマンドラインのネットワーク設定を行う ipv6netmaskgateway、および hostname パラメーターは、ip パラメーターに統合されました。ip パラメーターでは、以下のような異なる形式を使用できます。

ip=__IP_address__:__peer__:__gateway_IP_address__:__net_mask__:__host_name__:__interface_name__:__configuration_method__

個々のフィールドや、このパラメーターで使用できるその他の形式の詳細は、dracut.cmdline(7) の man ページの ip パラメーターの説明を参照してください。

RHEL 8 では、ipv6netmaskgateway、および hostname パラメーターは利用できなくなりました。

(BZ#1905138)

5.1.8. カーネル

RHEL 8.3 のカーネルバージョン

Red Hat Enterprise Linux 8.3 には、カーネルバージョン 4.18.0-240 が同梱されています。

(BZ#1839151)

RHEL 8.3 向け Extended Berkeley Packet Filter

eBPF (Extended Berkeley Packet Filter: 拡張バークレーパケットフィルター) は、限られた一連の関数にアクセスできる制限付きサンドボックス環境において、カーネル領域でのコード実行を可能にするカーネル内の仮想マシンです。この仮想マシンは、特別なアセンブリーのようなコードを実行します。

eBPF バイトコードが最初にカーネルにロードされ、その後に検証が行われます。次に実行時のコンパイルでコードがネイティブマシンコードに変換され、その後、仮想マシンがコードを実行します。

Red Hat は、eBPF 仮想マシンを使用するコンポーネントを数多く提供しています。各コンポーネントの開発フェーズはさまざまです。そのため、現在すべてのコンポーネントが完全にサポートされている訳ではありません。RHEL 8.3 では、以下の eBPF コンポーネントがサポートされています。

  • eBPF を使用して Linux オペレーティングシステムの I/O 分析、ネットワーク、およびモニタリングを行う BPF コンパイラーコレクション (BCC) ツールパッケージ
  • BCC ライブラリー。これを使用すると、BCC ツールパッケージで提供されるツールと同様のツールを開発できます。
  • eBPF for Traffic Control (tc) 機能。これにより、カーネルネットワークデータパスでのプログラミング可能なパケット処理が可能になります。
  • カーネルネットワーキングスタックを処理する前に受信パケットへのアクセスを提供する eXpress Data Path (XDP) 機能は、特定の条件でサポートされます。詳しくは、リリースノートの ネットワーク セクションを参照してください。
  • libbpf パッケージ。bpftrace および bpf/xdp 開発のようなアプリケーションに関連する bpf に極めて重要詳細は、専用のリリースノート libbpf 完全対応 を参照してください。
  • XDP 機能用のユーザー空間サポートユーティリティーが含まれる xdp-tools パッケージは、AMD および Intel 64 ビットアーキテクチャーでサポートされるようになりました。これには、libxdp ライブラリー、XDP プログラムを読み込む xdp-loader ユーティリティー、およびパケットフィルタリング用の xdp-filter サンプルプログラムの例プログラムが含まれます。XDP が有効なネットワークインターフェースからパケットをキャプチャーするための xdpdump ユーティリティーは、引き続きサポートされていないテクノロジープレビューであることに注意してください。詳しくは、リリースノートの ネットワーク セクションを参照してください。

特定のコンポーネントがサポート対象と示されていない限り、その他のすべての eBPF コンポーネントはテクノロジープレビューとして提供されます。

現在、以下の主要 eBPF コンポーネントは、テクノロジープレビューとして利用できます。

  • bpftrace トレース言語
  • eXpress Data Path (XDP) パスをユーザー空間に接続する AF_XDP ソケット

テクノロジープレビューのコンポーネントに関する詳細情報は、テクノロジープレビューを参照してください

(BZ#1780124)

Cornelis Networks Omni-Path Architecture (OPA) ホストソフトウェア

Red Hat Enterprise Linux 8.3 は、Omni-Path Architecture (OPA) ホストソフトウェアに完全に対応しています。OPA は、クラスター環境のコンピュートと I/O ノード間の高性能データ転送 (高帯域幅、高メッセージレート、低レイテンシー) のために、初期化とセットアップを行う Host Fabric Interface (HFI) ハードウェアを提供します。

Omni-Path Architecture のインストール手順は、Intel® Omni-Path Fabric Software Release Notes を参照してください。

(BZ#1893174)

TSX がデフォルトで無効に

RHEL 8.3 以降は、OS のセキュリティーを改善するために、カーネルの Intel® TSX (Transactional Synchronization Extensions) テクノロジーがデフォルトで無効になっています。この変更は、TSX の無効化をサポートする CPU に適用されます。これには、第 2 世代 Intel® Xeon® スケーラブルプロセッサー (Intel® C620 シリーズチップセット搭載 Cascade Lake と呼ばれていました) が含まれます。

アプリケーションで TSX を使用しないユーザーの場合、変更を加えると、第 2 世代 Intel® Xeon® Scalable プロセッサーで TSX 非同期アボート (TAA) を軽減するデフォルトのパフォーマンスペナルティが削除されます。

この変更により、RHEL カーネルの動作がアップストリームに揃えられます。この場合、Linux 5.4 以降では TSX はデフォルトで無効になっています。

TSX を有効にするには、tsx=on パラメーターをカーネルコマンドラインに追加します。

(BZ#1828642)

RHEL 8.3 がページ所有者の追跡機能に対応

今回の更新で、ページ所有者の追跡機能を使用して、ページ割り当てレベルでカーネルメモリーの使用率を確認できるようになりました。

ページトラッカーを有効にするには、以下の手順を実行します。

# grubby --args="page_owner=on" --update-kernel=0
# reboot

その結果、ページ所有者トラッカーはカーネルメモリー消費を追跡し、カーネルメモリーリークのデバッグや、大量のメモリーを使用するドライバーの検出に役立てます。

(BZ#1825414)

AMD EPYC™ 7003 シリーズプロセッサー用の EDAC に対応

今回の機能拡張では、AMD EPYC™ 7003 シリーズプロセッサーの Error Detection And Correction (EDAC) デバイスサポートが提供されます。以前は、AMD EPYC™ 7003 シリーズプロセッサーをベースとしたシステムでは、修正されたメモリーエラー (CE) や未修正のメモリーエラー (UE) が報告されませんでした。今回の更新により、このようなエラーは EDAC を使用して報告されるようになりました。

(BZ#1735611)

perf ツールで flamegraph に対応

今回の更新で、perf コマンドラインツールが、システムのパフォーマンスをグラフィックに表示するフレームグラフに対応するようになりました。perf データは、類似したスタックバックトレースを持つサンプルにグループ化されます。その結果、このデータが視覚的表現に変換され、計算集約的なコード領域を容易に識別できるようになります。perf ツールを使用してフレームグラフを生成するには、以下のコマンドを実行します。

$ perf script record flamegraph -F 99 -g -- stress --cpu 1 --vm-bytes 128M --timeout 10s
stress: info: [4461] dispatching hogs: 1 cpu, 0 io, 0 vm, 0 hdd
stress: info: [4461] successful run completed in 10s
[ perf record: Woken up 1 times to write data ]
[ perf record: Captured and wrote 0.060 MB perf.data (970 samples) ]
$ perf script report flamegraph
dumping data to flamegraph.html

注記: flamegraphs を生成するには、js-d3-flame-graph rpm をインストールします。

(BZ#1281843)

/dev/random および /dev/urandom が条件付きで Kernel Crypto API DRBG によって動作

FIPS モードでは、/dev/random および /dev/urandom pseudorandom 番号ジェネレーターは、Kernel Crypto API determineistic Random Bit Generator(DRBG)によって動作します。FIPS モードのアプリケーションは、上記のデバイスを FIPS 準拠のノイズソースとして使用するため、デバイスは FIPS 認証アルゴリズムを使用する必要があります。この目標を達成するには、必要なフックが /dev/random ドライバーに追加されました。その結果、フックは FIPS モードで有効になり、/dev/random および /dev/urandom が Kernel Crypto API DRBG に接続します。

(BZ#1785660)

libbpf の完全なサポート

libbpf パッケージが、bpftrace および bpf /xdp 開発のようなアプリケーションに関連する bpf に不可欠です。

これは、bpf-next Linux ツリー bpf-next/tools/lib/bpf ディレクトリーのミラーと、それがサポートするヘッダーファイルです。パッケージのバージョンは、Application Binary Interface (ABI) のバージョンを反映しています。

(BZ#1759154)

lshw ユーティリティーが追加の CPU 情報を提供するようになりました。

今回の機能拡張により、List Hardware ユーティリティー (lshw) に CPU の詳細情報が表示されるようになりました。CPU バージョン フィールドでは、システムプロセッサーのファミリー、モデル、およびステップの詳細を バージョンとして数値形式で提供できるようになりました(<family>.<model>.<stepping>)

(BZ#1794049)

kernel-rt ソースツリーを RHEL 8.3 ツリーに更新

kernel-rt ソースが更新され、最新の Red Hat Enterprise Linux カーネルソースツリーが使用されるようになりました。リアルタイムパッチセットも、最新のアップストリームバージョン v5.6.14-rt7 に更新されました。これらの更新はいずれも、バグ修正および機能強化を多数提供します。

(BZ#1818138, BZ#1818142)

tpm2-tools がバージョン 4.1.1 にリベースされました。

tpm2-tools パッケージがバージョン 4.1.1 にアップグレードされ、コマンドの追加、更新、および削除が数多く追加されました。詳細は、RHEL8.3 ソリューションでの tpm2-tools パッケージへのアップデート を参照してください。

(BZ#1789682)

Mellanox ConnectX-6 Dx ネットワークアダプターの完全なサポート

今回の機能拡張により、Mellanox ConnectX-6 Dx ネットワークアダプターの PCI ID が mlx5_core ドライバーに追加されました。このアダプターを使用するホストでは、RHEL は mlx5_core ドライバーを自動的に読み込みます。この機能は以前はテクノロジープレビューとして利用できましたが、RHEL 8.3 で完全にサポートされるようになりました。

(BZ#1782831)

mlxsw ドライバーがバージョン 5.7 にリベース

mlxsw ドライバーは アップストリームバージョン 5.7 にアップグレードされ、以下の新機能が含まれます。

  • バッファー占有データを提供する共有バッファー占有機能。
  • レイヤー 2、レイヤー 3トンネル、および アクセス制御リスト ドロップの監視を有効にするパケットドロップ機能。
  • パケットトラップパーサーはサポートします。
  • Link Layer Discovery Protocol (LLDP) エージェントを使用したデフォルトのポート優先度の設定サポート。
  • 強化された転送選択 (ETS) およびトークンバケットフィルター (TBF) のキューイングサポート。
  • 初期のパケットドロップを防ぐために、RED キューイング規則 nodrop モード が有効化されています。
  • トラフィッククラス SKB の編集アクション skbedit priority 機能 により、パケットメタデータの変更が可能になり、pedit Traffic Class Offloading (TOS)が補完されます。

(BZ#1821646)

クラッシュカーネルが kdump 用のメモリー予約を拡張するようになりました。

今回の機能拡張により、crashkernel=auto 引数は、メモリー容量が 4GB のマシンにより多くのメモリーを予約できるようになりました。以前は、メモリーの予約が限られているため、クラッシュカーネルは、カーネルスペースとユーザー空間メモリーが拡張されるので、クラッシュダンプをキャプチャーできませんでした。これにより、クラッシュカーネルによってメモリー不足(OOM)エラーが発生することがありました。今回の更新で、上記のシナリオで OOM エラーの発生を減らし、kdump のメモリー容量が適切に拡張されるようになりました。

(BZ#1746644)

5.1.9. ファイルシステムおよびストレージ

LVM が VDO ボリュームを管理できるようになりました。

LVM が、Virtual Data Optimizer (VDO) セグメントタイプに対応するようになりました。これにより、LVM ユーティリティーを使用して、VDO ボリュームをネイティブ LVM 論理ボリュームとして作成および管理できるようになりました。

VDO は、インラインのブロックレベルの重複排除、圧縮、およびシンプロビジョニング機能を提供します。

詳細は「 RHEL で論理ボリュームの重複排除および圧縮 」を参照してください。

(BZ#1598199)

SCSI スタックが高パフォーマンスのアダプターでも適切に機能するように

SCSI スタックのパフォーマンスが向上しました。その結果、次世代の高パフォーマンスホストバスアダプター (HBA) は、RHEL で IOPS (I/O) を高くできるようになりました。

(BZ#1761928)

megaraid_sas ドライバーが最新バージョンに更新

megaraid_sas ドライバーがバージョン 07.713.01.00-rc1 に更新されました。今回の更新では、パフォーマンスの向上、サポートされる MegaRAID アダプターの安定性の改善、および機能が充実した機能セットに関連するバグ修正および機能拡張が複数追加されました。

(BZ#1791041)

Stratis が、エラーのプール名を一覧表示

既存の Stratis プールによってすでに使用されているブロックデバイスに Stratis プールを作成しようとすると、stratis ユーティリティーが既存のプールの名前を報告するようになりました。以前は、ユーティリティーがプールの UUID ラベルのみを表示していました。

(BZ#1734496)

FPIN ELS フレーム通知のサポート

lpfc Fibre Channel(FC)ドライバーは、リンクの整合性に関する Fabric Performance Impact Notifications(FPIN)をサポートするようになりました。これにより、リンクレベルの問題を特定し、スイッチがより信頼できるパスを選択できるようになりました。

(BZ#1796565)

ディスク上のメタデータをデバッグする新しいコマンド

lvm2 パッケージで利用可能な pvck ユーティリティー では、物理ボリュームのディスク上のメタデータをデバッグまたはレスキューする低レベルのコマンドを利用できるようになりました。

  • メタデータを抽出するには、pvck --dump コマンドを使用します。
  • メタデータを修復するには、pvck --repair コマンドを使用します。

詳細は、man ページの pvck (8) を参照してください。

(BZ#1541165)

LVM RAID は、デバイスのデータが破損したことでデータ損失を防ぐ DM 整合性に対応

デバイスマッパー (DM) の整合性を LVM RAID 設定に追加して、データの損失を防ぐことができるようになりました。整合性レイヤーは、デバイスでデータの破損を検出し、RAID レイヤーに問い合わせて、LVM RAID 全体で破損したデータを修正します。

RAID は、デバイス障害によるデータ損失を防ぎますが、LVM RAID アレイに整合性を追加すると、デバイス上の破損データによるデータが損失を防ぎます。新しい LVM RAID を作成するときに整合性層を追加するか、すでに存在する LVM RAID に追加できます。

(JIRA:RHELPLAN-39320)

AWS、Azure、および Aliyun のパブリッククラウドで Resilient Storage (GFS2) をサポート。

今回のリリースで、Resilient Storage (GFS2) は Amazon (AWS)、Microsoft (Azure)、および Alibaba (Aliyyun) の 3 つの主要なパブリッククラウドでサポートされるようになり、これらのプラットフォームでの共有ブロックデバイスのサポートが導入されました。その結果、GFS2 は、オンプレミスおよびパブリッククラウドの両方で使用できるオプションを備えた、真のハイブリッドクラウドクラスターファイルシステムになりました。Microsoft Azure および AWS で共有ブロックストレージを設定する方法は、「 パブリッククラウドプラットフォームへの Red Hat Enterprise Linux 8 のデプロイ」を参照してください。Alibaba Cloud で共有ブロックストレージを設定する方法は、「 Alibaba Cloud で Red Hat High Availability クラスターの共有ブロックストレージの設定」を参照してください。

(BZ#1900019)

ユーザー空間が最新の nfsdcld デーモン に対応するようになりました。

ユーザー空間が最新の nfsdcld デーモン に対応するようになりました。これは、名前空間対応のクライアント追跡方法です。今回の機能拡張により、クライアントがデータ破損なしでコンテナー化された knfsd デーモン からオープンまたはロックリカバリーを実行できるようになりました。

(BZ#1817756)

Nconnect が複数の同時接続に対応

今回の機能拡張により、nconnect 機能 を使用して NFS サーバーへの複数の同時接続を作成でき、異なる負荷分散機能が可能になりました。nconnect =X NFS マウントオプションで nconnect 機能 を有効にします。X は使用する同時接続の数です。現在の制限は 16 です。

(BZ#1683394, BZ#1761352)

クライアント情報追跡の nfsdcldデーモン に対応

今回の機能拡張により、nfsdcld デーモン が、安定したストレージでクライアントごとの情報を追跡するデフォルトの方法になりました。その結果、コンテナーで実行している NFS v4 により、クライアントはサーバーの再起動後にオープンまたはロックを要求できます。

(BZ#1817752)

5.1.10. 高可用性およびクラスター

pacemaker がバージョン 2.0.4 にリベースされました。

Pacemaker クラスターリソースマネージャーがアップストリームのバージョン 2.0.4 にアップグレードされ、バグ修正および機能強化が数多く追加されました。

(BZ#1828488)

新しい priority-fencing-delay クラスタープロパティー

Pacemaker が新しい priority-fencing-delay クラスタープロパティーをサポートするようになりました。これにより、スプリットブレインが発生した場合に、最も少ないリソースが実行されているノードがフェンスされるノードになるように、2 ノードクラスターを設定できます。

priority-fencing-delay プロパティーは期間に設定できます。このプロパティーのデフォルト値は 0 (無効) です。このプロパティーがゼロ以外の値に設定されている場合や、priority メタ属性が 1 つ以上のリソースに対して設定されている場合は、スプリットブレインが発生すると、実行されているすべてのリソースの中で、最も優先順位が高い組み合わせのノードが存続する可能性が高くなります。

たとえば、pcs resource defaults priority=1 および pcs property set priority-fencing-delay=15s を設定し、他の優先度が設定されていない場合は、他のノードがフェンシングを開始する前に 15 秒待機するため、ほとんどのリソースを実行するノードが存続する可能性が高くなります。特定のリソースが他のリソースよりも重要である場合は、優先度を高く設定できます。

昇格可能なクローンに優先順位が設定されている場合、そのクローンのマスターロールを実行しているノードの優先度が 1 ポイント追加されます。

priority-fencing-delay が設定された遅延は、pcmk_delay_ base および pcmk_delay_ max フェンスデバイスプロパティーから遅延 に追加されます。この動作により、両方のノードの優先度が同等の場合、またはノードの損失以外の理由で両方をフェンシングする必要がある場合(例: on-fail=fencing はリソースモニター操作用に設定されている)、ある程度の遅延を許容します。組み合わせて使用する場合には、優先ノードが優先されるよう、priority-fencing-delay プロパティーを、pcmk_delay_base および pcmk_delay_max の最大遅延よりもはるかに大きい値に設定することをお勧めします (値を 2 倍すると完全に安全となります)。

(BZ#1784601)

複数のリソースおよび操作のデフォルトを管理する新しいコマンド

リソースや操作のデフォルトのセットを複数作成、一覧表示、変更、および削除できるようになりました。デフォルト値のセットを作成する場合は、リソース および op 式が含まれるルールを指定できます。たとえば、特定タイプのすべてのリソースに、デフォルトのリソース値を設定できます。既存のデフォルト値を一覧表示するコマンドの出力に、デフォルトのセットが複数含まれるようになりました。

  • pcs resource [op] defaults set create コマンドは、新しいデフォルト値のセットを作成します。このコマンドでルールを指定する場合は、and 括弧を含む リソース および op 式のみが許可されます。
  • pcs resource [op] defaults set delete | remove コマンドはデフォルト値のセットを削除します。
  • pcs resource [op] defaults set update コマンドは、セットのデフォルト値を変更します。

(BZ#1817547)

クラスターリソースのタグ付けのサポート

pcs tag コマンドを使用して、Pacemaker クラスターのクラスターリソースにタグ 付けできるようになりました。この機能により、指定されたリソースのセットを 1 つのコマンドで管理できます。pcs tag コマンドを使用して、リソースタグ を削除または変更したり、タグ設定を表示することもできます。

pcs resource enablepcs resource disable、pcs resource manage および pcs resource unmanage コマンドでは、タグ ID を引数として使用できます。

(BZ#1684676)

Pacemaker が、昇格されたリソースを完全に停止するのではなく、降格することによって復旧に対応

Pacemaker クラスターで昇格可能なリソースを設定し、そのリソースの昇格または監視アクションが失敗した場合、またはリソースのクォーラムが失われると、リソースは降格されますが、完全に停止されることはありません。

この機能は、昇格されていないモードでリソースを引き続き利用できるようにしたい場合に便利です。たとえば、データベースマスターのパーティションでクォーラム(定足数)が失われると、データベースリソースが マスターロール を失うが、読み取りのみを必要とするアプリケーションが、失われたクォーラムに関わらず引き続き機能するように、読み取り専用モードを継続できます。この機能は、成功した降格が復旧に十分であり、かつ完全な再起動よりもはるかに高速である場合にも便利です。

この機能をサポートするには、以下を実行します。

  • on-fail 操作のメタ属性で、以下の例のように promote アクションとともに使用すると、demote の値を使用できるようになりました。

    pcs resource op add my-rsc promote on-fail="demote"
  • on-fail 操作のメタ属性では、両方間隔 をゼロ以外の値に設定し、ロールMaster に設定されている場合に demote の値を使用できるようになりました。

    pcs resource op add my-rsc monitor interval="10s" on-fail="demote" role="Master"
  • no-quorum-policy クラスタープロパティーで demote 値を使用できるようになりました。この値を設定した場合、クラスターパーティションのクォーラムが失われると、昇格されたリソースは降格されますが、実行中のままとなり、他のリソースはすべて停止します。

操作に denmote メタ属性を指定しても、リソースの昇格は影響を受けません。影響を受けるノードのプロモーションスコアが引き続き最高となっている場合は、再度昇格するように選択されます。

(BZ#1837747, BZ#1843079)

Pacemaker との同期を改善するための新しい SBD_SYNC_RESOURCE_STARTUP SBD 設定パラメーター

SBD と Pacemaker 間の同期をより適切に制御するために、/etc/sysconfig/sbd ファイルは SBD_SYNC_RESOURCE_STARTUP パラメーターに対応するようになりました。RHEL 8.3 以降の Pacemaker パッケージおよび SBD パッケージがインストールされ、SBD が SBD_SYNC_RESOURCE_STARTUP=true で設定されていると、SBD はデーモンの状態に関する情報を Pacemaker デーモンに問い合わせます。

この設定では、Pacemaker デーモンは、サブデーモンの起動と最終の終了の前に SBD が通信するまで待機します。その結果、Pacemaker は SBD がアクティブに通信できない場合にリソースを実行せず、SBD に正常なシャットダウンが報告されるまで終了しません。これにより、Pacemaker による最終的な切断前にリソースが何も実行されていない瞬間を SBD が検出できないとき、正常なシャットダウン時に発生する可能性のある予期しない状況 (不要な再起動) を防ぐことができます。定義したハンドシェイクを使用して正常なシャットダウンを検出すると、メンテナンスモードでも機能します。実行中のリソースはシャットダウン時に変更されないため、実行中のリソースがないものとして正常なシャットダウンを検出する以前の方法は、メンテナンスモードで無効にされる必要がありました。

さらに、この機能を有効にすると、SBD と Pacemaker の両方が正常に起動しても、SBD が Pacemaker と通信できない場合におけるクラスターのスプリットブレイン状態が発生するリスクを回避します。たとえば、SELinux ポリシーが原因で発生する可能性があります。この場合、Pacemaker は、SBD が機能していなくても機能していることを前提としています。この新機能を有効にすると、SBD と通信するまで、Pacemaker は起動を完了しません。この新機能のもう 1 つの利点は、SBD を有効にすると、ハートビートを使用して Pacemaker を繰り返し接続し、Pacemaker が応答しなくなった場合にノードをパニックできる点です。

注記

/etc/sysconfig/sbd ファイルを編集しているか、または PCS で SBD を設定している場合、RPM のアップグレードは新規の SBD_SYNC_RESOURCE_STARTUP パラメーターでプルされません。このような場合は、この機能を実装するには、/etc/sysconfig/sbd.rpmnew ファイルから手動で追加するか、sbd (8)の man ページの environment セクションで「Configuration 」で説明されている手順に従います。

(BZ#1718324, BZ#1743726)

5.1.11. 動的プログラミング言語、Web サーバー、およびデータベースサーバー

新しいモジュールストリーム: ruby:2.7

RHEL 8.3 では、新しい ruby:2.7 モジュールストリームに Ruby 2.7.1 が導入されました。このバージョンでは、RHEL 8.1 で配布される Ruby 2.6 のパフォーマンスの向上、バグ修正、およびセキュリティーの修正、新機能を多数提供しています。

主な機能強化は、次のとおりです。

  • 新しい Compaction Galbage Collector (GC) が導入されました。この GC は断片化されたメモリー領域を最適化できます。
  • Ruby yet Another Compiler-Compiler (Racc) で、1 トークンの Look-Ahead Left-to-Right – LALR(1) – パーサージェネレーター用コマンドラインインターフェースが提供されるようになりました。
  • インタラクティブな Ruby Shell(irb)、バンドルされた Read-Eval-Print Loop(REPL)環境が、マルチラインの編集をサポートするようになりました。
  • 関数プログラミング言語でよく使用されるパターンマッチングが、実験的な機能として導入されました。
  • デフォルトのブロックパラメーターとして番号付きのパラメーターが導入されました。ただし、これは実験的機能です。

以下のパフォーマンスの向上が実装されています。

  • ファイバーキャッシュストラテジーが変更され、ファイバー作成が迅速化されました。
  • CGI.escapeHTML メソッドのパフォーマンスが 向上しました。
  • Monitor クラスおよび MonitorMixin モジュールのパフォーマンス 向上しました。

また、キーワード引数と位置指定引数の自動変換が非推奨になりました。Ruby 3.0 では、位置指定引数とキーワード引数が分離されます。詳細は、アップストリームのドキュメント を参照してください。

実験的な機能に対する警告を非表示にするには、-W:no-experimental コマンドラインオプションを使用します。非推奨の警告を無効にするには、-W:no-deprecated コマンドラインオプションを使用するか、Warning[:deprecated] = false をコードに追加します。

ruby:2.7 モジュールストリームをインストールするには、以下を使用します。

# yum module install ruby:2.7

ruby:2.6 ストリームからアップグレードする場合は、「 後続のストリームへの切り替え」を参照してください。

(BZ#1817135)

新しいモジュールストリーム: nodejs:14

新しいモジュールストリーム nodejs:14 が公開されました。RHEL 8.3 に含まれるNode.js 14 は、RHEL 8.1 で配布される Node.js 12 に新しい機能とバグ修正を多数提供します。

以下は、主な変更点です。

  • V8 エンジンがバージョン 8.3 にアップグレードされました。
  • 実験的な新しい WebAssembly System Interface (WASI) が実装されました。
  • 実験的な新しい Async Local Storage API が導入されました。
  • 診断レポート機能が安定しました。
  • ストリーム API が強化されました。
  • 実験的なモジュールの警告が削除されました。

RHEA-2020:5101 アドバイザリーが発表 され、RHEL 8 では Node.js 14.15.0 が提供されます。これは、安定性が改善された最新の長期サポート(LTS)バージョンです。

nodejs:14 モジュールストリームをインストールするには、以下を使用します。

# yum module install nodejs:14

nodejs:12 ストリームからアップグレードする場合は、「 後続のストリームへの切り替え」を参照してください。

(BZ#1815402, BZ#1891809)

Git がバージョン 2.27 にリベースされました。

git パッケージがアップストリームバージョン 2.27 にアップグレードされました。以前利用できたバージョン 2.18 への主な変更点は、以下のとおりです。

  • git checkout コマンドは、2 つのコマンドに分割されました。

    • ブランチ管理のための Gitスイッチ
    • ディレクトリーツリー内の変更を管理するための Git復元
  • git rebase コマンドの動作は、以前の patch+apply ワークフローで なく、マージワークフローに基づいて実行されるようになりました。以前の動作を保持するには、rebase.backend 設定変数が 適用 されるように設定します。
  • git difftool コマンド をリポジトリー以外でも使用できるようになりました。
  • より具体的なケースで、user .{name,email} を上書きするよう、新しい設定変数{author,committer }.{name,email} が導入されました。
  • ユーザーがプロキシーとの通信に SSL を設定できる新しいオプションが追加されました。
  • git fast- export および git fast -import ユーティリティーで、UTF-8 文字エンコーディングでのログメッセージによるコミットの処理が改善されました。
  • lfs 拡張が新しい git-lfs パッケージとして追加されました。Git Large File Storage(LFS)は、大きなファイルを Git 内のテキストポインターに置き換え、そのファイルの内容をリモートサーバーに格納します。

(BZ#1825114, BZ#1783391)

Pythonの変更点

RHEL 8.3 では、python38:3.8 モジュールストリームに以下の変更が追加されました。

  • Python インタープリターがバージョン 3.8.3 に更新され、バグ修正が複数追加されました。
  • python38-pip パッケージがバージョン 19.3.1 に更新され、pip が manylinux 2014 wheel のインストールに 対応しました。

python3 パッケージで提供される Python 3.6 インタープリターのパフォーマンスが大幅に改善されました。

ubi8/python-27ubi8/python-36、および ubi8/python-38 コンテナーイメージは、カスタムパッケージインデックスからの pipenv ユーティリティー のインストール、またはお客様が提供する PyPI ミラーのインストールに対応するようになりました。以前のバージョンでは、pipenv はアップストリームの PyPI リポジトリーから のみ ダウンロードでき、アップストリームリポジトリーが利用できない場合にはインストールに失敗していました。

(BZ#1847416, BZ#1724996, BZ#1827623, BZ#1841001)

新しいモジュールストリーム: php:7.4

RHEL 8.3 では PHP 7.4 が導入され、バージョン 7.3 に対するバグ修正および機能拡張が数多く追加されました。

本リリースでは、新たな実験的な拡張である Foreign Function Interface (FFI) が導入されました。これにより、ネイティブ関数の呼び出し、ネイティブ変数へのアクセス、および C ライブラリーで定義されたデータ構造の作成およびアクセスが可能になりました。FFI 拡張は php-ffi パッケージで利用できます。

以下の拡張機能が削除されました。

  • wddx 拡張php-xml パッケージから削除)
  • recode 拡張( php-recode パッケージから削除)

php:7.4 モジュールストリームをインストールするには、以下を使用します。

# yum module install php:7.4

php:7.3 ストリームからアップグレードする場合は、「 後続のストリームへの切り替え」を参照してください。

RHEL 8 での PHP の使用方法に関する詳細は、「 Using the PHP scripting language 」を参照してください。

(BZ#1797661)

新しいモジュールストリーム: nginx:1.18

nginx 1.18 Web およびプロキシーサーバーが利用できるようになりました。このサーバーでは、バージョン 1.16 に対するバグ修正、セキュリティー修正、新機能および機能強化が数多く追加されました。以下は、主な変更点です。

  • HTTP リクエストレートおよび接続制限に対する機能強化が実装されました。たとえば、limit_rate ディレクティブおよび limit_rate _after ディレクティブは、新しい $limit_req_status および $limit_conn_status 変数を含む変数をサポートするようになりました。さらに、limit _conn_dry_run ディレクティブおよび limit_req_dry_run ディレクティブにドライランモードが追加されました。
  • 新しい auth_delay ディレクティブが追加されました。これにより、承認されていないリクエストの遅延処理が可能になります。
  • 以下のディレクティブは、grpc_pass、proxy_ upload_rate、および proxy_download_rate の変数に対応するようになりました。
  • 追加の PROXY プロトコル変数($proxy_protocol_server _addr および $proxy_protocol_server _port )が追加されました。

nginx:1.18 ストリームをインストールするには、以下を使用します。

# yum module install nginx:1.18

nginx:1.16 ストリームからアップグレードする場合は、「 後続のストリームへの切り替え」を参照してください。

(BZ#1826632)

新しいモジュールストリーム: perl:5.30

RHEL 8.3 では Perl 5.30 が導入され、以前にリリースされた Perl 5.26 に対するバグ修正および機能拡張が数多く追加されました。新しいバージョンでは、特定の言語機能の使用も廃止または削除されます。以下は、大きな影響を及ぼす主な変更点です。

  • Math::BigInt::CalcEmu、arybase モジュールおよび B::Debug モジュールが削除されました。
  • ファイル記述子が close-on-exec フラグで開くようになりました。
  • ファイルやディレクトリーハンドルと同じシンボルを開くことができなくなりました
  • サブルーチン署名の前にサブルーチン属性を付ける必要があります
  • : locked 属性および :uniq 属性が削除される
  • カンマなしの形式の変数リストを使用できなくなりました
  • ベア < < here-document 演算子を使用できなくなりました
  • 以前に非推奨となった一部の正規表現パターンで、エスケープされていない左括弧({)文字を使用できなくなりました。
  • AUTOLOAD () サブルーチンをメソッド以外の関数に継承できなくなりました
  • sort pragma で ソート アルゴリズムを指定できなくなりました
  • B::OP::terse() サブルーチンが B::Concise::b_terse() サブルーチンに置き換えられました。
  • File::Glob::glob() 関数は File::Glob::bsd_glob() 関数に置き換えられました。
  • dump() 関数は、CORE::dump()として完全修飾ものとして呼び出す必要があります。
  • yada-yada 演算子(…​)はステートメントになり、式として使用できません。
  • $ [ 変数にゼロ以外の値を割り当てると、致命的なエラーが返されるようになりました。
  • $ * および$ # 変数を使用できなくなりました
  • 誤った条件ブランチで my() 関数を使用した変数を宣言できなくなりました
  • : utf8 ハンドルで sysread () 関数および syswrite() 関数を使用すると 致命的なエラーが返されるようになりました。
  • pack() 関数が不正な UTF-8 形式を返さなくなる
  • IV_MAX を超える値の Unicode コードポイントを使用できなくなりました
  • Unicode 12.1 に対応するようになりました

以前の perl モジュールストリームからアップグレードする場合は、「 後続のストリームへの切り替え」を参照してください。

Perl 5.30 は、s2i-enabled ubi8/perl-530 コンテナーイメージとしても利用できます。

(BZ#1713592, BZ#1732828)

新しいモジュールストリーム: perl-libwww-perl:6.34

RHEL 8.3 では、新しい perl-libwww-perl:6.34 モジュールストリームが導入されています。これは、RHEL 8 で利用可能な Perl のすべてのバージョンに perl-libwww-perl パッケージを提供します。RHEL 8.0 より、RHEL 8.0 で利用できるモジュール以外の perl-libwww-perl パッケージは、5.26 以外の Perl ストリームで使用できず、新しいデフォルトの perl-libwww-perl:6.34 ストリームで廃止されました。

(BZ#1781177)

新しいモジュールストリーム: perl-IO-Socket-SSL:2.066

新しい perl-IO-Socket-SSL:2.066 モジュールストリームが利用できるようになりました。このモジュールは、perl-IO-Socket-SSL パッケージおよび perl- Net-SSLeay パッケージを提供し、RHEL 8 で利用可能な Perl ストリームすべてと互換性があります。

(BZ#1824222)

squid:4 モジュールストリームをバージョン 4.11 にリベース

squid:4 モジュールストリームによって提供される Squid プロキシーサーバーが、バージョン 4.4 からバージョン 4.11 にアップグレードされました。本リリースでは、バグ修正やセキュリティー修正、および様々な機能強化 (新しい設定オプションなど) が複数提供されています。

(BZ#1829467)

httpd:2.4 モジュールストリームの変更

RHEL 8.3 では、httpd:2.4 モジュールストリームで利用可能な Apache HTTP Server への主な変更点が加えられています。

  • mod_http2 モジュールがバージョン 1.15.7 にリベースされました。
  • H2Upgrade ディレクティブおよび H2 Push ディレクティブでの設定変更
  • HTTP/ 2 ペイロードフレームのパディングを制御する新しい H2Padding 設定ディレクティブ
  • 多数のバグ修正。

(BZ#1814236)

httpdCustomLog ディレクティブから journald へのロギングのサポート

CustomLog ディレクティブの新しいオプションを使用して、Apache HTTP Server から journald にアクセス(transfer)ログを出力できるようになりました。

サポートされる構文は以下のとおりです。

CustomLog journald:priority format|nickname

ここでの priority は、LogLevel ディレクティブ で使用される デバッグ の優先度文字列です。

たとえば、組み合わせ たログ形式を使用して journald にログインするには、以下を使用します。

CustomLog journald:info combined

このオプションを使用する場合、フラットファイルに直接ログを記録する場合よりもサーバーのパフォーマンスが低下する可能性があります。

(BZ#1209162)

5.1.12. コンパイラーおよび開発ツール

RHEL で .NET 5 が利用可能になりました。

.NET 5 は、Red Hat Enterprise Linux 7、Red Hat Enterprise Linux 8、および OpenShift Container Platform で利用できます。.NET 5 には、C# 9 および F# 5.0 の新規言語バージョンが含まれています。ベースライブラリー、GC および JIT でパフォーマンスが大幅に改善されました。.NET 5 には、.NET アプリケーションを 1 つの実行可能ファイルとして配布でき、すべての依存関係が含まれます。.NET 5 用の UBI8 イメージは Red Hat コンテナーレジストリーから利用でき、OpenShift で使用できます。

.NET 5 を使用するには、dotnet-sdk-5.0 パッケージをインストールします。

$ sudo dnf install -y dotnet-sdk-5.0

詳細は、.NET 5 のドキュメント を参照してください。

(BZ#1944677)

新しい GCC Toolset 10

GCC Toolset 10 は最新バージョンの開発ツールを提供するコンパイラーツールセットです。このツールセットは、AppStream リポジトリーにおいて、Software Collection の形式で、Application Stream として利用できます。

GCC コンパイラーがバージョン 10.2.1 に更新され、アップストリームの GCC で利用可能なバグ修正および機能拡張が数多く追加されました。

以下のツールおよびバージョンは、GCC Toolset 10 で利用できます。

ツールバージョン

GCC

10.2.1

GDB

9.2

Valgrind

3.16.0

SystemTap

4.3

Dyninst

10.1.0

binutils

2.35

elfutils

0.180

dwz

0.12

make

4.2.1

strace

5.7

ltrace

0.7.91

annobin

9.29

GCC Toolset 10 をインストールするには、root で以下のコマンドを実行します。

# yum install gcc-toolset-10

GCC Toolset 10 のツールを実行するには、以下のコマンドを実行します。

$ scl enable gcc-toolset-10 tool

GCC Toolset バージョン 10 のツールバージョンが、このようなツールのシステムバージョンをオーバーライドするシェルセッションを実行するには、次のコマンドを実行します。

$ scl enable gcc-toolset-10 bash

詳細は、「GCC Toolset の使用 」 を参照してください。

GCC Toolset 10 コンポーネントが、以下のコンテナーイメージ 2 つで利用可能になりました。

  • GCC コンパイラー、GDB デバッガー、make 自動化ツールを含む rhel8/gcc-toolset-10-toolchain
  • SystemTap や Valgrind などのパフォーマンス監視ツールを含む rhel8/gcc-toolset-10-perftools

    コンテナーイメージをプルするには、root で以下のコマンドを実行します。

    # podman pull registry.redhat.io/<image_name>

    GCC Toolset 10 コンテナーイメージのみがサポートされるようになりました。以前のバージョンの GCC Toolset コンテナーイメージが非推奨になりました。

コンテナーイメージの詳細は、「GCC Toolset コンテナーイメージの使用」を参照してください。

(BZ#1842656)

Rust Toolset がバージョン 1.45.2 にリベース

Rust Toolset は、バージョン 1.45.2 に更新されました。以下は、主な変更点です。

  • 依存関係を表示するサブコマンド cargo ツリーcargo に追加されました。
  • 浮動小数点値から整数にキャストすると、固定キャストが生成されるようになりました。以前のバージョンでは、ターゲット整数の省略された浮動小数点値が範囲外の場合、結果はコンパイラーでは未定義の動作でした。非有限の浮動小数点値により、未定義の動作も発生しました。今回の機能拡張により、有限値は整数の最小値または最大範囲のいずれかに制限されるようになりました。正および負の値のデフォルトは、それぞれ最大および最小値の整数に固定されています。また、Not-a-Number (NaN) 値はゼロになります。
  • 式、パターン、ステートメントにおける関数のような手順マクロが拡張、固定化されるようになりました。

使用方法の詳細は「 Using Rust Toolset 」を参照してください。

(BZ#1820593)

LLVM Toolset がバージョン 10.0.1 にリベース

LLVM Toolset がバージョン 10.0.1 にアップグレードされました。今回の更新で、clang-libs パッケージに個別のコンポーネントライブラリーが含まれなくなりました。その結果、アプリケーションにアプリケーションをリンクできなくなりました。clang ライブラリーにアプリケーションをリンクするには、libclang-cpp.so パッケージを使用します。

詳細は、「LLVM Toolset の使用 」を参照してください。

(BZ#1820587)

Go Toolset がバージョン 1.14.7 にリベース

Go Toolset がバージョン 1.14.7 にアップグレードされました。以下に例を示します。

  • Go モジュールシステムが完全にサポートされるようになりました。
  • SSL バージョン 3.0 (SSLv3) はサポート対象外になりました。Delve デバッガーの主な機能強化には、以下のものがあります。
  • raw メモリーを 調べる新しいコマンド examinemem (または x
  • プログラムの停止ごとに式の値を 出力 する新しいコマンド。
  • デバッグしたプログラムの Teletypewriter(TTY)を指定するための新しい --tty フラグ
  • Arm64 の新しいコアダンプサポート
  • goroutine ラベルを出力する新しい機能
  • Debug Adapter Protocol (DAP) サーバーのリリース
  • dlv trace および trace REPL(read-eval-print-loop)コマンドからの出力が改善されました。

Go Toolset の詳細は、「 Using Go Toolset」を参照してください。

Delve の詳細は、アップストリームの Delve documentation を参照してください。

(BZ#1820596)

SystemTap をバージョン 4.3 にリベース

SystemTap 計測ツールがバージョン 4.3 に更新され、バグ修正および機能強化が複数追加されました。以下は、主な変更点です。

  • ユーザー空間プローブは、readelf -n の 16 進数の buildid でターゲットにすることができます。この代替パス名を使用すると、一致するバイナリーを任意の名前でプローブできるため、1 つのスクリプトで異なるバージョンの範囲をターゲットに設定することが可能です。この機能は、elfutils debuginfod サーバーと併用します。
  • スクリプト関数はプローブ $context 変数を使用してプローブされた場所にある変数にアクセスすることができます。これにより、SystemTap スクリプトは共通のロジックを使用してさまざまなプローブと連携できるようになります。
  • try-catch ステートメントやエラープローブを含む stapbpf プログラム が改善され、BPF バックエンドで実行しているスクリプトで適切なエラートレランスが有効になりました。

主な変更の詳細は、更新前にアップストリームのリリースノートを参照してください

(BZ#1804319)

Valgrind をバージョン 3.16.0 にリベース

Valgrind 実行コード分析ツールがバージョン 3.16.0 に更新され、以前のバージョンに対するバグ修正および機能強化が数多く追加されました。

  • Valgrind: を介してプログラムを vgdb で実行しながら、多くのコマンドラインオプションの値を動的に変更できるようになりました。vgdb 経由 Valgrind gdbserver に接続された gdb 経由、またはプログラムクライアントのリクエスト経由。動的に変更可能なオプションの一覧を表示するには、valgrind --help-dyn-options コマンドを実行します。
  • Cachegrind(cg_annotate)および Callgrind(callgrind_annotate)の場合は、-- auto および -- show-percs オプションがデフォルトで yes に設定されるようになりました。
  • Memcheck ツールでは、最適化されたコードの誤検出エラーが減少します。特に、Memcheck はコンパイラーが A && B チェックを B && A に変換した場合にケースを適切に処理できるようになりました。ここで B が定義されておらず、A が false になります。Memcheck は、部分的に定義された値についての整数等号チェックと不等号チェックも処理します。
  • 実験的なスタックおよびグローバルアレイチェックツール(exp-sgcheck)が削除されました。スタックおよびグローバルアレイのオーバーランを検出する代わりに、GCC の AddressSanitizer(ASAN)機能を使用する方法です。これには、-fsanitize=address オプションでコードを再ビルドする必要があります。

(BZ#1804324)

elfutils がバージョン 0.180 にリベースされました。

elfutils パッケージがバージョン 0.180 に更新され、バグ修正および機能強化が複数追加されました。以下は、主な変更点です。

  • GCC LTO (リンク時間最適化) で構築されたコードのデバッグ情報への対応が改善されました。eu-readelf および libdw ユーティリティーが、.gnu.debuglto_ セクションを読み取りおよび処理できるようになり、CUs(コンパイルユニット)全体に定義される関数のファイル名を正しく解決できるようになりました。
  • eu-nm ユーティリティーは、弱いオブジェクトを V および common シンボルとして明示的に C として識別するようになりました。
  • debuginfod サーバーは、.deb アーカイブのインデックスで、-Z EXT[=CMD] オプションを使用して、その他のパッケージアーカイブ形式を追加する汎用拡張を持つようになりました。たとえば、-Z '.tar.zst=zstdcat' は、. tar.zst 拡張子 で終わるアーカイブを zstdcat ユーティリティー を使用して展開する必要があることを示します。
  • debuginfo-client ツールには、debuginfod_ set_user_data、debuginfod_get_user_datadebuginfod_get_ url、debuginfod_ add_http_ header などの新しいヘルパー関数がいくつか含まれています。これで file:// URL もサポートされるようになりました。

(BZ#1804321)

GDB が IBM z15 でのプロセスレコードおよび再生に対応

今回の機能強化により、GDB (GDB) は、IBM z15 プロセッサー (旧称 arch13) の新しい命令のほとんどでプロセスのレコードおよび再生をサポートするようになりました。現在、SORTL (sort lists: リストのソート) 、DFLTCC (deflate convert call: deflare 変換コール)、KDSA (デジタル署名認証の計算) の手順はサポートされていません。

(BZ#1659535)

Marvell ThunderX2 パフォーマンス監視イベントが papiで更新されました。

今回の機能拡張により、Uncore イベントを含む ThunderX2 固有のパフォーマンスイベントが数多く更新されました。これにより、開発者は Marvell ThunderX2 システムでシステムパフォーマンスをより詳しく調査できます。

(BZ#1726070)

glibc math ライブラリーを IBM Z 用に最適化

今回の機能強化により、IBM Z マシンでのパフォーマンスを改善するために libm math 機能が最適化されました。以下は、主な変更点です。

  • 不要な浮動小数点制御レジスターセットおよび抽出を回避するために、丸めモードの処理が改善されました。
  • z196 整数と float 間の変換を開発

(BZ#1780204)

libffi 固有の一時ディレクトリーを追加で利用できるようになる

以前は、強化されたシステムでは、システム全体の一時ディレクトリーに、libffi ライブラリーでの使用に適したパーミッションがないことがありました。

今回の機能強化により、システム管理者は、write および exec mount または selinux パーミッションの両方で、libffi 固有の一時ディレクトリーを参照する LIBFFI _TMPDIR 環境変数を設定できるようになりました。

(BZ#1723951)

strstr()および strcasestr() のパフォーマンスの改善

今回の更新で、対応している複数のアーキテクチャー間で strstr () 関数および strcasestr() 関数のパフォーマンスが向上しました。その結果、文字列およびメモリー操作ルーチンを使用するすべてのアプリケーションのパフォーマンスが大幅に向上しました。

(BZ#1821531)

glibc が、省略されたロケールアーカイブの読み込みを正しく処理するようになりました。

アップグレード時の電源停止やディスク障害が原因でシステムロケールのアーカイブが省略される場合、アーカイブの読み込み時にプロセスが突然終了することがありました。今回の機能拡張により、ロケールアーカイブの読み込みに追加の整合性チェックが追加されました。その結果、プロセスはアーカイブの省略を検出し、アーカイブ以外のロケール、またはデフォルトの POSIX ロケールのいずれかにフォールバックできるようになりました。

(BZ#1784525)

GDB が debuginfodに対応

今回の機能強化により、GNU Debugger(GDB)は、elfutils debuginfod クライアントライブラリーを使用して、集中サーバーからデバッグ情報パッケージをダウンロードできるようになりました。

(BZ#1838777)

pcp がバージョン 5.1.1-3 にリベースされました。

pcp パッケージがバージョン 5.1.1-3 にアップグレードされました。以下は、主な変更点です。

  • サービスユニットを更新し、すべての PCP サービスの systemd 統合および信頼性が改善されました。アーカイブログローテーションおよびタイムリー圧縮が改善されました。pmproxy プロトコルのアーカイブされた検出バグ修正。
  • pmrep ツールおよびエクスポートツールで、 pcp-atop、pcp-dstatpmrep、および related monitor ツールが改善され まし た。
  • bpftrace、OpenMetrics、MMV、Linux カーネルエージェント、およびその他のコレクションエージェントが改善されました。Open vSwitch および RabbitMQ サーバーの新規メトリクスコレクター。
  • スタンドアロンの pmmgr デーモンに代わる、新しいホスト検出 pmfind systemd サービス。

(BZ#1792971)

Grafana がバージョン 6.7.3 にリベースされました。

grafana パッケージがバージョン 6.7.3 にアップグレードされました。以下は、主な変更点です。

  • 汎用 OAuth ロールマッピングのサポート
  • 新しいログパネル
  • テーブルパネルのマルチラインテキスト表示
  • 新しい通貨と電力単位

(BZ#1807323)

grafana-pcp がバージョン 2.0.2 にリベースされました。

grafana-pcp パッケージがバージョン 2.0.2 にアップグレードされました。以下は、主な変更点です。

  • フレームグラフでグラフ化される多次 eBPF マップをサポートします。
  • PCP メトリックが動的に表示されるように、クエリーエディターで自動補完キャッシュを削除します。

(BZ#1807099)

新しい rhel8/pcp コンテナーイメージ

rhel8/pcp コンテナーイメージが Red Hat コンテナーレジストリーで利用できるようになりました。イメージには、事前にインストールされた pcp-zeroconf パッケージと OpenMetrics PMDA を含む Performance Co- Pilot(PCP)ツールキットが 含ま れます。

(BZ#1497296)

新しい rhel8/grafana コンテナーイメージ

rhel8/grafana コンテナーイメージが Red Hat Container Registry で利用可能になりました。Grafana は、GraphiteElasticsearch、OpenTSDB、Prometheus InfluxDB、および PCP 監視ツールのメトリクスダッシュボードおよびグラフエディターが含まれるオープンソースユーティリティーです。

(BZ#1823834)

5.1.13. Identity Management

IdM バックアップユーティリティーで、必要なレプリカロールを確認

ipa-backup ユーティリティーは、認証局(CA)、ドメインネームシステム(DNS)、KRA(Key Recovery Agent)などの IdM クラスターで使用されるすべてのサービスが、バックアップを実行しているレプリカにインストールされているかどうかを確認するようになりました。レプリカにこれらのサービスがすべてインストールされていない場合、そのホスト上で取得したバックアップではクラスターを完全に復元するには不十分なため、ipa-backup ユーティリティー は警告を表示して終了します。

たとえば、IdM デプロイメントで統合認証局 (CA) を使用している場合、CA 以外のレプリカのバックアップは CA データを取得しません。Red Hat は、ipa-backup を実行するレプリカに、クラスターで使用される IdM サービス がすべてインストールされていることを確認することをお勧めします。

詳細は「 IdM バックアップによるデータ損失の準備 」を参照してください。

(BZ#1810154)

新しいパスワード有効期限通知ツール

ipa-client-epn パッケージが提供する EPN(Expiring Password Notification)は、パスワードが失効する Identity Management(IdM)ユーザーの一覧を構築するのに使用可能なスタンドアロンツールです。

IdM 管理者は、EPN を使用して以下を行うことができます。

  • 影響を受けるユーザー (ランタイム時に計算されます) の一覧を JSON 形式で表示する
  • 特定の日または日付の範囲に送信される電子メール数を計算する
  • パスワード期限切れのメール通知をユーザーに送信

Red Hat は、付属の ipa-epn.timer systemd タイマー がある IdM クライアントまたはレプリカから、1 日 1 回 EPN を起動することを推奨します。

(BZ#913799)

JSS が FIPS 準拠の SSLContext を提供するように

以前は、Tomcat は Java Cryptography Architecture (JCA) SSLContext クラスの SSLEngine ディレクティブを使用していました。デフォルトの SunJSSE 実装は連邦情報処理標準 (FIPS) に準拠していないため、PKI は JSS 経由で FIPS 準拠の実装を提供するようになりました。

(BZ#1821851)

公開鍵インフラストラクチャーの全体的な正常性を確認できるようになりました。

今回の更新で、公開鍵インフラストラクチャー (PKI) Healthcheck ツールが、RHEL 8.1 で導入された Identity Management (IdM) Healthcheck ツールに PKI サブシステムの正常性を報告するようになりました。IdM Healthcheck を実行すると、PKI Healthcheck が呼び出され、これにより、PKI サブシステムの正常性レポートを収集して返します。

pki-healthcheck ツールは、デプロイ済みのあらゆる RHEL IdM サーバーまたはレプリカで利用可能です。pki-healthcheck が提供するすべてのチェックは、ipa-healthcheck ツールに統合されます。ipa-healthcheck は、idm:DL1 モジュールストリームとは別にインストールできます。

pki-healthcheck は、スタンドアローンの Red Hat Certificate System (RHCS) インフラストラクチャーでも動作可能であることに留意してください。

(BZ#1770322)

RSA PSS のサポート

今回の機能強化により、PKI は RSA PSS (Probabilistic Signature Scheme) 署名アルゴリズムに対応するようになりました。

この機能を有効にするには、指定のサブシステムの pkispawn スクリプトファイルに以下の行を設定します( pki_use_pss_rsa_signing_algorithm=True)。

これにより、このサブシステム( CS.cfg 設定ファイルで指定)に対する既存のデフォルトの署名アルゴリズムはすべて、対応する PSS バージョンを使用します。たとえば、SHA256withRSASHA256withRSA/PSS になります。

(BZ#1824948)

サービスの起動時、Directory Server によって秘密鍵と証明書をプライベート名前空間がエクスポートされる

Directory Server は、レプリカ合意などの発信接続に OpenLDAP ライブラリーを使用します。これらのライブラリーはネットワークセキュリティーサービス (NSS) データベースに直接アクセスできないため、Directory Server は TLS 暗号化対応インスタンスで NSS データベースから秘密鍵と証明書を抽出し、OpenLDAP ライブラリーが暗号化された接続を確立できるようにします。以前は、Directory Server は、cn=config エントリーの nsslapd-certdir パラメーター に設定されたディレクトリーに秘密鍵と証明書を抽出していました(デフォルト: /etc/dirsrv/slapd-<instance_name>/)。これにより、Directory Server では、このディレクトリーに Server-Cert-Key.pem および Server-Cert.pem が保存されていました。今回の機能強化により、Directory Server は、systemd/tmp/ ディレクトリーにマウントされるプライベート名前空間に秘密鍵と証明書を抽出します。その結果、セキュリティーが強化されました。

(BZ#1638875)

ディスク監視のしきい値に到達した場合、Directory Server がインスタンスを読み取り専用モードに変換できるようになりました。

今回の更新で、nsslapd-disk-monitoring-readonly-on-threshold パラメーターが cn=config エントリーに追加されました。この設定を有効にすると、ディスク監視が有効で、ディスクの空き容量が nsslapd-disk-monitoring-threshold に設定した値よりも小さい場合に、Directory Server はすべてのデータベースを読み取り専用に切り替えます。nsslapd-disk-monitoring-readonly-on-threshold を on に設定すると Directory Server が正常にインスタンスをシャットダウンするまでデータベースを変更することはできません。これにより、データの破損を防ぐことができます。

(BZ#1728943)

samba をバージョン 4.12.3 にリベース

samba パッケージがアップストリームバージョン 4.12.3 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。

  • 組み込み暗号関数は GnuTLS 関数に置き換えられました。これにより、サーバーメッセージブロックバージョン 3 (SMB3) のパフォーマンスとコピー速度が大幅に向上します。
  • ランタイムの最小サポートが Python 3.5 になりました。
  • 以前の 書き込みキャッシュの概念は、メモリーに制約のあるシステムのパフォーマンスが低下する可能性があるため、write cache size パラメーターは削除されました。
  • DES 暗号化タイプを使用する Kerberos チケットを使用した接続の認証のサポートが削除されました。
  • vfs_netatalk 仮想ファイル システム(VFS)モジュールが削除されました。
  • ldap ssl ads パラメーターは非推奨としてマークされ、将来の Samba バージョンで削除されます。LDAP トラフィック の代替暗号化方法および詳細情報は、samba: delete of "ldap ssl ads" smb.conf option ソリューションを参照してください。
  • デフォルトでは、RHEL 8.3 の Samba は、非推奨の RC4 暗号化スイートに対応しなくなりました。Kerberos 認証に RC4 を必要とする AD のドメインメンバーとして Samba を実行する場合は、update-crypto-policies --set DEFAULT:AD-SUPPORT コマンドを使用して RC4 暗号化タイプのサポートを有効にします。

smbdnmbd、または winbind サービスが起動すると、Samba は tdb データベースファイルを自動的に更新します。Samba を起動する前にデータベースファイルがバックアップされます。Red Hat は、tdb データベースファイルのダウングレードをサポートしていないことに留意してください。

主な変更の詳細は、更新前にアップストリームのリリースノートを参照してください

(BZ#1817557)

cockpit-session-recording がバージョン 4 にリベース

cockpit-session-recording モジュールがバージョン 4 にリベースされました。このバージョンでは、以前のバージョンに対する主な変更点が加えられています。

  • metainfo ファイルの親 ID を更新 ました。
  • パッケージマニフェストを更新しました。
  • CentOS7 で正しいパス を解決するように rpmmacro が修正されました。
  • バイトアレイでエンコードされたジャーナルデータを処理します。
  • 非推奨の React ライフサイクル機能からコードを移動しました。

(BZ#1826516)

krb5 がバージョン 1.18.2 にリベースされました。

krb5 パッケージがアップストリームバージョン 1.18.2 にアップグレードされました。主なバグ修正と機能強化は、以下のとおりです。

  • DES および 3DES 暗号化タイプが削除されました
  • サポートされるどのバージョンの Active Directory でも不要であるため、ドラフト 9 PKINIT は削除されました。
  • NegoEx メカニズムプラグインに対応するようになりました。
  • ホスト名の正規化フォールバックがサポートされるようになりました(dns_canonicalize_hostname = fallback)。

(BZ#1802334)

IdM が新しい Ansible 管理モジュールに対応するようになりました。

今回の更新で、Ansible Playbook を使用して一般的な Identity Management (IdM) タスクを自動化する複数の ansible-freeipa モジュールが導入されました。

  • config モジュールでは、IdM 内でグローバル設定パラメーターを設定できます。
  • dnsconfig モジュールを使用すると、グローバル DNS 設定を変更できます。
  • dnsforwardzone モジュールを使用すると、IdM から DNS フォワーダーを追加および削除できます。
  • dnsrecord は、DNS レコードの管理を許可します。アップストリームの ipa_dnsrecord とは対照的に、1 回の実行で複数のレコード管理が可能になり、より多くのレコードタイプに対応します。
  • dnszone モジュールにより、DNS サーバーでゾーンを設定できます。
  • サービス モジュールにより、サービスの有無を確認できます。
  • vault モジュールを使用すると、vault および vault のメンバーの有無を確認できます。

ipagroup モジュールおよび ipahostgroup モジュールが拡張され、ユーザーおよびグループメンバーシップマネージャーをそれぞれ組み込むようになりました。グループメンバーシップマネージャーは、グループにメンバーを追加したり、グループからメンバーを削除できるユーザーまたはグループです。詳細は、各 /usr/share/doc/ansible-freeipa/README-* ファイルの 変数 セクションを参照してください。

(JIRA:RHELPLAN-49954)

IdM が、証明書管理用の新しい Ansible システムロールに対応

Identity Management (IdM) は、証明書管理タスクを自動化するための新しい Ansible システムロールに対応します。新規ロールには、以下の利点があります。

  • ロールは、証明書の発行および更新の自動化に役立ちます。
  • ロールは、ipa 認証局に証明書を発行するように設定できます。これにより、既存の IdM インフラストラクチャーを使用して証明書トラストチェーンを管理できます。
  • ロールを使用すると、証明書の発行前および発行後に実行するコマンド (例: サービスの停止および開始) を指定できます。

(JIRA:RHELPLAN-50002)

Identity Management が FIPS に対応

今回の機能強化により、Identity Management (IdM) の認証メカニズムを使用して、連邦情報処理標準 (FIPS) で承認される暗号化タイプを使用できるようになりました。IdM と Active Directory の間のフォレスト間の信頼は、FIPS に準拠していません。

FIPS を必要とし、AD 信頼は不要というお客様は、FIPS モードで IdM をインストールできます。

(JIRA:RHELPLAN-43531)

idm:DL1 の Opendnssec がバージョン 2.1 にリベースされました。

idm:DL1 モジュールストリームの OpenDNSSEC コンポーネントは、現在の長期アップストリームサポートバージョンである 2.1 バージョンシリーズにアップグレードされました。OpenDNSSEC は、DNSSEC (Domain Name System Security Extensions) の採用を促してインターネットのセキュリティーを強化する、オープンソースプロジェクトです。OpenDNSSEC 2.1 では、以前のバージョンのバグ修正および機能拡張が数多く追加されました。詳細は、アップストリームのリリースノート https://www.opendnssec.org/archive/releases/ を参照して ください

(JIRA:RHELPLAN-48838)

IdM が、新しいシステム全体の暗号化サブポリシーを使用して非推奨の RC4 暗号化スイートに対応するように

今回の更新で、Identity Management(IdM)で Rivest Cipher 4(RC4)暗号化スイートを有効にする新しい AD-SUPPORT 暗号化サブポリシーが導入されました。

IdM-Active Directory(AD)のフォレスト間の信頼のコンテキストでは、AD が Advanced Encryption Standard(AES)を使用するように設定されていない場合、管理者は新しい AD-SUPPORT サブポリシーをアクティベートできます。具体的には、以下のいずれかの条件が適用される場合は、Red Hat は新しいサブポリシーを有効にすることを推奨します。

  • AD のユーザーまたはサービスアカウントに RC4 暗号化鍵があり、AES 暗号化鍵がない。
  • 個別の Active Directory ドメイン間の信頼リンクに RC4 暗号化鍵があり、AES 暗号化鍵がない。

DEFAULT 暗号化ポリシーに加えて AD-SUPPORT サブポリシーを有効にするには、次のコマンドを実行します。

 # update-crypto-policies --set DEFAULT:AD-SUPPORT

または、AD フォレストの AD ドメイン間で信頼をアップグレードして強力な AES 暗号化タイプをサポートできるようにするには、Microsoft の記事「 AD DS: Security: Kerberos "Unsupported etype" error when accessing a resource in a trusted domain 」を参照してください。

(BZ#1851139)

新しい Microsoft LDAP チャネルバインディングおよび LDAP 署名要件に対応

最新の Microsoft アップデートでは、Active Directory (AD) は LDAP チャネルバインディングおよび LDAP 署名のデフォルトの Windows 設定を使用しないクライアントにフラグを付けます。これにより、System Security Services Daemon (SSSD) を AD との直接統合または間接統合に使用している RHEL システムで、GSSAPI (Generic Security Services Application Program Interface) を使用する SASL (Simple Authentication and Security Layer) 操作が正常に実行されると、AD でエラーイベント ID が発生する可能性があります。

これらの通知を防ぐには、GSSAPI ではなく GSS-SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) SASL 機構を使用するようにクライアントアプリケーションを設定します。SSSD を設定するには、ldap_sasl_mech オプションを GSS-SPNEGO に設定します。

また、チャネルバインディングが AD 側に適用される場合は、以下のように SSL/TLS で SASL を使用するシステムを設定します。

  1. RHEL 8.3 以降に同梱された openldap パッケージ、openldap パッケージ、および krb5-libs パッケージの最新バージョンをインストールします。
  2. /etc/openldap/ldap.conf ファイルで、SASL_CBINDING オプションtls-endpoint に設定して、正しいチャネルバインディングタイプを指定します。

詳細は、「 Impact of Microsoft Security Advisory ADV190023 | LDAP Channel Binding and LDAP Signing on RHEL and AD integration 」を参照してください。

(BZ#1873567)

SSSD、adcli、および realmd が新しいシステム全体の暗号化サブポリシーを使用して非推奨の RC4 暗号化スイートに対応するように

今回の更新で、以下のユーティリティーで Rivest Cipher 4(RC4)暗号化スイートを有効にする新しい AD-SUPPORT 暗号化サブポリシーが導入されました。

  • SSSD (System Security Services Daemon)
  • adcli
  • realmd

以下のシナリオでは、Active Directory( AD)が Advanced Encryption Standard(AES)を使用するように設定されていない場合、管理者が新しい AD-SUPPORT サブポリシーをアクティベートできます。

  • SSSD が、AD に直接接続された RHEL システムで使用されている。
  • adcli は、AD ドメインに参加したり、ホスト属性(ホストキーなど)を更新するために使用されます。
  • realmd は、AD ドメインに参加するために使用されます。

以下のいずれかの条件が適用される場合は、Red Hat は新しいサブポリシーを有効にすることを推奨します。

  • AD のユーザーまたはサービスアカウントに RC4 暗号化鍵があり、AES 暗号化鍵がない。
  • 個別の Active Directory ドメイン間の信頼リンクに RC4 暗号化鍵があり、AES 暗号化鍵がない。

DEFAULT 暗号化ポリシーに加えて AD-SUPPORT サブポリシーを有効にするには、次のコマンドを実行します。

 # update-crypto-policies --set DEFAULT:AD-SUPPORT

(BZ#1866695)

authselect には新しい 最小 プロファイルがあります。

authselect ユーティリティーには、新しい 最小 プロファイルがあります。このプロファイルを使用すると、他の認証プロバイダーを使用する代わりに、システムファイルから直接ローカルユーザーおよびグループのみに対応できます。したがって、SSSD パッケージ、winbind パッケージ、および fprintd パッケージを安全に削除し、最小限のインストールを必要とするシステムでこのプロファイルを使用してディスクおよびメモリー領域を節約できます。

(BZ#1654018)

SSSD が、パスワードのローテーション時に Samba の secrets.tdb ファイルを更新するようになりました。

sssd.conf ファイルの新しい ad_update_samba_machine_account_password オプションが、RHEL で利用できるようになりました。これを使用すると、Samba の使用時にマシンのドメインパスワードをローテーションする際に、SSSD を使用して自動的に Samba secrets.tdb ファイルを更新できます。

ただし、SELinux が Enforcing モードの場合、SSSD は secrets.tdb ファイルの更新に失敗します。このため、Samba は新しいパスワードにアクセスできません。この問題を回避するには、SELinux を Permissive モードに設定します。

(BZ#1793727)

SSSD がデフォルトで AD GPO を強制するようになりました。

SSSD オプションad_gpo_access_control のデフォルト設定がEnforcing になりました。RHEL 8 では、SSSD は、デフォルトで Active Directory Group Policy Objects (GPO) に基づいてアクセス制御ルールを強制します。

Red Hat は、RHEL 7 から RHEL 8 にアップグレードする前に、Active Directory で GPO が正しく設定されていることを確認することを推奨します。GPO を強制しない場合は、/etc/sssd/sssd.conf ファイルの ad_gpo_access_control オプションの値を permissive に変更します。

(JIRA:RHELPLAN-51289)

Directory Server が pwdReset 操作 属性 に対応

今回の機能拡張により、Directory Server に pwdReset 操作 属性のサポートが追加されました。管理者がユーザーのパスワードを変更すると、Directory Server はユーザー エントリーの pwdReset を true に設定します。その結果、アプリケーションはこの属性を使用して、管理者がユーザーのパスワードをリセットしたかどうかを識別できます。

pwdReset 操作属性であるため、ユーザーは編集できないことに注意してください。

(BZ#1775285)

Directory Server が RESULT エントリーで作業および操作時間のログを記録するようになりました。

今回の更新で、Directory Server は、/var/log/dirsrv/slapd-<instance_name>/access ファイルの RESULT'entries に追加の 2 つの時間値をログ記録するようになりました。

  • wtime の値は、操作が作業キューからワーカースレッドに移動するのにかかった時間を示します。
  • optime の値は、ワーカースレッドが操作を開始した後に実際に操作が完了するのにかかった時間を示します。

新たに追加されたこの値で、Directory Server が読み込みやプロセス操作を処理する方法などの情報が追加で提供されます。

詳細は、『Red Hat Directory Server の設定、コマンド、およびファイルリファレンス』の 「アクセスログリファレンス」を参照してください。

(BZ#1850275)

5.1.14. デスクトップ

シングルアプリケーションセッションが利用できるようになりました。

これで、kiosk モードとも呼ばれる単一アプリケーションセッションで GNOME を起動できるようになりました。このセッションでは、GNOME は設定したアプリケーションのフルスクリーンウィンドウのみを表示します。

単一アプリケーションセッションを有効にするには、以下を実行します。

  1. gnome-session-kiosk-session パッケージをインストールします。

    # yum install gnome-session-kiosk-session
  2. 単一アプリケーションセッションを開くユーザーの $HOME/.local/bin/redhat-kiosk ファイル を作成し、編集します。

    ファイルで、起動するアプリケーションの実行可能な名前を入力します。

    たとえば、Text Editor アプリケーションを起動するには、以下を実行します。

    #!/bin/sh
    
    gedit &
  3. ファイルを実行可能にします。

    $ chmod +x $HOME/.local/bin/redhat-kiosk
  4. GNOME ログイン画面で、歯車ボタンメニューから Kiosk セッションを選択し、シングルアプリケーションユーザーとしてログインします。

(BZ#1739556)

tigervnc をバージョン 1.10.1 にリベース

tigervnc スイートがバージョン 1.10.1. にリベースされました。更新には、修正および改善点が数多く含まれています。以下に例を示します。

  • TigerVNC は、systemd サービスマネージャーを使用した仮想ネットワークコンピューティング(VNC)サーバーの起動のみに対応するようになりました。
  • クリップボードが、ネイティブビューアー WinVNC および Xvnc/libvnc.so で完全な Unicode に対応するようになりました。
  • ネイティブクライアントは、サーバー証明書の検証時にシステムのトラストストアを反映するようになりました。
  • Java Web サーバーが削除されました。
  • X0vncserver は、ローカル接続のみを許可するように設定できるようになりました。
  • X0vncserver は、ディスプレイの一部のみが共有されている場合にのみ修正が受信されました。
  • WinVNC では、ポーリングはデフォルトでデフォルトになりました
  • VMware の VNC サーバーとの互換性が向上しました。
  • macOS における一部の入力方法との互換性を向上しました。
  • JPEG アーティファクトの自動「修復」が向上しました。

(BZ#1806992)

5.1.15. グラフィックインフラストラクチャー

新しいグラフィックカードのサポートが追加されました。

以下のグラフィックカードが完全にサポートされるようになりました。

  • 以下のモデルを含む AMD Navi 14 ファミリー

    • Radeon RX 5300
    • Radeon RX 5300 XT
    • Radeon RX 5500
    • Radeon RX 5500 XT
  • 以下のモデルを含む AMD Renoir APU ファミリー:

    • Ryzen 3 4300U
    • Ryzen 5 4500U、4600U、4600H
    • Ryzen 7 4700U、4800U、4800H
  • 以下のモデルを含む AMD Dail APU ファミリー

    • Athlon Silver 3050U
    • Athlon Gold 3150U
    • Ryzen 3 3250U

さらに、以下のグラフィックドライバーが更新されました。

  • Matrox mgag200 ドライバー

(JIRA:RHELPLAN-55009)

Nvidia Volta および Turing によるハードウェアアクセラレーション

nouveau グラフィックドライバーは、Nvidia Volta および Turing GPU ファミリーを使用したハードウェアアクセラレーションに対応するようになりました。その結果、3D グラフィックを使用するデスクトップおよびアプリケーションが GPU 上で効率的にレンダリングされるようになりました。また、これにより他のタスクの CPU が解放され、システム全体の応答が改善されます。

(JIRA:RHELPLAN-57564)

XWayland の表示停止が減少する

XWayland ディスプレイバックエンドでは、XPresent 拡張が有効化されるようになりました。XPresent を使用すると、アプリケーションはウィンドウコンテンツを効率的に更新できるため、画面の破棄が削減されます。

この機能は、3D エディターなどのフルスクリーンの OpenGL アプリケーションのユーザーインターフェースレンダリングを大幅に改善します。

(JIRA:RHELPLAN-57567)

Intel Tiger Lake GPU に対応

今回の更新で、GPU の Intel Tiger Lake ファミリーのサポートが追加されました。これには、https://ark.intel.com/content/www/us/en/ark/products/codename/88759/tiger-lake.html の CPU モデルで見つかった Intel UHD グラフィックおよび Intel Xe GPU が含まれ ます

Tiger Lake GPU サポートを有効にするために、i915.alpha_support=1 または i915.force_probe=* カーネルオプションを設定する必要がなくなりました。

今回の機能拡張は、RHSA-2021:0558 非同期 アドバイザリーの一部としてリリースされました。

(BZ#1882620)

5.1.16. Web コンソール

Web コンソールセッションから特権を設定する。

今回の更新では、Web コンソールに、ユーザーセッション内から管理アクセスと制限されたアクセスを切り替えるオプションが追加されました。Web コンソールセッションで管理アクセスまたは制限付きアクセスのインジケーターをクリックすると、モードを 切り替えることができます。

(JIRA:RHELPLAN-42395)

ログ検索の改善

今回の更新で、Web コンソールに、ユーザーがログ間を検索できる新しい方法をサポートする検索ボックスが追加されました。この検索ボックスは、ログメッセージでの検索、サービスの指定、特定のログフィールドを持つエントリーの検索に対応しています。

(BZ#1710731)

Overview ページで詳細な Insights レポートを表示。

今回の更新により、マシンが Red Hat Insights に接続されると、Web コンソールの Overview ページの Health カードに、ヒット数とその優先度の詳細が表示されるようになりました。

(JIRA:RHELPLAN-42396)

5.1.17. Red Hat Enterprise Linux システムロール

RHEL システムロールに端末ログロールを追加

今回の機能拡張で、rhel-system-roles パッケージに含まれる RHEL システムロールに、新しい Terminal ログ (TLOG)ロール が追加されました。ユーザーは、tlog ロールを使用して、Ansible を使用してセッションの録画を設定および設定できるようになりました。

現在、tlog ロールは次のタスクをサポートします。

  • systemd ジャーナルに録画データを記録するように tlog を設定する
  • SSSD を介した明示的なユーザーおよびグループのセッション録画を有効にする

(BZ#1822158)

Ansible で RHEL ロギングシステムロールが利用可能に

ロギングシステムロールを使用すると、ローカルホストとリモートホストで一貫して、さまざまなロギング設定をデプロイできます。RHEL ホストをサーバーとして設定し、多くのクライアントシステムからログを収集できます。

(BZ#1677739)

rhel-system-roles-sap に完全対応

以前はテクノロジープレビューとして利用できた rhel-system-roles-sap パッケージが完全にサポートされるようになりました。これは、SAP 向けの Red Hat Enterprise Linux (RHEL) システムロールを提供します。これは、RHEL システムの設定を自動化して SAP ワークロードロードを実行するために使用できます。これらのロールは、関連する SAP ノート記載のベストプラクティスに基づいて最適な設定を自動的に適用することで、SAP ワークロードを実行するようにシステムを設定する時間を大幅に短縮できます。アクセスは、RHEL for SAP Solutions 製品に限定されます。サブスクリプションに関するサポートが必要な場合は、Red Hat カスタマーサポートまでご連絡ください。

rhel-system-roles-sap パッケージの以下の新しいロール が完全にサポートされます。

  • sap-preconfigure
  • sap-netweaver-preconfigure
  • sap-hana-preconfigure

詳細は、「 Red Hat Enterprise Linux System Roles for SAP 」を参照してください。

(BZ#1660832)

Ansible で メトリック RHEL システムロールが利用できるようになりました。

メトリック の RHEL システムロールを使用すると、ローカルホストおよびリモートホスト用に以下を設定できます。

  • pcp アプリケーションによるパフォーマンス分析サービス
  • grafana サーバーを使用したこのデータの可視化
  • これらのサービスを個別に設定せずに、redis データソースを使用してこのデータのクエリーを行います。

(BZ#1890499)

rhel-system-roles-sap upgraded

rhel-system-roles-sap パッケージがアップストリームバージョン 2.0.0 にアップグレードされ、バグ修正および機能強化が複数追加されました。以下は、主な変更点です。

  • ホスト名の設定とチェックの向上
  • uuidd ステータスの検出および処理の向上
  • -- check(-c) オプションのサポートを追加
  • 32800 から 65536 に nofile 制限を引き上げる
  • nfs-utils ファイルを sap_preconfigure_packages* に追加します。
  • firewalld を無効にします。この変更により、インストールされている場合に限り firewalld が無効になります。
  • RHEL 8.0 および RHEL 8.1 用の setup パッケージの最小必要なバージョンを追加します。
  • tmpfiles.d/sap.conf ファイル処理の向上
  • シングルステップの実行または SAP ノートの確認をサポート
  • 必要な compat-sap-c++ パッケージの追加
  • 最小限のパッケージインストール処理を向上
  • RHEL システムロールの適用後に再起動が必要であるかどうかを検出する
  • あらゆる SElinux の状態の設定に対応。デフォルトの状態は" disabled" です。
  • 同じ IP アドレスを持つ行が複数あっても失敗しなくなりました
  • sap_ipを含む行が複数ある場合に /etc/hosts が変更されなくなりました。
  • RHEL 7.7 における HANA のサポート
  • ppc64le プラットフォームの SAP HANA に必要な Power 用の IBM サービスおよび生産性向上ツールへのリポジトリー追加に対応します。

(BZ#1844190)

storage RHEL システムロールがファイルシステム管理に対応

今回の機能強化により、管理者は ストレージ RHEL システムロールを使用して以下を実行できるようになりました。

  • ext4 ファイルのサイズ変更
  • LVM ファイルのサイズ変更
  • swap パーティションがない場合は、swap パーティションを作成します。swap パーティションが存在する場合は、そのパーティションが存在する場合は、デフォルトのパラメーターを使用してブロックデバイスにそのパーティションを変更します。

(BZ#1959289)

5.1.18. 仮想化

TSC 設定と互換性のないホストへ仮想マシンを移行した場合、より早い段階で失敗するようになりました。

以前は、Time Stamp Counter (TSC) 設定との互換性がないホストに仮想マシンを移行すると、プロセスの後半で失敗していました。今回の更新で、このような移行を試みると、移行プロセスが開始する前にエラーが生成されるようになりました。

(JIRA:RHELPLAN-45950)

第 2 世代 AMD EPYC プロセッサーの仮想化サポート

今回の更新で、RHEL 8 の仮想化で、第 2 世代 AMD EPYC プロセッサー (EPYC としても知られる) のサポートが追加されました。これにより、RHEL 8 でホストされる仮想マシンで EPYC-Rome CPU モデルを使用し、プロセッサーが提供する新機能を使用できるようになりました。

(JIRA:RHELPLAN-45959)

新しいコマンド: virsh iothreadset

今回の更新で、virsh iothreadset コマンドが導入されました。これを使用して、動的 IOThread ポーリングを設定することができます。これにより、IO スレッドの CPU 消費量が多い場合に、I/O 集中型ワークロードの、遅延が少ない仮想マシンをセットアップできます。特定のオプションについては、virsh の man ページを参照してください。

(JIRA:RHELPLAN-45958)

UMIP が第 10 世代 Intel Core プロセッサーの KVM でサポートされるように。

今回の更新で、第 10 世代 Intel Core プロセッサー (Ice Lake サーバー) で実行しているホストの KVM が、ユーザーモードの Instruction Prevention (UMIP) 機能に対応するようになりました。UMIP 機能は、現在の権限レベル(CPL)が 0 を超えると sgdt、sidt sldt smsw、および str などの特定の命令が実行されると、一般的な保護例外を発行します。これにより、UMIP は、権限昇格攻撃を開始するために使用できる特定のシステム全体の設定にアクセスできないようにして、システムのセキュリティーを確保します。

(JIRA:RHELPLAN-45957)

libvirt ライブラリーが Memory Bandwidth Allocation に対応

libvirt が Memory Bandwidth Allocation(MBA)に対応するようになりました。MBA を使用すると、<cputune> セクションの <memorytune> 要素を使用して、vCPU スレッドのホストメモリー帯域幅 一部を割り当てること できます。

MBA は、Intel Xeon v4 プロセッサー (Broadwell サーバーとしても知られる) にある既存の Cache QoS Enforcement (CQE) 機能の拡張です。CPU アフィニティーに関連付けられたタスクの場合、MCB で使用されるメカニズムは CQE と同じです。

(JIRA:RHELPLAN-45956)

RHEL 6 仮想マシンが Q35 マシンタイプに対応

ゲスト OS として RHEL 6 を使用する RHEL 8 でホストされる仮想マシンで、より新しい PCI Express ベースのマシンタイプである Q35 を使用できるようになりました。これにより、仮想デバイスの機能とパフォーマンスに様々な改善が行われ、最新の広範囲なデバイスで RHEL 6 VM との互換性が保証されます。

(JIRA:RHELPLAN-45952)

記録されたすべての QEMU イベントにタイムスタンプが追加され、これにより、ユーザーは /var/log/libvirt/qemu/ ディレクトリーに保存されたログを使用して、より簡単に仮想マシンをトラブルシューティングできます。

QEMU ログに、spice-server イベントのタイムスタンプが含まれるようになりました。

今回の更新で、「spice-server」イベントログにタイムスタンプが追加されました。そのため、ログに記録された QEMU イベントにはすべてタイムスタンプが追加されるようになりました。これにより、ユーザーは /var/log/libvirt/qemu/ ディレクトリーに保存されたログを使用して、より簡単に仮想マシンをトラブルシューティングできます。

(JIRA:RHELPLAN-45945)

bochs -display デバイスに対応しました。

RHEL 8.3 以降に、現在使用されている stdvga デバイスよりも安全な Bochs ディスプレイデバイスが導入されました。bochs -display と互換性のあるすべての仮想マシン(VM)は、 デフォルトでこれを使用することに注意してください。これには、主に UEFI インターフェースを使用する仮想マシンが含まれます。

(JIRA:RHELPLAN-45939)

仮想マシン向けの MDS 保護の最適化

今回の更新で、RHEL 8 ホストは、Microarchitectural Data Sampling (MDS)に対して脆弱であるかどうかを仮想マシンに通知できるようになりました。脆弱ではない仮想マシンは、MDS に対して測定を使用しないため、パフォーマンスが向上します。

(JIRA:RHELPLAN-45937)

RBD での QCOW2 ディスクイメージの作成に対応

今回の更新で、RADOS Block Device (RBD) ストレージ上に QCOW2 ディスクイメージを作成できるようになりました。これにより、仮想マシンでは、QCOW2 イメージを使用して、ストレージバックエンドに RBD サーバーを使用できます。

ただし、RBD ストレージ上の QCOW2 ディスクイメージの書き込みパフォーマンスは現在、意図されたパフォーマンスよりも低くなっています。

(JIRA:RHELPLAN-45936)

サポートされている VFIO デバイスの最大数が 64 に増加

今回の更新により、VFIO を使用する最大 64 台の PCI デバイスを RHEL 8 ホストの単一の仮想マシンに割り当てることができます。RHEL 8.2 以前では最大 32 台でした。

(JIRA:RHELPLAN-45930)

QEMU/KVM でdiscard および write-zeroes コマンド に対応

今回の更新で、virtio-blkdiscard コマンドおよび write- zeroes コマンドが QEMU/KVM でサポートされるようになりました。これにより、仮想マシンは virtio-blk デバイスを使用して SSD の未使用セクターを破棄し、空のままにするか、両方のセクターにセクターをゼロで埋めることができます。この操作は、SSD のパフォーマンスを向上したり、ドライブを安全に消去するために使用できます。

(JIRA:RHELPLAN-45926)

RHEL 8 が IBM POWER 9 XIVE に対応

今回の更新で、IBM POWER9 から RHEL 8 への External Interrupt Virtualization Engine (XIVE) 機能へのサポートが追加されました。これにより、IBM POWER 9 システムの RHEL 8 ハイパーバイザーで実行している仮想マシンは XIVE を使用でき、I/O 集中型仮想マシンのパフォーマンスが向上します。

(JIRA:RHELPLAN-45922)

仮想マシンに対する Control Group v2 のサポート

今回の更新で、libvirt スイートが Control Group v2 に対応するようになりました。これにより、RHEL 8 でホストされる仮想マシンで、Control Group v2 のリソース制御機能を利用できます。

(JIRA:RHELPLAN-45920)

Windows 仮想マシンで準仮想化 IPI をサポート

今回の更新で、Windows 仮想マシンのサポートされるハイパーバイザー Enlightenment に hv_ipi フラグが追加されました。これにより、プロセッサー間割り込み (IPI) をハイパーコール経由で送信できるようになります。その結果、Windows OS を実行している仮想マシンで IPI を迅速に実行できます。

(JIRA:RHELPLAN-45918)

ディスクキャッシュが有効となっている仮想マシンの移行が可能に

今回の更新で、RHEL 8 KVM ハイパーバイザーが、ディスクキャッシュのライブマイグレーションに対応するようになりました。その結果、ディスクキャッシュが有効となっている仮想マシンのライブマイグレーションが可能になりました。

(JIRA:RHELPLAN-45916)

権限を持たないセッションにおいて macvtap インターフェースを仮想マシンで使用可能に

特権プロセスで以前に作成された macvtap インターフェースを、仮想マシン (VM) で使用できるようになりました。特に、これにより、libvirtd の非特権 ユーザー セッションで起動された仮想マシンが macvtap インターフェースを使用できるようになります。

そのためには、最初に特権環境で macvtap インターフェースを作成し、非特権セッションで libvirtd を実行するユーザーが所有するように設定します。これを実行するには、Web コンソールなどの管理アプリケーションを使用するか、root としてコマンドラインユーティリティーを使用します。以下に例を示します。

# ip link add link en2 name mymacvtap0 address 52:54:00:11:11:11 type macvtap mode bridge
# chown myuser /dev/tap$(cat /sys/class/net/mymacvtap0/ifindex)
# ip link set mymacvtap0 up

その後、新たに作成された macvtap インターフェースを参照するように、仮想マシンの <interface> 設定のサブ要素 <target> を変更します。

  <interface type='ethernet'>
     <model type='virtio'/>
     <mac address='52:54:00:11:11:11'/>
     <target dev='mymacvtap0' managed='no'/>
   </interface>

この設定では、libvirtd をユーザー myuser として実行した場合、仮想マシンは起動時に既存の macvtap インターフェースを使用します。

(JIRA:RHELPLAN-45915)

仮想マシンが、第 10 世代 Intel Core プロセッサーの機能を使用できるようになりました。

Icelake-Server および Icelake-Client CPU モデル名が仮想マシンで利用できるようになりました。第 10 世代 Intel Core プロセッサーのホストでは、仮想マシンの XML 設定の CPU タイプとして Icelake-Server または Icelake-Client を使用すると、これらの CPU の新機能が仮想マシンに公開されます。

(JIRA:RHELPLAN-45911)

QEMU が LUKS 暗号化に対応

今回の更新で、LUKS (Linux Unified Key Setup) 暗号化を使用して仮想ディスクを作成できるようになりました。仮想マシンの XML 設定に <encryption> フィールドを追加して ストレージボリュームの作成時にディスクを暗号化できます。また、XML 設定ファイルのディスクのドメイン定義に <encryption> フィールド を追加して、LUKS で暗号化された仮想ディスクを完全に仮想マシンに透過的にすることもできます。

(JIRA:RHELPLAN-45910)

nbdkitのログを改善

nbdkit サービスのロギングは、これより詳細になるように変更になりました。これにより、nbdkit は重要なメッセージのみを記録し、virt-v2v 変換中に作成されたログが短くなり、解析が容易になりました。

(JIRA:RHELPLAN-45909)

仮想マシンの SELinux セキュリティーラベルおよびパーミッションの一貫性が向上

今回の更新で、libvirt サービスはファイルに関連付けられた SELinux セキュリティーラベルとパーミッションを記録し、ファイルの変更後にラベルを復元できるようになりました。たとえば、libguestfs ユーティリティーを使用して、特定のユーザーが所有する仮想マシン(VM)ディスクイメージを変更しても、イメージの所有者が root に変更されなくなりました。

Note that this feature does not work on file systems that do not support extended file attributes, such as NFS.

(JIRA:RHELPLAN-45908)

QEMU で XTS 暗号に gcrypt ライブラリーを使用するようになりました。

今回の更新で、QEMU エミュレーターが gcrypt ライブラリーが提供する XTS 暗号モードの実装を使用するように変更されました。これにより、ホストストレージで QEMU のネイティブ luks 暗号化ドライバーを使用する仮想マシンの I/O パフォーマンスが向上します。

(JIRA:RHELPLAN-45904)

Windows Updates で Windows Virtio ドライバーを更新可能

今回の更新で、QEMU の起動時にデフォルトで、新しい標準 SMBIOS 文字列が開始されるようになりました。SMBIOS フィールドで指定されるパラメーターにより、仮想マシン(VM)で実行される仮想ハードウェアの ID を生成できます。これにより、Windows Update で、仮想ハードウェアおよび RHEL ハイパーバイザーマシンタイプを識別し、Windows 10+、Windows Server 2016、および Windows Server 2019+ を実行している仮想マシンの Virtio ドライバーを更新できます。

(JIRA:RHELPLAN-45901)

新しいコマンド: virsh guestinfo

virsh guestinfo コマンドが RHEL 8.3 に導入されました。これにより、仮想マシン (VM) に関する以下の種類の情報を報告できます。

  • ゲスト OS およびファイルシステムの情報
  • アクティブユーザー
  • 使用されるタイムゾーン

virsh guestinfo を実行する前に、qemu-guest-agent パッケージがインストールされていることを確認してください。さらに、以下のように、仮想マシンの XML 設定で guest_agent チャンネルを有効にする必要があります。

<channel type='unix'>
   <target type='virtio' name='org.qemu.guest_agent.0'/>
</channel>

(JIRA:RHELPLAN-45900)

KVM が BFLOAT16 入力の VNNI に対応

今回の更新で、AVX512_BF 16 命令とも呼ばれる BFLOAT 16 入力に対応する Vector Neural Network Instructions(VNNI)が、Cooper Lake で実行しているホストの KVM でサポートされるようになりました。その結果、ゲストソフトウェアは、仮想 CPU 設定で有効化することで、仮想マシン内で AVX512_BF16 命令を使用できるようになりました。

(JIRA:RHELPLAN-45899)

新しいコマンド: virsh pool-capabilities

RHEL 8.3 で、virsh pool-capabilities コマンドオプションが追加されました。このコマンドにより、ホスト上のストレージプールの作成に使用できる情報と、各プール内のストレージボリュームが表示されます。これには以下が含まれます。

  • ストレージプールの種類
  • ストレージプールのソースの形式
  • ターゲットストレージボリュームの形式タイプ

(JIRA:RHELPLAN-45884)

Intel Xeon Platinum 9200 シリーズプロセッサーを使用する仮想マシンでの CPUID.1F のサポート

今回の更新で、RHEL 8 でホストされる仮想マシンは、拡張トポロジー Enumeration リーフ機能 (CPUID.1F) を使用して、複数のダイの仮想 CPU トポロジーで設定できるようになりました。この機能は、Intel Xeon Platinum 9200 シリーズプロセッサー (以前は Cascade Lake) でサポートされています。その結果、Intel Xeon Platinum 9200 シリーズプロセッサーを使用するホストで、ホストの物理 CPU トポロジーをミラーリングする vCPU トポロジーを作成できるようになりました。

(JIRA:RHELPLAN-37573, JIRA:RHELPLAN-45934)

仮想マシンが、3 番目の Intel Xeon Scalable プロセッサーの機能を使用できるようになりました。

Cooperlake CPU モデル名が仮想マシンで利用できるようになりました。仮想マシンの XML 設定の CPU タイプに Cooperlake を使用すると、ホストがこの CPU を使用する場合は、第 3 世代 Intel Xeon Scalable プロセッサーの新機能が作成されます。

(JIRA:RHELPLAN-37570)

KVM が Intel Optane Persistent Memory をサポートするように。

今回の更新で、RHEL 8 でホストされる仮想マシンは、Intel Optane Persistent Memory テクノロジー (以前は Intel Crystal Ridge として知られていた) を活用できるようになりました。Intel Optane DC Persistent Memory ストレージデバイスは、データセンタークラスの永続メモリー技術を提供し、トランザクションのスループットを大幅に向上させます。

(JIRA:RHELPLAN-14068)

仮想マシンが Intel プロセッサートレースを使用できるようになりました。

今回の更新で、RHEL 8 でホストされる仮想マシン (VM) が、Intel Processor Trace (PT) 機能を使用できるようになりました。ホストが Intel PT に対応する CPU を使用する場合は、特殊な Intel ソフトウェアを使用して、仮想マシンの CPU のパフォーマンスに関するさまざまなメトリックを収集できます。また、仮想マシンの XML 設定で intel-pt 機能を有効にする必要があることに注意してください。

(JIRA:RHELPLAN-7788)

DASD デバイスが IBM Z の仮想マシンに割り当てられ可能に。

DASD (ダイレクトアクセスストレージデバイス) は、特定のストレージ機能を提供します。この vfio-ccw 機能を使用すると、DASD を仲介デバイスとして IBM Z ホストの仮想マシンに割り当てることができます。たとえば、仮想マシンは z/OS データセットにアクセスするか、割り当てられた DASD を z/OS マシンと共有できます。

(JIRA:RHELPLAN-40234)

IBM Z でサポートされる IBM セキュア実行

IBM Z ハードウェアを使用して RHEL 8 ホストを実行する場合は、仮想マシンの IBM Secure Execution を設定して、仮想マシンのセキュリティーを改善できます。IBM Secure Execution (Protected Virtualization とも呼ばれる) は、ホストシステムが仮想マシンの状態とメモリーのコンテンツにアクセスできないようにします。

その結果、ホストが危険にさらされても、ゲストオペレーティングシステムを攻撃するベクトルとして使用できません。さらに、セキュア実行を使用して、信頼できないホストが仮想マシンから機密情報を取得しないようにすることもできます。

(JIRA:RHELPLAN-14754)

5.1.19. クラウド環境の RHEL

cloud-utils-growpart を 0.31 にリベース

cloud-utils-growpart パッケージがバージョン 0.31 にアップグレードされ、バグ修正および機能強化が複数追加されました。以下は、主な変更点です。

  • GPT ディスクのサイズを 2TB 以上に増やせないバグが修正されました。
  • growpart 操作は、開始セクターとサイズが同じ場合に失敗しなくなりました。
  • 以前は sgdisk ユーティリティーを使用してパーティションのサイズ変更に失敗する場合がありました。この問題は修正されています。

(BZ#1846246)

5.1.20. コンテナー

skopeo コンテナーイメージが利用可能に

registry.redhat.io/rhel8/skopeo コンテナーイメージは、skopeo パッケージをコンテナー化した実装です。skopeo ツールは、コンテナーイメージおよびイメージリポジトリーでさまざまな操作を実行するコマンドラインユーティリティーです。このコンテナーイメージを使用すると、レジストリーのコンテナーイメージを調べ、レジストリーからコンテナーイメージを削除し、認証されていないコンテナーレジストリーのコンテナーイメージを別のレジストリーへとコピーすることができます。registry.redhat.io/rhel8/skopeo コンテナーイメージをプルするには、アクティブな Red Hat Enterprise Linux サブスクリプションが必要です。

(BZ#1627900)

Buildah コンテナーイメージが利用可能に

registry.redhat.io/rhel8/buildah コンテナーイメージは、buildah パッケージをコンテナー化した実装です。buildah ツールを使用すると、OCI コンテナーイメージのビルドが容易になります。このコンテナーイメージを使用すると、システムに buildah パッケージをインストールしなくても、コンテナーイメージをビルドできます。このユースケースでは、root 以外のユーザーとして rootless モードでこのイメージを実行することを説明しません。registry.redhat.io/rhel8/buildah コンテナーイメージをプルするには、アクティブな Red Hat Enterprise Linux サブスクリプションが必要です。

(BZ#1627898)

Podman v2.0 RESTful API が利用できるようになりました。

新しい REST ベースの Podman 2.0 API は、varlink ライブラリーに基づいて古いリモート API に取って代わります。新しい API はルートフルおよびルートレス環境で機能し、docker 互換レイヤーを提供します。

(JIRA:RHELPLAN-37517)

Podman のインストールには container-selinuxは必要ありません。

今回の機能拡張により、コンテナービルド時の container-selinux パッケージのインストールが任意になりました。その結果、Podman は他のパッケージの依存関係が少なくなります。

(BZ#1806044)


このページには機械翻訳が使用されている場合があります (詳細はこちら)。