第 7 章 技术预览

本章列出了 Red Hat Enterprise Linux 7 中的所有技术预览。

如需有关红帽对技术预览功能支持范围的信息,请参阅技术预览功能支持范围

7.1. 常规更新

systemd-importd 虚拟机和容器镜像导入和导出服务

最新的 systemd 版本现在包含之前构建中没有启用的 systemd-importd 守护进程。因为缺少这个守护进程,以前的构建会导致 machinectl pull-* 命令失败。请注意,systemd-importd 守护进程是作为技术预览提供的,因此可能不稳定。

(BZ#1284974)

7.2. 认证和互操作性

容器化身份管理服务器作为技术预览

rhel7/ipa-server 容器镜像作为技术预览功能提供。请注意,rhel7/sssd 容器镜像现已获得全面支持。

详情请参阅使用容器化身份管理服务

(BZ#1405325)

DNSSEC 在 IdM 中作为技术预览提供

带有集成 DNS 的身份管理(IdM)服务器现在支持 DNS 安全扩展(DNSSEC),这是一组增强 DNS 协议安全性的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。

建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档:

请注意,集成了 DNSSEC 的 IdM 服务器验证从其他 DNS 服务器获取的 DNS 答案。这可能会影响没有按照 Red Hat Enterprise Linux 网络指南 中推荐的命名方法配置的 DNS 区域可用性。

(BZ#1115294)

身份管理 JSON-RPC API 作为技术预览提供

一个 API 可用于 Identity Management(IdM)。要查看 API,IdM 还提供了一个 API 浏览器作为技术预览。

在 RHEL 7.3 中,IdM API 被改进来启用多个 API 命令版本。在以前的版本中,增强功能可能会以不兼容的方式改变命令的行为。用户现在可以继续使用已有的工具和脚本,即使 IdM API 发生了变化。这可启用:

  • 管理员要在服务器中使用之前或更高版本的 IdM,而不是在管理客户端中使用。
  • 开发人员使用 IdM 调用的特定版本,即使 IdM 版本在服务器上发生了变化。

在所有情况下,与服务器进行通信是可能的,无论是否一方使用,例如,一个新的版本会为这个功能引进新的选项。

有关使用 API 的详情,请查看相关的知识库文章

(BZ#1298286)

将 IdM 设置为隐藏的副本现在作为技术预览提供

这个增强可让管理员将 Identity Management(IdM)副本设置为隐藏的副本。隐藏的副本是一个 IdM 服务器,它具有所有运行的服务并可用。但是,因为在 DNS 中没有服务的 SRV 记且 LDAP 服务器角色没有启用,它不会被公告到其他客户端或 master。因此,客户端无法使用服务发现来检测隐藏的副本。

隐藏副本主要针对可能会破坏客户端的专用服务设计。例如,IdM 的完整备份需要关闭 master 或副本中的所有 IdM 服务。因为没有客户端使用隐藏的副本,管理员可以在不影响任何客户端的情况下暂时关闭这个主机上的服务。其他用例包括 IdM API 或 LDAP 服务器上的高负载操作,如大量导入或广泛查询。

要安装新隐藏的副本,请使用 ipa-replica-install --hidden-replica 命令。要更改现有副本的状态,使用 ipa server-state 命令。

(BZ#1518939)

使用 AD 和 LDAP sudo 供应商

Active Directory(AD)供应商是用来连接到 AD 服务器的后端。从 RHEL 7.2 开始,将 AD sudo 供应商和 LDAP 供应商作为技术预览提供。要启用 AD sudo 供应商,在 sssd.conf 文件的 [domain] 部分添加 sudo_provider=ad 设置。

(BZ#1068725)

Custodia secret 服务供应商作为技术预览提供

作为技术预览,您可以使用 Custodia,它是一个 secret 服务供应商。Custodia 可以存储或充当 secret(如密钥或密码)的代理。

详情请查看上游文档 http://custodia.readthedocs.io

请注意,自 Red Hat Enterprise Linux 7.6 开始,Custodia 已被弃用。

(BZ#1403214)

7.3. 集群

corosync-qdevice 中的 Heuristics 作为技术预览

Heuristics 是一组在启动、集群成员资格更改、成功连接到 corosync-qnetd 时本地执行的命令,以及可选的定期执行的命令。当所有命令及时成功完成(返回的错误代码为零),代表 heuristics 通过,否则代表失败。Heuristics 结果发送到 corosync-qnetd,在计算时用来决定哪个分区应该是 quorate。

(BZ#1413573)

新的 fence-agents-heuristics-ping 隔离代理

作为技术预览,Pacemaker 现在支持 fence_heuristics_ping 代理。这个代理旨在打开一组实验性保护代理,它们本身没有实际隔离,而是以新的方式利用隔离级别。

如果 heuristics 代理的配置与用于实现实际隔离代理有相同的隔离级别,但在代理之前配置,隔离会在试图进行隔离前,在 heuristics 代理上发出一个 off 操作。如果 heuristics 代理给出了 off 操作的一个负结果,则代表隔离不成功,从而导致 Pacemaker 隔离跳过对实现隔离的代理发出 off 动作的步骤。heuristics 代理可以利用这个行为来防止实际上进行隔离的代理在特定情况下隔离节点。

用户可能希望使用这个代理,特别是在双节点集群中,如果节点可以预先知道无法正确接管该服务,则节点可以隔离这个代理。例如,如果节点在网络连接链接出现问题,使服务无法访问客户端,则节点接管服务可能不真实。在这种情况下,向路由器的 ping 可能会探测到这个情况。

(BZ#1476401)

pcs 工具现在管理 Pacemaker 中的捆绑包资源

从 Red Hat Enterprise Linux 7.4 开始,Pacemaker 作为技术预览提供。Pacemaker 支持一个特殊的语法,用于启动 Docker 容器,并带有其所需的基础架构:捆绑包(bundle)。创建 Pacemaker 捆绑包后,您可以创建捆绑包封装的 Pacemaker 资源。有关容器的 Pacemaker 支持的详情,请参考 https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/high_availability_add-on_reference/

其中一个功能例外于技术预览:从 RHEL 7.4 开始,红帽完全支持在 Red Hat Openstack Platform(RHOSP)部署中使用 Pacemaker 捆绑包。

(BZ#1433016)

新的 LVM 和 LVM 锁定管理器资源代理

作为技术预览,Red Hat Enterprise Linux 7.6 引入了两个新的资源代理: lvmlockdLVM-activate

LVM-activate 代理提供通过多种方法在整个集群中管理 LVM 的选择:

  • tagging:与现有 lvm 资源代理 tagging 相同
  • clvmd:与现有 lvm 资源代理的 clvmd 相同
  • 系统 ID:使用系统 ID 进行卷组故障切换的新选项(标记替代方法)。
  • lvmlockd:使用 lvmlockddlm 进行卷组共享的新选项( clvmd替代)。

LVM-activate 被配置为使用 lvmlockd 时,新的 lvmlockd 资源代理用于启动 lvmlockd 守护进程。

有关 lvmlockd 和 LVM 激活资源代理的详情请参考 PCS 帮助页面。有关使用 lvmlockd 设置 LVM 的详情请参考 lvmlockd(8) man page。

(BZ#1513957)

7.4. Desktop

Wayland 作为技术预览提供

Wayland 显示服务器协议在 Red Hat Enterprise Linux 中作为技术预览提供,且在 GNOME 中启用 Wayland 支持所需的依赖软件包,它支持部分扩展。Wayland 使用 libinput 库作为其输入驱动程序。

以下功能当前不可用,或者无法正常工作:

  • 目前无法提供多个 GPU 支持。
  • NVIDIA 二进制驱动程序无法在 Wayland 下工作。
  • xrandr 实用程序因为它在处理、解析、轮转和布局方面采用不同的方法,所以它无法在 Wayland 下工作。
  • 屏幕记录、远程桌面和可访问性并不总是可以在 Wayland 中正常工作。
  • 没有可用的剪贴板管理器。
  • 目前无法在 Wayland 下重启 GNOME Shell
  • Wayland 会忽略 X11 应用程序(如虚拟机查看器)发布的键盘获取请求。

(BZ#1481411)

部分扩展作为技术预览提供

从 Red Hat Enterprise Linux 7.5 开始,GNOME 作为技术预览提供部分扩展,以解决在 lo(scale 1)和 hi(scale 2)之间的中部显示的 DPI 的问题。

由于技术限制,部分缩放仅适用于 Wayland。

(BZ#1481395)

7.5. 文件系统

现在 ext4 和 XFS 作为技术预览提供文件系统 DAX

从 Red Hat Enterprise Linux 7.3 开始, Direct Access(DAX)作为技术预览提供了一个直接将持久内存映射到其地址空间的方法。

要使用 DAX,系统必须有某种可用的持久内存,通常使用一个或多个非线内存模块(NVDIMM),且必须在 NVDIMM 上创建支持 DAX 的文件系统。另外,该文件系统必须使用 dax 挂载选项挂载。然后,在 dax 挂载的文件系统中的一个文件 mmap 会把存储直接映射到应用程序的地址空间中。

(BZ#1274459)

pNFS 块布局现在可用

作为技术预览,Red Hat Enterprise Linux 客户端现在可以挂载 pNFS 与块布局功能共享。

请注意,红帽建议使用 pNFS SCSI 布局,该布局类似于块布局,但更易于使用。

(BZ#1111712)

OverlayFS

OverlayFS 是一种联合文件系统。它允许用户在一个文件系统上覆盖另一个文件系统。更改记录在上面的文件系统中,而较小的文件系统则未修改。这允许多个用户共享文件系统镜像,如容器或 DVD-ROM,基础镜像使用只读介质。详情请查看 Linux 内核文档

在大多数情况下,OverlayFS 仍是一个技术预览。因此,当这个技术被激活时,内核会记录警告信息。

与 Docker 一起使用时,在以下限制下可以对 OverlayFS 提供全面支持:

  • OverlayFS 仅支持作为 Docker 图形驱动程序。它只支持容器 COW 内容,而不适用于持久性存储。任何持久性存储都必须放在非 OverlayFS 卷中才能被支持。只能使用默认的 Docker 配置 ; 即,一个级别的 overlay,一个 lowerdir,且低级别和高级别都位于同一个文件系统中。
  • 目前只支持 XFS 作为较低层文件系统使用。
  • 在 Red Hat Enterprise Linux 7.3 及更早的版本中,必须在物理机器上启用 SELinux 并使用 enforcing 模式,但在执行容器分离时必须禁用 SELinux,即 /etc/sysconfig/docker 文件不得包含 --selinux-enabled。从 Red Hat Enterprise Linux 7.4 开始,OverlayFS 支持 SELinux 安全标签,您可以通过在 /etc/sysconfig/docker 中指定 --selinux-enabled 来启用对容器的 SELinux 支持。
  • OverlayFS 内核 ABI 和用户空间的行为被视为不稳定,并可能会在以后的版本中有所变化。
  • 为了使 yum 和 rpm 工具可以在容器中正常工作,用户应使用 yum-plugin-ovl 软件包。

请注意,OverlayFS 提供了一组受限的 POSIX 标准。在使用 OverlayFS 部署前,先测试您的应用程序。

请注意,必须在创建 XFS 文件系统时启用 -n ftype=1 选项以用作 overlay。使用 rootfs 和系统安装过程中创建的所有文件系统,在 Anaconda kickstart 中设置 --mkfsoptions=-n ftype=1 参数。当在安装后创建新文件系统时,运行 # mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE 命令。要确定现有文件系统是否有资格用作 overlay,请运行 # xfs_info /PATH/TO/DEVICE | grep ftype 命令查看是否启用了 ftype=1 选项。

在这个版本中,还有一些与 OverlayFS 相关的已知问题。详情请查看 Linux 内核文档中的 Non-standard behavior

(BZ#1206277)

Btrfs 文件系统

B-Tree 文件系统 Btrfs 在 Red Hat Enterprise Linux 7 中作为技术预览提供。

Red Hat Enterprise Linux 7.4 引入了对这个功能的最后计划更新。Btrfs 已被弃用,这意味着红帽将不会将 Btrfs 移到完全支持的功能,它将在以后的 Red Hat Enterprise Linux 主发行版本中删除。

(BZ#1477977)

7.6. 硬件启用

LSI 同步 CS HA-DAS 适配器

Red Hat Enterprise Linux 7.1 在 megaraid_sas 驱动中包括相应的代码,以启用 LSI Syncro CS high-availability direct-added storage(HA-DAS)适配器。虽然之前启用的适配器完全支持 megaraid_sas 驱动程序,但在 Syncro CS 中使用这个驱动程序作为一个技术预览可用。对这个适配器的支持由 LSI、您的系统集成程序或系统厂商直接提供。我们鼓励在 Red Hat Enterprise Linux 7.2 及更新的版本上部署 Syncro CS 的用户向红帽和 LSI 提供反馈意见。

(BZ#1062759)

tss2 为 IBM Power LE 启用 TPM 2.0

tss2 软件包添加了信任计算组软件 Stack(TSS)2.0 的 IBM 实现,作为 IBM Power LE 架构的技术预览。这个软件包允许用户与 TPM 2.0 设备交互。

(BZ#1384452)

ibmvnic 设备驱动程序作为技术预览

从 Red Hat Enterprise Linux 7.3 开始,IBM POWER 架构的 IBM Virtual Network Interface Controller(vNIC)驱动程序 ibmvnic 便已作为技术预览提供。vNIC 是一个提供企业功能并简化网络管理的 PowerVM 虚拟网络技术。这是一个高性能、高效的技术,当与 SR-IOV NIC 结合使用虚拟 NIC 级别的服务带宽控制功能时,vNIC 会显著降低虚拟化开销,从而减少延迟和减少网络虚拟化所需的服务器资源,包括 CPU 和内存。

在 Red Hat Enterprise Linux 7.6 中,ibmvnic 驱动程序升级至版本 1.0,它提供了大量的程序错误修复和增强。主要变更包括:

  • 以前请求的错误信息的代码已被删除,因为 VIOS(Virtual Input-Output)服务器不会提供错误 ID。
  • 错误报告已更新以包括原因字符串。因此,在恢复过程中,驱动程序将字符串归类为警告而不是错误。
  • 修复了登录失败时的错误恢复。
  • 迁移逻辑分区(LPAR)时在故障切换后发生的故障状态已被修复。
  • 驱动程序现在可以处理所有可能的登录响应返回值。
  • 如果已更改了 Transmit and Receive(Tx/Rx)队列,在故障切换或 Link Power Management(LPM)过程中发生的驱动程序崩溃已被修复。

(BZ#1519746)

igc 驱动程序作为技术预览

The Intel® 2.5G Ethernet Linux Driver(igc.ko.xz)作为技术预览提供。

(BZ#1454918)

ice 驱动程序作为技术预览提供

Intel® Ethernet Connection E800 Series Linux Driver(ice.ko.xz)作为技术预览提供。

(BZ#1454916)

7.7. 内核

eBPF 系统调用追踪

Red Hat Enterprise Linux 7.6 引进了扩展 Berkeley Packet Filter 工具(eBPF)作为技术预览。这个工具只为追踪子系统启用。详情请查看相关的红帽知识库文章

(BZ#1559615)

异构内存管理作为技术预览包含

Red Hat Enterprise Linux 7 作为技术预览引入了异构内存管理(HMM)功能。这个功能已添加为内核中的帮助层,用于将进程地址空间镜像到它们自己的内存管理单元(MMU)的设备。因此,非 CPU 设备处理器可以使用统一系统地址空间读取系统内存。要启用这个功能,请在内核命令行中添加 experimental_hmm=enable

(BZ#1230959)

kexec 作为技术预览

kexec 系统调用作为技术预览提供。这个系统调用启用从当前运行的内核载入并引导到另一个内核,从而从内核中执行引导装载程序的功能。在 kexec 引导过程中不会执行硬件初始化(通常在标准系统引导过程中完成),这可大大减少重启所需的时间。

(BZ#1460849)

kexec fast reboot 作为技术预览

kexec fast reboot 在 Red Hat Enterprise Linux 7.5 中引进,它仍作为技术预览提供。kexec fast reboot 使重启速度更快。要使用这个功能,您必须手动载入 kexec 内核,然后重启操作系统。

无法将 kexec fast reboot 作为默认重启操作。特例是使用 kexec fast reboot 用于 Anaconda。它仍然没有启用使 kexec fast reboot 作为默认。但是,当与 Anaconda 一起使用时,如果用户使用 anaconda 选项引导内核,则操作系统可在安装完成后自动使用 kexec fast reboot。要调度 kexec 重启,在内核命令行中使用 inst.kexec 命令,或者在 Kickstart 文件中包含 reboot --kexec 行。

(BZ#1464377)

perf cqm 已经被 resctrl 替换

Intel 缓存分配技术(CAT)在 Red Hat Enterprise Linux 7.4 中作为技术预览引进。但是, perf cqm 工具无法正常工作,因为每个基础架构和缓存的服务质量监控(CQM)硬件支持不兼容。因此,在使用 perf cqm 时会出现多个问题。

这些问题最值得注意的是:

  • perf cqm 不支持使用这个方法分配的任务组 resctrl
  • 因为一些问题,perf cqm 会给出随机且不准确的数据
  • 当在一起运行不同类型的事件时(不同的事件是如任务、系统范围以及 cgroup 事件),perf cqm 没有提供足够的支持
  • perf cqm 仅为 cgroup 事件提供部分支持
  • 对 cgroup 事件的部分支持不适用于 cgroup 事件分级的情况,或者一起监控 cgroup 和 cgroup 中的任务时
  • 生命周期的监控任务会导致 perf 开销
  • perf cqm 报告所有插槽的总缓存资源或内存带宽,而在大多数云和 VMM-bases 使用案例中,每个套接字都需要单独的用量

在 Red Hat Enterprise Linux 7.5 中,perf cqm 被基于 resctrl 文件系统的方法替代,它解决了上述所有问题。

(BZ#1457533)

TC HW 卸载作为技术预览

从 Red Hat Enterprise Linux 7.6 开始,已经提供了流量控制(TC)硬件卸载作为技术预览。

硬件卸载可让选择的网络流量处理功能(如控制、调度、策略和丢弃)直接在硬件中执行,而不是等待软件处理(这可以提高性能)。

(BZ#1503123)

AMD xgbe 网络驱动程序作为技术预览

从 Red Hat Enterprise Linux 7.6 开始,AMD xgbe 网络驱动程序已经作为技术预览提供。

(BZ#1589397)

安全内存加密仅作为技术预览提供

目前,安全内存加密(SME)与 kdump 功能不兼容,因为 kdump 内核缺少对 SME 加密内存进行解密的内存密钥。红帽发现,在启用 SME 时,正在测试中的服务器可能无法执行一些功能,因此在生产环境中不适合使用该功能。因此,SME 的支持级别从支持改为技术预览。我们鼓励用户向红帽或其系统供应商报告在预生产环境测试时发现的任何问题。

(BZ#1726642)

criu 作为技术预览提供

Red Hat Enterprise Linux 7.2 将 criu 工具作为技术预览引进。这个工具实现了 Checkpoint/Restore in User-space (CRIU),它可以用来冻结运行的应用程序并将其保存为一个文件集合。之后,应用程序可以从其冻结状态进行恢复。

请注意,criu 工具依赖于 Protocol Buffers,它是一个用于对结构化数据进行序列化的、在平台上保持中性化的机制。在 Red Hat Enterprise Linux 7.2 中还引进了提供这个依赖关系的 protobufprotobuf-c 软件包作为技术预览。在 Red Hat Enterprise Linux 7.8 中,criu 软件包支持 Podman 进行容器检查点和恢复。新添加的功能只能在没有 SELinux 支持的情况下正常工作。

(BZ#1400230)

mlx5_core 驱动程序支持 Mellanox ConnectX-6 Dx 网络适配器作为技术预览

在这个版本中,Mellanox ConnectX-6 Dx 网络适配器的 PCI ID 被添加到 mlx5_core 驱动中。在使用这个适配器的主机上,RHEL 会自动加载 mlx5_core 驱动程序。请注意,红帽将此功能作为不受支持的技术预览提供。

(BZ#1685900)

7.8. 网络

Cisco usNIC 驱动程序

Cisco Unified Transport Manager(UCM)服务器有一个可选的功能,用来提供一个 Cisco 专有用户空间网络接口控制器(usNIC),它允许对用户空间应用程序执行类似远程内存访问(RDMA)的操作。libusnic_verbs 驱动程序作为技术预览提供,可通过基于 Verbs API 的标准 InfiniBand RDMA 编程来使用 usNIC 设备。

(BZ#916384)

Cisco VIC 内核驱动程序

Cisco VIC Infiniband 内核驱动程序作为技术预览提供,允许在专有 Cisco 构架中使用类似远程目录内存访问(RDMA)的语义。

(BZ#916382)

可信网络连接

作为技术预览的可信网络连接用于现有网络访问控制(NAC)解决方案,如 TLS、802.1X 或 IPsec 集成端点后条件评估 ; 即收集端点的系统信息(如操作系统配置设置、安装的软件包等)。可信网络连接用于根据网络访问策略验证这些测量,然后允许端点访问网络。

(BZ#755087)

qlcnic 驱动程序中的 SR-IOV 功能

对 Single-Root I/O 虚拟化(SR-IOV)的支持作为技术预览添加到 qlcnic 驱动程序中。QLogic 将直接提供对这个功能的支持,并鼓励用户向 QLogic 和红帽提供反馈意见。qlcnic 驱动程序中的其他功能仍被完全支持。

请注意,qlcnic 驱动程序已弃用,且在 RHEL 8 中不可用。

(BZ#1259547)

带有卸载支持的 flower 分类器

flower 流量控制(TC)类器旨在允许用户在已知的数据包字段上为各种协议配置匹配。它旨在为复杂的过滤和分类任务,通过 u32 分类器更轻松地配置规则。flower 也支持将负载分类和操作规则卸载到底层硬件(如果硬件支持)。flower TC 分类器现在作为技术预览提供。

(BZ#1393375)

7.9. Red Hat Enterprise Linux 系统角色

RHEL 系统角色的 postfix 角色作为技术预览提供

Red Hat Enterprise Linux 系统角色为 Red Hat Enterprise Linux 子系统提供了一个配置界面,这有助于通过包含 Ansible 角色来简化系统配置。这个界面支持在多个 Red Hat Enterprise Linux 版本间管理系统配置,并使用新的主发行版本。

从 Red Hat Enterprise Linux 7.4 开始,rhel-system-roles 软件包通过 Extras 软件仓库发布。

postfix 角色作为技术预览提供。

以下角色被完全支持:

  • kdump
  • network
  • selinux
  • storage
  • timesync

如需更多信息,请参阅有关 RHEL 系统角色的知识库文章

(BZ#1439896)

rhel-system-roles-sap 作为技术预览提供

rhel-system-roles-sap 为 SAP 提供 Red Hat Enterprise Linux(RHEL)系统角色,可用于自动化 RHEL 系统配置以运行 SAP 工作负载。这些角色通过自动应用基于相关 SAP 备注中最佳实践的优化设置,大大减少了将系统配置为运行 SAP 工作负载的时间。访问只限制为 RHEL for SAP Solutions。如果需要帮助,请联络红帽客户支持团队。

rhel-system-roles-sap 软件包中的以下新角色作为技术预览提供:

  • sap-preconfigure
  • sap-netweaver-preconfigure
  • sap-hana-preconfigure

如需更多信息,请参阅 SAP 的 Red Hat Enterprise Linux 系统角色

备注: 目前没有计划在 Intel 64 架构和 IBM POWER8 上通过 SAP HANA 使用 RHEL 7.8 for SAP Solutions。其他 SAP 应用程序和数据库产品,如 SAP NetWeaver 和 SAP ASE,可以使用 RHEL 7.8 功能。如需了解有关验证的版本和 SAP 支持的最新信息,请查阅 SAP Notes 2369910 和 2235581。

(BZ#1660838)

7.10. 安全性

现在可在 libreswan中启用 SECCOMP

作为技术预览,已将 seccomp=enabled|tolerant|disabled 选项添加到 ipsec.conf 配置文件中,从而可以使用安全计算模式(SECCOMP)。这提高了 syscall 安全性。它将 Libreswan 允许执行的所有系统调用都放入到白名单。详情请查看 ipsec.conf(5) man page。

(BZ#1375750)

pk12util 现在可以使用 RSA-PSS 密钥导入证书

pk12util 工具现在提供了导入使用 RSA-PSS 算法签名的证书作为技术预览。

请注意,如果导入了对应的私钥,并具有将签名算法限制为 RSA-PSSPrivateKeyInfo.privateKeyAlgorithm 字段,在导入密钥时会忽略它。如需更多信息,请参阅 MZBZ#1413596

(BZ#1431210)

改进了与 certutilRSA-PSS 签名的证书的支持

改进了对使用 certutil 工具中的 RSA-PSS 算法签名的证书的支持。主要改进和修复包括:

  • 现在在文档中包括了 --pss 选项。
  • 当证书仅限于使用 RSA-PSS 时,PKCS#1 v1.5 算法不再用于自签名签名。
  • 在列出证书时,subjectPublicKeyInfo 字段中的空 RSA-PSS 参数不再会打印为无效。
  • 添加了使用 RSA-PSS 算法签名的常规 RSA 证书的 --pss-sign 选项。

作为技术预览,提供了对 certutilRSA-PSS 签名的证书的支持。

(BZ#1425514)

NSS 现在可以在证书中验证 RSA-PSS 签名

nss 软件包的 RHEL 7.5 版本开始, 网络安全服务 (NSS)库会提供证书上的 RSA-PSS 签名作为技术预览。在以前的版本中,使用 NSS 作为 SSL 后端的客户端无法建立到只提供带有 RSA-PSS 算法签名证书的服务器的 TLS 连接。

请注意,这个功能有以下限制:

  • /etc/pki/nss-legacy/rhel7.config 文件中的算法策略设置不适用于 RSA-PSS 签名中使用的哈希算法。
  • RSA-PSS 证书链之间的参数限制将被忽略,且只考虑单个证书。

(BZ#1432142)

在屏幕锁定时 USBGuard 启用阻塞 USB 设备作为技术预览提供

使用 USBGuard 框架,您可以通过设置 InsertedDevicePolicy 运行时参数值来影响已在运行的 usbguard-daemon 实例如何处理新插入的 USB 设备。这个功能是作为技术预览提供的,默认选择是应用策略规则来找出是否授权该设备。

请查看在该屏幕锁定知识库文章时锁定 USB 设备

(BZ#1480100)

7.11. 存储

SCSI 的多队列 I/O 调度

Red Hat Enterprise Linux 7 为块设备包括一个新的多队列 I/O 调度机制,称为 blk-mqscsi-mq 软件包允许最小计算系统接口(SCSI)子系统使用这个新的排队机制。这个功能是作为技术预览提供的,默认不会启用。要启用它,在内核命令行中添加 scsi_mod.use_blk_mq=Y

另请注意,虽然 blk-mq 旨在提高性能,特别是针对低延迟设备,但不能保证始终提供更好的性能。值得注意的是,在某些情况下启用 scsi-mq 可能会导致性能显著降低,特别是对于有很多 CPU 的系统。

(BZ#1109348)

libStorageMgmt API 中的 Targetd 插件

从 Red Hat Enterprise Linux 7.1 开始,完全支持使用 libStorageMgmt(一个存储阵列独立 API)的存储阵列管理。所提供的 API 是稳定且一致的,允许开发人员以编程方式管理不同的存储阵列,并利用所提供的硬件加速功能。系统管理员还可以使用 libStorageMgmt 手动配置存储,并使用包含的命令行界面自动执行存储管理任务。

Targetd 插件没有被完全支持,仍是一个技术预览。

(BZ#1119909)

qla2xxxlpfc 驱动程序中作为技术预览的 SCSI-MQ

Red Hat Enterprise Linux 7.4 中更新的 qla2xxx 驱动程序可启用使用带有 ql2xmqsupport=1 模块参数的 SCSI-MQ(multiqueue)。默认值为 0 (禁用)。

SCSI-MQ 功能在与 qla2xxxlpfc 驱动程序一起使用时作为技术预览提供。

请注意,在红帽中使用 SCSI-MQ 的光纤通道适配器最近进行的性能测试显示,在某些情况下存在大量性能下降。

(BZ#1414957)

7.12. 系统和订阅管理

YUM 4 作为技术预览提供

YUM 版本 4(新一代的 YUM 软件包管理程序)现在作为技术预览在 Red Hat Enterprise Linux 7 Extras 软件仓库中提供。

YUM 4 基于 DNF 技术,与 RHEL 7 中使用的标准 YUM 3 相比,有以下优点:

  • 提高了性能
  • 支持模块化内容
  • 设计良好的稳定 API,用于与工具集成

要安装 YUM 4,请运行 yum install nextgen-yum4 命令。

确保安装 dnf-plugin-subscription-manager 软件包,其中包括 subscription-manager 插件。访问红帽客户门户网站或 Red Hat Satellite 6 提供的受保护软件仓库以及自动更新 /etc/yum.repos.d/redhat.repo 文件需要此插件。

要管理软件包,使用 yum4 命令及其具体选项。这与 yum 命令相同。

如需有关新 YUM 4 工具和 YUM 3 差别的详细信息,请参阅与YUM 相比的 DNF CLI 的变化

有关如何启用 Extras 软件仓库的说明,请参阅如何订阅 Extras 频道/存储库文章

(BZ#1461652)

7.13. 虚拟化

USB 3.0 支持 KVM 客户机

KVM 客户机的 USB 3.0 主机适配器(xHCI)在 Red Hat Enterprise Linux 7 中仍是一个技术预览。

(BZ#1103193)

选择 Intel 网络适配器现在支持 Hyper-V 的 RHEL 客户端中的 SR-IOV

作为技术预览,在 Hyper-V hypervisor 中运行的 Red Hat Enterprise Linux 客户机操作系统现在可以为 ixgbevfi40evf 驱动程序支持的 Intel 网络适配器使用单根 I/O 虚拟化(SR-IOV)功能。此功能在满足以下条件时启用:

  • 对网络接口控制器(NIC)启用了 SR-IOV 支持
  • 对虚拟 NIC 启用了 SR-IOV 支持
  • 对虚拟交换机启用 SR-IOV 支持
  • NIC 中的虚拟功能(VF)附加到虚拟机。

目前,Microsoft Windows Server 2019 和 2016 支持该功能。

(BZ#1348508)

VFIO 驱动程序的 No-IOMMU 模式

作为技术预览,这个更新为虚拟功能 I/O(VFIO)驱动程序添加了 No-IOMMU 模式。No-IOMMU 模式为用户提供了完整的用户空间 I/O(UIO)访问可直接访问 DMA 的设备,而无需 I/O 内存管理单元(IOMMU)。请注意,除了不被支持外,使用这个模式可能也不安全,因为缺少 INMU 提供的 I/O 管理。

(BZ#1299662)

Azure M416v2 作为 RHEL 7 虚拟机的主机

作为技术预览,Azure M416v2 实例类型现在可以用作使用 RHEL 7.6 及更新版本作为客户端操作系统的虚拟机的主机。

(BZ#1661654)

virt-v2v 可以转换 Debian 和 Ubuntu 客户端

作为技术预览,virt-v2v 工具现在可以转换 Debian 和 Ubuntu 虚拟机。请注意,在执行此转换时当前会出现以下问题:

  • virt-v2v 无法更改 GRUB2 配置中的默认内核,在转换过程中不会更改客户端中配置的内核,即使客户端上有更理想的内核版本也是如此。
  • 在将 Debian 或 Ubuntu VMware 虚拟机转换为 KVM 后,客户端网络接口的名称可能会改变,因此需要手动配置。

(BZ#1387213)

基于 GPU 的介质设备现在支持 VNC 控制台

作为技术预览,虚拟网络计算(VNC)控制台现在可用于基于 GPU 的 mediated devices,如 NVIDIA vGPU 技术。因此,现在可以使用这些 mediated devices 实时呈现虚拟机的图形输出。

(BZ#1475770)

Open Virtual Machine Firmware

在 Red Hat Enterprise Linux 7 中,OVMF(Open Virtual Machine Firmware)作为技术预览提供。OVMF 是 AMD64 和 Intel 64 客户端的 UEFI 安全引导环境。但是,OVMF 无法使用 RHEL 7 中可用的虚拟化组件引导。请注意,RHEL 8 完全支持 OVMF。

(BZ#653382)