Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
7.1 发行注记
前言
Red Hat Enterprise Linux 次要发行本是个别改进、安全性和 bug 修复勘误集合。《Red Hat Enterprise Linux 7.1 发行注记》记录了 Red Hat Enterprise Linux 7 操作系统以及这个次要发行本所附带应用程序引进的主要更改、功能及改进。另外 《Red Hat Enterprise Linux 7.1 发行注记》还记录了 Red Hat Enterprise Linux 7.1 中的已知问题。
如需要关于 Red Hat Enterprise Linux 生命周期的信息,请参考 https://access.redhat.com/support/policy/updates/errata/。
部分 I. 新功能
这部分论述了 Red Hat Enterprise Linux 7.1 中引进的新功能及主要改进。
第 1 章 构架
Red Hat Enterprise Linux 7.1 在以下架构中作为单一套件使用。[1]
在这个发行本中,Red Hat 为您提供服务器和系统以及 Red Hat 开源体验的总体改进。
1.1. 适用于 POWER(Little Endian)的 Red Hat Enterprise Linux
Red Hat Enterprise Linux 7.1 引进了在使用 IBM POWER8 处理器的 IBM Power Systems 服务器中提供 little endian 支持。之前在 Red Hat Enterprise Linux 7 中只为 IBM Power Systems 提供 big endian 变体。在使用 POWER8 的服务器中支持 little endian 旨在提高应用程序在 64 位兼容系统(
x86_64)和 IBM Power Systems 间的可移植性。
- 为在使用 little endian 模式的 IBM Power Systems 服务器中安装 Red Hat Enterprise Linux 单独提供安装介质。您可以在 Red Hat 客户门户网站 的 页面中取得这些介质。
- 只有用于 POWER little endian 的 Red Hat Enterprise Linux 支持基于 IBM POWER8 处理器的服务器。
- 目前只能将用于 POWER little endian 的 Red Hat Enterprise Linux 作为 Red Hat Enteprise Virtualization for Power 中的 KVM 虚拟机支持。目前不支持在裸机硬件中安装。
- 所有用于 IBM Power Systems 的软件包都可用于 POWER Red Hat Enterprise Linux little endian 和 big endian 变体。
- 为用于 POWER little endian 的 Red Hat Enterprise Linux 构建的软件包使用
ppc64le架构代码 - 例如:gcc-4.8.3-9.ael7b.ppc64le.rpm。
[1]
注:只有 64 位硬件支持 Red Hat Enterprise Linux 7.1 安装。Red Hat Enterprise Linux 7.1 能够将 32 位操作系统作为虚拟机运行,其中包括之前的 Red Hat Enterprise Linux 版本。
[2]
Red Hat Enterprise Linux 7.1(little endian)是目前 Red Hat Enteprise Virtualization for Power 和 PowerVM hypervisor 唯一支持的 KVM 虚拟机。
[3]
注:Red Hat Enterprise Linux 7.1 支持 IBM zEnterprise 196 硬件或者更新的产品;不再支持 IBM System z10 大型机系统,同时将不会引导 Red Hat Enterprise Linux 7.1。
第 2 章 硬件启用
2.1. Intel Broadwell 处理器及显卡支持
Red Hat Enterprise Linux 7.1 添加对目前所有第五代 Intel 处理器(代号 Broadwell)的支持。支持内容包括 CPU 本身,整合的 2D 和 3D 显卡,以及音频支持(Broadwell 高清晰度传统音频、HDMI 音频以及 DisplayPort 音频)。
将 turbostat 工具(kernel-tools 软件包提供)更新为支持新处理器。
2.2. 在 Intel 的 Communications Chipset 89xx 系列中支持 TCO 监视程序和 12C(SMBUS)
Red Hat Enterprise Linux 7.1 添加了在 89xx 系列 Intel 通讯芯片(之前称 Coleto Creek)中对 TCO 监视程序和 I2C(SMBUS)的支持。
2.3. Intel 处理器 Microcode 更新
在 Red Hat Enterprise Linux 7.1 中,将 microcode_ctl 软件包中用于 Intel 处理器的 CPU 微代码从版本
0x17 更新至版本 0x1c。
2.4. AMD Hawaii GPU 支持
Red Hat Enterprise Linux 7.1 启用了在使用 Hawaii core 的 AMD 显卡(AMD Radeon R9 290 和 AMD Radeon R9 290X)的硬件加速支持。
2.5. qethqoat 中的 OSA-Express5s 卡支持
在 s390utils 软件包提供的
qethqoat 工具中添加 OSA-Express5s 卡支持。这项改进扩大了网络的可维护性以及对 OSA-Express5s 卡的设置,在使用 IBM System z 的 Red Hat Enterprise Linux 7.1 中作为技术预览提供。
第 3 章 安装及引导
3.1. 安装程序
已改进 Red Hat Enterprise Linux 安装程序 Anaconda,提高 Red Hat Enterprise Linux 7.1 的安装过程。
界面
- 现在图形安装界面包含一个附加页面,可使用该页面在安装过程中配置 Kdump 内核崩溃转储机制。之前,只能在安装后使用 firstboot 程序进行配置,但如果没有图形界面就无法使用该程序。现在,您可以在没有图形环境的系统中将配置 Kdump 作为安装进程的一部分。您可以使用主安装程序菜单(安装概述)进入这个新页面。
图 3.1. 新 Kdump 页面
- 已重新设计手动分区页面,以改进用户体验。在该页面中将一些控制按钮移动到不同的位置。
图 3.2. 重新设计的手动分区页面
- 现在您可以在安装程序的 网络 & 主机名 页面配置网络桥接。具体步骤为:点击接口列表底部的 + 按钮,从菜单中选择 桥接,并在随后出现的 编辑桥接连接 对话框中配置该桥接。该对话框是由 NetworkManager 提供,并在《Red Hat Enterprise Linux 7.1 联网指南》中有详细记录。在桥接配置中添加了几个新的 Kickstart 选项,详情如下。
- 安装程序不再使用多控制台显示日志。相反,所有日志都将在虚拟控制台 1(
tty1)中的 tmux 边框中显示。要在安装过程中查看日志,请按 Ctrl+Alt+F1 切换至 tmux,然后使用 Ctrl+b X 在不同窗口间切换(使用该页面底部显示的具体窗口号替换 X)。按 Ctrl+Alt+F6 切换回图形界面。 - 现在 Anaconda 的命令行界面包含完整帮助信息。要查看帮助信息,请在安装了 anaconda 软件包的系统中使用
anaconda -h命令。该命令行界面可让您在已安装的系统中运行该安装程序,有利于磁盘映像安装。
Kickstart 命令及选项
logvol命令有一个新选项,--profile=。用户可使用这个选项指定在精简逻辑卷中使用的配置模式名称。如果使用该选项,还会在该逻辑卷的元数据中包含该名称。默认情况下,可使用的配置文件为在/etc/lvm/profile目录中定义的default和thin-performance。详情请查看lvm(8)man page。- 更改
logvol命令的--size=和--percent=选项。之前--percent=选项是与--grow和--size=选项一同使用,指定创建所有固定大小的卷后,逻辑卷中有多少容量可扩展。从 Red Hat Enterprise Linux 7.1 开始,--size=和--percent=选项不能在同一logvol命令中使用。 - 修复
autostepkickstart 命令的--autoscreenshot选项,现在可以在退出所述页面时将/tmp/anaconda-screenshots目录中的每个页面正确保存为快照。安装完成后,会将这些快照移动到/root/anaconda-screenshots。 liveimg命令现在支持 tar 文件以及磁盘映像。tar 归档必须包含安装介质 root 文件系统,且该文件名必须以.tar、.tbz、.tgz、.txz、.tar.bz2、.tar.gz或者.tar.xz结尾。- 在
network中添加了几个新选项用来配置网络桥接:- 使用选项
--bridgeslaves=时,会生成使用--device=选项指定设备名称的网络桥接,并在桥接中添加使用--bridgeslaves=选项的设备。例如:network --device=bridge0 --bridgeslaves=em1 --bridgeopts=选项需要一个用于桥接接口,用逗号分开的自选参数列表。可用值包括stp、priority、forward-delay、hello-time、max-age和ageing-time。有关这些参数的详情请查看nm-settings(5)man page。
autopart命令有一个新选项--fstype。这个选项可让您在 Kickstart 文件中使用自动分区时更改默认的文件系统类型(xfs)。- 在 Kickstart 中添加了几个新功能,以便提供更好的容器支持。这些功能包括:
repo命令的新选项--install将提供的存储库配置保存在/etc/yum.repos.d/目录中。不使用这个选项,在 Kickstart 文件中配置的程序库只能在安装过程中使用,而无法在安装的系统中使用。bootloader命令的--disabled选项可防止安装引导装载程序。- Kickstart 文件
%packages部分的新--nocore选项可防止系统安装@core软件包组。这样就可在使用容器时安装非常小的系统。
注意
请注意,上述选项只能在使用容器时使用。在一般安装中使用这些选项可能造成系统无法使用。
为 LUKS 加密收集熵
- 如果在安装过程中选择加密一个或多个分区或逻辑卷(可以是互动式安装或使用 Kickstart 文件安装),Anaconda 会尝试收集 256 字节熵值(随机数据),以保证加密法安全。收集 256 字节熵值后,或等待 10 分钟后,安装会继续进行。收集熵值是在真正的安装阶段开始前发生,也就是要创建加密分区或卷时发生。图形界面中会出现对话窗口,显示进程及剩余时间。无法跳过或禁止收集熵值的过程,但有些方法可加速此进程:
- 如果可以在安装过程中访问该系统,则可按键盘上的任意键或移动鼠标提供额外的熵值。
- 如果要在虚拟机中安装系统,则可添加 virtio-rng 设备(虚拟随机数生成器),如 《Red Hat Enterprise Linux 7.1 虚拟化部署及管理指南》所述。
图 3.3. 为加密法收集熵值
图形安装程序中的内置帮助信息
图 3.4. Anaconda 内置帮助信息
3.2. 引导装载程序
现在 IBM Power Systems 安装介质使用 GRUB2 引导装载程序,而不是之前提供的 yaboot。用于 POWER big endian 变体的 Red Hat Enterprise Linux 首选使用 GRUB2,但仍可以使用 yaboot。新引进的 little endian 变体需要使用 GRUB2 引导。
已更新《安装指南》,添加了使用 GRUB2 为 IBM Power Systems 设置网络引导服务器的操作说明。
第 4 章 存储
LVM 缓存
从 Red Hat Enterprise Linux 7.1 开始全面支持 LVM。这个功能可让用户创建逻辑卷,使用一个小的快速设备作为较大的慢速设备的缓存。有关生成缓存逻辑卷的详情请参考
lvm(7) manual page。
注:使用缓存逻辑卷(LV)有以下限制:
- 缓存 LV 必须是顶层设备。不能在精简池 LV、RAID LV 映像以及其他子 LV 类型中使用。
- 缓存 LV 的子 LV(初始 LV、元数据 LV 及数据 LV)只能为线性、条状或 RAID 类型。
- 生成缓存 LV 后就无法更改其属性。要更改缓存属性,请删除该缓存,并使用所需属性重新生成缓存。
使用 libStorageMgmt API 进行存储阵列管理
从 Red Hat Enterprise Linux 7.1 开始全面支持使用
libStorageMgmt 进行存储阵列管理,这是一个用于存储阵列的独立 API。所提供 API 稳定、一致,可让开发人员程序化管理不同的存储阵列,并利用所提供的硬件加速功能。系统管理员还可以使用 libStorageMgmt 手动配置存储,并使用所包含的命令行界面自动化存储管理任务。请注意,尚未提供 Targetd 插件的全面支持,该插件仍作为技术预览使用。支持的硬件包括:
- NetApp 过滤器(数据库 7-模式)
- Nexenta(仅限于 nstor 3.1.x)
- SMI-S,适用于以下销售商:
- HP 3PAR
- OS 发行本 3.2.1 或者之后的版本
- EMC VMAX 和 VNX
- Solutions Enabler V7.6.2.48 或者之后的版本
- SMI-S Provider V4.6.2.18 热补套件或者之后的版本
- HDS VSP Array 非内置提供程序
- Hitachi Command Suite v8.0 或者之后的版本
有关
libStorageMgmt 详情请参考 《存储管理指南》的相关章节。
LSI Syncro 支持
Red Hat Enterprise Linux 7.1 包含
megaraid_sas 驱动程序中用于启用 LSI Syncro CS 高可用直接附加组件(HA-DAS)适配器的代码。尽管在以前启用的适配器中完全支持 megaraid_sas 驱动程序,但在 Syncro CS 中使用这个驱动程序仍处于技术预览阶段。对这个适配器的支持将直接由 LSI、您的系统集成商或者系统销售商提供。我们鼓励在 Red Hat Enterprise Linux 7.1 中部署 Syncro CS 的用户为 Red Hat 和 LSI 提供反馈意见。有关 LSI Syncro CS 解决方案的详情请参考 http://www.lsi.com/products/shared-das/pages/default.aspx。
DIF/DIX 支持
DIF/DIX 是 SCSI 标准的新增内容,同时在 Red Hat Enterprise Linux 7.1 中也是技术预览。DIF/DIX 将通常使用的 512 字节磁盘块大小从 512 字节增大到 520 字节,添加了数据完整性字段(DIF)。DIF 在进行写入操作时为主机总线适配器(HBA)计算的数据块保存校验和(checksum)值。该存储设备在收到校验和后确认,并同时保存该数据及校验和。相反,当执行读取操作时,可在收到 HBA 后,由该存储设备确认校验和。
详情请参考《存储管理指南》中的《启用了 DIF/DIX 的块设备》一节。
改进的 device-mapper-multipath 语法错误检查和输出
改进了
device-mapper-multipath 工具,让 multipath.conf 文件更可靠。这样,如果 multipath.conf 包含那些无法解析的行,device-mapper-multipath 会报告错误,并忽略这些行以避免错误解析。
另外在
multipathd show paths format 命令中添加了以下通配符表达式:
- %N 和 %n 分别用于主机和目标光纤全球通用节点名称。
- %R 和 %r 分别用于主机和目标光纤全球通用端口名称。
现在更方便将多路径与具体光纤主机、目标及其端口关联,让用户更有效地管理器存储配置。
第 5 章 文件系统
支持 Btrfs 文件系统
在 Red Hat Enterprise Linux 7.1 中将
Btrfs(B-Tree)文件系统作为技术预览支持。这个文件系统提供高级管理、可靠性及可伸缩功能。它可让用户生成快照,启用压缩和集成的设备管理。
OverlayFS
OverlayFS 文件系统服务允许用户将一个文件系统与另一个文件系统“重叠”,在上层的文件系统中记录更改,同时不修改下层的文件系统。这样做有助于多位用户共享一个文件系统映像,比如容器;或者当基础映像位于只读介质中时,比如 DVD-ROM。
在 Red Hat Enterprise Linux 7.1; 中,OverlayFS 是作为技术预览支持。这里有两个限制:
- 建议在较低层文件系统中使用
ext4;不支持使用xfs和gfs2文件系统。 - 不支持 SELinux,同时需要禁用 enforcing 模式方可使用 OverlayFS 时。
支持平行 NFS
平行 NFS(pNFS)是 NFS v4.1 标准的一部分,可让客户端直接且平行访问存储设备。pNFS 架构可提高 NFS 服务器一些常规负载的可延伸性和性能。
pNFS 定义三个种不同的存储协议或者布局:文件、对象和块。客户端支持文件布局,且从 Red Hat Enterprise Linux 7.1 开始,全面支持块布局和对象布局。
Red Hat 继续致力于与合作伙伴及开源项目合作,对新的 pNFS 布局类型进行认证,并在将来提供更多布局类型的全面支持。
有关 pNFS 详情请参考 http://www.pnfs.com/。
第 6 章 内核
Ceph 块设备支持
在 Red Hat Enterprise Linux 7.1 内核中添加了
libceph.ko 和 rbd.ko 模块。这些 RBD 内核模块允许 Linux 主机将 Ceph 块设备视为常规磁盘设备条目,可以挂载到某个目录并使用标准文件系统格式化,比如 XFS 或者 ext4。
注:Red Hat Enterprise Linux 7.1 目前不支持 CephFs 模块
ceph.ko。
共存的 Flash MCL 更新
在 IBM System z 架构中的 Red Hat Enterprise Linux 7.1 启用微代码级升级(MCL)。可在不影响 flash 存储介质 I/O 操作的情况下应用这些升级,并通知用户 flash 硬件服务等级变更。
动态内核补丁
Red Hat Enterprise Linux 7.1 引进了 kpatch 作为技术预览,这个程序是一个动态“内核补丁程序”。kpatch 程序可让用户在不重启系统的情况下管理二进制内核补丁集合。注:只支持在 AMD64 和 Intel 64 架构中运行 kpatch。
有一个以上 CPU 的 crashkernel
Red Hat Enterprise Linux 7.1 启用在多个 CPU 中引导 crashnernel 的功能。这个功能作为技术预览支持。
dm-era 目标
Red Hat Enterprise Linux 7.1 引进了 dm-era 设备映射器目标作为技术预览。dm-era 可跟踪在用户定义的时间段(即“era”)内写入的块。每个 era 目标事务将当前 era 作为单调递增的 32 位计数器维护。这个目标允许备份软件,以便追踪自上次备份后产生变化的块。它还可启用缓存的部分失效内容,以便在返回使用经销商快照后恢复缓存一致性。dm-era 目标主要与 dm-cache 目标配对。
Cisco VIC 内核驱动程序
在 Red Hat Enterprise Linux 7.1 中添加 Cisco VIC Infiniband 内核驱动程序作为技术预览。这个驱动程序允许在商用 Cisco 架构中使用类似远程目录内存访问(RDMA)的环境。
hwrng 中改进的熵管理
Red Hat Enterprise Linux 7.1 改进了通过 virtio-rng 对 Linux 虚拟机提供半虚拟硬件 RNG(hwrng)的支持。之前,需要在虚拟机内部启动
rngd 守护进程,并将其指向该虚拟机内核熵池。从 Red Hat Enterprise Linux 7.1 开始,删除了手动操作步骤。如果该虚拟机的熵低于具体水平,新的 khwrngd 线程会从 virtio-rng 中获取熵。让这个进程在后台运行,帮助所有 Red Hat Enterprise Linux 虚拟机利用改进的安全性能,即使用 KVM 主机提供的半虚拟硬件 RNG。
调度程序负载平衡性能提高
之前,调度程序负载平衡代码在所有闲置 CPU 之间平衡负载。在 Red Hat Enterprise Linux 7.1 中,只有需要对 CPU 进行负载平衡时才会代表闲置 CPU 执行闲置负载平衡。这个新行为降低了非闲置 CPU 的负载平衡率,进而减少了该调度程序的非必要任务负载,从而提高其性能。
调度程序中提高的 newidle 平衡
修改了该调度程序的行为,如果有可运行的任务,则会停止在
newidle 平衡代码中搜索任务,从而提高性能。
HugeTLB 支持单节点中 1GB 大页面分配
Red Hat Enterprise Linux 7.1 添加在运行时支持超大页面分配的功能,以便 1GB
hugetlbfs 用户指定在运行时应在哪个非一致内存访问(NUMA)节点中分配 1GB hugetlbfs。
新的基于 MCS 的锁定机制
Red Hat Enterprise Linux 7.1 引进了新的锁定机制,MCS 锁。这个新锁定机制极大减少大系统中的
spinlock 负担,让 spinlock 在 Red Hat Enterprise Linux 7.1 中更有效地运行。
进程栈大小从 8KB 增加到 16KB
从 Red Hat Enterprise Linux 7.1 开始,将内核进程栈大小从 8KB 增加到 16KB,以帮助使用栈空间的超大进程。
在 perf 和 systemtap 中启用 uprobe 和 uretprobe
在 Red Hat Enterprise Linux 7.1 中,
perf 命令和 systemtap 脚本的 uprobe 和 uretprobe 功能正常工作。
端-到-端数据一致性检查
在 Red Hat Enterprise Linux 7.1 中全面支持 IBM System z 系统中的端-到-端数据一致性检查。 这个功能提高了数据完整性,更有效地防止数据崩溃数据丢失。
32-位系统中的 DRBG
在 Red Hat Enterprise Linux 7.1 中,已将确定随机字节生成器(deterministic random bit generator,DRBG)更新至可用于 32 位系统。
NFSoRDMA 可用
为 Red Hat Enterprise Linux 7.1 启用 NFSoRDMA 服务作为技术预览。这样就可以让想要使用远程直接内存访问(RDMA)的用户在使用 Red Hat Enterprise Linux 7 NFS 服务器进行传输时使用
svcrdma 模块。
支持大 Crashkernel
由于 Red Hat Enterprise Linux 7.1 的最大支持内存为 6TB,因此 Red Hat Enterprise Linux 7.1 已全面支持使用超大内存系统中的 Kdump 内核崩溃转储机制。
安全启动机器中支持的 Kdump
在 Red Hat Enterprise Linux 7.1 中,可在启用安全启动的机器中支持 Kdump 崩溃转储机制。
固件辅助崩溃转储
Red Hat Enterprise Linux 7.1 引进了对固件辅助转储(fadump)的支持,为 kdump 提供备用崩溃转储工具。将崩溃转储保存到磁盘后,固件辅助功能为普通用户提供了释放保留转储内存的机制。这样就不需要在执行转储后重启系统,因此减少宕机时间。另外,在用户空间显示 fadump 使用 kdump 架构,同时与现有 kdump init 脚本兼容。
IBM System z 的运行时检测
为在 IBM System z 中运行的 Red Hat Enterprise Linux 7.1 添加运行时检测功能作为技术预览。运行时检测为大量可用于 IBM zEnterprise EC12 系统的应用程序启用高级分析和执行功能。
Cisco usNIC 驱动程序
Cisco Unified Communication Manager(UCM)服务器有一个附加功能,提供 Cisco 专有用户空间网络接口控制器(usNIC),允许为用户空间应用程序执行类似远程直接内存访问(RDMS)的操作。作为技术预览,Red Hat Enterprise Linux 7.1 中包含
libusnic_verbs 驱动程序,这样就可以通过基于 Verbs API 的标准 InfiniBand RDMA 编程方法使用 usNIC 设备。
Intel 以太网服务器适配器 X710/XL710 驱动程序更新
将
i40e 和 i40evf 内核驱动程序更新至其最新 upstream 版本。Red Hat Enterprise Linux 7.1 使用这些更新的驱动程序作为技术预览。
第 7 章 虚拟化
增加 KVM 中 vCPU 上限
KVM 虚拟机中支持的虚拟 CPU(vCPU)上限已增至 240。这增加了用户可为虚拟机分配的虚拟处理单元数,因此可提高其性能。
QEMU、KVM 和 Libvirt API 中的第五代 Intel Core 新指令支持
在 Red Hat Enterprise Linux 7.1 中,在 QEMU hypervisor、KVM 内核代码以及
libvirt API 中添加了第五代 Intel Core 处理器支持。这让 KVM 虚拟机可以使用以下指令和功能:ADCX、ADOX、RDSFEED、PREFETCHW 及防止超级用户模式访问(SMAP)。
KVM 虚拟机的 USB 3.0 支持
Red Hat Enterprise Linux 7.1 通过添加 USB 3.0 主机适配器(xHCI)模拟作为技术预览提供改进的 USB 支持。
压缩 dump-guest-memory 命令
从 Red Hat Enterprise Linux 7.1 开始,
dump-guest-memory 命令支持崩溃转储压缩。这样用户就可以使用 virsh dump 命令让崩溃转储使用更少的硬盘空间。另外,保存压缩的崩溃转储通常比保存非压缩转储所需时间要短。
开源虚拟机固件
在 Red Hat Enterprise Linux 7.1 中提供开源虚拟机固件(Open Virtual Machine Firmware,OVMF)作为技术预览提供。OVMF 是用于 AMD64 和 Intel 64 虚拟机的 UEFI 安全引导环境。
改进 Hyper-V 的网络性能
为 Hyper-V 网络驱动程序引进几个新功能以改进网络性能。例如:现在支持单边扩展、超大发送负载、Scatter/Gather I/O,同时增加了网络吞吐量。
hyperv-daemons 软件包中的 hyperfcopyd
在 hyperv-daemons 软件包中添加了
hypervfcopyd 守护进程。hypervfcopyd 是在 Hyper-V 2012 R2 主机中为所运行的 Linux 虚拟机使用的文件复制服务功能。它可让主机将文件(通过 VMBUS)复制到 Linux 虚拟机中。
libgustfs 中的新功能
Red Hat Enterprise Linux 7.1 引进了大量
libguestfs 新功能,即一组访问和修改虚拟机磁盘映像的工具。主要有:
virt-builder— 构建虚拟机映像的新工具。使用virt-builder可迅速、安全地创建虚拟机并进行自定义。
virt-customize— 自定义虚拟机磁盘映像的新工具。使用virt-customize可安装软件包、编辑配置文件、运行脚本及设置密码。
virt-diff— 显示两个虚拟机文件系统不同之处的新工具。使用virt-diff可轻松查找快照间文件的不同。
virt-log— 列出虚拟机日志文件的新工具。使用virt-log工具可支持各种虚拟机,其中包括传统 Linux、使用日志的 Linux 以及 Windows 事件日志。
virt-v2v— 这是一个新工具,可将在外部 hypervisor 中运行的虚拟机转换为在使用 libvirt、OpenStack、oVirt、Red Hat Enterprise Virtualization(RHEV)及其他目标管理的 KVM 中运行的虚拟机。目前virt-v2v可以转换在 Xen 和 VMware ESX 中运行的 Red Hat Enterprise Linux 和 Windows 虚拟机。
飞行记录器跟踪
在 Red Hat Enterprise Linux 7.1 中引进了飞行记录器跟踪。飞行记录器跟踪使用
SystemTap 在虚拟机运行时自动捕获 qemu-kvm 数据。这为调查 qemu-kvm 问题提供了额外的方法,比 qemu-kvm core 转储更灵活。
有关如何配置和使用飞行记录器跟踪的详细步骤请参考《虚拟化部署和管理指南》。
用于 IBM System z 的 LPAR 监视程序
Red Hat Enterprise Linux 7.1 引进了用于 IBM System z 监视程序的新驱动程序作为技术预览。这个加强的监视程序支持 Linux 逻辑分区(LPAR)和 z/VM hypervisor 中的 Linux 虚拟机,并在 Linux 系统变得不响应时提供自动重启和自动转储功能。
基于 RDMA 的实时虚拟机迁移
在
libvirt 中添加了对基于远程直接内存访问(RDMA)迁移的支持。结果是现在可以使用新的 rdma:// 迁移 URI,通过 RDMA 请求迁移,大大减少较大虚拟机的实时迁移时间。注:使用基于 RDMA 的迁移前必须配置 RDMA,同时要将 libvirt 设定为使用 RDMA。
第 8 章 集群
Corosync 的动态令牌超时
在
Corosync Cluster Engine 中添加 token_coefficient 选项。只有指定 nodelist,且至少有三个节点时才会使用 token_coefficient。在这种情况下,按以下方法计算令牌超时:
[token + (amount of nodes - 2)] * token_coefficient
这样就可以在每次添加新节点时,无需手动更改令牌超时即可按比例调整集群。默认值为 650 毫秒,但可将其设定为 0,即完全不使用这个功能。
这个功能可让
Corosync 处理动态添加和删除的节点。
Corosync 连接断路器改进
改进了
Corosync 的 auto_tie_breaker 仲裁功能,提供更灵活的配置,并可以修改连接断路器节点。用户现在可以在对称集群分割时选择一组保留仲裁的节点,或者选择由最小节点 ID 或者最大节点 ID 保留的仲裁。
Red Hat 高可用性改进
在 Red Hat Enterprise Linux 7.1 发行本中,
Red Hat High Availability Add-On 支持以下功能。有关这些功能的详情请查看《高可用性附加组件参考》手册。
- 现在
pcs resource cleanup命令可以重置资源状态以及所有资源的failcount。 - 可以为
pcs resource move命令指定lifetime参数,表示这个命令所生成资源限制的有效时间。 - 可以使用
pcs acl命令设定本地用户权限,使其有使用访问控制列表(ACL)只读或者读写集群配置的权限。 - 除常规资源选项外,
pcs constraint命令现在支持具体限制选项。 pcs resource create命令支持disabled参数,表示不会自动启动要创建的资源。pcs cluster quorum unblock命令防止集群在建立仲裁时等待所有节点。- 可以使用
pcs resource create命令的before和after参数配置资源组顺序。 - 可以使用 tarball 备份集群配置,并在所有节点中,使用
pcs config命令的backup和restore选项在所有节点中恢复集群配置。
第 9 章 编译程序及工具
System z 二进制文件中的 Linux 热补支持
GNU 编译器集合(GCC)支持为 System z 二进制文件提供多线程代码补丁。使用 "function attribute" 可为热补选择具体功能,使用
-mhotpatch 命令行选项启用所有功能的热补。
启用热补对软件大小和性能有负面影响。因此建议为具体功能使用热补,而不是为所有功能都提供热补服务。
System z 二进制文件中的 Linux 热补支持在 Red Hat Enterprise Linux 7.0 为技术预览。目前在 Red Hat Enterprise Linux 7.1 发行本中提供全面支持。
性能程序编程界面(Performance Application Programming Interface )改进
Red Hat Enterprise Linux 7 包括 Performance Application Programming Interface(PAPI)。PAPI 是现代微处理器中硬件性能计数器的跨平台接口规格。这些计数器是一小组暂存器,可统计与具体处理器功能关联信号同时出现的事件。监控这些事件可在不同方面帮助分析和调整应用程序性能。
在 Red Hat Enterprise Linux 7.1; 中改进了 PAPI 及相关
libpfm 库,并提供对 IBM Power 8、Applied Micro X-Gene、ARM Cortex A57 和 ARM Cortex A53 处理器的支持。另外,还为 Intel Xeon、Intel Xeon 2 及 Intel Xeon 3 处理器更新了这些事件集合。
OProfile
OProfile 是用于 Linux 系统的系统范围配置收集程序。在后端以透明方式收集配置信息,并可随时收集配置数据。在 Red Hat Enterprise Linux 7.1 中改进了 OProfile,提供对以下处理器产品线的支持:Intel Atom Processor C2XXX、第五代 Intel Core 处理器、IBM POWER8、ppliedMicro X-Gene 和 ARM Cortex A57。
OpenJDK8
Red Hat Enterprise Linux 7.1 现在全面支持 java-1.8.0-openjdk 软件包,该软件包包含 Open Java Development Kit(OpenJDK)的最新版本 OpenJDK8。这些软件包可全面兼容 Java SE 8 及现有 java-1.7.0-openjdk 软件包,在 Red Hat Enterprise Linux 7.1 中仍保留了后者。
Java 8 带来了大量的新改进,比如 Lambda 表达式、默认方法、用于集合的新 Stream API、JDBC 4.2、硬件 AES 支持等等。此外,OpenJDK8 还包含大量其他性能更新和 bug 修复。
使用 sosreporot 替换 snap
从 powerpc-utils 软件包中删除已弃用的 snap 工具,将其功能整合到 sosreport 工具中。
Little-Endian 64-位 PowerPC 的 GDB 支持
Red Hat Enterprise Linux 7.1 在 GNU Debugger(GDB)中支持 64-位 PowerPC little-endian 架构。
Tuna 改进
Tuna 是可用来调整调度程序可调整元素的工具,比如调度程序策略、RT 优先权和 CPU 亲和性。在 Red Hat Enterprise Linux 7.1 中改进了 Tuna GUI,启动该界面需要提供 root 授权,这样用户必须作为 root 运行桌面系统方可调用 Tuna GUI。
将 crash 软件包移动到 Debugging 工具中
从 Red Hat Enterprise Linux 7.1 开始,crash 软件包不再是 abrt 软件包的相依性软件包。因此从 Red Hat Enterprise Linux 7 默认安装中删除了 crash 软件包,以便保证最小安装。现在用户必须在 Anaconda 安装程序 GUI 中为要安装的 crash 软件包选择
Debugging 工具 选项。
准确的 ethtool 输出结果
作为技术预览,在用于 IBM System z 的 Red Hat Enterprise Linux 7.1 中加强了
ethtool 程序的网络查询功能。结果是在使用与改进查询功能兼容的硬件时,ethtool 现在可提供改进的监控选项,并可更准确地显示网卡设置及参数值。
事务性同步扩展注意事项
Intel 已发布有关事务性同步扩展(Transactional Synchronization Extension,TSX)指令的勘误 HSW136。在某些情况下,使用 Intel TSX 指令的软件可能会造成意外行为。TSX 指令可能会由使用 Red Hat Enterprise Linux 7.1 GCC 在某些条件下构建的应用程序运行。其中包括在弃用 TSX 指令的硬件中执行使用 GCC 的实验性事务内存支持(
-fgnu-tm)。建议 Red Hat Enterprise Linux 7.1 用户在这种情况下测试事务内存时要格外小心,也可以通过使用适当的硬件或更新固件禁用 TSX 指令。
第 10 章 联网
可信的网络连接
Docker Images 引进了可信网络连接功能作为技术预览。可信网络连接可用于现有网络访问控制(NAC)解决方案,比如 TLS、802.1X 或者 IPsec 整合端点态势评估,即收集端点系统信息(比如操作系统配置设置,安装的软件包及其他,总称为完整性测量)。在允许该端点访问该网络前,使用可信网络连接,根据网络访问策略确认这些测量。
qlcnic 驱动程序中的 SR-IOV 功能
已在
qlcnic 中添加单一 Root I/O 虚拟化(SR-IOV)支持作为技术预览。对这个功能的支持直接由 QLogic 提供,同时鼓励用户为 Red Hat 提供反馈意见。仍全面支持 qlcnic 驱动程序中的其他功能。
Berkeley 数据包过滤器
在 Red Hat Enterprise Linux 7.1 中添加了基于 Berkeley 数据包过滤器(BPF)的流量分类器 。BPF 可用于数据包套接字的数据包过滤 、安全计算模式(seccomp)的沙箱以及 Netfilter。BPF 可满足大多数架构使用,且有丰富的构建过滤器的句法。
提高的时钟稳定性
之前的测试结果显示禁用无缝内核功能可显著提高系统时钟的稳定性。在内核引导选项参数中添加
nohz=off 即可禁用内核无缝模式。但在 Red Hat Enterprise Linux 7.1 中应用的最新改进极大提高了系统稳定性,目前对于大多数用户来说,使用或者不使用 nohz=off 对系统时钟稳定性的影响并不大。这对使用 PTP 和 NTP 的时间同步应用程序非常有益。
libnetfilter_queue 软件包
在 Red Hat Enterprise Linux 7.1 中添加了 libnetfilter_queue 软件包。
libnetfilter_queue 是用户空间库,为使用内核数据包过滤器排队的数据包提供 API。可以使用这个库从内核 nfnetlink_queue 子系统中接收排队的数据包、解析数据包、重新编写数据包标头、以及将更改的数据包重新放回队列中。
成组(teaming)改进
在 Red Hat Enterprise Linux 7.1; 中已将 libteam 软件包更新至版本
1.15。它提供大量 bug 修复和改进,特别是 teamd 守护进程,现在亦可以使用 systemd 自动重新生成该守护进程,进而提升总体可靠性。
Intel QuickAssist 技术驱动程序
在 Red Hat Enterprise Linux 7.1 中添加了 Intel QuickAssist 技术(QAT)驱动程序。QAT 驱动程序可启用 QuickAssist 硬件,可在系统中添加硬件的卸载加密功能。
LinuxPTP 定时管家(timemaster)支持 PTP 和 NTP 之间的故障切换
在 Red Hat Enterprise Linux 7.1 中已将 linuxptp 软件包更新至版本
1.4。它提供大量 bug 修复和改进,尤其是使用 timemaster 应用程序的 PTP 域和 NTP 源。需要在网络中有多个 PTP 域,或者需要返回 NTP 时,可使用 timemaster 程序将系统时钟同步至所有可用时间源。
网络 initscripts
在 Red Hat Enterprise Linux 7.1 中添加了自定义 VLAN 名称支持。添加了 GRE 通道的
IPv6 支持改进;现在重启后可保留内部地址。
TCP 延迟的 ACK
在 Red Hat Enterprise Linux 7.1 的 iproute 软件包添加了可配置 TCP 延迟 ADK 支持。可以使用
ip route quickack 命令启用此功能。
NetworkManager
在 Red Hat Enterprise Linux 7.1 中将 NetworkManager 更新至版本
1.0。
将 Wi-Fi、蓝牙、无线广域网(WWAN)、ADSL 及
成组支持分为不同的独立子软件包,以便进行较小的安装。
为支持较小的环境,这个更新引进了使用较少内存的自选内置动态主机配置协议(DHCP)客户端。
为静态联网配置添加新的 NetworkManager 模式,该模式可启动 NetworkManager、配置接口,然后退出。
NetworkManager 可与非 NetworkManager 管理的设备更好合作,特别是不再需要为这些设备设定 IFF_UP 标签。此外,NetworkManager 可识别不是由该程序创建的连接并保存,以便需要时在 NetworkManager 中使用。
在 Red Hat Enterprise Linux 7.1 中,NetworkManager 默认为每个允许拥有路由的接口分配一个路由。将每个默认路由的指标调整为选择全局默认接口,并可自定义该指标,以决定某些接口的优先权。默认情况下,NetworkManager 不会修改由其他程序添加的路由。
改进 NetworkManager 的 IPv6 配置,允许其遵守 IPv6 路由器公告 MTU,并可在自动配置失败时,保留手动配置的静态 IPv6 地址。此外,如果调制解调器及提供程序支持 IPv6,WWAN 连接现在也可以支持 IPv6。
改进调度程序脚本,其中包括支持 pre-up 和 pre-down 脚本。
现在 Red Hat Enterprise Linux 7.1 支持捆绑选项
lacp_rate。已加强 NetworkManager,方便在使用辅助接口重新命名主接口时的设备重命名。
在 NetworkManager 的自动连接功能中添加优先设定。现在如果在自动连接中有一个以上可用选项,则 NetworkManager 会选择优先级最高的那个连接。如果所有可用连接的优先级都相同,则 NetworkManager 会使用默认行为,即选择最后激活的连接。
这个更新还引进了大量
nmcli 命令行程序改进,其中包括连接到 Wi-Fi 或 802.1X 网络时提供密码的功能。
网络名称空间及 VTI
在 Red Hat Enterprise Linux 7.1 中添加了对附带网络名称空间的虚拟通道接口(VTI)支持。这样可在数据包压缩或者解压缩时,将来自 VTI 的流量分散到不同的名称空间。
MemberOf 插件的备选配置存储
用于 Red Hat 目录服务器的
MemberOf 插件配置现在可保存为与后端数据库后缀映射的文件。这样就可以为用户复制 MemberOf 插件配置,方便用户在重复的环境中保持 MemberOf 插件配置的一致性。
第 11 章 Red Hat Enterprise Linux Atomic Host
Red Hat Enterprise Linux 7.1 发行本中包含 Red Hat Enterprise Linux Atomic Host,这是一个为运行 Linux 容器优化的安全、轻型、最小占用操作系统。其设计利用了 Red Hat Enterprise Linux 7 的强大技术。 Red Hat Enterprise Linux Atomic Host 使用 SELinux 为多租赁环境提供强大防护,并可进行原子升级及回退,采用快速、便捷的维护,减少宕机时间。Red Hat Enterprise Linux Atomic Host 使用与 Red Hat Enterprise Linux 7 通过 RPM 打包程序提供的相同的 upstream 项目。
Red Hat Enterprise Linux Atomic Hos 为预先安装,并附带以下工具支持 Linux 容器:
- Docker - 详情请查看 Red Hat 系统中的 Docker 格式容器入门。
Red Hat Enterprise Linux Atomic Hos 采用以下技术:
- OSTree 和 rpm-OSTree - 这些项目提供原子升级和回退功能。
- systemd - 新的强大 init 系统,可进行快速引导,并方便组合。
- SELinux - 默认启用,提供全面的多租赁安全性。
Red Hat Enterprise Linux Atomic Host 7.1.4 的新功能
- 添加 iptables-service 软件包。
- 现在可启用“自动转发”功能,以便在 Red Hat Enterprise Linux Atomic Host 中无法找到命令时,无缝在 RHEL 原子工具容器的内部重试。默认禁用这个功能(它需要在系统中请求 RHEL Atomic Tools)。要启用该功能,请在
/etc/sysconfig/atomic文件中取消注释export一行,如下:export TOOLSIMG=rhel7/rhel-tools
atomic命令:- 现在可在 Dockerfile 中为
LABEL命令提供三个选项(OPT1、OPT2、OPT3)。开发人员可在标签中添加环境变量,以便用户可使用atomic传递附加命令。以下是 Dockerfile 示例:
这行的含义是运行以下命令:LABEL docker run ${OPT1}${IMAGE}
与运行以下命令作用一致:atomic run --opt1="-ti" image_namedocker run -ti image_name - 现在可在标签的任意位置使用
${NAME}和${IMAGE},同时atomic可使用映像和名称替换它们。 - 设定
${SUDO_UID}和${SUDO_GID}选项,并可用于映像LABEL。 atomic mount命令尝试将属于给定容器/映像 ID 的文件系统或映像挂载到给定目录。可自选提供使用具体映像版本的注册表及标签。
Red Hat Enterprise Linux Atomic Host 7.1.3 的新功能
- 强化 rpm-OSTee,为每台部署的机器分配独一无二的机器 ID。
- 添加对远程具体 GPG keyring 的支持,特别是将特定 OSTree 远程与特定 GPG 密钥关联。
atomic命令:atomic upload— 可让用户将容器映像上传至 docker 存储库或者 Pulp/Crane 实例。atomic version— 以如下格式显示“名称、版本、发行本”容器标签:ContainerID;Name-Version-Release;Image/Tagatomic verify— 检查映像,确认映像层是基于最新可用映像层。例如:如果您的 MongoDB 应用程序是基于 rhel7-1.1.2,同时 rhel7-1.1.3 基础映像可用,则该命令会提示您有新的映像。- 在 verify 和 version 命令中添加 dbus 接口。
Red Hat Enterprise Linux Atomic Host 7.1.2 的新功能
atomic 命令行界面现在可用于 Red Hat Enterprise Linux 7.1 以及 Red Hat Enterprise Linux Atomic Host。注:在两个系统中的功能设置不同。只有 Red Hat Enterprise Linux Atomic Host 支持 OSTree 更新。两个平台均支持
atomic run 命令。
atomic run可让容器使用RUN元数据标签指定其运行时选项。这主要用于特权用户。atomic install和atomic uninstall可让容器使用INSTALL和UNINSTALL元数据标签指定安装及卸载脚本。atomic现在支持容器升级,并检查更新的映像。
在 Red Hat Enterprise Linux Atomic Host 中添加 iscsi-initiator-utils 软件包。这可让该系统挂载 iSCSI 卷;Kubernetes 有存储插件,可用来为容器设置 iSCSI 挂载。
systemd 还包括完整性度量架构(IMA)、audit 和 libwrap。
重要
Red Hat Enterprise Linux Atomic Host 与 Red Hat Enterprise Linux 7 变体的管理方式不同,特别是在以下方面:
- 不使用 Yum 软件包管理器更新系统以及安装或升级软件包。有关详情,请查看《在 Red Hat Enterprise Linux Atomic Host 中安装应用程序》。
- 该系统中有两个带写入访问的命令,可用来保存本地系统配置:
/etc/和/var/。/usr/目录是作为只读挂载。其他命令都是可写入位置的符号链接。例如:/home/目录是/var/home/的符号链接。有关详情请查看《Red Hat Enterprise Linux Atomic Host 文件系统》。 - 默认分区会使用直接逻辑卷管理(LVM)而不是默认的环回,将大部分可用空间分配给容器。
Red Hat Enterprise Linux Atomic Host7.1.1 提供 Docker 和 etcd 的新版本,并维护
atomic 命令及其他组件的修复。
第 12 章 Linux 容器
12.1. 使用 Docker 技术的 Linux 容器
Red Hat Enterprise Linux Atomic Host 7.1.4 包括以下更新:
将 docker 软件包升级为 upstream 版本 1.7.1,该版本中包含对版本 1.7 的改进,即包括对 Red Hat Enterprise Linux Atomic Host 7.1.3 中版本 1.6 的各种改进。有关版本 1.6 和 1.7.1 之间修复及功能完整列表日志变更,请查看:https://github.com/docker/docker/blob/master/CHANGELOG.md。另外,Red Hat Enterprise Linux Atomic Host 7.1.4 包含以下变更:
- Docker 容器现在支持 firewalld。如果在该系统中运行 firewalld,则可通过 firewalld 添加规则。如果重新载入 firewalld,则会重新应用该配置。
- Docker 现在将具体容器的 cgroup 信息挂载到
/sys/fs/cgroup目录下。有些应用程序是根据其可用资源量做决定。例如:Java 虚拟机(JVM)会检查它们可以使用的内存,以便分配足够大的池,提高其性能。这样可通过读取/sys/fs/cgroup/memory文件让应用程序了解其最多可使用的内存。 - 现在如果在环回设备中使用设备映射器,
docker run命令会弹出一条警告信息。强烈建议在产品环境中使用dm.thinpooldev作为存储选项。请勿在产品环境中使用loopback。 - 现在可以使用
--init=systemd标签中 systemd 模式中运行容器。如果要将 systemd 作为 PID 1 运行容器,则这个标签会启动所有 systemd 功能,允许其在非特权容器中运行。将container_uuid设定为环境变量,以便 systemd 了解/etc/machine-id文件中保存的内容 。这个文件将容器内的 journald 与外部日志链接。将主机目录挂载到容器中以便 systemd 在将主机日志目录挂载到容器时不需要特权。如果在容器中运行 journald,则主机中的 journalctl 程序就可以显示其内容。将/run目录作为 tmpfs 挂载。然后如果指定--systemd选项,则会在容器中将/sys/fs/cgroup目录自动挂载为只读。 - 改进在容器中使用
docker search命令搜索的体验:- 现在可以在搜索结果中预置索引。
- 可使用注册名作为远程名称前缀。
- 如果不是 IP 地址则可缩短索引名称。
- 添加
--no-index选项避免列出索引名称。 - 更改保留索引后的条目排序方式:可根据
index_name、start_count、registry_name、name和description排序。 - 更改省略索引后的条目排序方式:可根据
registry_name、star_count、name和description排序。
- 可使用 Docker 信息 API 显示配置的注册列表。
Red Hat Enterprise Linux Atomic Host 7.1.3 包括以下更新:
- docker-storage-setup
- docker-storage-setup 现在依赖逻辑卷管理器(LVM)自动扩展其精简池。默认情况下,卷组中 60% 的剩余空间会用于精简池,并根据 LVM 的大小自动增长。精简池占用 60% 后,会以 20% 的速度增长。
- 现在 docker-storage-setup 的默认配置文件为
/usr/lib/docker-storage-setup/docker-storage-setup。可编辑/etc/sysconfig/docker-storage-setup文件覆盖默认配置文件中的设置。 - 删除为创建精简池而为 docker 服务提供裸块设备的支持。现在 docker-storage-setup 服务会创建 LVM 精简池,并将其提供给 docker。
- 将精简池的区块大小从 64K 增加到 512K。
- 默认情况下,root 用户的分区表不会增长。可通过在
/etc/sysconfig/docker-storage-setup文件中设定GROWPART=true选项改变这一行为。 - 现在使用
skip_block_zeroing功能设置精简池。就是说在池中提供新块时,不会将其归零。这样做是出于性能考虑。使用--zero选项可改变这一行为。lvchange --zero y thin-pool - 默认情况下,使用 devicemapper 圆形驱动器的 docker 存储会在环回设备中运行。强烈建议不要使用这个设置,因为它尚不可用于产品环境。会为用户显示警告信息。使用这个选项的用户可使用
dm.no_warn_on_loop_devices=true标签跳过这个警告。
- 有关在使用 Docker 格式化的容器中处理存储的关系:
- 添加使用 SELinux 验证的 NFS 卷插件。这包括在以 NFS 挂载的 GlusterFS 中使用 NFS 卷插件。
- 添加只为 NFS 卷插件验证的持久卷支持。
- 添加使用 SELinux 验证的本地存储(HostPath 卷插件)。(需要本文档中描述的临时解决方案)
- 添加使用 SELinux 验证的 iSCSI 卷插件。
- 添加使用 SELinux 验证的 GCEPersistentDisk 卷插件。(需要本文档中描述的临时解决方案)
Red Hat Enterprise Linux Atomic Host 7.1.2 包括以下更新:
- docker-1.6.0-11.el7
- 完全重新架构后的注册表以及 Docker 支持的注册表 API,可显著提高性能及可靠性。
- 新的日志驱动程序 API 可让您向添加到 docker 程序的其他系统发送容器日志。在
docker run命令中添加--log driver选项,该选项可使用三个子选项:JSON 文件、syslog 或 none。可在包含非重要详细日志的应用程序中使用none选项。 - 现在可在提交和导入时使用 Dockerfile 说明。这样还添加了在运行的映像中进行修改而无需创建整个映像的功能。可使用
commit --change和import --change选项指定应用于新映像的标准变更。这些是 Dockerfile 句法中的表达式,并可用于修改映像。 - 这个发行本添加了自定义 cgroup 支持。可使用
--cgroup-parent标签提供运行容器的具体 cgroup。这样就可以创建并管理 cgroup 本身。可为那些 cgroup 规定自定义资源,并将容器放在通用上级组中。 - 现在可在配置 Docker 守护进程时,使用这个更新为所有容器指定默认无限设置。例如:
这个命令为所有容器设定了一个子进程软限制(1024)和一个子进程硬限制(2048)。可为不同的无限值多次设定这个选项,例如:docker -d --default-ulimit nproc=1024:2048
可在创建类似如下容器时覆盖这些设置:--default-ulimit nproc=1024:2408 --default-ulimit nofile=100:200
这样就会覆盖守护进程使用的默认 nproc 值。docker run -d --ulimit nproc=2048:4096 httpd - 使用
--block-registry标签阻止注册表的功能。 - 支持一次搜索多个注册表。
- 将本地映像推入公共注册表时需要确认。
- 短名称会在本地根据按顺序配置的注册表列表解析,docker.io 注册表在最后。永远使用完全限定域名提取。
Red Hat Enterprise Linux Atomic Host 7.1.1 包括以下更新:
- docker-1.5.0-28.el7
- IPv6 支持:可用于全局路由及本地链接地址支持。
- 只读容器:这个选项只用于防止将容器中的应用程序写入整个文件系统。
- 统计 API 及端点:现在可统计容器串流实时 CPU、内存、网络 IO 及块 IO 数据。
- 使用
docker build -f docker_file命令指定用于 docker 构建的 dockerfile 以外的其他文件。 - 可在非限定请求和搜索中指定要使用的附加注册表。之前只能在公用 Docker 集线器中搜索非限定名称。
- 可使用
--block-registry=<registry>标签阻断与某些注册表之间的沟通。这包括阻断公用 Docker 集线器的功能,以及阻断指定注册表以外的所有集线器的功能。 - 推入公共注册表时要求确认。
- 现在列出时所有存储库均为完全限定。
docker images输出结果会为所有请求的映像列出源注册表名称。docker search输出会为所有结果列出源注册表名称。
12.2. Orchestration 容器
Red Hat Enterprise Linux Atomic Host 7.1.4 和 Red Hat Enterprise Linux 7.1 包括以下更新:
- kubernetes-1.0.0-0.8.gitb2dafda.el7
- 现在可使用 Ansible 自动化平台设置 Kubernetes 集群。
Red Hat Enterprise Linux Atomic Host 7.1.3 和 Red Hat Enterprise Linux 7.1 包括以下更新:
- kubernetes-0.17.1-4.el7
- 不需要在 API 服务器中特别生成 Kubernetes 节点,它们可自动加入并注册。
- 在 Red Hat Enterprise Linux 中添加 NFS、GlusterFS 及 Ceph 块插件,同时在 Red Hat Enterprise Linux Atomic Host 中添加了 NFS 支持。
- etcd-2.0.11-2.el7
- 修复添加或删除集群成员时出现的 bug,以及性能和资源用法改进。
- 将
GOMAXPROCS环境变量设定为使用系统可用的最大处理器数,现在 etcd 可同时使用所有处理器。 - 必须将配置文件更新为在设定
-listen-client-urls标签时包含-advertise-client-urls标签。
Red Hat Enterprise Linux Atomic Host 7.1.2 和 Red Hat Enterprise Linux 7.1 包括以下更新:
- kubernetes-0.15.0-0.3.git0ea87e4.el7
- 启用 v1beta3 AP,并将其设定为默认 API 版本。
- 添加多服务。
- Kubelet 现在侦听安全 HTTPS 端口。
- API 服务器现在支持客户端证书认证。
- 在主 pod 中启用日志收集功能。
- 新卷支持:iSCSI 卷插件、GlusterFS 卷插件、Amazon 弹性块存储(Amazon EBS)卷支持。
- 修复使用 JSON 的 NFS 卷插件 * 配置计划程序。
- 改进计划程序失败信息。
- 改进端口冲突信息。
- 改进插件新 pod 时主端口响应能力。
- 添加进程间通信(IPC)名称空间支持。
- 从 kube-proxy 程序中删除
--etcd_config_file和--etcd_servers选项;现在使用--master选项。
- etcd-2.0.9-2.el7
- 配置文件格式有很大变动;使用旧的配置文件可造成 etcd 升级失败。
etcdctl命令现在支持从给定快照中导入隐藏密钥。- 添加 IPv6 支持。
- 重启初始配置后,etcd 代理服务器不再失败。
- 使用
-name标签组启动单一成员集群时不再需要-initial-cluster标签。 - etcd2 现在使用其自身的 Raft 分布式一致协议;之前的 etcd 版本使用 goraft 实施。
- 添加
etcdctl导入命令将 etcd 0.4.8 生成的迁移快照导入 etcd 集群版本 2.0。 etcdctl程序现在使用 2379 作为其默认端口。
- 使用 kubernetes 软件包替代 cadvisor 软件包。cadvisor 的功能现在是 kubelet 子软件包的一部分。
Red Hat Enterprise Linux 7.1 支持通过 kubernetes、flannel 和 etcd,使用 docker 技术构建 orchestration Linux 容器。
Red Hat Enterprise Linux Atomic Host 7.1.1 和 Red Hat Enterprise Linux 7.1 包括以下更新:
- etcd 0.4.6-0.13.el7 - 新命令,添加
etcdctl以便系统管理员浏览和编辑。 - flannel 0.2.0-7.el7 - bug 修复,支持新延迟启动直至网络接口恢复工作。
详情请查看 《使用 Kubernete 调配容器入门》
12.3. 启用 Cockpit
Red Hat Enterprise Linux Atomic Host 7.1.2 和 Red Hat Enterprise Linux 7.1 包括以下更新:
- libssh — 多平台 C 库,同时在客户端及服务器端实施 SSHv1 和 SSHv2。可使用该程序远程执行程序,传送文件,使用安全且透明的通道运行远程程序。安全 FTP 实施可方便管理远程文件。
- cockpit-ws — cockpit-ws 软件包包括用于在浏览器应用程序及各种配置工具和服务(比如:
cockpitd)间通信的网页服务器组件。cockpit-ws 会在系统引导时自动启动。只有 Red Hat Enterprise Linux 7.1 中包含 cockpit-ws 软件包。
12.4. 使用已弃用 libvirt-lxc Tooling 的容器
从 Red Hat Enterprise Linux 7.1 开始弃用 libvirt-lxc 软件包:
- libvirt-daemon-driver-lxc
- libvirt-daemon-lxc
- libvirt-login-shell
现在 Linux 容器架构是在 docker 命令行界面的基础上开发。将来的 Red Hat Enterprise Linux 发行本(包括 Red Hat Enterprise Linux 7)可能会删除 libvirt-lxc 工具,因此不应该依赖它进行自定义容器管理程序开发。
第 13 章 认证和互操作性
手动备份和恢复功能
这个更新为身份管理(Identity Management,IdM)引进了
ipa-backup 和 ipa-restore 命令,可让用户手动备份其 IdM 数据,并在硬件出问题时恢复该数据。详情请查看 ipa-backup(1) 和 ipa-restore(1) manual page,或者参考 《Linux 域、身份及策略指南》中的文档。
支持 WinSync 到 Trust 的迁移
这个更新采用新的用户配置
ID Views 机制。该机制可将身份管理(Identity Management)用户从 Active Directory 使用的基于同步的 WinSync 架构,迁移到基于跨域信托的架构。有关 ID Views 及迁移步骤的详情,请查看 《Windows 整合指南》中的文档。
一次性密码认证
加大认证安全的最佳方法之一是采用双因素身份验证(2FA)。最常用的方法是使用一次性密码(OTP)。这项技术最初在专用空间使用,但随着时间的推移,出现了一些开源标准(HOTP: RFC 4226,TOTP: RFC 6238)。Red Hat Enterprise Linux 7.1 中的身份管理包括第一次使用的标准 OTP 机制。有关详情,请查看文档《系统级身份认证指南》。
为通用互联网文件系统整合 SSSD
已添加一个插件界面,该界面由
SSSD 提供,用来配置 cifs-utils 程序执行 ID 映射的方法。结果是 SSSD 客户端现在可以与运行 Winbind 服务的客户端一样访问 CIFS 共享。详情请查看文档《Windows 整合指南》。
证书授权管理工具
在身份管理(IdM)客户端添加
ipa-cacert-manage renew 命令,这样就可以更新 IdM 证书授权(CA)文件,以便用户使用外部 CA 签署的文件顺利安装并设置 IdM。有关此功能的详情请查看 ipa-cacert-manage(1) manual page。
增大访问控制精度
现在可以调整身份管理(IdM)服务器 UI 中具体部分的读取权限,允许 IdM 服务器管理员限制对某些特殊内容的访问,即仅允许所选用户访问。另外,IdM 服务器的授权用户不再默认拥有所有内容的读取权限。这些变化提高了 IdM 服务器数据的总体安全。
特权用户的有限域访问
在
pam_sss 模块中添加 domains= 选项,该选项可覆盖 /etc/sssd/sssd.conf 文件中的 domains= 选项。另外,这个更新还添加了 pam_trusted_users 选项,允许用户添加 SSSD 守护进程信任的数字 UID 或者用户名列表; 还添加了 pam_public_domains 选项以及不可信用户也可访问的域列表。上述附加选项可允许一般用户在其没有登录权限的系统中访问指定的应用程序。有关此功能的详情请查看文档《Linux 域身份、认证及策略指南》。
自动数据提供程序(Automatic data provider)配置
现在
ipa-client-install 命令默认将 SSSD 配置为 sudo 服务的数据提供程序。可使用 --no-sudo 选项禁用这个行为。此外还添加了为身份管理客户端安装指定 NIS 域名的 --nisdomain 选项,添加了避免设置 NIS 域名的 --no_nisdomain 选项。如上述两个选项均未使用,则使用 IPA 域。
AD 和 LDAP sudo 提供程序用法
AD 提供程序是与 Active Directory 服务器连接的后端程序。在 Red Hat Enterprise Linux 7.1 中将 AD sudo 提供程序与 LDAP 提供程序一同使用作为技术预览支持。要启用 AD sudo 提供程序,请在
sssd.conf 文件的 domain 部分添加 sudo_provider=ad 设置。
弃用 krb5-server 和 krb5-server-ldap 32 位版本
今后不再发布
Kerberos 5 Server 的 32 位版本,并从 Red Hat Enterprise Linux 7.1 版本开始弃用以下软件包:krb5-server.i686、krb5-server.s390、krb5-server.ppc、krb5-server-ldap.i686、krb5-server-ldap.s390 和 krb5-server-ldap.ppc。没有必要在 Red Hat Enterprise Linux 7 中发布 krb5-server 的 32 位版本,因为只在以下架构中支持该版本:AMD64 和 Intel 64 系统(x86_64)、64 位 IBM Power Systems 服务器(ppc64)及 IBM System z(s390x)。
SSSD 利用 GPO 策略定义 HBAC
SSSD 现在可使用保存在 AD 服务器中的 GPO 对象进行访问控制。这个改进模拟 Windows 客户端功能,并可使用一组访问控制规则同时处理 Windows 和 Unix 机器。实际上,Windows 管理员现在可使用 GPO 控制对 Linux 客户端的访问。
用于 IPA 的 Apache 模块
从 Red Hat Enterprise Linux 7.1 开始提供一组 Apache 模块作为技术预览。外部应用程序可使用这些 Apache 模块与身份管理更紧密地互动,效果远远好于简单认证。
第 14 章 安全性
SCAP Security Guide
在 Red Hat Enterprise Linux 7.1 中添加了 scap-security-guide 软件包,提供安全指导、基线及相关验证机制。该指南由安全内容自动化协议(SCAP)指定,该协议由一组可实践硬性建议组成。SCAP Security Guide 控制根据所述安全策略要求执行安全合规扫描的必要数据,其中包括写入描述及自动测试(探测)。通过自动测试,SCAP Security Guide 可提供常规确定系统合规性的便利及可靠的方法。
SCAP Security Guide 的 Red Hat Enterprise Linux 7.1 版本包括为认证云供应商提供的 Red Hat 公司简介(RH CCP),可用于对 Red Hat Enterprise Linux 7.1 云系统进行合规扫描。
另外,Red Hat Enterprise Linux 7.1 scap-security-guide 软件包包括用于 Red Hat Enterprise Linux 6 和 Red Hat Enterprise Linux 7 的 SCAP 数据流内容格式文件,以便为这两个产品进行远程合规扫描。
Red Hat Enterprise Linux 7.1 系统管理员可以使用 openscap-scanner 软件包提供的
oscap 命令行工具确认该系统符合所提供的指导。有关详情请查看 scap-security-guide(8) manual page。
SELinux 策略
在 Red Hat Enterprise Linux 7.1 中修改了 SELinux 策略,之前在
init_t 域中不使用 SELinux 策略的服务现在是在新添加的 unconfined_service_t 域中运行。详情请查看 Red Hat Enterprise Linux 7.1 《SELinux 用户及管理员指南》中《自由进程》一章。
OpenSSH 中的新功能
已将 OpenSSH 工具组更新至版本 6.6.1p1,其中添加了几个与加密有关的新功能:
- 现在支持使用 Daniel Bernstein
Curve25519中的椭圆曲线Diffie-Hellman交换密钥。现在默认在支持此方法的服务器和客户端中提供这个方法。 - 添加对使用
Ed25519椭圆曲线签名方案作为公钥类型的支持,该方案可用于用户和主机密钥,提供比ECDSA和DSA更好的安全性及良好性能。 - 添加了使用
bcrypt密钥衍生功能(KDF)的新私钥格式。默认在Ed25519密钥中使用此格式,但其他密钥类型也可能要求使用这个格式。 - 添加了新的传输密码
chacha20-poly1305@openssh.com。它由 Daniel Bernstein 的ChaCha20流密码及Poly1305信息认证代码(MAC)组成。
Libreswan 的新功能
IPsec VPN 的 Libreswan 实施已更新至版本 3.12,该更新添加了几个新功能和改进:
- 添加新密码。
- 改进了
IKEv2支持。 - 在
IKEv1和IKEv2中添加了中间证书链支持。 - 改进连接处理。
- 改进与 OpenBSD、Cisco 和 Android 系统的互操作性。
- 改进了 systemd 支持。
- 添加了散列
CERTREQ和流量统计支持。
TNC 中的新功能
更新 strongimcv 软件包提供的可信网了连接(TNC)架构,现在可以通过 strongSwan 5.2.0 使用该架构。在 TNC 中添加了以下新功能:
- 添加了用于可信网络连接的
PT-EAP传输协议(RFC 7171)。 - 证明完整性度量收集器(IMC) / 完整性度量验证器(IMV) 数据对现在支持 IMA-NG 度量格式。
- 通过使用新的 TPMRA 工作项改进证明 IMV 支持。
- 支持使用 SWID IMV 基于 JSON 的 REST API。
- SWID IMC 可以使用 swidGenerator 从 dpkg、rpm 或者 pacman 软件包管理器中提取所有安装的软件包,并根据新的 ISO/IEC 19770-2:2014 标准生成 SWID 标签。
- AEAD 模式支持将延伸至
EAP-(T)TLS及其他协议使用的libtlsTLS 1.2实施,目前仅限于AES-GCM。 - 改进使用通用
imv_session对象的访问请求者的共享访问者 ID、设备 ID 及产品信息的 IMV 支持。 - 修复了现有
IF-TNCCS(PB-TNC、IF-M、PA-TNC)协议及OS IMC/IMV对中的几个 bug。
GNuTLS 的新功能
将
SSL、TLS 和 DTLS 协议中的 GnuTLS 实施更新至版本 3.3.8,提供大量新功能和改进:
- 添加
DTLS 1.2支持。 - 添加 应用程序层协议谈判(ALPN)支持。
- 改进椭圆曲线密码套件性能。
- 添加了新密码套件
RSA-PSK和CAMELLIA-GCM。 - 添加了内置 可信平台模块(TPM)标准支持。
- 以多种方式改进了对
PKCS#11智能卡和硬件安全模块(HSM)的支持。 - 以多种方式改进了对FIPS 140安全标准(联邦信息处理标准)的遵循。
第 15 章 桌面
Mozilla Thunderbird
在 Red Hat Enterprise Linux 7.1 中添加了 thunderbird 软件包提供的 Mozilla Thunderbird,并为 Evolution 邮件及新闻组客户端提供备用方案。
支持四组缓冲 OpenGL 立体视觉效果
GNOME Shell 和 Mutter 组成了窗口管理程序,现在可在支持的硬件中使用四组缓冲 OpenGL 立体视觉效果。必须安装 NVIDIA 显示驱动程序版本 337 或者更新的版本方可使用这个功能。
在线帐户提供者
在 GNOME Online Accounts 中添加了新的 GSettings 密钥
org.gnome.online-accounts.whitelisted-providers(由 gnome-online-accounts 软件包提供)。该密钥提供在线帐户供应商列表,您可在启动时载入该列表。指定这个密钥后,系统管理员就可以启用正确的供应商或者选择性禁用其他供应商。
第 16 章 支持和维护
ABRT 授权的微报告
在 Red Hat Enterprise Linux 7.1 中,Automatic Bug Reporting Tool(ABRT)接收更严格的 Red Hat 客户门户网站集成,并可直接向门户网站发送微报告。这样 ABRT 就可以提供一个程序
abrt-auto-reporting,方便配置认证微报告所需用户门户网站证书。
整合的认证可让 ABRT 回复微报告时使用大量文本,其中可能包括修复造成提交微报告错误的步骤。例如:ABRT 可建议应升级的文件,或提供与这个问题相关的知识库文章。
有关 这个功能的详情 请查看客户门户网站。
第 17 章 Red Hat Software Collections
Red Hat Software Collections 是一个 Red Hat 内容套件,提供一组动态编程语言、数据库服务器及相关软件包,以便在 AMD64 和 Intel 64 架构中的 Red Hat Enterprise Linux 6 和 Red Hat Enterprise Linux 7 支持发行本中安装和使用。
Red Hat Software Collections 发布的动态语言、数据库服务器及其他工具既不能替代 Red Hat Enterprise Linux 提供的默认系统工具,也不能作为这类工具的首选。
Red Hat Software Collections 使用基于
scl 程序的备用打包机制提供一组平行软件包。这个软件包组可让您在 Red Hat Enterprise Linux 中使用备选软件包版本。用户可使用 scl 程序选择在任意时间要运行的软件包版本。
重要
Red Hat Software Collections 比 Red Hat Enterprise Linux 的生命周期和支持时限更短。详情请查看《Red Hat Software Collections 产品生命周期》。
Red Hat Developer Toolset 现在是 Red Hat Software Collections 的一部分,其中包括独立软件集合。Red Hat Developer Toolset 旨在让开发人员在 Red Hat Enterprise Linux 平台中工作。它提供 GNU 编译程序集合、GNU Debugger、Eclipse 开发平台以及其他开发、调试和性能监控工具的最新版本。
有关本集合所包含内容、系统要求、已知问题、用法及具体的软件集合详情请查看《Red Hat Software Collections 文档》。
有关中国软件集合所包含文档、安装、用法、已知问题等等内容详情请查看《Red Hat Developer Toolset 文档》。
第 18 章 Red Hat Enterprise Linux for Real Time
Red Hat Enterprise Linux for Real Time 是 Red Hat Enterprise Linux 7.1 中的新内容,包括特殊内核构建和一些用户空间程序。使用这个内核及适当的系统配置,Red Hat Enterprise Linux for Real Time 可提供确切的负载,以便用户有一致的响应时间,以及较低和可预期延迟。这些功能对主导产业非常重要,比如金融服务市场、电讯或者医学研究。
安装 Red Hat Enterprise Linux for Real Time 的说明以及如何设置并调节系统,以便充分利用此功能的详情,请查看 《Red Hat Enterprise Linux for Real Time 7 安装指南》。
部分 II. 技术预览
这部分提供 Red Hat Enterprise Linux 7.1 引进或更新的技术预览概述。
有关 Red Hat 技术预览详情请查看 https://access.redhat.com/support/offerings/techpreview/。
第 19 章 硬件启用
qethqoat的 OSA-Express5s 卡支持,请参考 第 2.5 节 “qethqoat 中的 OSA-Express5s 卡支持”
第 20 章 存储
- LSI Syncro CS HA-DAS 适配器,请参考 “LSI Syncro 支持”一节
- DIF/DIX,请参考 “DIF/DIX 支持”一节
第 21 章 文件系统
Btrfs文件系统,请参考 “支持 Btrfs 文件系统”一节OverlayFS,请参考 “OverlayFS”一节
第 22 章 内核
- kpatch,请参考 “动态内核补丁”一节
- 使用一个以上 CPU 的
crashkernel,请参考“有一个以上 CPU 的 crashkernel”一节 dm-eradevice-mapper 目标,请参考 “dm-era 目标”一节- Cisco VIC 内核驱动程序,请参考 “Cisco VIC 内核驱动程序”一节
- NFSoRDMA 可用,请参考 “NFSoRDMA 可用”一节
- IBM System z 运行时检测,请参考 “IBM System z 的运行时检测”一节
- Cisco usNIC 驱动程序,请参考 “Cisco usNIC 驱动程序”一节
- Intel 以太网服务器适配器 X710/XL710 驱动程序更新,请参考 “Intel 以太网服务器适配器 X710/XL710 驱动程序更新”一节
第 23 章 虚拟化
- USB 3.0 主机适配器 (xHCI) 模拟,请参考 “KVM 虚拟机的 USB 3.0 支持”一节
- 开源虚拟机固件(OVMF)请参考 “开源虚拟机固件”一节
- 用于 IBM System z 的 LPAR 监视程序,请参考 “用于 IBM System z 的 LPAR 监视程序”一节
第 24 章 编译程序及工具
- 准确 ethtool 输出结果,请参考 “准确的 ethtool 输出结果”一节
第 25 章 联网
- 可信网络连接,请参考 “可信的网络连接”一节
qlcnic驱动程序的 SR-IOV 功能,请参考 “qlcnic 驱动程序中的 SR-IOV 功能”一节
第 26 章 认证和互操作性
- AD sudo 提供程序与 LDAP 提供程序联合使用的方法,请参考 “AD 和 LDAP sudo 提供程序用法”一节
- 用于 IPA 的 Apache 模块,请参考 “用于 IPA 的 Apache 模块”一节
部分 III. 设备驱动程序
本章提供了在 Red Hat Enterprise Linux 7.1 中更新的所有设备的完整列表。
第 27 章 存储驱动程序更新
- 已将
hpsa驱动程序升级至版本 3.4.4-1-RH1。 - 已将
qla2xxx驱动程序升级至版本 8.07.00.08.07.1-k1。 - 已将
qla4xxx驱动程序升级至版本 5.04.00.04.07.01-k0。 - 已将
qlcnic驱动程序升级至版本 5.3.61。 - 已将
netxen_nic驱动程序升级至版本 4.0.82。 - 已将
qlge驱动程序升级至版本 1.00.00.34。 - 已将
bnx2fc驱动程序升级至版本 2.4.2。 - 已将
bnx2i驱动程序升级至版本 2.7.10.1。 - 已将
cnic驱动程序升级至版本 2.5.20。 - 已将
bnx2x驱动程序升级至版本 1.710.51-0。 - 已将
bnx2驱动程序升级至版本 2.2.5。 - 已将
megaraid_sas驱动程序升级至版本 06.805.06.01-rc1。 - 已将
mpt2sas驱动程序升级至版本 18.100.00.00。 - 已将
ipr驱动程序升级至版本 2.6.0。 - 在 Red Hat Enterprise Linux 7 中添加了 kmod-lpfc 软件包,该软件包可保证在附带光纤(FC)和以太网光线(FCoE)中使用 lpfc 驱动程序时有更好的稳定新。已将
lpfc驱动程序升级至版本 0:10.2.8021.1。 - 已将
be2iscsi驱动程序升级至版本 10.4.74.0r。 - 已将
nvme驱动程序升级至版本 0.9。
第 28 章 网络驱动程序更新
- 已将
bna驱动程序升级至版本 3.2.23.0r。 - 已将
cxgb3驱动程序升级至版本 1.1.5-ko。 - 已将
cxgb3i驱动程序升级至版本 2.0.0。 - 已将
iw_cxgb3驱动程序升级至版本 1.1。 - 已将
cxgb4驱动程序升级至版本 2.0.0-ko。 - 已将
cxgb4vf驱动程序升级至版本 2.0.0-ko。 - 已将
cxgb4i驱动程序升级至版本 0.9.4。 - 已将
iw_cxgb4驱动程序升级至版本 0.1。 - 已将
e1000e驱动程序升级至版本 2.3.2-k。 - 已将
igb驱动程序升级至版本 5.2.13-k。 - 已将
igbvf驱动程序升级至版本 2.0.2-k。 - 已将
ixgbe驱动程序升级至版本 3.19.1-k。 - 已将
ixgbevf驱动程序升级至版本 2.12.1-k。 - 已将
i40e驱动程序升级至版本 1.0.11-k。 - 已将
i40evf驱动程序升级至版本 1.0.1。 - 已将
e1000驱动程序升级至版本 7.3.21-k8-NAPI。 - 已将
mlx4_en驱动程序升级至版本 2.2-1。 - 已将
mlx4_ib驱动程序升级至版本 2.2-1。 - 已将
mlx5_core驱动程序升级至版本 2.2-1。 - 已将
mlx5_ib驱动程序升级至版本 2.2-1。 - 已将
ocrdma驱动程序升级至版本 10.2.287.0u。 - 已将
ib_ipoib驱动程序升级至版本 1.0.0。 - 已将
ib_qib驱动程序升级至版本 1.11。 - 已将
enic驱动程序升级至版本 2.1.1.67。 - 已将
be2net驱动程序升级至版本 10.4r。 - 已将
tg3驱动程序升级至版本 3.137。 - 已将
r8169驱动程序升级至版本 2.3LK-NAPI。
第 29 章 图形驱动程序更新
- 已将
vmwgfx驱动程序升级至版本 2.6.0.0。
部分 IV. 已知问题
这部分介绍了 Red Hat Enterprise Linux 7.1; 中的已知问题。
第 30 章 安装及引导
anaconda组件,BZ#1067868- 在某些情况下,使用引导 DVD 或 ISO 映像安装系统时,配置并启用网络连接后,在网络辐(network spoke)中不会显示所有分配的 IP 地址。要临时解决这个问题,请退出网络辐,然后再次进入。重新进入后会正确显示所有分配的地址。
anaconda组件,BZ#1085310- 在安装过程中不会自动启用网络设备,除非安装方法需要网络连接。结果是会在 Kickstart 安装过程中,由于未激活网络设备而出现 traceback 错误。要临时解决这个问题,请在 boot 中设置
ksdevice=link选项,或者在ks.cfg文件中添加--device=link选项,以便在 Kickstart 安装过程中使用活跃的链接启用网络设备。 anaconda组件,BZ#1185280- 只配置了 IPv6 的接口无法在手动使用 IPv6 源进行显卡安装后连接该网络设备。结果是使用设置为 ONBOOT=no 的接口引导系统,进而导致网络连接不工作。如果可能,请选择 复选框,或者 kickstart 文件中使用以下命令:
在这两种情况下都会在系统启动时将 IPv6 配置为 active。network --noipv4 --bootproto=dhcp --activate如果将网络接口设定为 IPv4 和 IPv6 配置,并使用 IPv6 地址安装,安装后会在系统启动时将其配置为 active(ONBOOT=yes)。 anaconda组件,BZ#1085325anaconda安装程序无法正确处理添加 FCoE 磁盘的操作。结果是在anaconda高级存储页面添加 FCoE 磁盘时会出现以下出错信息:No Fibre Channel Forwarders or VN2VN Responders Found
要临时解决这个问题,只要重复提交 FCoE 磁盘的步骤即可;重复操作时,配置进程可产生正确的结果。另外也可以在anaconda用户界面添加 FCoE 磁盘前,在anacondashell 后运行lldpad -d命令以避免出现上述问题。anaconda组件,BZ#1087774- 源代码无法正确处理使用
bnx2iiSCI 驱动器引导。结果是安装 Red Hat Enterprise Linux 7.1 时,服务器不会在安装完成后自动重启。目前尚没有临时解决方案。 anaconda组件,BZ#965985- 在 IBM System z 架构中引导至救援模式时,rescue shell 中的第二和第三个救援页面不完整,且无法正确显示。
anaconda组件,BZ#1190146/boot分区不是独立分区,且在内核命令行中指定boot=参数时,使用 FIPS 模式引导的尝试会失败。要临时解决这个问题,请从内核命令行中删除boot=参数。anaconda组件,BZ#1174451- 在文本模式安装过程中出现的 网络配置 对话框中配置名称服务器时,如果用户在名称服务器的任何位置插入空格符,则安装程序会意外终止。这个问题的临时解决方案如下:如果要在该安装过程的 网络配置 一步中配置多个名称服务器,可采用使用逗号分开的列表,名称完全之间没有空格。例如:输入
1.1.1.1, 2.1.2.1(有空格),可造成安装程序崩溃;而输入1.1.1.1,2.1.2.1(没有空格),可保证安装程序库正确配置多个名称服务器,且不会崩溃。 anaconda组件,BZ#1166652- 如果安装系统有多个通过不同的活跃物理网络接口连接的 iSCSI 存储目标,则安装程序会在 安装目标 页面中开始 iSCSI 目标查找时挂起。在通过两个不同网络都可以访问的 iSCSI 多路径目标中有同样的问题,是否选择 将目标绑定至网络接口 选项都无关紧要。要临时解决这个问题,请确定只有一个活跃物理网络接口有可用的 iSCSI 目标,并在安装后将附加目标添加到其他接口中。
anaconda组件,BZ#1168169- 手动安装过程中,如果屏幕分辨率低于 1024x768(比如 800x600),则无法使用 手动分区 页面中的某些控制按钮。这个问题通常在连接到使用 VNC 查看器的系统时出现,因为默认的 VNC 服务器分辨率为 800x600。要临时解决这个问题,请使用 boot 选项将分辨率设定为 1024x768 或更高的数值。例如:
linux inst.vnc inst.resolution=1024x768有关 Anaconda boot 选项的详情,请查看《Red Hat Enterprise Linux 7.1 安装指南》。 dracut组件,BZ#1192480- 通过 IPv6 使用 iSCSI 引导系统会在尝试连接到 iSCSI 服务器 15 分钟后超时,但会成功连接,并如预期引导。
kernel组件,BZ#1055814- 在基于 UEFI 的系统中安装 Red Hat Enterprise Linux 7 时,Anaconda 安装程序会意外终止,并显示以下出错信息:
BootLoaderError: failed to remove old efi boot entry
要临时解决这个问题,请按 e 键,编辑 boot 菜单中的Install Red Hat Enterprise Linux 7选项,在以linuxefi开始行的结尾处附加efi_no_storage_paranoia内核参数。然后按 F10 键引导修改的选项,并开始安装。 sg3_utils组件,BZ#1186462- 由于 iprutils 软件包转为使用
systemd,而不是传统的 init 脚本,因此在系统引导过程中不再会载入sg驱动程序。结果是如果未载入sg驱动程序,则不会显示/dev/sg*设备。要临时解决这个问题,请手动运行modprobe sg命令,或将其添加到 init 脚本中。载入sg驱动程序后,就会显示/dev/sg*设备,同时还可以使用sg驱动程序访问 SCSI 设备。 anaconda组件,BZ#1072619- 不可能将只读磁盘作为硬盘安装存储库源使用。指定
inst.repo=hd:device:path选项,以保证可写入 device。 kernel组件,BZ#1067292, BZ#1008348- 各种平台,包括 LSI 提供的 BIOS 或 UEFI 辅助软件 RAID。这个硬件需要封闭原始码
megasr驱动程序,而 Red Hat Enterprise Linux 中不包含该驱动程序。因此 Red Hat 不支持依赖megasr的平台和适配器。另外,目前也不支持使用某些开源 RAID 备用方法,比如dmraid磁盘数据格式 1(DDF1)功能。但在某些系统中,比如使用 ServeRAID 适配器的 IBM System x 服务器,则可以禁用 BIOS RAID 功能。要达到此目的,请进入 UEFI 菜单,导航至 - - 子菜单。将 SCU 设置从RAID更改为nonRAID。保存更改,并重启系统。在这个模式中使用 Red Hat Enterprise Linux 自带的开源非 RAID LSI 驱动程序配置该存储,比如mptsas、mpt2sas或mpt3sas。要获取 IBM 系统的megasr驱动程序,请参考 IBM 支持页面。某些 Cisco 统一计算系统(UCS)平台也会受到这个限制的影响。但无法在这些系统中禁用 BIOS RAID 功能。要获取megasr驱动程序,请参考 Cisco 支持页面。注意
所述限制不适用于使用megaraid驱动程序的 LSI 适配器。那些适配器在适配器固件中采用 RAID 功能。 kernel组件,BZ#1168074- CPU 热插拔过程中,内核有时会给出如下警告信息:
WARNING: at block/blk-mq.c:701__blk_mq_run_hw_queue+0x31d/0x330()
这个信息是无害的,可忽略。 kernel组件,BZ#1097468- Linux 内核非一致性内存访问(NUMA)平衡不是永远正常工作。结果是设定
numa_balancing参数后,有些内存在移动到约束节点前,会移动到随机非目标节点,同时在某些条件下还会减少目的节点中的内存。这个问题目前尚没有临时解决方案。 kernel组件,BZ#1087796bnx2x驱动程序处理受损帧时尝试删除bnx2x模块可造成内核 panic。要临时解决这个问题,请在执行modprobe -r bnx2x命令时关闭活跃 FCoE 接口。kernel组件,BZ#915855- 当
qla4xx驱动程序与 USB 子系统共享中断线时,系统中出现的 QLogic 1G iSCSI 适配器可造成调用跟踪错误。这个错误不会影响系统功能。可在/var/log/messages文件的内核日志信息之找到这个错误。要防止将调用跟踪记录到内核日志信息之,可在引导时添加nousb内核参数。 kernel组件,BZ#1164997- 在 BCM57711 设备中使用
bnx2x驱动程序,并通过虚拟可扩展 LAN(VXLAN)发送流量时,传送的数据包中包含坏校验和(checksum)。结果是通讯会失败,同时会在接收方的内核日志中显示UDP: bad checksum信息。要临时解决这个问题,请使用ethtool程序在bnx2x设备中禁用校验和卸载。 kernel组件,BZ#1164114- 如果在将网卡设定为
down时更改某些参数,则系统会在使用qlge驱动程序时变为无法响应。这个问题是由新 API(NAPI)注册和注销之间的竞争条件造成的。目前尚没有临时解决方案。 system-config-kdump组件,BZ#1077470- 在 内核转储配置 窗口中,无法在 目标设置 中选择 裸设备。要临时解决这个问题,请手动编辑
kdump.conf文件。 yaboot组件,BZ#1032149- 由于
yaboot引导装载程序中的 bug,在 IBM Power Systems 中从 Red Hat Enterprise Linux 6 升级到 Red Hat Enterprise Linux 7 会失败,并显示Unknown or corrupt filesystem出错信息。 util-linux组件,BZ#1171155anaconda安装程序无法处理使用 IBM AIX 操作系统标签的磁盘,在此类磁盘中安装 Red Hat Enterprise Linux 会失败。建议用户不要使用采用 AIX 标签的磁盘,以防安装失败。kernel组件,BZ#1192470- 如果尝试在 IBM System z 架构中运行的 Red Hat Enterprise Linux 66.6 现场升级至 Red Hat Enterprise Linux 7.1,且在 Red Hat Enterprise Linux 6.6 中安装了
kernel-kdump软件包,则不会删除kdump引导记录。结果是在调用zipl程序时升级会失败。要临时解决这个问题,请在执行升级前从/etc/zipl.conf文件中删除kdump引导记录。 anaconda组件,BZ#1171778- 在不需要设置 root 密码的文本安装中为新用户只设定全名而非用户名。结果是当配置一个用户,但没有设置 root 密码时,该用户和 root 用户均无法登录。进行此类安装后,没有创建用户或设定 root 密码的直接方法,因为这个 bug 造成初始设置崩溃。要临时解决这个问题,请在安装过程中设置 root 密码,或者在文本安装过程中为该用户设置用户名。
python-blivet组件,BZ#1192004- 如果在添加 iSCSI 磁盘前设置分区,则安装程序会意外终止,然后再开始设置分区。结果是根本无法在这种情况下成功完成安装。要临时解决这个问题,请在安装过程中,在添加 iSCSI 或 FCoE 磁盘前重置存储或重启。
anaconda组件,BZ#1168902anaconda安装程序要求在使用inst.ks=cdrom:/ks.cfg参数引导时使用ks.cfg文件。如果在几分钟内没有提供ks.cfg文件,则会进入紧急模式。因为有些企业版服务器需要较长时间引导,Anaconda 的等待时间不足以让用户及时提供ks.cfg文件。要临时解决这个问题,请添加rd.retry引导参数,并使用较大数值。例如:使用rd.retry=86400可在 24 小时后超时,同时使用rd.retry=1<<15可在 34 年后超时(理论上),这样可为用户提供足够的时间处理所有已知情况。subscription-manager组件,BZ#1158396firstboot程序中的 按钮无法正常工作。经常要禁用这个功能,如果已启用,按这个按钮没有任何反应。结果是在 订阅管理注册 过程中,点击 按钮不会返回前一个面板。如果要返回,请输入无效服务器或无效证书,并点击 。之后会在初始firstboot面板顶部显示 无法连接服务器 对话框或 无法注册系统 对话框。忽略该出错对话,选择 不,我要以后注册。kernel组件,BZ#1076374- GRUB2 引导装载程序支持通过超文本传输协议(HTTP)和普通文件传输协议(TFTP)进行网络引导。但在大网络流量下,通过 HTTP 进行网络引导非常缓慢,并可造成超时失败。如果出现这个问题,请使用 TFTP 载入内核及 initrd 映像。要做到这一点,请将引导文件放到 TFTP 服务器中,并在
grub.cfg文件中添加以下内容,其中1.1.1.1是 TFTP 服务器地址:insmod tftp set root=tftp,1.1.1.1
anaconda组件,BZ#1164131- 配置的驱动程序更新磁盘载入程序不会重新配置网络设备。结果是使用驱动程序更新磁盘使用不同版本替换现有工作网络驱动程序的安装将无法使用该网络条件安装程序运行时映像。要临时解决这个问题,请在安装过程中使用提供的网络驱动程序,并在安装后更新网络驱动程序。
第 31 章 存储
kernel组件,BZ#1170328- 将 Intenet 小型计算机系统接口(iSCSI)目标设置为使用用于 RDMA 接口的 iSCSI 扩展(iSER)后,尝试通过 iSER 运行 discovery 会失败。结果是在某些情况下目标会出现故障。建议用户不要将 iSER 用于 discovery,而只是在登录阶段使用 iSER。
kernel组件,BZ#1185396- 将服务器作为启用 iSER 的 iSCSI 目标使用,且不断丢失连接时,目标会停止响应。结果是内核变得无法响应。临时解决这个问题的方法是减少 iSER 连接丢失,或者转换为 非 iSER iSCSI 模式。
kernel组件,BZ#1061871, BZ#1201247- 存储阵列返回 CHECK CONDITION 状态,但敏感数据无效时,小型计算机系统接口(SCSI)中间层代码会重新尝试 I/O 操作。如果之后的 I/O 操作得到同样的结果,则会无限次重试 I/O 操作。目前尚没有这个 bug 的临时解决方案。
第 32 章 文件系统
kernel组件,BZ#1172496- 由于 ext4 代码中的 bug,目前无法为使用 1KB 块大小,且小于 32MB 的 ext4 文件系统调整大小。
第 33 章 虚拟化
netcf组件,BZ#1100588- 使用网络以外的源安装 Red Hat Enterprise Linux 7 时,默认不会在接口配置文件中指定网络设备。结果是在
virsh程序中使用iface-bridge命令创建桥接时会失败,并显示出错信息。要临时解决这个问题,请在/etc/sysconfig/network-scripts/ifcfg-*文件中添加DEVICE=行。 grub2组件,BZ#1045127- 已知如果嵌套 7 个以上 PCI 桥接可造成分段错误。不建议创建 7 个以上嵌套的 PCI 桥接。
kernel组件,BZ#1075857- Red Hat Enterprise Linux 7 不支持内核
sym53c8xx模块。因为当 Red Hat Enterprise Linux 作为虚拟机在 Xen hypervisor 或 Amazon Web Service(AWS)弹性计算云(Elastic Compute Cloud,EC2)中运行时,不可能使用模拟小型计算机系统接口(SCSI)磁盘。Red Hat 建议使用半虚拟设备。 kernel组件,BZ#1081851- 在虚拟机内核命令行中使用
xen_emulated_unplug=never或xen_emulated_unplug=unnecessary选项时,无法在 Xen 虚拟机中热插拔新设备。在主机中运行xl会成功,但在虚拟机中不会出现任何设备。这个问题的临时解决方案是从虚拟机内核命令行中删除之前所述选项,并使用半虚拟驱动程序允许热插拔。注:xen_emulated_unplug=never和xen_emulated_unplug=unnecessary仅可用于调试。 kernel组件,BZ#1035213- 在 Hyper-V 环境中进行多次热插拔后,有时磁盘会记录出错信息,并可能有几分钟无法使用,同时在使用
partprobe命令侦测时会显示错误信息。 kernel组件,BZ#1183960- 之前的 Intel 微代码更新为第四代 Intel Core 处理器、Intel Xeon v3 处理器、及一些第五代 Intel Core 处理器删除硬件锁省略(HLE)及限制事务存储(RTM)功能。但当 KVM 虚拟机从包含未进行微代码更新的 CPU 主机实时迁移(live migration)到包含更新的 CPU 主机时,该虚拟机会尝试继续使用 HLE 和 RTM。这样可造成虚拟机中的应用程序意外终止,并显示
Illegal Instruction出错信息。这个问题的临时解决方案是在从有 HLE 和 RTM 功能的 CPU 移动到没有这些功能的 CPU 时,请关闭虚拟机,并执行非实时迁移。这样可保证迁移后虚拟机不能使用 HLE 和 RTM,并因此防止上述崩溃。 systemd组件,BZ#1151604, BZ#1147876- 由于在 QEMU 和 pSeries 平台间意外的不兼容,
systemd-detect-virt和virt-what命令无法正确探测 IBM Power Systems 中的 PowerKVM 虚拟化。这个问题目前尚没有临时解决方案。 kernel组件,BZ#1153521- 使用
merge_across_nodes=1参数启用内核共享内存(KSM)后,KSM 会忽略mbind()功能设定的内存策略,并将某些内存区域的页面合并到与这些策略不匹配的非统一内存访问(NUMA)节点。这个问题的临时解决方案是禁用 KSM,或在使用绑定 QEMU 的 NUMA 内存时,将merge_across_nodes参数设定为0,这样就可让为 KVM 配置的 NUMA 内存策略正常工作。
第 34 章 部署及工具
systemd组件,BZ#1178848systemd服务无法在作为只读挂载的cgroup树中设置cgroup属性。结果是会偶尔在日志中出现以下出错信息:Failed to reset devices.list on /machine.slice: Invalid argument
可忽略这个问题,因为它不会对系统造成重大影响。systemd组件,BZ#978955- 尝试使用
systemctl [start|stop|restart] NAME命令启动、停止或重启某个服务或单元时,不会为用户显示操作成功的信息。 subscription-manager组件,BZ#1166333subscription-manager用户界面的阿萨姆语(as-IN)、旁遮普语(pa-IN)和韩语(ko-KR)翻译不完整。结果是使用这些语言运行subscription-manager时,用户会看到标签为英文,而不是设置的语言。systemtap组件,BZ#1184374- 无法如预期探测到内核的某些功能。要临时解决这个问题,可尝试使用语句或相关功能进行探测。
systemtap组件,BZ#1183038- 在功能探测中无法访问某些参数或功能。结果可能造成
$parameter访问被拒绝。为临时解决这个问题,可激活systemtap前缀启发式搜索。
第 35 章 编译程序及工具
java-1.8.0-openjdk组件,BZ#1189530- 在 Red Hat Enterprise Linux 7.1 中,java-1.8.0-openjdk 软件包在 RPM 元数据中不提供 “java”,这样就破坏了与需要
Java的软件包与企业版应用程序平台(EAP)频道提供的软件包之间的兼容性。为临时解决这个问题,请在安装 java-1.8.0-openjdk 前,安装另一个在 RPM 元数据中提供 “java” 的软件包。
第 36 章 联网
rsync组件,BZ#1082496rsync程序无法作为激活套接字的服务运行,因为 rsync 软件包中缺少rsyncd@.service文件。结果是systemctl start rsyncd.socket命令无法工作。但可以执行systemctl start rsyncd.service命令,将rsync作为守护进程运行。InfiniBand组件,BZ#1172783- InfiniBand 支持组的默认软件包中不包含libocrdma。结果是当用户选择 InfiniBand 支持组,并期待在 Emulex OneConnect 适配器中可使用通过聚合以太网的 RDMA(RDMA over Converged Ethernet,RoCE)时,却不会默认安装所需驱动程序
libocrdma。首次引导后,用户可运行以下命令手动安装缺少的软件包:~]#
结果是现在用户可在 RoCE 模式下使用 Emulex OneConnect 设备。yum install libocrdma vsftpd组件,BZ#1058712vsftpd守护进程目前不支持基于椭圆曲线密码 Diffie-Hellman 密钥交换协议(Elliptic Curve Diffie–Hellman Exchange,ECDHE)的密码套件。结果是,当vsftpd配置为使用此类套件时,连接会被拒绝,并出现no shared cipher SSL警报。arptables组件,BZ#1018135- Red Hat Enterprise Linux 7 引进了 arptables 软件包用来替换 Red Hat Enterprise Linux 6 中的 arptables_jf 软件包。建议所有使用 arptables 的用户更新其脚本,因为这个版本句法与 arptables_jf 不同。
第 37 章 Red Hat Enterprise Linux Atomic Host
dracut组件,BZ#1160691- Red Hat Enterprise Linux Atomic Host 7.1.0 可在 Anaconda 安装程序中配置加密码的 root 安装,但之后不会启动系统。不建议在安装程序中选择这个选项。
dracut组件,BZ#1189407- Red Hat Enterprise Linux Atomic Host 7.1.0 在 Anaconda 安装过程中提供 iSCSI 支持,但目前的内容集中不包括 iSCSI 支持,因此该系统将无法访问存储。不建议在安装程序中选择这个选项。
kexec-tools组件,BZ#1180703- 由于代码解析问题,kdump 程序目前将内核崩溃转储保存在
/sysroot/crash/目录,而不是/var/crash/目录中。 rhel-server-atomic组件,BZ#1186923- Red Hat Enterprise Linux Atomic Host 7.1.0 目前不支持 systemtap,除非安装包含 kernel-devel 的 host-kernel-matching 软件包,同时在 rheltools 容器映像中安装其他软件包。
rhel-server-atomic组件,BZ#1193704- Red Hat Enterprise Linux Atomic Host 为 root 分区分配 3GB 存储,其中包括 dokcer 卷。要支持更多的卷空间,则必须在系统中添加更多物理存储,或者必须扩展 root 逻辑卷。《Red Hat Enterprise Linux Atomic Host 入门》中《使用 Red Hat Enterprise Linux Atomic Host 管理存储》一节论述了这个问题的临时解决方案。
rhel-server-atomic组件,BZ#1186922- 如果在有超级特权的容器(Super-Privileged Container,SPC)中执行
ltrace命令跟踪 Red Hat Enterprise Linux Atomic Host 中运行的进程,ltrace命令就无法定位附加到要跟踪进程共享库的二进制文件映像。结果是ltrace会显示一系列出错信息,类似如下:Can't open /lib64/libwrap.so.0: No such file or directory Couldn't determine base address of /lib64/libwrap.so.0 ltrace: ltrace-elf.c:426: ltelf_destroy: Assertion `(<e->plt_relocs)->elt_size == sizeof(GElf_Rela)' failed.
rhel-server-atomic组件,BZ#1187119- Red Hat Enterprise Linux Atomic Host 不包括自定义或覆盖主机自身内容的机制,例如,它没有使用自定义内核进行 debug 的工具。
rhel-server-atomic组件,BZ#1187119- Red Hat Enterprise Linux Atomic Host 不包括自定义或覆盖主机自身内容的机制,例如,它没有使用自定义内核进行 debug 的工具。
第 38 章 Linux 容器
docker组件,BZ#1193609- 如果 docker 要为 docker 精简池设置设定循环设备,则 docker 操作,比如 docker 删除及容器 I/O 操作会较缓慢。强烈建议采用备选配置设置 LVM 精简池,并将其作为 docker 存储后端。有关设置 LVM 精简池的说明,请查看
lvmthin(7)manual page。然后修改/etc/sysconfig/docker-storage文件,在其中包含以下行,以便容器存储可使用 LVM 精简池。DOCKER_STORAGE_OPTIONS= --storage-opt dm.thinpooldev=<pool-device>
docker组件,BZ#1190492- 在一些应用程序容器已处于活跃状态后启动的拥有超级用户特权的容器(Super-Privileged Container,SPC)可访问这些应用程序容器树的文件系统。这些文件系统树位于设备映射器“thin target”设备中。因为 SPC 中有这些文件系统树的参考,docker 守护进程无法在终止应用程序容器时清除“thin target”(该设备仍处于“busy”状态)。结果是会在 systemd 日志中记录以下出错信息:
Cannot destroy container {Id}: Driver devicemapper failed to remove root filesystem {Id}: Device is Busy其中{Id}是容器运行时 ID 的占位符,并在应用程序容器被终止后留下旧的设备映射器“thin target”。 docker组件,BZ#1188252- 拥有超级用户特权的容器(SPC)在运行时,有时可能会意外终止 docker 守护进程。结果是会在
/var/lib/docker/linkgraph.db文件中留下与拥有超级用户特权的容器相关的陈旧条目,且之后无法正确重启该容器。 gdb组件,BZ#1186918- 如果在拥有超级用户特权的容器(SPC)中运行 GNU 调试器(GNU debugger,GDB),并将其附加到 Red Hat Enterprise Linux Atomic Host 的另一台容器中运行的进程时,GDB 无法找到主要可执行文件的二进制文件映像或者要调试的进程载入的共享库。结果是 GDB 可能会显示出错信息,表示某些文件不存在、或文件存在但映射错误、或者可能看似正确添加 GDB,但之后的命令会失败,或者显示损坏信息。临时解决方案是要在运行该命令前指定 sysroot 和文件,如下:
set sysroot /proc/PID/rootfile /proc/PID/exeattach PID
第 39 章 认证和互操作性
bind-dyndb-ldap组件,BZ#1139776bind-dyndb-ldap系统插件的最新版本与之前的版本相比有极大的改进,但目前仍有局限性。其中之一就是不支持 LDAP 重命名(MODRDN)操作。结果是无法正确使用 LDAP 中重命名的 DNS 记录。作为临时解决方案,可在每次 MODRDN 操作后重启named守护进程,重新同步数据。在身份管理(IdM)集群的所有 IdM 副本中重启named守护进程。ipa组件,BZ#1187524- 在完全服务器恢复的过程中,即使在 tar 归档中包含 IdM 备份文件,也无法在使用备份恢复服务器时打开用来重新导入后端的
userRoot.ldif和ipaca.ldif文件。结果是在全面服务器恢复中会跳过这些文件。如果使用完全服务器备份恢复,恢复的后端可接收生成备份后的更新。这是不应该的,因为所有在生成备份及执行恢复之间的的更新都会丢失。服务器成功恢复,但包含无效数据。如果恢复的服务器包含无效数据,并使用它重启该副本,可成功初始化该副本,但副本中的数据是无效的。目前没有临时解决方案。建议不要使用从完全服务器 IdM 备份中恢复的服务器重新初始化副本,这样可确保不会在恢复结束时或重新初始化过程中出现意外更新。注:这个已知问题只存在于完全服务器 IdM 恢复,数据 IdM 恢复没有这个问题。 ipa (slapi-nis)组件,BZ#1157757- 将架构兼容性插件配置为使用 AD 的身份管理(IdM)跨林信任,提供 Active Directory(AD)用户对旧客户端的访问。389 Directory Server 可在某些条件下,根据收到的请求解析 AD 用户的复杂组成员关系,增加 CPU 消耗。
ipa组件,BZ#1186352- 使用备份恢复身份管理(IdM),并在其他副本中重新初始化恢复的数据时,架构兼容性插件仍会保留执行恢复及重新初始化前缓存的旧数据。结果是副本可能会出现意外行为。例如:如果尝试添加最初是在执行备份后添加的用户,并在恢复和创新初始化步骤中删除该用户,则操作可能会失败,并显示出错信息,因为架构兼容性缓存中包含冲突的用户条目。作为临时解决方案,在使用主服务器重新初始化 IdM 副本后,重启 IdM 副本。这样可清除 Schema Compatibility 缓存,并确定副本行为如所述情况。
ipa组件,BZ#1188195- 升级到身份管理(IdM)Red Hat Enterprise Linux 7.1 版本后,匿名及认证的用户都会丢失
facsimiletelephonenumber用户属性的默认权限。要手动更改新的默认设置,使该属性再次可读,请运行以下命令:ipa permission-mod 'System: Read User Addressbook Attributes' --includedattrs facsimiletelephonenumber
ipa组件,BZ#1189034- 如果主机 DNS 区不是完全限定域名,
ipa host-del --updatedns命令不会更新主机 DNS 记录。在 Red Hat Enterprise Linux 7.0 和 6 中可以创建未限定区。如果在未限定 DNS 区中(比如 example.test,而不是结尾包含句点的 example.test.)运行ipa host-del --updatedns,该命令会失败,并显示内部出错信息,并删除该主机,但不会删除其 DNS 记录。作为临时解决方案,请在运行 Red Hat Enterprise Linux 7.0 或 6 的 IdM 服务器中运行ipa host-del --updatedns命令,在这些系统中可如预期更新主机 DNS 记录,或在 Red Hat Enterprise Linux 7.1 中运行该命令更新主机 DNS 记录。 ipa组件,BZ#1193578- 身份管理(IdM)客户端中的 Kerberos 库默认通过用户数据包协议(User Datagram Protocol,UDP)沟通。使用一次性密码(OTP)可造成额外的延迟,并超过 Kerberos 超时限制。结果是
kinit命令及其他 Kerberos 操作可报告通讯错误,同时会锁定该用户。作为临时解决方案,请通过在/etc/krb5.conf文件中将udp_preference_limit选项设定为0,从而使用较慢的传输控制协议(Transmission Control Protocol,TCP)。 ipa组件,BZ#1170770- 在 IdM 中注册的主机无法属于同一 DNS 域,因为该 DNS 域属于一个 AD 林。当将 Active Directory(AD)林中的 DNS 域标记为属于身份管理(IdM)域时,AD 的跨林信任就无法工作,即使信任状态报告成功也不行。作为临时解决方案,请使用与现有 AD 林不同的 DNS 域部署 IdM。如果已知 AD 和 IdM 中使用同样的 DNS 域,首先请运行
ipa realmdomains-show命令显示 IdM 领域列表。然后运行ipa realmdomains-mod --del-domain=wrong.domain命令删除该列表中属于 AD 的 DNS 域。从 IdM 中取消在 AD 林 DNS 域注册的主机,并为这些主机选择与 AD 林不冲突的 DNS 名称。最后,使用ipa trust-add命令重新建立该信任,刷新 AD 林的跨林信任状态。 ipa组件,BZ#988473- 为身份管理(IdM)中的
Trusted Admins组赋予轻加权目录访问控制(LDAP)对象的访问控制。要建立该信任,IdM 管理员应属于Trusted Admins组所属成员的组,并为这个组分配相对标识符(RD)512。要确保此操作完成,请运行ipa-adtrust-install命令,然后运行ipa group-show admins --all命令,验证ipantsecurityidentifier字段中包含以-512字符串结尾的值。如果该字段不是以-512结尾,请使用ipa group-mod admins --setattr=ipantsecurityidentifier=SID命令,其中 SID 是ipa group-show admins --all命令输出结果中的字段值,该值中以-512字符串替代最后的内容值 (-XXXX)。 sssd组件,BZ#1024744- OpenLDAP 和 389 Directory Server(389 DS)服务器采用不同的方式解读宽限登录(grace login)。389 DS 将其视为剩余宽限登录数,而 OpenLDAP 将其视为已使用宽限登录数。目前,SSSD 只能处理 389 DS 语境。结果是使用 OpenLDAP 时,宽限登录密码可能警告可能不正确。
sssd组件,BZ#1081046- SSSD 用来查看帐户是否过期的
accountExpires属性不会默认在全局分类中复制。结果是在使用 GSSAPI 认证时,可让使用过期帐户的用户登录。作为临时解决方案,请在sssd.conf文件中指定ad_enable_gc=False禁用全局分类。使用这个设置,可在使用 GSSAPI 认证时,拒绝使用过期帐户的用户。注:在这种情况下,SSSD 分别与每个 LDAP 服务器连接,可造成连接数量增大。 sssd组件,BZ#1103249- 在某些情况下,SSSD 服务特权属性证书(PAC)响应方组件中的算法无法有效处理作为很多组成员的用户。结果是从 Windows 客户端登录至使用 Kerberos 单一登录(SSO)的 Red Hat Enterprise Linux 客户端的速度会明显缓慢。目前尚没有临时解决方案可用。
sssd组件,BZ#1194345- SSSD 服务在进行 initgroup 查找时使用全局编录(GC),但不会默认将 POSIX 属性(比如用户主目录或 shell)复制到 GC 组中。结果是,在 SSSD 查找过程中 SSSD 请求 POSIX 属性时,SSSD 会错误地将这些属性视为要从服务器中删除的属性,因为它们没有出现在 GC 中,同时还会将其从 SSSD 缓存中删除。作为临时解决方案,可在
sssd-ad.conf文件中设定ad_enable_gc=False参数禁用 GC 支持,或者在 GC 中复制这些 POSIX 属性。禁用 GC 比较简单,但会造成该客户端无法解析跨域组成员。在 GC 中复制 POSIX 属性是更系统的解决方案,但需要更改 Active Directory(AD)架构。作为上述临时解决方案之一的结果是运行getent passwd user命令显示 POSIX 属性。注:即使正确设置 POSIX 属性,运行id user命令时可能也无法显示。 samba组件,BZ#1186403- samba-common.x86_64 和 samba-common.i686 软件包中的二进制文件包含同样的文件路径,但其内容不同。结果是无法一同安装这些软件包,因为 RPM 禁止此类情况。作为临时解决方案,如果主要需要的是 samba-common.x86_64,则不要安装 samba-common.i686;就是说在 kickstart 文件或已安装的系统中都不要安装。如果需要 samba-common.i686,则请避免安装 samba-common.x86_64。结果是可以安装系统,但每次只能使用一个架构中的 samba-common 软件包。
第 40 章 授权
subscription-manager组件,BZ#1189006- 代理服务器配置 对话框中的 按钮只以英文显示。采用不同语言显示代 代理服务器配置 对话框时, 按钮总是显示为英文。
第 41 章 桌面
spice组件,BZ#1030024- spice-server 有时无法将使用 GNOME Shell 的 Red Hat Enterprise Linux 7.1 虚拟机中的视频回放探测为视频流。在这种情况下无法压缩该视频流。
gobject-introspection组件,BZ#1076414gobject-introspection库无法用于 32 位 multilib 软件包。用户如果要编译依赖 GObject 自检或使用它的库(比如GTK+或GLib)的 32 位应用程序,则应使用 mock 软件包为其应用程序构建环境。kernel组件,BZ#1183631- 由于有 bug,在联想 T440s 笔记本电脑桌运行的 X.Org X 服务器会在将其从连有外置显示器的扩展坞移除时崩溃。此时会终止所有采用 GUI 运行的程序,造成未保存数据丢失。为临时解决这个问题,可在将其从扩展坞移除时盖上电脑上盖,或首先从扩展坞中移除所有显示器。
firefox组件,BZ#1162691- 当 Firefox 在用于 POWER、little endian 架构的 Red Hat Enterprise Linux 中运行时,无法载入
icedtea-webJava 插件。结果是 Java Web Start(javaws)在这个环境中无法工作。Firefox 为 Intel P6、AMD64 和 Intel 64 系统、PowerPC 平台(32 位)及 ARM 架构支持 NPAPI。目前 Firefox 尚不支持其他架构,也不计划扩大其支持范围。
附录 A. 修订历史
| 修订历史 | |||
|---|---|---|---|
| 修订 1.0-19.4 | Tue Sep 8 2015 | ||
| |||
| 修订 1.0-19 | Mon May 04 2015 | ||
| |||
| 修订 1.0-13 | Tue Mar 03 2015 | ||
| |||
| 修订 1.0-9.10 | Wed Jan 29 2015 | ||
| |||
法律通告
Copyright © 2015 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.