Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
7.2 发行注记
Red Hat Enterprise Linux 7
Red Hat Enterprise Linux 7.2 发行注记
Red Hat Customer Content Services
摘要
本发行注记提供了在 Red Hat Enterprise Linux 7.2 中已实现的改进和附加组件的高级信息,并记录了本发行版本中已知的问题。有关 Red Hat Enterprise Linux for 7.2 更新的所有更改的详情,请参考红帽客户门户网站中的 勘误。
前言
Red Hat Enterprise Linux 次发行版本是单个增强、安全和程序错误修复勘误的聚合。Red Hat Enterprise Linux 7.2 发行注记 文档描述了对 Red Hat Enterprise Linux 7 操作系统及其与该次发行版本相关的应用程序的主要更改,以及已知问题以及目前所有可用技术预览的完整列表。
与其它版本的系统相比,Red Hat Enterprise Linux 7 的功能和限制包含在 https://access.redhat.com/articles/rhel-limits 处的红帽知识库文章中。
有关 Red Hat Enterprise Linux 生命周期的详情,请参考 https://access.redhat.com/support/policy/updates/errata/。
第 1 章 构架
Red Hat Enterprise Linux 7.2 在以下构架中作为单一工具包提供:[1]
[1]
请注意,只有 64 位硬件支持 Red Hat Enterprise Linux 7.2 安装。Red Hat Enterprise Linux 7.2 可以作为虚拟机运行 32 位的操作系统,包括以前的 Red Hat Enterprise Linux 版本。
[2]
目前,Red Hat Enterprise Linux 7.2 (big endian)在 Red Hat Enterprise Virtualization for Power 和 PowerVM 上作为 KVM 客户机被支持。
[3]
目前,Red Hat Enterprise Linux 7.2 (little endian)作为 KVM 客户机在 Red Hat Enterprise Virtualization for PowerVM 和 PowerNV (裸机)上被支持。
[4]
请注意,Red Hat Enterprise Linux 7.2 支持 IBM zEnterprise 196 硬件或更新版本 ; IBM System z10 领导系统不再被支持,且不会引导 Red Hat Enterprise Linux 7.2。
部分 I. 新功能
这部分论述了 Red Hat Enterprise Linux 7.2 中引入的新功能和主要改进。
第 2 章 常规更新
跨频道软件包依赖项改进
yum 已被改进,以便在发生软件包依赖项错误时提示最终用户搜索禁用的软件包存储库。这个更改将允许用户通过首先检查缺少的软件包依赖项的所有已知频道来快速解决依赖关系错误。
要启用此功能,请在将机器升级到 Red Hat Enterprise Linux 7.2 之前执行 yum update yum subscription-manager。
有关此功能实施的详情,请查看 系统和订阅管理一章。
现在,在请求时正确应用 RELRO 保护
在以前的版本中,系统加载程序启动的二进制文件在某些情况下,缺少 Relocation Read-Only (RELRO)保护,即使应用程序构建时已明确请求也是如此。这是因为静态链接程序和系统加载程序之间出现错误。对链接器的底层源代码进行了调整,以确保加载程序能够应用 RELRO 保护,从而恢复应用程序的安全功能。应该重新构建使用 alpha 或 beta 版本构建的应用程序以及所有依赖对象文件、存档和库来更正此缺陷。binutils在这个版本中解决了这个问题,AMD64、Intel 64、64 位 PowerPC 和 64 位 ARM 架构。
更多诊断信息以及 sosreport 的重命名插件
sosreport 工具已被改进,可从各种应用程序收集与进程相关的信息,包括 ptp、lastlog 和 ethtool。作为这一更改的一部分,启动 插件已重命名为 services,以便更好地传达其功能。
启用 virtio 网络设备重命名
在这个版本中,为 virtio 驱动程序添加了一个新的持久性命名方案,它可启用 virtio 网络设备重命名。要在 Red Hat Enterprise Linux 7.2 中启用此功能,请在引导时添加 net.ifnames=1 内核参数。
在指定硬件上支持 DIF/DIX (T10 PI)
Red Hat Enterprise Linux 7.2 完全支持 SCSI T10 DIF/DIX,只要硬件供应商已证明了它,并完全支持特定的 HBA 和存储阵列配置。在其他配置中不支持 DIF/DIX,它不支持在引导设备上使用,且在虚拟客户机中不支持它。
目前,以下供应商已知可以提供这个支持。
FUJITSU 支持 DIF 和 DIX on:
- EMULEX 16G FC HBA:
- EMULEX LPe16000/LPe16002, 10.2.254.0 BIOS, 10.4.255.23 FW,带有:
- FUJITSU ETERNUS DX100 S3, DX200 S3, DX500 S3, DX600 S3, DX8100 S3, DX8700 S3, DX8900 S3, DX200F, DX60 S3
- QLOGIC 16G FC HBA:
- QLOGIC QLE2670/QLE2672, 3.28 BIOS, 8.00.00 FW,带有:
- FUJITSU ETERNUS DX100 S3, DX200 S3, DX500 S3, DX600 S3, DX8100 S3, DX8700 S3, DX8900 S3, DX200F, DX60 S3
请注意,T10 DIX 需要数据库或其他软件,它们对磁盘块提供校验和的生成和验证。当前不支持的 Linux 文件系统具有此功能。
EMC 支持 DIF on:
- EMULEX 8G FC HBA:
- LPe12000-E 和 LPe12002-E 带有固件 2.01a10 或更高版本,使用以下命令:
- EMC VMAX3 系列带有 Enginuity 5977; EMC Symmetrix VMAX 系列,带有 Enginuity 5876.82.57 及更高版本
- EMULEX 16G FC HBA:
- LPe16000B-E 和 LPe16002B-E 带有固件 10.0.803.25 或更高版本,使用以下命令:
- EMC VMAX3 系列带有 Enginuity 5977; EMC Symmetrix VMAX 系列,带有 Enginuity 5876.82.57 及更高版本
- QLOGIC 16G FC HBA:
- QLE2670-E-SP 和 QLE2672-E-SP:
- EMC VMAX3 系列带有 Enginuity 5977; EMC Symmetrix VMAX 系列,带有 Enginuity 5876.82.57 及更高版本
有关最新状态,请参阅硬件厂商的支持信息。
对于其他 HBA 和存储阵列,对 DIF/DIX 的支持仍为技术预览。
第 3 章 认证和互操作性
身份管理默认设置一个单向信任
ipa trust-add 命令现在默认配置单向信任。单向信任使 Active Directory (AD)中的用户和组能够访问身份管理(IdM)中的资源,而不是其它方式。在以前的版本中,运行 ipa trust-add 配置的默认信任是一个双向信任。
IdM 仍然允许管理员通过向 ipa trust-add 添加 --two-way=true 选项来设置双向信任。
OpenLDAP rebase 到版本 2.4.40
openldap 软件包已升级到上游版本 2.4.40,它提供很多程序错误修复和增强。值得注意的是,ORDERING 匹配规则已添加到
ppolicy 属性类型描述中。修复了修复的错误:服务器在处理 SRV 记录时不再意外终止,并且添加了缺少的 objectClass 信息,从而让用户能够根据标准修改前端配置。
SSSD 中的缓存身份验证
现在,SSSD 中也提供了针对没有重新连接尝试的缓存进行身份验证,即使在在线模式下也是如此。直接对网络服务器进行身份验证可能会导致应用程序延迟,这可能会使登录过程非常耗时。
SSSD 在单独的客户端上启用 UID 和 GID 映射
现在,可以使用 SSSD 通过客户端配置将用户映射到特定 Red Hat Enterprise Linux 客户端上的不同 UID 和 GID。此客户端覆盖可能会解决 UID 和 GID 重复导致的问题,或者简化从之前使用不同的 ID 映射的传统系统过渡。
请注意,覆盖存储在 SSSD 缓存中;删除缓存也会删除覆盖。
SSSD 现在可以拒绝对锁定帐户的 SSH 访问
在以前的版本中,当 SSSD 使用 OpenLDAP 作为其身份验证数据库时,即使用户帐户被锁住,用户可以使用 SSH 密钥成功向系统进行身份验证。
ldap_access_order 参数现在接受 ppolicy 值,该值可能会拒绝对上述情况下用户的 SSH 访问。有关使用 ppolicy 的更多信息,请参阅 sssd-ldap (5)手册页中的 ldap_access_order 描述。
sudo 工具现在可以验证命令校验和
sudo 工具的配置现在可以存储允许的命令或脚本的校验和。当再次运行命令或脚本时,校验和将与存储的校验和进行比较,以验证没有任何变化。如果修改了命令或二进制文件,sudo 工具会拒绝运行命令或记录警告。此功能使得在发生事件时可以正确地处理职责和问题。
SSSD 智能卡支持
SSSD 现在支持智能卡进行本地身份验证。使用这个特性,用户可以使用智能卡使用基于文本的或图形控制台以及本地服务(如 sudo 服务)登录到系统。用户将智能卡放在读卡器中,并在登录提示符下提供用户名和智能卡 PIN。如果验证智能卡中的证书,该用户会被成功验证。
请注意,SSSD 目前不会让用户使用智能卡获取 Kerberos 票据。要获得 Kerberos 票据,用户仍然需要使用 kinit 工具进行身份验证。
支持多个证书配置文件和用户证书
身份管理现在支持多个配置文件来发布服务器和其他证书,而不是只支持单个服务器证书配置文件。配置集存储在目录服务器中,并在 IdM 副本之间共享。
另外,管理员可以向单个用户发布证书。在以前的版本中,只能向主机和服务发布证书。
Password Vault
在身份管理中添加了允许安全存储私有用户信息(如密码和密钥)的新功能。密码 Vault 基于公钥基础架构(PKI)密钥恢复授权(KRA)子系统基础上构建。
身份管理中的 Kerberos HTTPS 代理
使用 Microsoft Kerberos KDC 代理协议(MS-KKDCP)实现的密钥分发中心(KDC)代理功能现在包括在身份管理中,并允许客户端访问 KDC 和
kpasswd 服务。系统管理员现在可以通过简单的 HTTPS 反向代理在网络边缘上公开代理,而无需设置和管理专用应用程序。
缓存条目的后台刷新
SSSD 现在允许在后台更新缓存的条目。在此次更新之前,当缓存条目的有效性过期时,SSSD 会从远程服务器获取它们并将其存储在数据库中,这可能会消耗时间。在这个版本中,条目会立即返回,因为后端始终保持更新。请注意,这会导致服务器出现更高的负载,因为 SSSD 会定期下载条目,而不是仅在请求时定期下载条目。
initgroups 操作的缓存
SSSD 快速内存缓存现在支持
initgroups 操作,它提高了 initgroups 处理速度,并提高某些应用程序的性能,如 GlusterFS 和 slapi-nis。
使用 mod_auth_gssapi简化身份验证
身份管理现在使用
mod_auth_gssapi 模块,它使用之前使用的 mod_auth_kerb 模块使用的 GSSAPI 调用而不是直接 Kerberos 调用。
用户生命周期管理功能
用户生命周期管理使管理员能够更好地控制激活和停用用户帐户。管理员现在可以通过将新用户帐户添加到 stage 区域而无需完全激活它们,激活不活跃的用户帐户使其完全运行,或者取消激活用户帐户而无需从数据库中完全删除。
用户生命周期管理功能为大型 IdM 部署带来了显著优势。请注意,用户可以使用直接 LDAP 操作直接从标准 LDAP 客户端中添加用户到 stage 区域。在以前的版本中,IdM 只支持使用 IdM 命令行工具或 IdM Web UI 管理用户。
certmonger中的 SCEP 支持
certmonger 服务已更新,以支持简单证书注册协议(SCEP)。现在,可以发布新证书并通过 SCEP 续订或替换现有证书。
IdM 的 Apache 模块现在被完全支持
现在完全支持在 Red Hat Enterprise Linux 7.1 中作为 技术预览添加的以下 Apache 模块(IdM):
mod_authnz_pam、mod_lookup_identity 和 mod_intercept_form_submit。外部应用程序可以使用 Apache 模块来实现在简单身份验证之外与 IdM 紧密交互。
NSS 提高最低接受的键强度值
Red Hat Enterprise Linux 7.2 中的网络安全服务(NSS)库不再接受小于 768 位的密钥交换参数,也不会接受小于 1023 位的密钥大小的 RSA 和 DSA 证书。增加最低接受的密钥强度值可防止利用了已知的安全漏洞,如 Logjam (CVE-2015-4000)和 FREAK (CVE-2015-0204)。
请注意,尝试使用比新最小值更弱的密钥连接到服务器会失败,即使这样的连接在以前的 Red Hat Enterprise Linux 版本中可以正常工作。
NSS 默认启用 TLS 版本 1.1 和 1.2
使用 NSS 默认启用的协议版本的应用程序现在还支持 TLS 版本 1.1 和 TLS 版本 1.2 协议。
现在支持 ECDSA 证书
使用默认 NSS 密码列表的应用程序现在支持连接到使用 Elliptic Curve Signature Algorithm (ECDSA)证书的服务器。
OpenLDAP 自动选择 NSS 默认密码套件
OpenLDAP 客户端现在会自动选择网络安全服务(NSS)默认密码套件与服务器通信。不再需要在 OpenLDAP 源代码中手动维护默认密码套件。
现在支持将 IdM 服务器配置为信任代理
身份管理(IdM)区分两种类型的 IdM 主服务器:信任控制器和信任代理。信任控制器运行建立和维护信任所需的所有服务;信任代理只运行必要的服务,以便提供信任 Active Directory 林到使用这些 IdM 服务器注册的 IdM 客户端。
默认情况下,运行 ipa-adtrust-install 命令将 IdM 服务器设置为信任控制器。要将另一个 IdM 服务器配置为信任代理,请将 --add-agents 选项传给 ipa-adtrust-install。
现在支持从 WinSync 自动迁移到信任
新的 ipa-winsync-migrate 工具允许使用 WinSync 基于 Active Directory (AD)信任从基于同步的集成无缝迁移。该工具会自动从指定的 AD 林迁移使用 WinSync 同步的所有用户。在以前的版本中,从同步迁移到信任只能使用 ID 视图手动执行。
有关 ipa-winsync-migrate 的更多信息,请参阅 ipa-winsync-migrate (1)手册页。
多步骤提示输入一次性密码和长期密码
将一次性密码(令牌)与长期密码登录时,会单独提示用户输入这两个密码。这在使用一次性密码以及更安全的长期密码提取时带来更好的用户体验,这将允许使用长期密码缓存用于离线身份验证。
OpenLDAP 的 LPK 模式现在以 LDIF 格式提供
LDIF 是 OpenLDAP 导入模式的新默认格式,openssh-ldap 软件包现在还提供 LDIF 格式的 LDAP 公钥(LPK)模式。因此,管理员可以在设置基于 LDAP 的公钥身份验证时直接导入 LDIF 模式。
Cyrus 可以再次对 AD 和 IdM 服务器进行身份验证
cyrus-sasl 软件包的上游发行版本引入了一个非后向兼容的更改,它会阻止 Cyrus 对旧的 SASL 实现进行身份验证。因此,Red Hat Enterprise Linux 7 无法对 Active Directory (AD)和 Red Hat Enterprise Linux 6 Identity Management (IdM)服务器进行身份验证。现在,上游更改已被恢复,Cyrus 现在可以按预期对 AD 和 IdM 服务器进行身份验证。
SSSD 支持覆盖自动发现的 AD 站点
默认自动发现客户端连接的 Active Directory (AD) DNS 站点。但是,默认的自动搜索可能无法发现某些设置中最合适的 AD 站点。在这种情况下,您现在可以使用
/etc/sssd/sssd.conf 文件的 [domain/NAME] 部分中的 ad_site 参数手动定义 DNS 站点。
添加了对 SAML ECP 的支持
lasso 软件包已更新至版本 2.5.0,mod_auth_mellon 软件包已 rebase 到版本 0.11.0,以便添加对安全断言标记语言(SAML)增强的客户端或代理(ECP)的支持。SAML ECP 是一个替代 SAML 配置文件,允许非浏览器的单点登录(SSO)。
winbindd 服务不再在其默认配置中列出组成员资格
Samba 版本 4.2.0 及之后的版本中的
winbindd 服务不再列出组成员资格来显示目的。在某些情况下,比如在带有可信域的环境中,并不总是能够可靠地提供此信息。为防止提供不准确信息的风险,默认的 winbindd 配置已更改为 winbind 扩展组 = 0, 这将禁用之前的行为。请注意,一些命令(如 guestfish group 命令)之前依赖此功能,且行为可能并不像以前一样。
第 4 章 集群
systemd 和 pacemaker 现在在系统关闭过程中正确协调
在以前的版本中,systemd 和 pacemaker 在系统关闭过程中无法正确协调,这会导致 pacemaker 资源无法正确终止。在这个版本中,pacemaker 被排序在 dbus 和 pacemaker 启动的其他 systemd 服务前停止。这允许 pacemaker 和 pacemaker 管理的资源正确关闭。
pcs resource move 和 pcs resource ban 命令现在显示一条警告信息,以阐明命令的行为
pcs resource move 命令和 pcs resource ban 命令会创建位置约束,这些位置约束在当前节点上运行,直到约束被删除或直到约束生命周期过期为止。之前,这个行为对用户没有明确。这些命令现在显示说明此行为的警告信息,并且这些命令的帮助屏幕和文档已被明确识别。
将 Pacemaker 资源移动到首选节点的新命令
移动 Pacemaker 资源后,由于故障转移或管理员手动移动节点,它不一定会迁移到其原始节点,即使解决了导致故障转移的情况。现在,您可以使用 pcs resource relocate run 命令将资源移至首选节点,具体由当前的集群状态、约束、资源位置和其他设置决定。您还可以使用 pcs resource relocate show 命令显示迁移的资源。有关这些命令的详情,请查看高可用性附加组件参考。
简化的在集群中为冗余电源配置隔离的方法
在为冗余电源配置隔离时,您必须确保在电源重启两个电源时,在恢复电源前关闭这两个电源。如果节点永远无法完全断电,则该节点可能无法释放其资源。这可能会导致同时访问这些资源,并导致节点崩溃的问题。
在 Red Hat Enterprise Linux 7.2 之前,您需要明确配置使用 'on' 或 'off' 操作的设备的不同版本。从 Red Hat Enterprise Linux 7.2 开始,现在只需要定义每个设备一次,并指定这两个设备都是隔离节点所必需的。
有关为冗余电源配置隔离的详情,请参考高可用性附加组件参考手册中的
隔离:配置 STONITH 章节。
用于隔离代理的新 --port-as-ip 选项
隔离代理只在 pacemaker 中需要复杂的配置。现在,可以使用 --port-as-ip 选项在 port 选项中输入 IP 地址。
第 5 章 编译器和工具
tail --follow 现在可以在 Veritas Clustered 文件系统(VXFS)上正常工作
Veritas Clustered 文件系统(VXFS)是一个远程文件系统,对于远程文件系统,尾部 无法将
inotify 功能用于 --follow 模式。Veritas Clustered 文件系统现已添加到远程文件系统列表中,用于轮询模式而不是 inotify。tail --follow 现在可以在 VXFS 中的文件中使用。
dd 命令现在可以显示传输进度
dd 命令用于按字节复制文件,现在提供
status=progress 选项来显示传输的进度。这对传输大型文件特别有用,因为它允许用户估算时间,并检测传输的潜在问题。
改进了 libcurl 中的等待时间
libcurl 库对没有活跃文件描述符的操作使用了不必要的长时间阻止延迟,即使用于简短操作。这意味着,一些操作(如使用 /etc/hosts 解析主机名)需要任意时间完成。现在,libcurl 中的阻塞代码已被修改,以便初始延迟比较短,并在发生事件前逐渐增加。libcurl 操作可以更快地完成。
libcurl 库现在实现一个非阻塞 SSL 握手
在以前的版本中,libcurl 库没有实现非阻塞 SSL 握手,这会影响基于
libcurl 多 API 的应用程序的性能。要解决这个问题,非阻塞 SSL 握手已在 libcurl 中实施,lib curl 多 API 现在会在无法从或底层网络套接字读取或写入数据时返回到应用程序。
当访问符号表时,IBM Power 系统上的 GDB 不再失败
在以前的版本中,64 位 IBM Power Systems 上的 GDB 错误地分配一个重要变量,它保存二进制的符号表,这会导致 GDB 试图访问该符号表时出现分段错误。要解决这个问题,这个特定变量已被持久,GDB 现在可以在调试会话期间访问所需的信息,而无需读取无效的内存区域。
NSCD 更新为自动重新载入配置数据
这个名称服务器缓存守护进程(nscd)的更新为 nscd 配置文件添加基于 inotify 的监控和基于 stat 的备份监控,因此 nscd 现在可以正确地检测到其配置的更改并重新载入数据。这可防止 nscd 返回过时的数据。
dlopen 库函数不再在递归调用中崩溃
在以前的版本中,库函数
dlopen 中的缺陷可能会导致对这个功能进行递归调用,从而导致使用库断言崩溃或中止。如果用户提供的 malloc 实现调用 dlopen,则可以进行递归调用。
现在,实现是 Reentrant 的,递归调用不再崩溃或中止,并带有断言。
operf 工具现在识别静态巨页标识符
在以前的版本中,当分析启用了静态巨页的 Java 即时(JIT)编译代码时,OProfile 的 operf 命令将大量事件样本记录到匿名内存(on_hugepage)而不是适当的 Java 方法。在这个版本中,operf 会识别静态巨页标识符,在使用静态分配的巨页时,可以正确地将样本映射到 Java 方法。
rsync -X 现在可以正常工作
在以前的版本中,
rsync 工具会在设置安全属性后更改了文件所有权。因此,目标上的安全属性缺失,在某些情况下运行 rsync -X 命令无法正常工作。在这个版本中,操作的顺序已被切换,rsync 现在会在设置安全属性前更改所有权。因此,在上述情况下,安全属性会如预期出现。
Subversion 可执行文件现在使用完整 RELRO 数据构建
subversion 软件包提供的可执行文件现在使用完全只读重新定位数据(RELRO)构建的,它可以防止某些类型的内存损坏攻击。因此,如果发现将来的漏洞,则无法成功利用 Subversion。
TCL 中的线程扩展现在可以正常工作
在以前的版本中,工具命令语言(TCL)中的线程支持没有最佳实现。如果将 fork () 调用与在 TCL 解释器中启用线程扩展一同使用,该过程可能会变得无响应。因此,TCL 解释器和 TK 应用程序之前,会禁用线程扩展。因此,根据线程 TCL 或 TK 的第三方应用程序无法正常工作。已实施补丁来解决这个问题,TCL 和 TK 现在默认启用线程扩展。
可以为 TLS 显式启用或禁用 AES 密码套件
使用更新的 curl 软件包,可以明确启用或禁用新的高级加密标准(AES)密码套件,以用于 TLS 协议。
OpenJDK 7 现在支持 ECC
在这个版本中,OpenJDK 7 支持 Elliptic Curve Curve Cryptography (ECC)以及 TLS 连接的相关密码。ECC 在大多数情况下,最好使用旧的加密解决方案来建立安全网络连接。
ABRT 现在可以保存 core_backtrace 文件,而不是整个 coredump
现在,ABRT 可以配置为在不向磁盘写入 coredump 文件的情况下生成回溯追踪。这在处理分配了大量内存的进程时节省时间。通过将 CreateCoreBacktrace 选项设置为 yes,并在
/etc/abrt/plugins/CCpp.conf 文件中将 SaveFullCore 选项设置为 no 来启用这个功能。
添加到 Python 标准库的安全功能
许多安全增强,如 466 Python 增强建议(http://legacy.python.org/dev/peps/pep-0466/),已被向后移植到 Python 标准库。例如,安全增强包括
ssl 模块中的新功能,如对 Server Name Indication (SNI)的支持,并支持新的 TLSv1.x 协议、hashlib 模块 中的新哈希算法等。
Python 标准库中 SSL/TLS 证书验证的新全局设置
添加了新选项,允许用户在 Python 标准库的 HTTP 客户端(如 urllib、httplib 或 xmlrpclib)中全局启用或禁用 SSL/TLS 证书验证。这些选项在 493 Python 增强建议中进行了描述(https://www.python.org/dev/peps/pep-0493/)。默认值为不验证证书。详情请查看 https://access.redhat.com/articles/2039753。
第 6 章 Desktop
GNOME rebase 到版本 3.14
GNOME 桌面 已升级至上游版本 3.14 (从 3.16 有一些次要添加),其中包括新功能和很多改进。名称:
Red Hat Enterprise Linux 7.2 添加了
GNOME 软件,这是根据 yum 后端在用户系统上安装和管理软件的新方法。GNOME PackageKit 保留为 GNOME 的默认更新程序(也默认安装)。通过 GNOME 软件,用户管理与软件相关的任务的集成位置,如浏览、安装和删除应用程序,以及查看和安装软件更新。
在顶部障碍中,新命名的
System Status Menu 将所有指示符和小点分组在一起,否则会单独访问 - 亮度滑块,改进了 airplane 模式、连接到 Wi-Fi 网络、蓝牙、卷等 - 到一个一致性和紧凑的菜单中。关于 Wi-Fi,GNOME 3.14 支持 Wi-Fi 热点。当连接到需要身份验证的 Wi-Fi 门户时,GNOME 现在会在连接过程中自动显示登录页面。
锁定屏幕的默认组合键已改变。以前的默认快捷方式
Ctrl+Alt+L 已被 Super key+L 组合替代。
gedit 文本编辑器的新设计将所有之前功能合并到更紧凑的界面中,这可以提供更多空间供工作。与之前使用对话框和菜单相比,使用弹出格式和标签页宽度更高效。合并边栏控制还为内容提供更多空间,同时保持原始功能。其他显著改进包括使用 Ctrl+Shift+T 打开最后一次关闭标签页以及更改问题单的新快捷方式。
Nautilus (GNOME 文件管理器)现在对红色操作使用 Shift+114+Z 组合键,而不是 Ctrl+Y。
GNOME 3.14 包括一个改进的附件
应用程序。新版本现代后,新版本允许用户浏览计算机上的视频以及在线视频通道。视频 还包括重新设计的回放视图。这比之前的版本更精简的体验:当用户不需要时,浮动回放控制隐藏,并且全屏播放视图也具有新的优化外观。
evince 功能 提高了读取 PDF 文件的可访问性。文档查看器的新版本使用标题栏为您的文档提供更多空间。在未指定文档的情况下启动它时,Ephone 也会显示您最近文档的有用概述。最新的 Ephone 版本还包括 高解析显示支持 和增强的可访问性,包括链接、镜像和表单字段,它们都可从辅助技术获得。
新版本的 GNOME
Weather 应用程序利用 GNOME 的新地理位置框架来自动显示您当前位置的过期,新的布局提供了读取站预测的有效方法。
此发行版本还改进了对
LibreOffice 中的注释的支持 - 在 ODF、DOC、DOCX 和 RTF 过滤器中导入和导出嵌套注释的支持,以及格式化所有注释。
用于虚拟机和远程机器的 GNOME 应用程序
Boxes 引入了快照。框现在提供自动下载、在单独的窗口中运行多个框,以及用户界面改进,包括改进全屏行为和缩略图。
GNOME
帮助 文档视图已重新设计,与其他 GNOME 3 应用程序一致。帮助现在使用标题栏,有一个集成的搜索函数和书签接口。
GTK+ 3.14 包括很多 bug 修复和增强,如资源自动加载菜单、Gtk Stack 中的多selection 支持,GtkBuilder 文件中的属性绑定、GtkBuilder 文件中的属性绑定、对除小部件分配(gtk_widget_set_set_set_clip ())、GtkStack 中的新转换类型,并使用 GtkSourceView 保存。另外,G GKK+ 现在提供对术语交互的支持。使用 3.14 时,大多数常见的多对手手都可用于 GTK+ 应用程序,如 tap, drag, swipe, pinch, 和 rotate。可以使用 GtkGesture 将 gestures 添加到现有的 GTK+ 应用程序中。
GNOME Shell 扩展(
Looking Glass Inspector )已获取开发人员的许多功能:在检查、对象检查历史记录扩展时显示所有方法、类等,或复制 Looking Glass 结果作为字符串,并将事件传递给 gnome-shell。
高解析显示支持 功能已扩展为包括核心 GNOME 3 体验的所有关键方面,包括 活动概览、活动概览以及新窗口动画、顶部障碍、锁定屏幕和系统对话框。
与 GNOME 扩展相比,这个版本引入了对替代 dock 位置的支持,包括屏幕底部在
Simple Dock 中,这是 Gnome Shell 的 dock。
ibus-gtk2 软件包现在更新 immodules.cache 文件
在以前的版本中,update-gtk-immodules 脚本会搜索不再现有的
/etc/gtk-2.0/$host 目录。因此,ibus-gtk2 软件包的安装后脚本会在不创建或更新缓存的情况下失败并退出。安装后脚本已被修改为将 update-gtk-immodules 替换为 gtk-query-immodules-2.0- 114TS,问题不再发生。
第 7 章 文件系统
gfs2-utils rebase 到版本 3.1.8
gfs2-utils 软件包已更新至 3.1.8 版本,它提供重要的修复和一些改进:
提高了 fsck.gfs2、 mkfs.gfs2 和 gfs2_edit 工具的性能。
现在,fsck.gfs2 工具可以更好地检查日志、jindex、系统内节点和内节点"goal"值。
gfs2_jadd 和 gfs2_grow 工具现在是独立的程序,而不是指向 mkfs.gfs2 的符号链接。
改进了测试套件和相关文档。
使用 Perl 的软件包不再依赖于 Perl。
GFS2 现在可防止用户超过其配额
在以前的版本中,GFS2 仅在完成操作后检查配额违反情况,这可能会导致用户或组超过其分配的配额。这个行为已被解决,GFS2 现在会预测操作要分配的块数量,并检查分配它们是否违反配额。禁止配额违反情况的操作,因此用户永远不会超过其分配的配额。
XFS rebase 到版本 4.1
XFS 已升级到上游版本 4.1,包括次版本程序错误修复、重构、某些内部机制的重新工作,如日志记录、pcpu 核算和新的 mmap 锁定。在上游更改之上,这个更新扩展了 rename ()函数,以添加跨重新名称( rename ()的对称变体)和 whiteout 处理。
CIFS rebase 到版本 3.17
CIFS 模块已升级至上游版本 3.17,它为服务器消息块(SMB) 2 和 3 提供了各种次要修复和新功能:SMB 版本 2.0、2.1、3.0 和 3.0.2。
请注意,使用带有 SMB 协议 3.1.1 的 Linux 内核 CIFS 模块目前是实验性的,功能在红帽提供的内核中不可用。此外,SMB 版本 3.0.2 中引入的功能被定义为可选,目前不受 Red Hat Enterprise Linux 支持。
Red Hat Enterprise Linux 7.2 中 NFS 的更改
fallocate 支持允许预先分配服务器上的文件。fseek () 函数的 SEEK_HOLE 和 SEEK_DATA 扩展使得可以快速有效地查找漏洞或数据。Red Hat Enterprise Linux 7.2 还添加了对在技术预览部分中描述的 NFSv4 客户端上灵活的文件布局的支持。
第 8 章 硬件启用
qethqoat 中的 OSA-Express5s 卡支持
在 Red Hat Enterprise Linux 7.1 中,在 qethqoat 工具(s390utils 软件包的一部分)中添加了对 OSA-Express5s 卡的支持。此功能增强更新完全支持 OSA-Express5s 卡的网络和卡设置的扩展服务性。
第 9 章 安装和引导
修复了在 Kickstart 中提供网络配置,则 initrd 中的网络设置
在以前的版本中,如果在 Kickstart 文件中定义这些接口,安装程序无法在
initrd 中设置或重新配置网络接口。如果 Kickstart 文件中的其他命令需要网络访问,这可能会导致安装失败,并进入紧急模式。
这个问题现已解决,Anaconda 现在会在引导过程早期从
initrd 中的 Kickstart 文件正确处理网络配置。
Anaconda 现在支持创建缓存的逻辑卷
安装程序现在支持创建缓存的 LVM 逻辑卷,并将系统安装到那些卷中。
目前,这个方法只在 Kickstart 中被支持。要创建缓存的逻辑卷,请使用 logvol Kickstart 命令的新的 --cachepvs=、--cachesize= 和 --cachemode= 选项。
有关这些新选项的详情,请查看 Red Hat Enterprise Linux 7 安装指南。
改进了 GRUB2 引导菜单的排序
grub2-mkconfig 命令使用的排序机制存在问题,可能会导致 grub.cfg 配置文件被错误地排序。
GRUB2 现在使用 rpmdevtools 软件包对可用内核进行排序,配置文件会被正确生成,其中列出了最新的内核版本。
现在,Anaconda 会在磁盘选择更改时正确恢复磁盘操作
在以前的版本中,当磁盘选择更改时,Anaconda 和 Blivet 无法正确恢复磁盘上调度的操作,从而导致各种问题。在这个版本中,Anaconda 已被修复,以创建原始存储配置的快照,并在磁盘选择更改时返回它,从而完全恢复为磁盘调度的所有操作。
改进了设备映射器磁盘名称的检测
在之前的 Red Hat Enterprise Linux 7 版本中,当在之前包含 LVM 逻辑卷的磁盘中安装时,安装程序可能会崩溃,这些卷的元数据仍然存在。安装程序无法识别正确的
设备映射器 名称,创建新 LVM 逻辑卷的过程会失败。
用于获取
设备映射器设备 名称的方法已更新,并在包含现有 LVM 元数据的磁盘上安装现在更为可靠。
修复了在分区过程中对 PReP 引导的处理
在某些情况下,IBM Power Systems 上的
PReP Boot 分区可以在自定义分区期间设置为无效的大小。在这种情况下,删除任何分区会导致安装程序崩溃。
检查现在在 anaconda 中实施,以确保分区始终在
4096 KiB 和 10 MiB 之间正确调整大小。另外,不再需要更改 PReP 引导分区的格式 来更改其大小。
RAID1 设备中的 EFI 分区
EFI 系统分区现在可以在 RAID1 设备中创建,这是在一个引导磁盘失败时启用系统恢复。但是,由于系统只保证发现一个 EFI 系统分区,如果固件发现的 ESP 卷变得损坏(但仍然显示为有效的 ESP),并且 Boot mailbox 和 BootOrder 也损坏,则引导顺序不会被自动重建。在这种情况下,系统应该仍然从第二个磁盘手动启动。
文本模式安装不会在网络配置过程中崩溃
在以前的版本中,在互动文本模式安装程序中的网络配置屏幕中,在指定名称服务器时使用空格会导致安装程序崩溃。
Anaconda 现在可以正确地处理文本模式中的名称服务器定义中的空格,如果使用空格分隔名称服务器地址,安装程序将不再崩溃。
IBM System z 上的救援模式屏幕不再关闭
在以前的版本中,IBM System z 服务器上的救援模式中的第二个和第三个屏幕被错误地显示,接口的部分界面被关闭。这个构架上的救援模式有所改进,所有屏幕现在可以正常工作。
Anaconda 中的 OpenSCAP 附加组件
现在,可以在安装过程中应用安全内容自动化协议(SCAP)内容。这个新安装程序附加组件提供了一种可靠、易于配置安全策略的方法,而无需依赖自定义脚本。
这个附加组件提供了一个新的 Kickstart 部分("%addon org_fedora_oscap")),以及互动安装过程中图形用户界面中的新屏幕。Red Hat Enterprise Linux 7 安装指南 中记录了所有三个部分。
在安装过程中应用安全策略将在安装过程中和立即执行各种更改,具体取决于您启用哪个策略。如果选择了配置集,则会将 openscap-scanner 软件包(OpenSCAP 合规性扫描工具)添加到软件包选择中,并在安装完成后执行初始合规性扫描。此扫描结果保存到
/root/openscap_data 中。
scap-security-guide 软件包在安装介质中提供几个配置集。如果需要,您还可以从 HTTP、HTTPS 或者 FTP 服务器将其他内容作为数据流、存档或 RPM 软件包加载。
请注意,在所有系统中都不需要应用安全策略。只有在您的机构规则或政府法规强制使用特定策略时,才应使用此附加组件,否则附加组件可以处于不应用任何安全策略的默认状态。
在 CD 或者 DVD 中等待 Kickstart 文件时,Anaconda 不再超时
在以前的版本中,如果 Anaconda 被配置为使用 inst.ks=cdrom:/ks.cfg 命令从光驱中加载 Kickstart 文件,系统也会从 CD 或者 DVD 引导,则安装程序只等待 30 秒来交换磁盘。在这个时间窗通过后,系统会进入紧急模式。
在这个版本中,在等待用户在 CD 或者 DVD 上提供 Kickstart 文件时,Anaconda 已被修改为永不超时。如果使用 inst.ks=cdrom 引导选项且没有检测到 Kickstart 文件,Anaconda 会显示提示并等待用户提供文件或重启。
第 10 章 内核
AMD64 和 Intel 64 系统的 kdump 中的多个 CPU 支持
在 AMD64 和 Intel 64 系统中,
kdump 内核崩溃转储机制现在可以引导,并启用了多个 CPU。这解决了在创建内核崩溃转储时因为高输入和输出而出现问题,在使用 maxcpus=1 或 nr_cpus=1 内核选项时,Linux 可能无法为设备分配中断。此功能以前作为技术预览提供,现在被完全支持。
要在崩溃内核中启用多个 CPU,请在内核命令行中提供 nr_cpus= X 选项(其中 X 是处理器数)。
支持 kpatch
kpatch 工具允许用户管理二进制内核补丁集合,这些补丁可用于在不重启的情况下动态修补内核。在以前的版本中,kpatch 作为技术预览提供,现在根据 Red Hat Customer experience and Engagement 团队使用时被完全支持。
有关实时内核补丁支持的详情,请参考 https://access.redhat.com/solutions/2206511。
SHMMAX 和 SHMALL 内核参数返回到默认值
在以前的版本中,
kernel.shmmax 和 kernel.shmall 参数的值(在 /usr/lib/sysctl.d/00-system.conf 文件中设置)太低。因此,一些应用程序(如 SAP )无法正常工作。现在,删除了不可识的覆盖,内核默认值就足够高。
透明巨页不再导致内存崩溃
在读写操作过程中,透明巨页不会被正确同步。在某些情况下,这会导致启用透明巨页时导致内存崩溃。在透明巨页处理中添加了内存障碍,以便不再发生这个内存崩溃。
SCSI LIO rebase
SCSI 内核目标 LIO 已从 Linux-4.0.stable 中进行了 rebase。这包括很多程序错误修复,最重要的是 iSER,但也包括对 XCOPY、WRITE SAME 和 ATS 命令的支持,以及 DIF 数据完整性支持。
makedumpfile 现在支持新的 sadump 格式,代表物理内存最多 16 TB
makedumpfile 命令现在支持新的 sadump 格式,它们可代表超过 16TB 的物理内存空间。这允许 makedumpfile 用户读取 16 TB 的转储文件,由 sadump 在即将发布的服务器模型上生成。
删除或升级内核不再显示警告
kmod 用来管理 kABI 兼容的模块符号链接的 weak-modules 脚本以前在删除与内核关联的文件时删除 /lib/modules/<version>/weak-updates 目录。此目录归 kernel 软件包所有,并删除它导致文件系统与 rpm 期望的状态不一致。这会导致在每次内核升级或删除时会显示一个警告。
这个脚本已被更新,以删除
weak-updates 目录的内容,但保留该目录本身,不再会显示警告。
新软件包: libevdev
libevdev 是 Linux 内核输入事件设备的低级别库。它提供安全的接口来查询设备功能并从设备处理事件。当前版本的 xorg-x11-drv-evdev 和 xorg-x11-drv-synaptics 需要此库作为依赖项。
TuneD 现在可以在 no-daemon 模式下运行
在以前的版本中,Tuned 只能作为守护进程运行,这会影响因为 Tuned 守护进程的内存占用而小系统的性能。在这个版本中,一个 no-daemon (一个 shot)模式(不需要任何常量内存)已被添加到 Tuned 中。默认禁用 no-daemon 模式,因为在这个模式中缺少大量 Tuned 功能。
新软件包: tuned-profiles-realtime
tuned-profiles-realtime 软件包已添加到 Red Hat Enterprise Linux 服务器和 Red Hat Enterprise Linux for Real Time 中。它包含一个 realtime 配置集,用于监控用于执行 CPU 隔离和 IRQ 调整。激活配置集后,它会读取其 variable 部分,它指定要隔离的 CPU,并移动可能移出这些 CPU 内核的所有线程。
SCSI 错误信息现在可以被稳定地解释
之前的内核更改 printk ()函数会导致在多行中记录小型计算机系统接口(SCSI)错误消息。因此,如果在不同设备间发生多个错误,则可能无法正确解释错误消息。在这个版本中,SCSI 错误日志记录代码使用 dev_printk ()选项记录错误消息,该选项将每个错误消息与生成错误的设备相关联。
libATA 子系统和驱动程序已更新
此功能增强更新提供了很多程序错误修复和增强 libATA 子系统和驱动程序。
FCoE 和 DCB 已升级
以太网光纤通道(FCoE)和数据中心桥接(DCB)内核组件已升级到最新的上游版本,它提供了很多程序错误修复和增强。
perf rebase 到版本 4.1
perf 软件包已升级到上游版本 4.1,它提供很多性能和稳定性修复和增强。值得注意的是,这个 rebase 添加了 Intel Cache QoS Monitoring 和 AMD IBS Ops 功能,并为压缩的内核模块提供 Intel Xeon v4 支持,用于参数化事件并支持指定断点长度。另外,在
perf 工具中添加了多个选项,如 --system-wide、top -z、top -w、trace --filter-pids 和 trace --event 选项。
支持 TPM 2.0
在这个版本中,增加了对兼容受信任的平台模块(TPM)设备的版本 2.0 的驱动级别支持。
turbostat 现在提供正确的输出
在以前的版本中,如果系统有 MSR 设备支持,则
turbostat 工具会通过读取 cpu0 的 /dev/cpu/0/msr 文件而不是 cpu 0 来检测。因此,禁用 CPU 会导致 CPU 从 turbostat 输出中被删除。这个程序错误已被解决,运行 turbostat ls 命令现在会返回正确的输出。
turbostat 现在支持 Intel Xeon v5 处理器
此增强为
turbostat 工具添加了 Intel Xeon v5 处理器支持。
zswap 工具使用 zpool API
在以前的版本中,
zswap 工具直接使用 zbud,它是一个以 2:1 (满)存储压缩页面的存储池。这个版本引进了 zpool API,提供对 zbud 或 zsmalloc 池的访问: zsmalloc 存储压缩的页面,以更高的密度,从而为高压缩的页面提供更多重新声明的内存。在这个版本中,zsmalloc 已提升到 /mm 驱动程序,以便 zpool 可以正常工作。
/proc/pid/cmdline 文件长度现在没有限制
ps 命令的 /proc/pid/cmdline 文件长度限制之前在内核中硬编码为 4096 个字符。这个版本确保 /proc/pid/cmdline 的长度是无限的,这对于使用长命令行参数列出进程特别有用。
现在支持 dma_rmb 和 dma_wmb
这个版本引入了两个新的原语,用于同步缓存一致性内存写入和读取,dma_wmb ()和 dma_rmb ()。此功能可用于适当在驱动程序中使用。
qib HCA 驱动程序连接
由于 SRP LOGIN ID 中的不匹配,SRP 目标之前无法通过 qib HCA 设备驱动程序进行连接。在这个版本中解决了这个程序错误,上面提到的连接现在可以成功建立。
内存限制增加
从 Red Hat Enterprise Linux 7.2 开始,AMD64 和 Intel 64 系统上的最大支持内存限值从 6 TB 增加到 12 TB。
dracut的新变量
在这个版本中,为
dracut initramfs 生成器引入了以下变量,以便在内核命令行中使用:
rd.net.dhcp.retry=cnt- 如果设置了这个选项,则dracut工具会在失败前尝试通过 DHCP cnt times 连接。默认值为 1。rd.net.timeout.dhcp=arg- 如果设置了这个选项,则使用-timeout arg选项调用 dhclient 命令。rd.net.timeout.iflink=seconds- 等待 秒数,直到链接出现。默认为 60 秒。rd.net.timeout.ifup=seconds- 等待到链接处于UP状态 的秒数。默认值为 20 秒。rd.net.timeout.route=seconds- 等待 秒数,直到路由显示。默认值为 20 秒。rd.net.timeout.ipv6dad=seconds- 等待 IPv6 DAD 完成 的秒数。默认值为 50 秒。rd.net.timeout.ipv6auto=seconds- 等待到分配 IPv6 自动地址 的秒数。默认值为 40 秒。rd.net.timeout.carrier=seconds- 等待 秒数,直到识别载体为止。默认值为 5 秒。
第 11 章 网络
i40e 和 i40evf 现在被完全支持
i40e 和 i40evf 内核驱动程序已更新至版本 1.3.21-k 和 1.3.13。现在完全支持这些更新的驱动程序(以前作为技术预览提供)。请注意,您需要为 Red Hat Enterprise Linux 7.2 应用 i40e Driver Update Program (DUP),地址为 https://rhn.redhat.com/errata/RHEA-2016-0464.html。如需更多信息,请参阅知识库文章 https://access.redhat.com/articles/1400943。
在 i40e 端口上,尝试运行 iSCSI 相关命令之前会导致丢失来自 i40e 端口的网络连接。这个更新修复了这个程序错误,系统现在允许 iSCSI 命令继续。
SNMP 现在通过 IPv6 正确遵循 clientaddr 指令
在以前的版本中,
snmp.conf 中的 clientaddr 选项只会影响通过 IPv4 发送的传出消息。在这个版本中,传出的 IPv6 消息从 clientaddr 指定的接口正确发送。
tcpdump 支持 -J、-j 和 --time-stamp-precision 选项
作为
内核、glibc 和 libpcap,现在提供 API 来获取几秒分辨率时间戳,tcpdump 已被更新来利用此功能。用户现在可以查询哪些时间戳源可用(-J),设置特定的时间戳源(-j),以及使用指定分辨率(--time-stamp-precision)的请求时间戳。
TCP/IP rebase 到版本 3.18
TCP/IP 堆栈已升级到上游版本 3.18,它提供很多程序错误修复和增强。值得注意的是,这个更新修复了 TCP 快速开放扩展,在使用 IPv6 时现在可以正常工作。另外,这个更新提供了对可选 TCP autocorking 和实现数据中心 TCP (DCTCP)的支持。
NetworkManager libreswan rebase 到版本 1.0.6
上游社区纳入很多程序错误修复和增强,例如:
现在,Fatit 密码处理更为强大
evince 连接启动和停止现在更为强大
现在可以从推送的路由中自动探测到来的默认路由
Tailoring 添加了对交互式密码请求的支持
192.168.1.0/24 修复了错误的导入和导出功能公告。
NetworkManager 现在支持设置绑定接口的 MTU
'nmcli' 和 GUI 接口现在允许在绑定接口中设置 MTU。
NetworkManager 现在会在应用前验证 IPv6 路由器广告 MTU 选项
恶意或错误配置的节点可能会发送 IPv6 MTU,如果应用会导致进一步的网络通信出现问题。NetworkManager 现在可以安全地处理这些事件并维护 IPv6 连接。
现在默认启用 IPv6 隐私扩展
要在设备激活时确定和设置 IPv6 隐私设置,NetworkManager 现在默认检查 NetworkManager.conf 中的网络配置,并在需要时回退到 /proc/sys/net/ipv6/conf/default/use_tempaddr。
control-center Network Panel 现在显示 WiFi 设备功能
现在,control-center 网络面板中会显示支持的 WiFi 设备操作频率。
现在,当多个接口指向同一网关时,NetworkManager 会安全地处理路由冲突
NetworkManager 现在跟踪配置的路由,并避免尝试设置冲突路由。当冲突路由不再活跃时,它会被删除。
修复了带有多homed 连接的网络黑色
现在,NetworkManager 在激活多入口连接中的第二个设备时避免网络黑色。
防止 NetworkManager 覆盖 ip 路由添加的新选项
新的 'never-default' 选项已添加到连接 IP 配置中。这个选项可防止 NetworkManager 设置默认路由本身,允许管理员根据需要设置不同的默认路由。
修复了在某些硬件上检测到 oslatrier Down 时,旧的 network.service 错误的问题
当设备在引导过程中没有载体时,NetworkManager 将等待载体被检测到,而不是立即激活。
NetworkManager 现在支持 Wake On Lan
nmcli 工具现在 允许基于每个设备设置 Lan。
改进了对带有 VPN 连接的 firewalld 区的支持
当为基于设备的 VPN 连接配置了防火墙区时,现在会在 firewalld 中正确配置区。
现在支持 Fair Queue 数据包调度程序
Fair Queue 数据包调度程序(称为
fq )已添加到 Red Hat Enterprise Linux 7.2 中,并可使用 tc (流量控制器)实用程序进行选择。
添加了对传输并发支持
实施
xmit_more 扩展,提高了 virtio-net 和其他驱动程序的传输性能,特别是在禁用 TSO (TCP Segmentation Offload)时。
改进了网络帧接收性能
通过重构代码来消除 NAPI 内存分配中的 IRQ 保存和恢复操作,在接收网络帧时的延迟已被减少。
显著提高路由查找的性能
IPv4 FIB (Forward Information Base)代码已从上游更新,以提高性能。
对虚拟接口的网络命名空间支持
现在,虚拟接口支持 netns id,允许可靠地跟踪跨网络命名空间链接的网络接口。
Docker 和 LXC 容器现在可以读取 net.ipv4.ip_local_port_range
添加了对 net.ipv4.ip_local_port_range sysctl 的网络名称空间支持,改进了需要访问此信息的软件的容器支持。
改进了通过 'ip' 工具自动配置的 IPv6 路由的报告
ip 工具无法从 Route Advertisement 获取 mtu 或 hoplimit 信息,这个问题已被解决。
现在,双栈套接字选项会被正确导出
只有在设置了 IPV6_V6ONLY 时,AF_INET6 套接字只专用于 IPv6。在所有其他情况下,套接字也能够 IPv4。现在,此信息已被正确导出,可以使用 iproute2 进行干预。
现在支持数据中心 TCP
此发行版本包括 DCTCP 实施,以提高数据中心环境中的网络性能。参数
dctcp 可以在 sysctl 或每个路由上设置,或使用 ip 路由。
每个路由拥塞控制
要在每个路由上启用不同的拥塞控制算法,可将
congctl 参数添加到 ip 路由。
改进了在使用 GRO 时 TCP Cubic 和 Reno 的拥塞窗口处理
改进了确定带宽和拥塞窗口大小的方法,从而减少传输大量数据所需的 ACK 数据包数量。
现在支持 TCP Pacing
添加了参数
SO_MAX_PACING_RATE。这可为考虑这一点的环境启用更大的吞吐量率控制。
支持客户端和服务器 TFO
使用 RFC 7413 分配选项号添加了 TCP Fast Open 功能。
TCP ACK 循环的缓解方案
改进了对重复 TCP ACK 的处理,防止 buggy 或可能恶意的恶意性出现一些问题。
使用 nf_conntrack_proto_sctp 对二级端点的最小支持
在 SCTP 中添加了对基本多同的支持。
AF_UNIX 实现 rebase
AF_UNIX (有时称为 AF_LOCAL)代码的更新,以包含许多修复和增强。特别是,现在支持发送页和splice (也称为零复制)。
内核隧道支持 rebase 到上游
内核隧道驱动程序已从内核 4 更新,引入了很多修复和增强,特别是 VXLAN。
添加了对 GRE 跨网络命名空间的支持
gre 和 ip6gre 现在支持 x-netns。
在通过 VXLAN 运行虚拟机流量时提高了性能
当来自虚拟机的流量定向到隧道时,传输流哈希代码已被更新,从而提高了性能。
改进了在 VXLAN 或 GRE 隧道中收到的 VLAN 帧卸载
引进了一些更改来启用 GRO 支持,并在 VXLAN 和 NVGRE 隧道下提高性能。
提高了 Open vSwitch 隧道的性能
现在默认禁用
tx-nocache-copy 设备功能。前面的默认为许多工作负载创建了显著的开销,特别是对于通过 VXLAN 运行的 OVS 隧道。
改进了 IPsec 处理
IPsec 已更新,以提供很多修复和一些改进。特别是,这个版本现在提供匹配传出接口的功能。
包括 VTI6 支持,包括 netns 功能
IPv6 的虚拟 Tunnel 接口(包括 netns 功能)已添加到内核中。
nf_conntrack_buckets 的默认值增加
如果在模块加载过程中没有指定参数,则默认存储桶数量通过将总内存除为 16384 来计算,以确定存储桶的数量。hash 表永远不会小于 32,且限制为 16384 存储桶。但是,对于内存超过 4GB 的系统,这个限制将是 65536 存储桶。
在大型 SMP 机器上对 iptables 的内存用量改进
在以前的版本中,大型 iptables 规则集可能会不必要地使用大量内存,这是因为针对每个(可能)CPU 存储规则集。通过更改规则集的方式来减少内存开销。
更新了网络绑定驱动程序
为提高可维护性,内核网络绑定驱动程序已更新,以将其与上游源保持一致。
用于绑定和 802.3ad (LACP)的内核 netlink 接口
在内核中添加了用于在 LACP 设备上读取和设置绑定参数的 netlink 接口。
使用 VLAN 对 mactap 和 macvtap 的性能改进
解决了一些与分段问题相关的吞吐量问题:
mactap 与 e1000 设备与 virtio 设备通信。
在客户机中使用 VLAN 时,与外部主机通信。
DNAT 通过客户机和主机中的 VLAN 与 KVM 主机通信。
改进了 ethtool 网络查询
ethtool 工具的网络查询功能在 IBM System z 上的 Red Hat Enterprise Linux 7.1 的技术预览中增强,并自 Red Hat Enterprise Linux 7.2 开始被完全支持。因此,当使用与改进查询兼容的硬件时,ethtool 提供了改进的监控选项,并更准确地显示网卡设置和值。
第 12 章 安全性
GSSAPI key-exchange 算法现在可以有选择禁用
在 Logjam 安全漏洞的视图中,gs
-group1-sha1 the key-exchange 方法不再被视为安全。虽然可以将这个 key-exchange 方法作为普通密钥交换禁用,但无法将其作为 GSSAPI 密钥交换禁用。在这个版本中,管理员可以选择性地禁用 GSSAPI 密钥交换使用的这种算法。
添加了 Red Hat Gluster Storage 的 SELinux 策略
在以前的版本中,Red Hat Gluster Storage (RHGS)组件的 SELinux 策略缺少,只有在 SELinux 处于 permissive 模式时 Gluster 才能正常工作。有了这个更新,QFS Management Service 的 SELinux
策略规则 (glusterFS Management Service)、glusterfsd (NFS sever)、smbd、nfsd、rpcd、一个dn ctdbd 进程已更新,为 Gluster 提供 SELinux 支持。
OpenSCAP rebase 到版本 1.2.5
openscap 软件包已升级到上游版本 1.2.5,它提供很多程序错误修复和增强。
主要改进包括:
对 OVAL 版本 5.11 的支持,它引入了多个改进,如 systemd 属性
xml.bz2 输入文件的原生支持
Ice 引入了用于评估远程系统的 oscap-ssh 工具
Dan 引入了用于评估容器/镜像的 oscap-docker 工具
scap-security-guide rebase 到版本 0.1.25
scap-security-guide 工具升级至上游版本 0.1.25,它提供很多程序错误修复和增强。
主要改进包括:
Red Hat Enterprise Linux 7 服务器的新安全配置文件: General-Purpose Systems、Draft PCI-DSS v3 Control Baseline、Standard System Security Profile 和 Draft STIG for Red Hat Enterprise Linux 7 Server。
在 Red Hat Enterprise Linux 6 和 7 上运行的 Firefox 和 Java 运行时环境(JRE)组件的新安全基准。
slirp 新的 scap-security-guide-doc 子软件包,其中包含来自 XCCDF 基准生成的安全指南的 HTML 格式文档(用于 Red Hat Enterprise Linux 6 和 7、Firefox 和 JRE)的安全基准中提供的每个安全配置文件。
第 13 章 服务器和服务
ErrorPolicy 指令现已验证
在启动时没有验证 ErrorPolicy 配置指令,在没有警告的情况下可以使用意外的默认错误策略。现在,如果配置的值不正确,则指令在启动时验证,并重置为默认值。使用预期的策略,或者记录警告信息。
CUPS 现在默认禁用 SSLv3 加密
在以前的版本中,无法在 CUPS 调度程序中禁用 SSLv3 加密,这容易受到 SSLv3 攻击的影响。要解决这个问题,
cupsd.conf SSLOptions 关键字已扩展为包括两个新选项 AllowRC4 和 AllowSSL3,各自在 cupsd 中启用命名功能。/etc/cups/client.conf 文件中也支持新选项。现在,默认是为 cupsd 禁用 RC4 和 SSL3。
CUPS 现在允许在打印机名称中进行下划线
cups 服务现在允许用户在本地打印机名称中包含下划线字符(_)。
不需要的依赖项从 tftp-server 软件包中删除
在以前的版本中,默认安装 tftp-server 软件包时会默认安装附加软件包。在这个版本中,删除了 superfluous 软件包依赖项,在安装 tftp-server 时不再安装不需要的软件包。
弃用的 /etc/sysconfig/conman 文件已被删除
在引入
systemd 管理器前,可在 /etc/sysconfig/conman 文件中配置服务的各种限制。迁移到 systemd 后,不再使用/etc/sysconfig/conman,因此它已被删除。要设置限制和其他守护进程参数,如 LimitCPU=、LimitDATA= 或 LimitCORE=,请编辑 conman.service 文件。如需更多信息,请参阅 systemd.exec (5)手册页。另外,一个新的变量 LimitNOFILE=10000 已添加到 systemd.service 文件中。默认注释掉此变量。请注意,在对 systemd 配置进行任何更改后,必须执行 systemctl daemon-reload 命令以使更改生效。
mod_nss rebase 到版本 1.0.11
mod_nss packages 已升级到上游版本 1.0.11,它提供很多程序错误修复和增强。值得注意的是,
mod_nss 现在可以启用 TLSv1.2,SSLv2 已被完全删除。另外,添加了对密码的支持通常被视为最安全。
vsftpd 守护进程现在支持 DHE 和 ECDHE 密码套件
vsftpd 守护进程现在支持基于 Diffie-Hellman Exchange (DHE)和 Elliptic Curve Diffie-Hellman Exchange (ECDHE)密钥交换协议的密码套件。
现在可以为使用 sftp 上传的文件设置权限
用户环境和严格的
umask 设置不一致可能会导致使用 sftp 工具上传时无法访问的文件。有了这个更新,管理员可以对使用 sftp 上传的文件强制准确权限,从而避免上述问题。
ssh-ldap-helper 使用的 LDAP 查询现在可以调整
并非所有 LDAP 服务器都使用 ssh-ldap-helper 工具期望的默认模式。在这个版本中,管理员可以调整 ssh-ldap-helper 使用的 LDAP 查询,以使用不同的模式从服务器获取公钥。默认功能保持不变。
logrotate 工具中的新 createolddir 指令
添加了一个新的 logrotate
createolddir 指令,以启用自动创建 olddir 目录。如需更多信息,请参阅 logrotate (8)手册页。
来自 /etc/cron.frequency/logrotate 的错误消息不再重定向到 /dev/null
现在,由
logrotate 的每日 cronjob 生成的错误消息发送到 root 用户,而不是静默丢弃。此外,/etc/cron.frequency/logrotate 脚本在 RPM 中被标记为配置文件。
mod_ssl中受限的 SEED 和 IDEA 的算法
Apache HTTP 服务器的
mod_ssl 模块默认启用的密码套件集合已被限制以提高安全性。mod_ssl 的默认配置中不再启用 SEED 和基于 IDEA 的加密算法。
Apache HTTP 服务器现在支持 UPN
存储在 SSL/TLS 客户端证书的
主题备用名称部分的名称 (如 Microsoft User Principle Name)现在可以从 SSLUserName 指令中使用,现在可在 mod_ssl 环境变量中找到。用户现在可以使用其通用访问卡(CAC)或带有 UPN 的证书进行身份验证,并将其 UPN 用作经过身份验证的用户信息,并使用 Apache 中的访问控制使用,并使用 REMOTE_USER 环境变量或应用程序中类似的机制。现在,用户可以使用 UPN 为身份验证设置 SSLUserName SSL_CLIENT_SAN_OTHER_msUPN_0。
mod_dav 锁定数据库现在在 mod_dav_fs 模块中默认启用
现在,如果加载了 Apache HTTP
mod_dav _fs 模块,则 mod_dav 锁定数据库会被默认启用。可以使用 DAVLockDB 配置指令覆盖默认位置 ServerRoot/davlockdb。
mod_proxy_wstunnel 现在支持 WebSockets
Apache HTTP
mod_proxy_wstunnel 模块现在默认启用,它包括对 ws:// 方案中的 SSL 连接的支持。此外,也可以在 mod_rewrite 指令中使用 ws:// 方案。这允许将 WebSockets 用作 mod_rewrite 并在代理模块中启用 WebSocket 的目标。
包括了为 Oracle 数据库服务器优化的 Tuned 配置集
现在提供了一个新的
oracle Tuned 配置集,它专门用于 Oracle 数据库负载。新配置集在 tuned-profiles-oracle 子软件包中提供,以便在以后添加其他相关配置集。oracle 配置集基于 enterprise-storage 配置集,但根据 Oracle 数据库要求修改内核参数,并关闭透明巨页。
第 14 章 存储
DM rebase 到版本 4.2
设备映射器(DM)已升级到上游版本 4.2,与之前的版本相比,它提供了很多程序错误修复和增强,包括大量 DM 加密性能更新和 DM 内核更新来支持多队列块 I/O 队列机制(blk-mq)。
使用 blk-mq 进行多队列 I/O 调度
Red Hat Enterprise Linux 7.2 包含用于块设备的新多队列 I/O 调度机制,称为 blk-mq。它可以通过允许某些设备驱动程序将 I/O 请求映射到多个硬件或软件队列来提高性能。当多次执行 I/O 线程到单个设备时,性能提高了性能会减少锁争用。由于对多个硬件提交和完成队列的原生支持及其低延迟的性能特性,较新的设备(如 Non-Volatile Memory Express (NVMe))是最佳选择。如始终一样,性能将取决于具体的硬件和工作负载。
目前在以下驱动程序中实施 blk-mq 功能并启用:virtio-blk、mtip32xx、nvme 和 rbd。
相关的功能 scsi-mq 允许小型计算机系统接口(SCSI)设备驱动程序使用 blk-mq 基础架构。scsi-mq 功能在 Red Hat Enterprise Linux 7.2 中作为技术预览提供。要启用 scsi-mq,请在内核命令行中指定 scsi_mod.use_blk_mq=y。默认值为 n (禁用)。
如果指定了 dm_mod.use_blk_mq=y 内核选项,也可以将设备映射器(DM)多路径目标配置为使用基于请求的 DM。默认值为 n (禁用)。
如果底层 SCSI 设备也正在使用 blk-mq,则设置 dm_mod.use_blk_mq=y 可能很有用,因为这会降低 DM 层中的锁定开销。
要确定 DM 多路径是否在系统中使用 blk-mq,请 cat 文件 /sys/block/dm-X/dm/use_blk_mq,其中 dm-X 被感兴趣的 DM 多路径设备替代。此文件是只读的,反映 /sys/module/dm_mod/parameters/use_blk_mq 中的全局值在创建基于请求的 DM 多路径设备时。
multipath.conf 文件中的新的 delay_watch_checks 和 delay_wait_checks 选项
如果路径不可靠,就像连接频繁丢弃时,multipathd 仍会持续尝试使用该路径。multipathd 认为路径无法再访问前的超时时间为 300 秒,这可能会给出 multipathd 已停滞的外观。
要解决这个问题,添加了两个新的配置选项: delay_watch_checks 和 delay_wait_checks。将 delay_watch_checks 设置为在在线后监视路径的循环 multipathd 数。如果路径在该分配的值下失败,multipathd 将不使用它。multipathd 将依赖于 delay_wait_checks 选项告知它必须传递多少连续周期,直到路径再次有效。这可防止在重新上线后立即使用不可靠路径。
multipath.conf 文件中的新 config_dir 选项
用户无法在 /etc/multipath.conf 和其他配置文件之间分割其配置。这导致用户无法为所有机器设置一个主要配置文件,并将机器特定配置信息保留在每个虚拟机的独立配置文件中。
要解决这个问题,在 multipath.config 文件中添加一个新的 config_dir 选项。用户必须将 config_dir 选项更改为空字符串或完全限定的目录路径名称。当设置为空字符串以外的任何内容时,多路径会按照字母顺序读取所有 .conf 文件。然后,它将应用配置,就像它们添加到 /etc/multipath.conf 中一样。如果没有进行此更改,config_dir 默认为 /etc/multipath/conf.d。
新的 dmstats 命令来显示和管理使用设备映射器驱动程序的设备区域的 I/O 统计信息
dmstats 命令提供对设备映射器 I/O 统计的用户空间支持。这样,用户可以为用户定义的设备映射器设备创建、管理和报告 I/O 计数器、指标和延迟直方数据。现在,dmsetup 报告中提供了统计字段,dmstats 命令添加新的专用报告模式,用于统计信息。dmstats 命令的详情,请查看 dmstats (8)手册页。
LVM 缓存
从 Red Hat Enterprise Linux 7.1 开始完全支持 LVM 缓存。此功能允许用户使用小快速设备创建逻辑卷(LV),作为较慢的设备缓存。有关创建缓存逻辑卷的详情,请参考 lvmcache (7)手册页。
请注意,对使用缓存 LV 的以下限制:
cache LV 必须是顶层设备。它不能用作精简池 LV、RAID LV 镜像或其他子LV 类型。
缓存 LV 子大小(原始 LV、元数据 LV 和数据 LV)只能是线性、条带或 RAID 类型。
创建后无法更改 cache LV 的属性。要更改缓存属性,请删除缓存,如 lvmcache (7)所述,并使用所需属性重新创建它。
新的 LVM/DM 缓存策略
已编写一个新的
smq dm-cache 策略,以减少内存消耗并提高了大多数用例的性能。现在,它是新 LVM 缓存逻辑卷的默认缓存策略。希望使用旧的 mq 缓存策略的用户仍可通过在创建缓存逻辑卷时提供 -cachepolicy 参数来实现。
LVM systemID
LVM 卷组现在可以分配一个所有者。卷组所有者是主机的系统 ID。只有具有给定系统 ID 的主机才能使用 VG。这可能会受益于共享设备上存在的卷组,对多个主机可见,否则不受多个主机的并发使用的影响。分配系统 ID 的共享设备上的 LVM 卷组归一个主机所有,并不受其他主机的保护。
新的 lvmpolld 守护进程
lvmpolld 守护进程为长时间运行的 LVM 命令提供了一个轮询方法。启用后,长时间运行的 LVM 命令的控制将从原始 LVM 命令传输到 lvmpolld 守护进程。这允许操作独立于原始 LVM 命令。lvmpolld 守护进程默认启用。
在引入
lvmpolld 守护进程前,如果主服务(主服务)在 cgroup 中退出的主进程(主服务)中,则源自 lvm2 命令的任何后台轮询进程都会被终止。这可能导致预先终止 lvm2 轮询过程。此外,lvmpolld 有助于防止多次生成 lvm2 轮询进程在同一任务上查询进度,因为它跟踪正在进行中的所有轮询任务的进度。
有关
lvmpolld 守护进程的详情,请参考 lvm.conf 配置文件。
LVM 选择标准的改进
Red Hat Enterprise Linux 7.2 发行版本支持多个 LVM 选择标准的改进。在以前的版本中,只能对报告命令使用选择条件 ; LVM 现在支持几个 LVM 处理命令的选择标准。另外,这个版本有几个更改来更好地支持时间报告字段和选择。
有关这些新功能实现的详情,请参考逻辑卷管理手册中的 LVM 选择标准 附录。
增加了默认 SCSI LUN 的最大数量
max_report_luns 参数的默认值已从 511 增加到 16393。这个参数指定系统使用 Report LUN 机制扫描 SCSI 互连时可以配置的最大逻辑单元数。
第 15 章 系统和订阅管理
powertop 现在遵循用户定义的报告文件名
在以前的版本中,PowerTOP 报告文件名以不明确的、未记录的方式生成。在这个版本中,实现已被改进,生成的文件名称现在遵循用户请求的名称。这适用于 CSV 和 HTML 报告。
amended yum-config-manager 命令
在以前的版本中,运行 yum-config-manager --disable 命令会禁用所有配置的存储库,而 yum-config-manager --enable 命令没有启用任何配置的软件仓库。这个问题不一致。--disable 和 --enable 命令现在需要在语法中使用 '\39)',yum-config-manager --enable \ the repository。在不添加 '\39)' 的情况下运行命令会输出一条信息,要求用户运行 yum-config-manager --disable \ the yum-config-manager --enable \,如果他们想要禁用或启用存储库。
yum 的新 search-disabled-repos 插件
yum 的 search-disabled-repos 插件已添加到 subscription-manager 软件包中。此插件允许用户成功完成因为源存储库依赖禁用的存储库而失败的 yum 操作。当在上述场景中安装 search-disabled-repos 时,yum 会显示临时启用当前禁用的存储库并搜索缺少的依赖项的说明。
如果您选择遵循说明并关闭 /etc/yum/pluginconf.d/search-disabled-repos.conf 文件中的默认 notify_only 行为,将来的 yum 操作会提示您临时或永久启用满足 yum 事务所需的所有禁用的软件仓库。
并行获取 hypervisor 数据
有了这个更新,virt-who 可以从多个 hypervisor 并行获取数据。在以前的版本中,virt-who 一次只能从单个 hypervisor 读取数据,如果系列中的一个虚拟机监控程序无法正常工作,virt-who 会等待其响应,因此会失败。读取并行管理程序解决了这个问题并防止上述失败。
为 virt-who 报告的虚拟机监控程序进行过滤
virt-who 服务为 Subscription Manager 报告引入了过滤机制。现在,用户可以根据指定的参数选择哪些主机 virt-who 应该显示。例如,它们可以过滤掉没有运行任何 Red Hat Enterprise Linux 客户机的主机,或过滤运行指定版本的 Red Hat Enterprise Linux 的主机。
改进了主机到客户机关联的视觉化
p 选项已添加到 virt-who 工具中。与 -p 一起使用时,virt-who 输出会显示 host-guest 关联的 Javascript Object Notation (JSON)编码映射。另外,在 /var/log/rhsm/rhsm.log 文件中记录 host-guest 关联的信息现在也会以 JSON 格式。
virt-who 输出显示为主机名
现在,可以配置 virt-who 查询,以便在 Red Hat Satellite 和红帽客户门户网站中查看时将其结果显示为主机名,而不是作为通用唯一标识符(UUID)。要启用该功能,请将 hypervisor_id=hostname 选项添加到 /etc/virt-who.d/ 目录中的配置文件中。理想情况下,这应在首次使用 virt-who 前完成,否则更改配置会重复管理程序。
预先填充的 virt-who 配置文件
virt-who 的默认配置文件已放在 /etc/virt-who.d/ 目录中。它包含一个模板和说明,供用户配置 virt-who。这将替换使用 /etc/sysconfig/virt-who 文件的已弃用的配置。
增强的代理连接选项
使用 Red Hat Enterprise Linux 7.2 时,virt-who 工具可以处理 HTTP_PROXY 和 HTTPS_PROXY 环境变量,从而在请求时正确使用代理服务器。这允许 virt-who 通过代理连接到 Hyper-V hypervisor 和 Red Hat Enterprise Virtualization Manager。
Subscription Manager 现在支持 syslog
subscription-manager 工具现在可以使用 syslog 作为日志处理程序,以及之前使用的独立日志。处理程序和格式器在
/etc/rhsm/logging.conf 配置文件中配置。
Subscription Manager 现在是 Initial Setup 的一部分
Firstboot 的 Subscription Manager 组件已被移植到 Initial Setup 工具。用户现在可以在安装 Red Hat Enterprise Linux 7 系统并第一次重启系统后从 Initial Setup 的主菜单中注册系统。
现在,当在命令行中注册时,订阅管理器会显示服务器 URL
在命令行中使用 subscription-manager 命令注册系统时,该工具现在还会显示在询问用户名和密码时用于注册的服务器的 URL。这有助于用户决定要使用的凭证。
Subscription Manager 中的管理存储库对话框现在更为响应
Subscription Manager 图形版本中的 Manage Repositories 对话框( subscription-manager-gui 软件包)已更新,不再获取每个复选框更改的信息。相反,只有在点击新的 save 按钮时,系统状态才会同步。这会删除之前版本遇到的延迟用户,因为每个复选框操作更新了系统状态,存储库管理现在会显著响应。
ReaR 现在可以在 eth0 以外的接口上正常工作
在以前的版本中,ReaR 生成的救援系统不支持使用 eth0 以外的接口挂载 NFS 服务器。在这种情况下,无法下载救援系统和备份文件,且无法恢复系统。在这个版本中,这个问题已被解决,其他接口(如 eth1、eth2 等)。
第 16 章 虚拟化
qemu-kvm 支持虚拟机关闭追踪事件
在虚拟机系统关闭过程中,增加了对 qemu-kvm trace 事件的支持,它允许用户获取有关 virsh shutdown 命令或 virt-manager 应用程序发布的客户机系统关闭请求的详细诊断。这为用户提供了增强的功能,以便在关闭过程中隔离和调试 KVM 客户机问题。
向客户机公开的 Intel MPX
有了这个更新,qemu-kvm 允许 Intel 内存保护扩展(MPX)功能公开给客户机。在支持 MPX 的 Intel 64 主机系统中,这允许使用一组扩展,为边界引用提供硬件支持。
从 qemu-kvm 内核中提取客户机内存转储
dump-guest-memory.py 脚本已引入到 QEMU 中,从而在客户机内核失败时可以从 qemu-kvm 内核分析客户机内存转储。如需更多信息,请参阅使用 help dump-guest-memory 命令查看相关的帮助文本。
完全支持 virt-v2v
在 Red Hat Enterprise Linux 7.2 中,virt-v2v 命令行工具已被完全支持。此工具将外部虚拟机监控程序上运行的虚拟机转换为在 KVM 上运行。目前,virt-v2v 可以转换在 Red Hat Enterprise Linux 5 Xen 和 VMware vCenter 上运行的 Red Hat Enterprise Linux 和 Windows 客户机。
IBM Power 系统上的虚拟化
AMD64 和 Intel 64 系统支持带有 KVM 的 Red Hat Enterprise Linux,但 IBM Power Systems 不支持。红帽目前为 IBM Power 系统提供了一个基于 POWER8- 的解决方案。
有关版本支持和安装过程的更多信息,请参阅以下知识库文章 :https://access.redhat.com/articles/1247773。
Hyper-V TRIM 支持
现在,可以使用 Thin Provisioned Hyper-V 虚拟硬盘(VHDX)。更新添加了对将 Microsoft Hyper-V 虚拟机的 VHDX 文件缩小到实际使用的大小的支持。
KVM 支持 tcmalloc
KVM 现在可以使用 tcmalloc 库,它每秒 I/O 操作的性能显著提高。
在域实时迁移过程中选择磁盘复制
当实时迁移域及其磁盘时,用户现在可以选择在迁移过程中复制哪些磁盘。在复制某些磁盘时,这可以更有效地实时迁移,比如当目标上已存在或它们不再有用时。
使用 RMRRs 的设备现在不包括在 IOMMU API 域中
在对 Red Hat Enterprise Linux 7.1 所做的更改下,当尝试分配由 Reserved Memory Region Reporting (RMRR)关联的设备时,内核会在 dmesg 日志中报告以下错误:
由于平台 RMRR 要求,设备不适用于 IOMMU 域附加。请联系您的平台厂商"。
平台供应商能够请求内核中的 VT-d IOMMU 子系统使用高级配置和电源接口直接内存访问 Remapping (ACPI DMAR)表中的条目为设备保留特定的映射,称为 RMRR 结构。但是,QEMU-KVM 和 VFIO 对这些映射要求没有可见性,不存在 API 来禁用可能通过这些区域发生的任何潜在持续通信。因此,即使设备分配给客户虚拟机,与 RMRR 关联的设备仍然可以通过这个地址空间使用 DMA。这可能导致设备使用 DMA 数据覆盖虚拟机内存,用于 RMRR 描述的内存。
要解决这个问题,关联 RMRRs 的设备不包括在内核内部 IOMMU API 中。用户现在可以使用 dmesg 日志识别这些设备,并不受分配使用映射的设备进行保护,这些映射可以在客户虚拟机中造成不稳定。禁止使用 PCI 设备分配的用户应该联系其平台厂商获得 BIOS 更新,以便从强制的 RMRR 要求释放 I/O 设备。
有关这些更改的详情,请查看以下知识库文章:
新软件包: WALinuxAgent
Microsoft Azure Linux Agent (WALA)版本 2.0.13 已包括在 Extras 频道中。此代理支持 Windows Azure 云中的 Linux 虚拟机的置备并运行,并应该安装在为在 Windows Azure 环境中运行的 Linux 镜像上。
第 17 章 Atomic Host 和容器
Red Hat Enterprise Linux Atomic Host Red Hat Enterprise Linux Atomic Hosthttps://bugzilla.redhat.com/show_bug.cgi?id=1268897
Red Hat Enterprise Linux Atomic Host 是一个安全、轻量级和少页型操作系统,针对运行 Linux 容器进行了优化。
Atomic Host 和 Containers 发行注记现在包括在一个单独的文档中。有关最新新功能、已知问题和技术预览,请参阅 https://access.redhat.com/documentation/en/red-hat-enterprise-linux-atomic-host/7/single/release-notes/。
第 18 章 Red Hat Software Collections
Red Hat Software Collections 是一个红帽内容集,它提供一组动态编程语言、数据库服务器和相关软件包,您可以在 AMD64 和 Intel 64 架构的所有支持的 Red Hat Enterprise Linux 6 和 Red Hat Enterprise Linux 7 版本中安装和使用。
Red Hat Software Collections 提供的动态语言、数据库服务器和其他工具不会取代 Red Hat Enterprise Linux 提供的默认系统工具,也不首选使用这些工具。Red Hat Software Collections 使用基于
scl 工具的替代打包机制来提供一组并行的软件包。这个集合允许在 Red Hat Enterprise Linux 中使用其他软件包版本。通过使用 scl 工具,用户可以选择并选择他们想要随时运行的软件包版本。
Red Hat Developer Toolset 现在是 Red Hat Software Collections 的一部分。它作为一个单独的 Software Collection 提供。Red Hat Developer Toolset 是为在 Red Hat Enterprise Linux 平台上工作的开发人员设计的。它提供了 GNU Compiler Collection、GNU Debugger、E Eclipse 开发平台和其他开发、调试和性能监控工具的当前版本。
重要
Red Hat Software Collections 的生命周期及支持期限比 Red Hat Enterprise Linux 要短。如需更多信息,请参阅 Red Hat Software Collections 产品生命周期。
有关本 Software Collection、安装、使用、已知问题等组件的更多信息,请参阅 Red Hat Developer Toolset 文档。
部分 II. 技术预览
这部分概述了 Red Hat Enterprise Linux 7.2 中引入的或更新技术预览。
有关红帽技术预览功能支持范围的更多信息,请参阅 https://access.redhat.com/support/offerings/techpreview/。
第 19 章 认证和互操作性
使用 AD 和 LDAP sudo 供应商
Active Directory (AD)供应商是用于连接 AD 服务器的后端。在 Red Hat Enterprise Linux 7.2 中,使用 AD sudo 供应商和 LDAP 提供程序作为技术预览提供。要启用 AD sudo 提供程序,请在
sssd.conf 文件的 [domain] 部分添加 sudo_provider=ad 设置。
DNSSEC 在身份管理中作为技术预览提供
带有集成 DNS 的身份管理服务器现在支持 DNS 安全扩展(DNSSEC),这是一组增强 DNS 协议安全性的 DNS 扩展。托管在身份管理服务器上的 DNS 区域可使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。
建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档:
DNSSEC 实践, 版本 2: http://tools.ietf.org/html/rfc6781#section-2
安全域名系统(DNS)部署指南: http://dx.doi.org/10.6028/NIST.SP.800-81-2
DNSSEC Key Rollover timinging Considerations: http://tools.ietf.org/html/rfc7583
请注意,带有集成 DNS 的身份管理服务器使用 DNSSEC 来验证从其他 DNS 服务器获取的 DNS 回答。这会影响未根据 Red Hat Enterprise Linux 网络指南中描述的推荐命名实践配置的 DNS 区域可用性 :https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices。
用于目录服务器的 nunc Stans 事件框架
添加了一个新的 Nunc Stans 事件框架来处理多个同时连接作为技术预览。框架支持几千个活跃连接,且无性能下降。它默认是禁用的。
IdM 中的 JSON-RPC API 的浏览器可用
在这个版本中,为身份管理中的 JSON-RPC API 实施了浏览器。浏览器可用于查看 API。请注意,这个功能是实验性的,API 尚不受支持。
新软件包:ipsilon
ipsilon 软件包为联邦单点登录(SSO)提供 Ipsilon 身份提供程序服务。Ipsilon 链接身份验证提供程序和应用程序或实用程序,以允许 SSO。它包括用于配置基于 Apache 的服务提供商的服务器和工具。
Ipsilon 服务器和工具包旨在配置基于 Apache 的身份服务提供商。服务器是一个可插拔的自包含
mod_wsgi 应用,为 Web 应用提供联邦 SSO。
本发行版本中引入了 Ipsilon 作为技术预览。我们建议不考虑在生产环境中集成这个服务。
第 20 章 集群
支持 clufter,这是转换和分析集群配置格式的工具
clufter 软件包在 Red Hat Enterprise Linux 7 中作为技术预览提供,为转换和分析集群配置格式提供了一个工具。它可用于协助从旧的堆栈配置迁移到利用 Pacemaker 的较新配置。有关
clufter 功能的详情,请查看 clufter (1) 手册页或 clufter -h 命令的输出。
第 21 章 文件系统
OverlayFS
OverlayFS 是一种联合文件系统。它允许用户在一个文件系统上覆盖另一个文件系统。更改记录在上面的文件系统中,而较小的文件系统则未修改。这允许多个用户共享文件系统镜像,如容器或 DVD-ROM,基础镜像使用只读介质。如需更多信息,请参阅 kernel 文件 Documentation/filesystems/overlayfs.txt。
在大多数情况下,OverlayFS 在 Red Hat Enterprise Linux 7.2 中仍是一个技术预览。因此,当这个技术被激活时,内核会记录警告信息。
与 Docker 一起使用时,在以下限制下可以对 OverlayFS 提供全面支持:
Tailoring OverlayFS 仅支持用作 Docker 图形驱动程序。它只支持容器 COW 内容,而不适用于持久性存储。任何持久性存储都必须放在非 OverlayFS 卷中才能被支持。只能使用默认的 Docker 配置 ; 即,一个级别的 overlay,一个 lowerdir,且低级别和高级别都位于同一个文件系统中。
目前只支持 XFS 作为较低层文件系统使用。
必须在物理机上启用并处于 enforcing 模式,但在执行容器分离时必须禁用容器;即 /etc/sysconfig/docker 不得包含 --selinux-enabled。对 OverlayFS 的 SELinux 支持在上游社区上正常工作,在以后的版本中可以正常工作。
OverlayFS 内核 ABI 和用户空间行为被视为不稳定,将来的更新可能会看到变化。
为了使 yum 和 rpm 工具在容器内正常工作,用户应使用 yum-plugin-ovl 软件包。
请注意,OverlayFS 提供了一组受限的 POSIX 标准。在使用 OverlayFS 部署前,先测试您的应用程序。
请注意,必须在启用了 -n ftype=1 选项的情况下创建 XFS 文件系统,以用作覆盖。使用 rootfs 和系统安装期间创建的任何文件系统,在 Anaconda kickstart 中设置 --mkfsoptions=-n ftype=1 参数。在安装后创建新文件系统时,请运行 sVirt mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE 命令。要确定现有文件系统是否有资格用作 overlay,请运行 192.168.1.0/24 xfs_info /PATH/TO/DEVICE | grep ftype 命令,以查看是否启用了 ftype=1 选项。
从 Red Hat Enterprise Linux 7.2 开始,还有一些与 OverlayFS 相关的已知问题。详情请查看 Documentation/filesystems/overlayfs.txt 文件中的 'Non-standard 行为'。
支持带有灵活的文件布局的 NFSv4 客户端
Red Hat Enterprise Linux 7.2 添加了对 NFSv4 客户端上灵活的文件布局的支持。此技术实现了非破坏性文件弹性和客户端镜像等高级功能,在数据库、大型数据和虚拟化等区域提供增强的可用性。
有关 NFS 灵活的文件布局的详情,请查看 https://datatracker.ietf.org/doc/draft-ietf-nfsv4-flex-files/。
Btrfs 文件系统
在 Red Hat Enterprise Linux 7.2 中,btrfs (B-Tree)文件系统作为技术预览提供。此文件系统提供高级管理、可靠性且可扩展的功能。它允许用户创建快照,它会启用压缩和集成设备管理。
pNFS 块布局支持
作为技术预览,上游代码已向后移植到 Red Hat Enterprise Linux 客户端,以提供 pNFS 块布局支持。
第 22 章 硬件启用
IBM System z 的运行时检查
在 IBM System z 上的 Red Hat Enterprise Linux 7.2 中,提供了对 Runtime Instrumentation 功能的支持。运行时 Instrumentation 为 IBM zEnterprise EC12 系统提供的很多用户空间应用程序启用高级分析和执行。
LSI 同步 CS HA-DAS 适配器
Red Hat Enterprise Linux 7.1 在 megaraid_sas 驱动程序中包含代码,以启用 LSI Syncro CS 高可用性直接附加存储(HA-DAS)适配器。虽然之前启用的适配器完全支持 megaraid_sas 驱动程序,但对 Syncro CS 使用这个驱动程序作为技术预览提供。对这个适配器的支持由 LSI、您的系统集成程序或系统厂商直接提供。我们鼓励在 Red Hat Enterprise Linux 7.2 上部署 Syncro CS 的用户向红帽和 LSI 提供反馈意见。有关 LSI Syncro CS 解决方案的更多信息,请访问 http://www.lsi.com/products/shared-das/pages/default.aspx。
第 23 章 内核
criu 工具
Red Hat Enterprise Linux 7.2 作为技术预览引入了
criu 工具。此工具 在用户空间中实施 Checkpoint/Restore,可用于冻结正在运行的应用程序并将其存储为文件集合。之后,应用程序可以从其冻结状态进行恢复。
criu 工具依赖于 协议缓冲,它是一个用于序列化结构化数据的语言中立、平台中立的可扩展机制。提供这个依赖项的 protobuf 和 protobuf-c 软件包也会作为技术预览添加到 Red Hat Enterprise Linux 7.2 中。
用户命名空间
此功能通过在主机和容器之间提供更好的隔离来为运行 Linux 容器的服务器提供额外的安全性。容器的管理员无法再对主机执行管理操作,从而提高安全性。
用于 IBM System z 的 LPAR Watchdog
IBM System z 的增强的 watchdog 驱动程序作为技术预览提供。这个驱动程序支持 Linux 逻辑分区(LPAR)以及 z/VM hypervisor 中的 Linux 客户机,并在 Linux 系统变得无响应时提供自动重启和自动转储功能。
i40evf 处理大型重置
最常见的重置类型,虚拟功能(VF)遇到的物理功能(PF)重置,该集级联会缩减为每个 VF 重置的 VF 重置。但是,对于 'bigger' 重置,如 Core 或 EMP 重置,当重新初始化设备时,VF 将无法获得相同的 VSI,因此 VF 无法恢复,因为它仍然为其原始 VSI 请求资源。作为技术预览,此更新为 admin 队列状态机器添加额外的状态,以便驱动程序在运行时重新请求其配置信息。在重置恢复过程中,在 aq_required 字段中设置这个位,在尝试重新启动驱动程序前获取配置信息。
支持 Intel® Omni-Path 架构内核驱动程序
Intel® Omni-Path 架构(OPA)内核驱动程序作为技术预览,为高性能数据传输(高带宽、高消息率、低延迟)提供主机 Fabric Interconnect (HFI)硬件初始化和设置。
有关如何获取 Intel® Omni-Path 文档的说明,请参阅 https://access.redhat.com/articles/2039623。
支持 IBM System z 上的 Diag0c
作为技术预览,Red Hat Enterprise Linux 7.2 引入了对 IBM System z 上 Diag0c 功能的支持。Diag0c 支持使得可以读取 z/VM hypervisor 提供的 CPU 性能指标,并允许获取执行诊断任务的 Linux 客户机的每个在线 CPU 的管理时间。
RDMA 的 10GbE RoCE Express 功能
作为技术预览,Red Hat Enterprise Linux 7.2 包括 10GbE RDMA over Converged Ethernet (RoCE) Express 功能。这样便可在 IBM System z 上使用以太网和远程直接内存访问(RDMA)以及直接访问编程库(DAPL)和 OpenFabrics Enterprise Distribution (OFED) API。
在 IBM z13 系统中使用此功能前,请确保应用最低所需的服务:z/VM APAR UM34525 和 HW ycode N98778.057 (bundle 14)。
IBM System z 上的 zEDC 压缩
Red Hat Enterprise Linux 7.2 包含通用工作队列(GenWQE)引擎设备驱动程序作为技术预览。驱动程序的初始任务是执行 zlib 样式压缩和解压缩 RFC1950、RFC1951 和 RFC1952 格式,但可以调整它来加快各种任务。
kexec 作为技术预览
kexec 系统调用作为技术预览提供。这个系统调用启用从当前运行的内核载入并引导到另一个内核,从而从内核中执行引导装载程序的功能。在 kexec 引导过程中不会执行硬件初始化(通常在标准系统引导过程中完成),这可显著减少重启所需的时间。
第 24 章 网络
Cisco usNIC 驱动程序
Cisco 统一通信管理器(UCM)服务器具有可选功能,可提供 Cisco 专有用户空间网络接口控制器(usNIC),它允许为用户空间应用程序执行类似于远程直接内存访问(RDMA)的操作。libusnic_verbs 驱动程序作为技术预览提供,因此可以根据 Verbs API 的标准 InfiniBand RDMA 编程使用 usNIC 设备。
Cisco VIC 内核驱动程序
Cisco VIC Infiniband 内核驱动程序作为技术预览提供,允许在专有 Cisco 架构上使用类似于远程 Directory 内存访问(RDMA)的语义。
可信网络连接
可信网络连接(作为技术预览支持)用于现有网络访问控制(NAC)解决方案,如 TLS、802.1X 或 IPsec 以集成端点后评估;即,收集端点的系统信息(如操作系统配置设置、安装软件包等)。可信网络连接用于根据网络访问策略验证这些测量,然后允许端点访问网络。
qlcnic 驱动程序中的 SR-IOV 功能
对 Single-Root I/O 虚拟化(SR-IOV)的支持已作为技术预览添加到 qlcnic 驱动程序中。QLogic 将直接提供对这个功能的支持,并鼓励用户向 QLogic 和红帽提供反馈意见。qlcnic 驱动程序中的其他功能仍被完全支持。
第 25 章 存储
SCSI 的多队列 I/O 调度
Red Hat Enterprise Linux 7.2 为块设备包括一个新的多队列 I/O 调度机制,称为 blk-mq。scsi-mq 软件包允许小型计算机系统接口(SCSI)子系统使用此新排队机制。这个功能是作为技术预览提供的,默认不会启用。要启用它,请在内核命令行中添加 scsi_mod.use_blk_mq=Y。
改进了 LVM 锁定基础架构
lvmlockd 是 LVM 的下一代锁定特性。它允许 LVM 使用 dlm 或 sanlock 锁定管理器安全地管理来自多个主机的共享存储。sanlock 允许 lvmlockd 通过基于存储的锁定来协调主机,而无需整个集群基础架构。如需更多信息,请参阅 lvmlockd(8)手册页。
libStorageMgmt API 中的 Targetd 插件
从 Red Hat Enterprise Linux 7.1 开始,完全支持使用 libStorageMgmt(一个存储阵列独立 API)的存储阵列管理。所提供的 API 是稳定且一致的,允许开发人员以编程方式管理不同的存储阵列,并利用所提供的硬件加速功能。系统管理员还可以使用 libStorageMgmt 手动配置存储,并使用包含的命令行界面自动执行存储管理任务。
Targetd 插件没有被完全支持,仍是一个技术预览。
DIF/DIX
DIF/DIX 是 SCSI 标准的新补充。Red Hat Enterprise Linux 7.2 中完全支持用于功能章节中指定的 HBA 和存储阵列,但仍然为所有其他 HBA 和存储阵列处于技术预览状态。
DIF/DIX 将常用的 512 字节磁盘块的大小从 512 字节增加到 520 字节,添加了数据完整性字段(DIF)。DIF 存储数据块的校验和值,其是在写发生时通过主机总线适配器(HBA)计算的。然后存储设备会在接收时确认校验和,并存储数据和校验和。相反,当读发生时,校验和可通过存储设备和接收的 HBA 进行验证。
第 26 章 虚拟化
嵌套虚拟化
作为技术预览,Red Hat Enterprise Linux 7.2 提供嵌套虚拟化。此功能可让 KVM 启动可以充当虚拟机监控程序并创建自己的客户机的客户机。
virt-p2v 工具
Red Hat Enterprise Linux 7.2 提供 virt-p2v 工具作为技术预览。virt-p2v (物理到虚拟)是一个 CD-ROM、ISO 或 PXE 镜像,用户可以在物理机上引导,它会创建一个与物理机相同的磁盘内容的 KVM 虚拟机。
USB 3.0 支持 KVM 客户机
KVM 客户机的 USB 3.0 主机适配器(xHCI)模拟在 Red Hat Enterprise Linux 7.2 中仍是一个技术预览。
virtio-1 支持
VirtIO 驱动程序已更新至 Kernel 4.1 以提供 VirtIO 1.0 设备支持。
Open Virtual Machine Firmware
在 Red Hat Enterprise Linux 7 中,OVMF(Open Virtual Machine Firmware)作为技术预览提供。OVMF 是 AMD64 和 Intel 64 客户端的 UEFI 安全引导环境。但是,OVMF 无法使用 RHEL 7 中可用的虚拟化组件引导。请注意,RHEL 8 完全支持 OVMF。
部分 III. 设备驱动程序
这部分提供了在 Red Hat Enterprise Linux 7.2 中更新的所有设备驱动程序的综合列表。
第 27 章 存储驱动程序更新
- hpsa 驱动程序已更新至版本 3.4.4-1-RH4。
- qla2xxx 驱动程序已更新至版本 8.07.00.18.07.2-k。
- lpfc 驱动程序已更新至版本 10.7.0.1。
- megaraid_sas 驱动程序已更新至版本 06.807.10.00。
- fnic 驱动程序已更新至版本 1.6.0.17。
- mpt2sas 驱动程序已更新至版本 20.100.00.00。
- mpt3sas 驱动程序已更新至版本 9.100.00.00。
- Emulex be2iscsi 驱动程序已更新至版本 10.6.0.0r。
- aacraid 驱动程序已更新至版本 1.2。
- bnx2i 驱动程序已更新至版本 2.7.10.1。
- bnx2fc 驱动程序已更新至版本 2.4.2。
第 28 章 网络驱动程序更新
- tg3 驱动程序已更新至版本 3.137。
- e1000 驱动程序已更新至版本 7.3.21-k8-NAPI,在使用 xmit_more 布尔值变量时提供对 txtd 更新延迟的支持。
- e1000e 驱动程序已更新至版本 3.2.5-k。
- igb 驱动程序已更新至版本 5.2.15-k。
- igbvf 驱动程序已更新至版本 2.0.2-k。
- ixgbevf 驱动程序已更新至版本 2.12.1-k。
- ixgbe 驱动程序已更新至版本 4.0.1-k。
- bna 驱动程序和固件已更新至版本 3.2.23.0r。
- bnx2 驱动程序已更新至版本 2.2.6。
- CNIC 驱动程序已更新至版本 2.5.21。
- bnx2x 驱动程序已更新至版本 1.710.51-0,它还添加了对 qlogic-nx2 适配器的 qlogic NPAR 支持。
- be2net 驱动程序已更新至版本 10.6.0.3r。
- qlcnic 驱动程序已更新至版本 5.3.62。
- qlge 驱动程序已更新至版本 1.00.00.34。它修复了 New API (NAPI)注册和取消注册之间导致系统崩溃的竞争条件。如果将网络接口卡(NIC)设置为 "down" 时,如果某些参数被改变,则会出现这种竞争条件。
- r8169 驱动程序已更新至版本 2.3LK-NAPI。
- i40e 驱动程序已更新至版本 1.3.21-k。
- i40evf 驱动程序已更新至版本 1.3.13。
- netxen_nic 驱动程序已更新至版本 4.0.82。
- sfc 驱动程序已更新至最新的上游版本。
- 在这个版本中,添加了 0.15.2-k 版本的 fm10k 驱动程序。
- 这个版本添加了 VTI6 支持,包括 netns 功能。
- 绑定驱动程序已更新至版本 3.7.1。
- iwlwifi 驱动程序已更新至最新的上游版本。
- vxlan 驱动程序已更新至版本 0.1。
第 29 章 图形驱动程序和杂项驱动程序更新
- HDA 驱动程序已更新至最新的上游版本,以使用新的 jack kctls 方法。
- HPI 驱动程序已更新至版本 4.14。
- Realtek HD-audio codec 驱动程序已更新,以包含 EAPD init 代码的更新。
- IPMI 驱动程序已更新,将 timespec 使用量替换为 timespec64。
- i915 驱动程序已更新,在 Red Hat Enterprise Linux 7.2 中包含 ACPI Video Extensions 驱动程序的 rebase。
- ACPI Fan 驱动程序已更新至版本 0.25。
- Update NVM-Express 驱动程序已更新至版本 3.19。
- rtsx 驱动程序已更新至版本 4.0,以支持 rtl8402、rts524A、rts525A 芯片。
- Generic WorkQueue Engine 设备驱动程序已更新至最新的上游版本。
- PCI 驱动程序已更新至版本 3.16。
- EDAC 内核模块已更新,为 Intel Xeon v4 处理器提供支持。
- pstate 驱动程序已更新,以支持 6 代 Intel Core 处理器。
- intel_idle 驱动程序已更新,以支持 6 代 Intel Core 处理器。
部分 IV. 已弃用的功能
这部分概述所有 Red Hat Enterprise Linux 7 次要发行本中弃用的功能,直到 Red Hat Enterprise Linux 7.2。
弃用的功能在 Red Hat Enterprise Linux 7 生命周期结束前一直被支持。弃用的功能可能在以后的主要发行本中不被支持,因此不建议在新的部署中使用。有关特定主要发行本中已弃用功能的最新列表,请参考最新版本的发行文档。
对于当前或将来的主发行版本中的新部署,我们不推荐使用已弃用的硬件组件。硬件驱动程序更新仅限于安全和关键修复。红帽建议尽快替换这个硬件。
一个软件包可能被弃用,我们不推荐在以后使用。在某些情况下,软件包可从产品中删除。然后,产品文档可识别提供类似、完全相同或者更高级功能的最新软件包,并提供进一步建议。
第 30 章 Red Hat Enterprise Linux 7 中已弃用的功能
来自库的符号不再被 ld解析
在以前的版本中,
ld 链接程序会解析任何链接库中出现的符号,即使某些库只隐式链接为其它库的依赖项。这允许开发人员在应用程序代码中使用隐式链接库中的符号,并省略为链接明确指定这些库。
为安全起见,
ld 已被修改为不会解析对作为依赖项隐式链接的库中符号的引用。
因此,当应用程序代码尝试使用未声明的库中的符号链接并仅作为依赖项被隐式链接时,与
ld 链接会失败。要使用链接为依赖项的库的符号,开发人员还必须明确链接这些库。
Windows 客户机虚拟机支持有限
从 Red Hat Enterprise Linux 7 开始,仅在特定订阅程序下支持 Windows 客户虚拟机,如 Advanced Mission Critical (AMC)。
弃用的设备驱动程序
- 3w-9xxx
- 3w-sas
- mptbase
- mptctl
- mptsas
- mptscsih
- mptspi
- qla3xxx
megaraid_sas驱动程序中的以下控制器已弃用:- Dell PERC5, PCI ID 0x15
- SAS1078R, PCI ID 0x60
- SAS1078DE, PCI ID 0x7C
- SAS1064R, PCI ID 0x411
- VERDE_ZCR, PCI ID 0x413
- SAS1078GEN2, PCI ID 0x78
- 以下由
be2net驱动程序控制的以太网适配器已被弃用:- TIGERSHARK NIC, PCI ID 0x0700
be2iscsi驱动程序中的以下控制器已被弃用:- Emulex OneConnect 10Gb iSCSI Initiator (generic), PCI ID 0x212
- OCe10101, OCm10101, OCe10102, OCm10102 BE2 adapter family, PCI ID 0x702
- OCe10100 BE2 adapter family, PCI ID 0x703
lpfc驱动程序中的以下 Emulex 参与已被弃用:BladeEngine 2 (BE2) Devices
- TIGERSHARK FCOE, PCI ID 0x0704
Fibre Channel (FC) Devices
- FIREFLY, PCI ID 0x1ae5
- PROTEUS_VF, PCI ID 0xe100
- BALIUS, PCI ID 0xe131
- PROTEUS_PF, PCI ID 0xe180
- RFLY, PCI ID 0xf095
- PFLY, PCI ID 0xf098
- LP101, PCI ID 0xf0a1
- TFLY, PCI ID 0xf0a5
- BSMB, PCI ID 0xf0d1
- BMID, PCI ID 0xf0d5
- ZSMB, PCI ID 0xf0e1
- ZMID, PCI ID 0xf0e5
- NEPTUNE, PCI ID 0xf0f5
- NEPTUNE_SCSP, PCI ID 0xf0f6
- NEPTUNE_DCSP, PCI ID 0xf0f7
- FALCON, PCI ID 0xf180
- SUPERFLY, PCI ID 0xf700
- DRAGONFLY, PCI ID 0xf800
- CENTAUR, PCI ID 0xf900
- PEGASUS, PCI ID 0xf980
- THOR, PCI ID 0xfa00
- VIPER, PCI ID 0xfb00
- LP10000S, PCI ID 0xfc00
- LP11000S, PCI ID 0xfc10
- LPE11000S, PCI ID 0xfc20
- PROTEUS_S, PCI ID 0xfc50
- HELIOS, PCI ID 0xfd00
- HELIOS_SCSP, PCI ID 0xfd11
- HELIOS_DCSP, PCI ID 0xfd12
- ZEPHYR, PCI ID 0xfe00
- HORNET, PCI ID 0xfe05
- ZEPHYR_SCSP, PCI ID 0xfe11
- ZEPHYR_DCSP, PCI ID 0xfe12
要在您的系统中检查硬件的 PCI ID,请运行 lspci -nn 命令。
请注意,此处未列出的驱动程序中的其他控制器不会改变。
使用 libvirt-lxc 工具的容器已弃用
从 Red Hat Enterprise Linux 7.1 开始,以下 libvirt-lxc 软件包已弃用:
- libvirt-daemon-driver-lxc
- libvirt-daemon-lxc
- libvirt-login-shell
Linux 容器框架的未来开发现在基于 docker 命令行界面。libvirt-lxc 在以后的 Red Hat Enterprise Linux 版本中可能会删除工具(包括 Red Hat Enterprise Linux 7),且不应依赖于开发自定义容器管理应用程序。
如需更多信息,请参阅红帽知识库文章。
部分 V. 已知问题
这部分记录了 Red Hat Enterprise Linux 7.2 中已知的问题。
第 31 章 常规更新
默认情况下,TAB 密钥不会扩展 $PWD
在 Red Hat Enterprise Linux 6 中使用 CLI 时,按 TAB 密钥将
$PWD/ 扩展至当前目录中。在 Red Hat Enterprise Linux 7 中,CLI 没有相同的行为。通过将以下行放在 $HOME/.bash_profile 文件中,用户可以实现此行为:
if ((BASH_VERSINFO[0] >= 4)) && ((BASH_VERSINFO[1] >= 2)); then
shopt -s direxpand
fi
从 Red Hat Enterprise Linux 6 升级可能会在 IBM Power 系统中失败
由于
yaboot 引导装载程序中的一个错误,从 Red Hat Enterprise Linux 6 升级到 Red Hat Enterprise Linux 7 可能会在带有 Unknown 或损坏的文件系统 错误的 IBM Power Systems 服务器中失败。
此问题通常是由错误替换
yaboot.conf 配置文件造成的。确保存在这个文件,该文件有效,并将其放置在标准(非 LVM)/boot 分区中。
/etc/os-release 文件包含系统升级后过时的信息
升级到下一个次发行版本(例如,从 Red Hat Enterprise Linux 7.1 升级到 7.2)不会更新新的产品号的
/etc/os-release 文件。相反,此文件继续列出之前的发行版本号,名为 os-release.rpmnew 的新文件被放在 /etc 目录中。
如果您需要
/etc/os-release 文件最新,请将该文件替换为 /etc/os-release.rpmnew。
第 32 章 认证和互操作性
在短生命周期内,Kerberos ticket 请求将被拒绝
由于 Active Directory 中的一个错误,则拒绝 Kerberos 票据请求(通常低于三分钟)生命周期。要临时解决这个问题,请请求较长的时间(5 分钟)票据。
从 Red Hat Enterprise Linux 7 机器复制到 Red Hat Enterprise Linux 6 机器失败
目前,Camellia Kerberos 加密类型(enctypes)包含在 krb5、krb5-libs、krb5-server 软件包中可能的默认 enctypes。因此,将 Red Hat Enterprise Linux 7 机器复制到 Red Hat Enterprise Linux 6 机器会失败,并显示错误消息。要临时解决这个问题,请使用默认的 enctype 控制,或告诉 kadmin 或 ipa-getkeytab 要使用的加密类型。
SSSD 启动时会记录一个无害的错误消息
如果 SSSD 连接到没有与 AD 服务器建立信任关系的 IdM 服务器,则启动时会将以下无害错误消息输出到 SSSD 域日志中:
内部错误(内存缓冲区错误)
要防止发生不必要的错误消息,在 sssd.conf 文件中将
subdomains_provider 设置为 none (如果环境不期望设置任何可信域)。
最近生成的 DNSSEC 密钥的 DNS 区域没有正确签名
IdM 没有使用最近生成的 DNS 安全扩展(DNSSEC)密钥正确为 DNS 区域签名。在这种情况下,named-pkcs11 服务会记录以下错误:
属性不存在: 0x00000002
错误是由 DNSSEC 密钥生成和分发过程中的竞争条件错误造成的。竞争条件可防止 named-pkcs11 访问新的 DNSSEC 密钥。
要临时解决这个问题,请在受影响的服务器上重启 named-pkcs11。重启后,DNS 区域会被正确签名。请注意,这个程序错误可能会在 DNSSEC 密钥再次更改后重新应用。
旧的 realmd 版本会在更新 realmd 运行时启动
realmd 守护进程仅在请求时启动,然后执行给定操作,并在一段时间超时后启动。当在仍然运行时更新 realmd 时,realmd 的旧版本会在下一次请求时启动,因为 realmd 在更新后不会重启。要临时解决这个问题,请确保在更新前没有运行 reamld。
ipa-server-install 和 ipa-replica-install 不验证其选项
ipa-server-install 和 ipa-replica-install 工具目前不会验证提供给它们的选项。如果用户将不正确的值传递给工具,安装会失败。要临时解决这个问题,请确保提供正确的值,然后再次运行该工具。
如果没有安装所需的 openssl 版本,升级 ipa 软件包会失败
当用户尝试升级
ipa 软件包时,身份管理(IdM)不会自动安装 openssl 软件包所需的版本。因此,如果在用户运行 yum update ipa 114 命令前没有安装 openssl 的 1.0.1e-42 版本,则升级会在 DNSKeySync 服务配置过程中失败。
要临时解决这个问题,请在更新
ipa 前手动将 openssl 更新至 1.0.1e-42 或更高版本。这可防止升级失败。
第 33 章 编译器和工具
通过 FCoE 从 SAN 引导时的多个错误
当前从存储区域网络(SAN)通过以太网使用光纤通道(FCoE)引导时会出现多个错误。对于这些程序错误的修复,红帽针对 Red Hat Enterprise Linux 7 的未来发行版本为目标。如需受影响的程序漏洞和临时解决方案列表(可用),请联系您的红帽支持代表。
Valgrind 无法针对早期版本的 Open MPI 运行构建的程序
Red Hat Enterprise Linux 7.2 仅支持版本 1.10 中的 Open MPI 应用程序二进制接口(ABI),它与之前提供的 Open MPI ABI 版本不兼容。因此,针对早期版本的 Open MPI 构建的程序无法在 Red Hat Enterprise Linux 7.2 中包含的 Valgrind 下运行。要临时解决这个问题,在与 Open MPI 版本 1.6 相关联的程序中使用 Red Hat Developer Toolset 版本 Valgrind。
GCC confuse SystemTap 生成的复合功能
GCC 优化可以为其他函数的部分内联副本生成复合函数。这些复合函数类似于第一类功能和混淆工具,如 SystemTap 和 GDB,因为 SystemTap 探测可以放在复合和实际功能入口点上。这可能导致每个底层功能调用有多个 SystemTap 探测命中。
要临时解决这个问题,SystemTap 脚本可能需要采用计数器,如检测递归和阻止与内联部分功能相关的探测。例如,以下脚本:
probe kernel.function("can_nice").call { }
可能会尝试避免描述的问题,如下所示:
global in_can_nice% probe kernel.function ("can_nice").call { in_can_nice[tid ()] ++; if (in_can_nice[tid ()] > 1){ next } \":\" real probe handler here rhncfg/ } probe kernel.function ("can_nice").return { in_can_nice[tid ()] --; } }
请注意,此脚本不会考虑所有可能的情况。例如,当丢失的 kprobes 或 kretprobes 或 genuine 预期递归时,它不会按预期工作。
ABRT 收集后端时生成的 SELinux AVC
如果新的、可选的 ABRT 功能允许从崩溃的进程收集回溯追踪,而不需要将 core-dump 文件写入磁盘(使用
/etc/abrt/plugins/CCpp.conf 配置文件中的 CreateCoreBacktrace 选项),则当 abrt-hook-ccpp 工具试图对崩溃进程使用 sigchld 访问时,会生成 SELinux AVC 消息。
GDB 即使将其报告为点击后仍保持监视点
在某些情况下,在 64 位 ARM 架构中,GDB 无法错误地保持监视点,即使将其报告为命中。这会产生第二个时间达到的观察点,只有硬件表示不再被识别为监视点,而是被打印为通用 SIGTRAP 信号。可以通过多种方式解决这个问题,并停止过度的 SIGTRAP 报告。
在达到监视点后看到 SIGTRAP 时,QTi 类型 将继续。
Ice 指示 GDB 忽略 SIGTRAP 信号,方法是在
~/.gdbinit 配置文件中添加以下行:
处理 SIGTRAP nostop noprint
Dan 使用软件监视点而不是它们的硬件等效点。请注意,在软件监视点时调试非常慢,只有 watch 命令可用(不 rwatch 或 awatch)。在您的
~/.gdbinit 配置文件中添加以下行:
set can-use-hw-watchpoints 0
使用 grubaa64.efi 引导失败
由于 pxeboot 或 PXE 配置文件中的问题,使用 7.2 grubaa64.efi 引导装载程序安装 Red Hat Enterprise Linux 7.2 会失败或遇到引导操作系统时出现显著延迟。作为临时解决方案,在安装 Red Hat Enterprise Linux 7.2 时,使用 7.1 grubaa64.efi 文件而不是 7.2 grubaa64.efi 文件。
GCC 中的 MPX 功能需要 libmpx 库的 Red Hat Developer Toolset 版本
libmpx 包装程序库在 libmpx 库的 gcc-libraries 版本中缺失。因此,内存保护扩展(MPX)功能在 GCC 中可能无法正常工作,应用程序可能无法正确链接。要临时解决这个问题,请使用 libmpx 库的 Red Hat Developer Toolset 4.0 版本。
第 34 章 Desktop
损坏的 pygobject3 软件包依赖项会阻止从 Red Hat Enterprise Linux 7.1 升级
pygobject3-devel.i686 32 位软件包已在 Red Hat Enterprise Linux 7.2 中删除,并替换为 multilib 版本。如果您在 Red Hat Enterprise Linux 7.1 系统中安装了 32 位的软件包版本,那么在尝试升级到 Red Hat Enterprise Linux 7.2 时会出现 yum 错误。
要临时解决这个问题,以
root 用户身份使用 yum remove pygobject3-devel.i686 命令,在升级系统前卸载软件包的 32 位版本。
为 Emacs 没有正确定义构建要求
binutils 软件包早于 2.23.52.0.1-54 版本,这会导致构建期间出现分段错误。因此,无法在 IBM Power Systems 上构建 Emacs 文本编辑器。要临时解决这个问题,请安装最新的 binutils。
在组合笔记本电脑 un/dock 和 suspend 时外部显示问题
在 GNOME 桌面环境中,在撤销并再次切换后,在恢复暂停的笔记本电脑时,外部显示连接到 docking 站可能无法自动激活。
要临时解决这个问题,请打开 Displays 配置面板,或者在终端中运行 xrandr 命令。这使得外部显示再次可用。
当使用 ARM 上的 up 箭头时 emacs 有时意外终止
在 ARM 架构中,在滚动文件缓冲区时,Emacs 文本编辑器有时会意外终止并出现分段错误。
第 35 章 安装和引导
当在 Kickstart 文件中指定 %packages --nobase --nocore 时,安装会失败并出现回溯信息
使用包含 %packages 部分的 Kickstart 文件,并同时指定 --nobase 和 --nocore 选项会导致安装因为缺少 yum-langpacks 软件包而失败,并显示回溯信息。
要临时解决这个问题,在 Kickstart 文件中使用 %packages --nobase --nocore 时,在 %packages 部分添加 yum-langpacks 软件包。
如果 Kickstart 中指定的 root 密码没有传递策略要求,则安装无法进行
如果您使用定义 root 密码的 Kickstart 文件,且密码没有完全填充 Security Policy spoke 中选择的安全策略的要求,您将无法完成安装。
Begin Installation 按钮将被灰掉,在按此按钮前无法手动更改 root 密码。
要临时解决这个问题,请确保您的 Kickstart 文件使用足够强大的密码来传递由所选安全策略定义的要求。
救援模式无法在 Btrfs 上检测并挂载 root 卷
安装程序救援模式(从安装介质引导菜单或使用 inst.rescue 引导选项访问)无法检测位于 Btrfs 子卷上的
/ (root)目录的现有系统。相反,会显示一条错误消息,指出"You don"没有任何 linux 分区。
要临时解决这个问题,请输入 shell 并手动挂载 root 卷。
Initial Setup 中的窗口标题错误
Initial Setup 工具会在第一次引导安装后自动显示,它允许您配置网络连接和注册您的系统,在窗口标题中显示字符串
__main__.py。
这是一个一致的问题,对可用性没有负面影响。
在 IBM System z 上的 FBA DASD 中重新安装会导致安装程序崩溃
当使用修复的块存储(FBA) DASD 在 IBM System z 上重新安装 Red Hat Enterprise Linux 7 时,安装程序会因为这些设备的支持不完整而崩溃。
要临时解决这个问题,请通过将任何 FBA DASD 放置到设备忽略列表中,确保在安装过程中不存在任何 FBA DASD。这应该在启动安装程序前完成。在 root shell 中,使用 chccwdev 命令,后跟 cio_ignore 命令离线地切换设备,然后将它们添加到设备忽略列表中。
另外,您可以在开始安装前从 CMS 配置文件或参数文件中删除所有 FBA DASD 设备 ID。
在 IBM System z 上安装后,HyperPAV 别名不可用
已知问题可防止在安装完成后配置为 HyperPAV 别名的 DASD 自动附加到系统。这些存储设备在安装过程中位于 Installation Destination 屏幕中,但在安装完成后无法立即访问它们。
要临时解决这个问题(不需要下一次重启),请使用 chccwdev 命令从设备黑名单中删除这些设备:
# chccwdev -e <devnumber>
要使 HyperPAV 别名在重启后永久可用,请将其设备号添加到
/etc/dasd.conf 配置文件中。
您可以使用 lsdasd 命令来验证这些设备是否可用。
IBM System z 上生成的 anaconda-ks.cfg 文件无法用于重新安装系统
anaconda-ks.cfg 文件是系统安装过程中生成的 Kickstart 文件,其中包含在安装过程中进行的所有选择,以十进制数字表示 IBM System z DASD。这是因为 DASD 报告 4KiB 校准,这会导致计算的磁盘大小不正确,因为它们记录在 Kickstart 文件中,因为只接受整数值。因此,无法重新使用生成的 Kickstart 文件来重现安装。
使用 IBM System z 上的
anaconda-ks.cfg 文件重新安装系统,您需要手动将中的所有十进制值改为整数。
安装过程中可能的 NetworkManager 错误消息
安装系统时,会显示并记录以下出错信息:
ERR NetworkManager: <error> [devices/nm-device.c:2590] activation_source_schedule (): (eth0): activation stage already scheduled
错误消息不应阻止安装完成。
InfiniBand Support 软件包组中缺少软件包 libocrdma
libocrdma 软件包不包含在 InfiniBand 支持组的默认软件包集中。因此,当用户选择 InfiniBand Support 组,并预期 RDMA over Converged Ethernet (RoCE)在 Emulex OneConnect 适配器(必需驱动程序 libocrdma )上工作。
在第一次引导时,用户可以通过发出这个命令手动安装缺少的软件包:
evince yum install libocrdma
或者,将 libocrdma 软件包添加到 Kickstart 文件的 %packages 部分。
现在,用户可以在 RoCE 模式中使用 Emulex OneConnect 设备。
/boot 分区的大小不足可能会阻止系统升级
如果安装了多个内核和 kernel-debug 等附加软件包,则包含安装的内核和初始 ram 磁盘的 /boot 分区可能会变得满。这是因为此分区的默认大小被设置为 500 MB,并防止系统升级。
作为临时解决方案,如果您不需要,使用 yum 删除旧的内核。如果您要安装新系统,您还应考虑这种情况,并将 /boot 分区设置为较大的大小(如 1 GB),而不是默认值(500 MB)。
如果一个或多个磁盘缺少标签,则多路径设备中安装会失败
当在多路径设备上安装时,如果无法读取一个或多个作为多路径成员的磁盘,安装程序可能会显示错误对话框。此问题是由一个或多个磁盘缺少磁盘标签造成的,如果发生,安装将无法进行。
要临时解决这个问题,请在所有作为安装过程中使用的多路径设备一部分的磁盘标签创建磁盘标签。
如果在 %pre 脚本中定义主机名,则 Kickstart 中的静态 IPv4 配置会被覆盖
当在 Kickstart 文件的 %pre 部分中定义主机名时,仅设置主机名(" network --hostname=hn")的网络命令被视为使用默认 --bootproto 值("dhcp")和默认 --device 值("link" 的设备,即第一个带有链接找到的设备)。Kickstart 然后的行为就像使用 network --hostname=hn --device=link 一样。
如果设备被视为 --device 选项的默认设备(找到第一个带有链接的设备)已被配置为使用静态 IPv4 配置(例如,在前面的 network 命令中),则由 IPv4 DHCP 选项表示的 IPv4 DHCP 选项覆盖 配置。
要临时解决这个问题,请确保首先使用定义主机名 的网络 命令,并在以后使用第二个网络命令。
如果定义主机名 的网络 命令是 Kickstart 文件中唯一的此类命令,请使用不存在的接口(如 network --hostname=hn --device =x )添加 --device选项。
在 Kickstart 中使用 realm 命令会导致安装程序崩溃
已知问题可防止在 Kickstart 文件中使用 realm 命令。在安装过程中尝试使用此命令加入 Active Directory 或 Identity Management 域会导致安装程序崩溃。
要临时解决这个问题,您可以等待安装完成并手动加入域,或者您可以将 realm join < realm name> 命令添加到 Kickstart 文件的 %post 部分。有关使用命令行加入域的详情,请查看
realm (8) 手册页。
系统升级过程中不会更新安装程序内置帮助
当从 Red Hat Enterprise Linux 7.1 升级到 7.2 时,Anaconda 安装程序( anaconda-user-help 软件包)的内置帮助不会升级,因为打包有显著变化。
要临时解决这个问题,在执行升级前使用 yum 删除 anaconda-user-help 软件包,并在升级到 Red Hat Enterprise Linux 7.2 后再次安装它。
grubby 生成的引导菜单条目的顺序不正确
grubby 工具用于修改和更新 GRUB2 引导装载程序配置文件,可以在生成引导菜单配置文件时在列表的顶部添加调试引导菜单条目。然后,这些调试菜单条目会导致推送正常条目,虽然它们仍然被突出显示并被默认突出显示并选择。
同时使用多个驱动程序更新镜像仅应用最后一个驱动程序更新镜像
当尝试使用 inst.dd=/dd.img 引导选项在安装过程中执行驱动程序更新时,并多次指定一次来加载多个驱动程序更新镜像,Anaconda 将忽略参数的所有实例,但最后一个实例除外。
要临时解决这个问题,您可以:
在可能的情况下,在安装后安装附加驱动程序
Tailoring 使用替代方法指定驱动程序更新镜像,如 driverdisk Kickstart 命令
ACTIVE 将多个驱动程序更新镜像组合成一个镜像
当安装程序检测到 LDL 格式的 DASD 时崩溃
每当在 IBM System z 上的一个或多个 DASD 上检测到 LDL (Linux 磁盘布局)格式时,安装程序会崩溃。崩溃是由
libparted 库中的一个竞争条件造成的,即使这些 DASD 没有选为安装目标。其他架构不受此问题的影响。
如果要在安装过程中使用 LDL DASD,用户在启动安装程序前,用户应该使用 root shell 中的 dasdfmt 命令手动将每个 LDL DASD 重新格式化为 CDL (可组合磁盘布局)。
如果系统中存在 LDL DASD,且用户不希望在安装过程中使用它们,则应将它们放在安装过程持续时间内的设备忽略列表中。这应该在启动安装程序前完成。在 root shell 中,用户应使用 chccwdev 命令,后跟 cio_ignore 命令来离线设备,然后将它们添加到设备忽略列表中。
或者,您可以在开始安装前从 CMS 配置文件或参数文件中删除所有 LDL DASD 设备 ID。
升级内核和 redhat-release 软件包后的内核 panic
安装 redhat-release-server-7.2-9.el7 和同一 Yum 事务中的 kernel 软件包会导致 GRUB2 配置的新内核菜单条目中缺少
initrd 行。尝试使用最新安装的内核引导,然后因为缺少 initrd 而导致内核 panic。当使用 yum update 将您的系统从早期次版本升级到 Red Hat Enterprise Linux 7.2 时,通常会出现此问题。
要临时解决这个问题,请确保在单独的 Yum 事务中升级 redhat-release-server 和 kernel 软件包。或者,您可以在 GRUB2 配置文件中找到新内核的菜单条目(在 BIOS 系统和
/boot/efi/EFI/redhat/grub.cfg 中的/boot/grub2/grub.cfg ),并手动添加 initrd。
initrd 配置行类似于
initrd /initramfs-3.10.0-327.el7.x86_64.img。确保文件名与在同一菜单条目中配置的内核(vmlinuz)匹配,并且文件存在 /boot 目录。使用旧的菜单条目进行参考。
初始设置可能会以文本模式启动,即使安装了图形环境
Initial Setup 工具在安装完成后启动,并首次引导安装的系统,在某些情况下,在图形环境可用的系统上以文本模式启动,并且初始设置的图形化版本应该启动。这是因为同时启用 Initial Setup 的图形和文本模式服务所致。
要临时解决这个问题,您可以在安装过程中使用 Kickstart 文件,并包含一个
%post 部分来禁用您不想运行的 Initial Setup 版本。
要确保 Initial Setup 的图形变体在安装后运行,请使用以下
%post 部分:
%post systemctl disable initial-setup-text.service systemctl enable initial-setup-graphical.service %end
如果要启用 Initial Setup 的文本模式变体,请切换 启用和禁用 命令来禁用图形服务并启用文本模式。
ldconfig.service删除到 /lib/ 和 /lib64/ 中非 root 文件系统的链接
Red Hat Enterprise Linux 7.2 引入了
ldconfig.service,它在挂载非 root 文件系统前在引导过程的早期阶段运行。当 ldconfig.service 运行时,如果 /lib/ 和 /lib64/ 目录中的链接指向尚未挂载的文件系统,则它们会被删除。要临时解决这个问题,请使用 systemctl mask ldconfig 命令禁用 ldconfig.service,因此这些符号链接不再被删除,系统会如预期引导。
在升级到 Red Hat Enterprise Linux 7.2 后,使用 IPC 的守护进程会意外终止
在 Red Hat Enterprise Linux 7.2 中引入了一个新的
systemd 功能:清理所有分配的进程间通信(IPC)资源,以及用户完成的最后一个会话。会话可以是管理 cron 作业或交互式会话。此行为可能会导致在同一用户下运行守护进程,并使用同一资源意外终止。要临时解决这个问题,请编辑文件 /etc/systemd/logind.conf 并添加以下行:
RemoveIPC=no
然后执行以下命令,以便更改生效:
systemctl restart systemd-logind.service
执行这些步骤后,守护进程在上述情况下不再崩溃。
第 36 章 内核
无法调整一些 ext4 文件系统的大小
由于 ext4 代码中的一个错误,目前无法调整具有 1 KB 块大小并小于 32MB 的 ext4 文件系统的大小。
使用启用了 iSER 的 iSCSI 目标重复连接丢失
当使用服务器作为启用了 iSER 的 iSCSI 目标时,会重复发生连接丢失,目标可能会停止响应,内核会变得无响应。要临时解决这个问题,请最小化 iSER 连接丢失或恢复到非iSER iSCSI 模式。
安装程序不会检测 EDD 系统中以太网磁盘的光纤通道
在 EDD 系统中,因为缺少
edd 驱动程序,Anaconda 不会自动检测 FCoE 磁盘。这使得这样的磁盘在安装过程中不可用。
要临时解决这个问题,请执行以下步骤:
在安装过程中,在内核命令行中将 fcoe=edd:nodcb 添加到内核命令行中,Anaconda 将检测到 FCoE 磁盘。
fcoe 将 fcoe=edd:nodcb 添加到救援镜像,并使用它引导系统。
执行以下命令,将 edd 模块添加到 initrd 镜像中:
#dracut --regenerate-all -f
#dracut --add-drivers edd /boot/initramfs-3.10.0-123.el7.x86_64.img
使用默认的引导菜单条目重启系统
在某些情况下,NUMA 平衡无法正常工作
Linux 内核 Non-Uniform Memory Access (NUMA)平衡在 Red Hat Enterprise Linux 7 中的以下条件下无法正常工作。当设置了
numa_balancing 选项时,一些内存可以在移至受限节点前移到任意非目标节点,目标节点上的内存也会降低。当前还没有已知的临时解决方案。
禁用 PSM2 MTL,以避免 PSM 和 PSM2 API 间的冲突
新的 libpsm2 软件包提供了用于 Intel Omni-Path 设备的 PSM2 API,与 infinipath-psm 软件包安装的 Performance Scaled Messaging (PSM) API 重叠,用于 Truescale 设备。当两个软件包提供的库链接到库时,API 重叠会导致未定义的行为。如果它启用了 MCA 模块的集合包括
psm2 匹配传输层安全(MTL),以及直接或间接依赖于 infinipath-psm 软件包中的 libpsm_infinipath.so.1 库,则此问题会影响 Open MPI。
为避免 PSM 和 PSM2 API 冲突,Open MPI 的
psm2 MTL 在 /etc/openmpi the/openmpi-mca-params.conf 配置文件中被默认禁用。如果您启用它,您需要禁用 psm 和 i MTLs 和与它冲突的 usnic Byte Transfer Layer (BTL) (也会在配置文件中提供注释)。
libpsm2-compat-devel 和 infinipath-psm-devel 软件包之间存在打包冲突,因为它们都包含 PSM 头文件。因此,无法同时安装两个软件包。要安装,请卸载另一个。
perf 工具的性能问题
perf archive 命令创建带有在
perf.data 文件中带有构建 ID 的对象文件归档,在 IBM System z 上需要很长时间才能完成。目前,不存在已知的临时解决方案。其他架构不会受到影响。
qlcnic 无法通过绑定实现
某些绑定模式在 qlcnic 驱动程序无法正确识别的设备上设置 MAC 地址。这可防止设备在从绑定中删除时恢复其原始 MAC 地址。
作为临时解决方案,请取消 qlcnic 驱动程序并重新引导您的操作系统。
在某些 64 位 ARM Applied Micro 机器上安装失败
Red Hat Enterprise Linux 7.2 无法通过 Applied Micro 在某些 64 位 ARM 系统上安装,并显示以下错误消息:
无法在虚拟地址 0000033f 上处理 kernel NULL pointer dereference
目前,这个问题还没有临时解决方案。
libvirt 管理 VFIO 设备可能会导致主机崩溃
主机 PCI 设备的
libvirt 管理(分配给使用 VFIO 驱动程序的客户机)可能会导致主机内核驱动程序和 vfio-pci 驱动程序绑定到同一 IOMMU 组中的设备。这是一个无效的状态,可能会导致主机意外终止。
现在,如果同一 IOMMU 组中存在任何其他设备,则这个临时解决方案是从客户机热拔 VFIO 设备。
使用 iSCSI 和 IPv6 安装会挂起 15 分钟
如果启用了 IPv6,则 dracut 在尝试连接到指定的 iSCSI 服务器 15 分钟后超时。最后,Dracut 成功连接并按预期继续;但是,为了避免延迟,请在安装程序的命令行中使用
ip=eth0:auto6。
i40e NIC freeze
使用旧的固件时,在进入 promiscuous 模式后,使用 i40e 驱动程序的网卡在大约十秒内不可用。要避免这个问题,请更新固件。
i40e 正在发出 WARN_ON
i40e 驱动程序在环大小更改过程中发出 WARN_ON 宏,因为代码正在克隆 rx_ring struct,但在分配新内存前不会归零指针。请注意,这个警告对您的系统有害。
netprio_cgroups 没有在引导时挂载
目前,systemd 将 /sys/fs/cgroup/ 目录挂载为只读,这样可防止 /sys/fs/cgroup/net_prio/ 目录的默认挂载。因此,netprio_cgroups 模块不会在引导时挂载。要临时解决这个问题,请使用 mount -o remount 命令,后跟 rw -t cgroup nodev /sys/fs/cgroups。这样可以手动安装基于模块的 cgroups。
第 37 章 网络
Red Hat Enterprise Linux 7.2 内核中没有启用超时策略
Red Hat Enterprise Linux 7.2 不支持 nfct timeout 命令。作为临时解决方案,请使用
/proc/sys/net/netfilter/nf_conntrackHQ_timeout114 中提供的全局超时值来设置超时值。
在 Red Hat Enterprise Linux 7 中禁用了使用 MD5 hash 算法验证签名的功能
无法连接到任何需要 MD5- 签名证书的 Wi-Fi Protected Access (WPA) Enterprise Access Point (AP)。要临时解决这个问题,将
wpa_supplicant.service 文件从 /usr/lib/systemd/system/ 目录复制到 /etc/systemd/system/ 目录中,并将以下行添加到文件的 Service 部分:
Environment=OPENSSL_ENABLE_MD5_VERIFY=1
然后,以 root 用户身份运行 systemctl daemon-reload 命令来重新加载服务文件。
重要
请注意,MD5 证书非常不安全,红帽不推荐使用它们。
第 38 章 存储
不支持集群中 RAID 上的精简置备
虽然 RAID 逻辑卷和精简置备的逻辑卷可以在只激活时在集群中使用,但目前不支持集群中的 RAID 上的精简置备。即使组合被单独激活,也是如此。目前,只有 LVM 的单个机器非集群模式才支持这个组合。
在使用精简配置时,如果达到容量,则可能会丢失对 thin-pool 的缓冲的写入
如果精简池被填充到容量,则可能会丢失一些写入,即使池在该时间正在增大。这是因为,调整大小操作(即使自动操作)会在执行调整大小前试图将未完成的 I/O 刷新到存储设备。由于 thin-pool 中没有空间,因此必须先出错 I/O 操作,以允许增长成功。精简池增加后,与 thin-pool 关联的逻辑卷将返回正常操作。
作为临时解决方案,请根据您的 lvm.conf 文件中的需要设置 'thin_pool_autoextend_threshold' 和 'thin_pool_autoextend_percent'。不要设置阈值,因此您的精简池会达到全容量,因此可以快速让它无法自动扩展(如果您首选),请手动扩展。如果您不使用过度置备(在支持精简池大小的过量逻辑卷中重新创建逻辑卷),则准备好根据需要删除快照(如果 thin-pool 开始接近容量)。
第 39 章 系统和订阅管理
Subscription Manager add-on for Initial Setup 中的 Non-working Back 按钮
Initial Setup 工具的 Subscription Manager 附加组件的第一个面板中的 Back 按钮无法正常工作。要临时解决这个问题,请点击 Initial Setup 顶部的 Done 来退出注册工作流。
virt-who 无法将 host-to-guest 关联改为 Candlepin 服务器
在添加、删除或迁移客户机时,virt-who 工具目前无法发送主机到客户机映射,并将 RateLimitExceedException 错误输出到日志文件。要临时解决这个问题,将 /etc/sysconfig/virt-who 文件中的 VIRTWHO_INTERVAL= 参数设置为一个大数,如 600。这允许正确更改映射,但会导致处理主机到客户机映射中的更改需要更长的时间。
ReaR 无法在 IBM System z 上创建 ISO
ReaR 无法在 IBM System z 系统中创建 ISO 镜像。要临时解决这个问题,请使用与 ISO 不同的救援系统。
ReaR 只在系统恢复过程中支持 grub
ReaR 仅支持 grub 引导装载程序。因此,ReaR 无法使用不同的引导装载程序自动恢复系统。值得注意的是,Powerpc 机器上的 ReaR 尚不支持 yaboot。要临时解决这个问题,请手动编辑引导装载程序。
第 40 章 虚拟化
KVM 中有问题的 GRUB 2 导航
当通过 KVM 使用串行控制台时,在延长时间内保存一个箭头键,以便在 GRUB 2 菜单中导航会导致错误的行为。要临时解决这个问题,请避免因为更长时间停机的箭头键导致的快速输入。
在 Hyper-V 客户机上重新定义 GUID 分区表(GPT)磁盘大小会导致分区表错误
如果最后一次分区后有可用空间,则 Hyper-V 管理器支持通过允许用户丢弃磁盘中的未使用部分来缩小客户机上的 GPT 分区磁盘。但是,此操作会静默删除磁盘上的二级 GPT 标头,这可能会在客户机检查分区表时触发错误消息(例如 parted (8))。这是 Hyper-V 的一个已知的限制。
要临时解决这个问题,可以在缩小 GPT 磁盘后,使用 localectl (8)专家命令 e 手动恢复二级 GPT 标头。在使用 Hyper-V 的 Expand 选项时也会发生这种情况,但也可以使用 parted (8)工具修复。
使用 virsh iface-bridge 创建网桥失败
当从网络以外的其他源安装 Red Hat Enterprise Linux 7 时,默认不会在接口配置文件中指定网络设备名称(这通过 DEVICE= 行完成)。因此,使用 virsh iface-bridge 命令创建网桥会失败,并显示错误消息。要临时解决这个问题,请将 DEVICE= 行添加到 /etc/sysconfig/network-scripts/ifcfg the 文件中。
QEMU 模拟的 CAC 智能卡与 ActivClient 软件不兼容
目前,ActivClient 软件不接受使用 QEMU 模拟的通用访问卡(CAC)智能卡。要临时解决这个问题,请禁用 pcscd 守护进程,置备 Windows KVM 客户机,在 virt-viewer 工具中预配置它,选择 USB 重定向选项,安装 ActivClient 软件并重启 KVM 客户机。在这个版本中,ActivClient 接受模拟的 CAC 卡。
virtio-win VFD 文件不包含 Windows 10 驱动程序
由于软盘大小的限制,virtio-win 软件包中的虚拟软盘磁盘(VFD)文件不包含 Windows 10 文件夹。如果用户需要从 VFD 安装 Windows 10 驱动程序,他们可以使用 Windows 8 或 Windows 8.1 驱动程序。或者,也可以通过 /usr/share/virtio-win/ 目录中的 ISO 文件安装 Windows 10 驱动程序。
迁移的客户机不显示串行控制台中的引导菜单
在 Red Hat Enterprise Linux 6 上创建的虚拟机(VM)没有图形卡(比如使用带有 --graphics none 选项的 virt-install 工具创建的虚拟机)不会在迁移到 Red Hat Enterprise Linux 7 主机后在串行控制台上显示引导菜单。要临时解决这个问题,将 <bios useserial='yes'/> 行添加到 domain.xml 文件中,该文件允许引导菜单按预期显示。
请注意,如果以这种方式修改了 XML 文件,则不应在 Red Hat Enterprise Linux 6.6 或更早版本使用,因为这些文件不会从 BZ39)62759 引入的更改中受益。
附录 A. 组件版本
本附录是 Red Hat Enterprise Linux 7.2 发行版本中的组件及其版本列表。
表 A.1. 组件版本
|
组件
|
版本
|
|---|---|
|
内核
|
3.10.0-327
|
|
QLogic
qla2xxx 驱动程序
|
8.07.00.18.07.2-k
|
|
QLogic
qla4xxx 驱动程序
|
5.04.00.00.07.02-k0
|
|
Emulex
lpfc 驱动程序
|
0:10.7.0.1
|
|
iSCSI initiator utils
|
iscsi-initiator-utils-6.2.0.873-32
|
|
DM-Multipath
|
device-mapper-multipath-0.4.9-85
|
|
LVM
|
lvm2-2.02.130-5
|
附录 B. 修订历史记录
| 修订历史 | ||||
|---|---|---|---|---|
| 修订 0.0-1.60 | Mon Oct 07 2019 | Jiří Herrmann | ||
| ||||
| 修订 0.0-1.59 | Mon Feb 04 2019 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.58 | Tue Feb 06 2018 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.57 | Mon Oct 30 2017 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.56 | Fri Jul 14 2017 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.55 | Tue Feb 14 2017 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.53 | Fri Oct 21 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.52 | Fri Sep 23 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.50 | Mon Sep 19 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.49 | Tue Sep 13 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.48 | Thu Aug 04 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.47 | Mon Aug 01 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.46 | Thu Jul 11 2016 | Yoana Ruseva | ||
| ||||
| 修订 0.0-1.45 | Fri Jul 08 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.44 | Thu Jun 23 2016 | Yoana Ruseva | ||
| ||||
| 修订 0.0-1.43 | Wed Jun 22 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.42 | Mon Jun 13 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.41 | Fri Jun 10 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.40 | Mon Jun 06 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.38 | Thu May 19 2016 | Yoana Ruseva | ||
| ||||
| 修订 0.0-1.37 | Thu May 12 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.36 | Thu Apr 21 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.35 | Wed Apr 13 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.34 | Thu Mar 31 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.33 | Mon Mar 28 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.32 | Mon Feb 29 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.31 | Tue Feb 23 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.30 | Tue Feb 16 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.29 | Thu Feb 11 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.28 | Tue Jan 26 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.27 | Tue Jan 19 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.26 | Wed Jan 13 2016 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.25 | Thu Dec 10 2015 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.22 | Wed Dec 02 2015 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.21 | Thu Nov 19 2015 | Lenka Špačková | ||
| ||||
| 修订 0.0-1.4 | Mon Aug 31 2015 | Laura Bailey | ||
| ||||
法律通告
Copyright © 2015-2019 Red Hat, Inc.
本文档由红帽根据 Creati ve Commons Attribution-ShareAlike 3.0 Unported License 许可。如果您发布本文档或修改的版本,则必须向 Red Hat, Inc. 提供相关内容,并提供到原始链接。如果修改了文档,则必须删除所有红帽商标。
作为本文档的许可者,红帽可能会放弃强制制执行 CC-BY-SA 第4d 条款,且不声明该条款在适用条款允许的最大限度内有效。
Red Hat、Red Hat Enterprise Linux、SVVP 徽标、红帽徽标、JBoss、OpenShift、Fedora、Infinity 商标,Red Hat, Inc. 在美国和其他国家的注册商标。
Linux® 是 Linus Torvalds 在美国和其它国家的注册商标。
Java® 是 Oracle 和/或其关系的注册商标。
XFS® 是 Silicon 图形国际公司或其子公司在美国和/或其他国家的商标。
MySQL® 是美国、英国和其他国家的 MySQL AB 注册商标。
Node.js® 是 Joyent 的官方商标。红帽与官方 Joyent Node.js 开源社区或商业项目没有正式关联。
OpenStack® Word Mark 和 OpenStack 徽标是 OpenStack Foundation 在美国及其他国家的注册商标/服务标记或商标/服务标记,可根据 OpenStack Foundation 授权使用。我们不附属于 OpenStack Foundation 或 OpenStack 社区。
所有其他商标均由其各自所有者所有。