Red Hat Training

A Red Hat training course is available for RHEL 8

5.5. 已知问题

这部分论述了 Red Hat Enterprise Linux 8 中已知的问题。

5.5.1. Web 控制台

无法使用 session_recording shell 登录到 RHEL web 控制台

目前,对于启用了 tlog 记录的用户,RHEL web 控制台登录会失败。RHEL web 控制台要求用户的 shell 存在于 /etc/shells 目录中,以允许成功登录。但是,如果将 tlog-rec-session 添加到 /etc/shells 中,则记录的用户可以通过使用 "chsh" 工具将 shell 从 tlog-rec-session 改为 /etc/shells 中的另一个 shell 来禁用记录。因此,红帽不推荐将 tlog-rec-session 添加到 /etc/shells 中

(BZ#1631905)

5.5.2. 安装程序和镜像创建

authauthconfig Kickstart 命令需要 AppStream 软件仓库

authauthconfig Kickstart 命令在安装过程中需要 authselect-compat 软件包。如果没有这个软件包,如果使用了 authauthconfig,则安装会失败。但根据设计,authselect-compat 软件包只包括在 AppStream 仓库中。

要临时解决这个问题,请确定安装程序可使用 BaseOS 和 AppStream 软件仓库,或者在安装过程中使用 authselect Kickstart 命令。

(BZ#1640697)

xorg-x11-drv-fbdev,xorg-x11-drv-vesaxorg-x11-drv-vmware 视频驱动程序不会被默认安装

带有特定类型 NVIDIA 图形卡和带有特定 AMD 加速处理单元的工作站不会在 RHEL 8.0 服务器安装后显示图形登录窗口。

要临时解决这个问题,请在 workstation 计算机上执行 RHEL 8.0 工作站 安装。如果工作站上需要安装 RHEL 8.0 服务器,请在安装后手动安装 base-x 软件包组,方法是运行 yum -y groupinstall base-x 命令。

此外,依赖 EFI 图形支持(如 Hyper-V)的虚拟机也受到影响。如果您在 Hyper-V 上选择了 Server with GUI base 环境,则可能无法登录,因为重启时会显示一个黑色屏幕。要在 Hyper-v 中临时解决这个问题,请按照以下步骤启用多或单用户模式:

  1. 重启虚拟机。
  2. 在启动过程中,使用键盘上的上下箭头键选择所需的内核。
  3. 按键盘上的 e 键编辑内核命令行。
  4. systemd.unit=multi-user.target 添加到 GRUB 中的内核命令行。
  5. Ctrl-X 启动虚拟机。
  6. 登录后,运行 yum -y groupinstall base-x 命令。
  7. 重新引导虚拟机以访问图形模式。

(BZ#1687489)

使用 reboot --kexec 命令安装失败

当使用包含 reboot --kexec 命令的 Kickstart 文件时,RHEL 8 安装会失败。要避免这个问题,请在 Kickstart 文件中使用 reboot 命令而不是 reboot --kexec

(BZ#1672405)

Binary DVD.iso 文件的内容复制到分区会省略 .treeinfo.discinfo 文件

在本地安装过程中,当将 RHEL 8 Binary DVD.iso 镜像文件的内容复制到分区时,cp <path>/\* <mounted 分区>/dir 命令中的 * 无法复制 .treeinfo.discinfo 文件。成功安装时需要这些文件。因此,BaseOS 和 AppStream 软件仓库不会被加载,在 anaconda.log 文件中与 debug 相关的日志消息是问题的唯一记录。

要临时解决这个问题,请将缺少的 .treeinfo.discinfo 文件复制到分区。

(BZ#1692746)

Anaconda 安装包括最小资源设置要求的低限制

Anaconda 以最少的资源设置在系统中启动安装,并且不要提供有关成功执行安装所需的资源的先前消息警告。因此,安装可能会失败,输出错误不会为可能的调试和恢复提供清晰的信息。要临时解决这个问题,请确保系统具有安装所需的最少资源设置:2GB 内存在 PPC64(LE)和 1GB on x86_64 上。因此,应该可以成功执行安装。

(BZ#1696609)

reboot --kexecinst.kexec 命令不提供可预测的系统状态

使用 reboot --kexec Kickstart 命令或 inst.kexec 内核引导参数执行 RHEL 安装不会提供与完全重启相同的可预期系统状态。因此,在不重启的情况下切换安装的系统可能会导致无法预计的结果。

请注意,kexec 功能已弃用,并将在以后的 Red Hat Enterprise Linux 版本中删除。

(BZ#1697896)

5.5.3. 内核

i40iw 模块不会在引导时自动载入

由于许多 i40e NIC 不支持 iWarp,并且 i40iw 模块没有全面支持 suspend/resume,因此此模块默认不会自动加载,以确保暂停/恢复正常工作。要临时解决这个问题,请手动编辑 /lib/udev/rules.d/90-rdma-hw-modules.rules 文件,以启用 i40iw 的自动负载。

另请注意,如果同一机器上安装了另一个 RDMA 设备,非i40e RDMA 设备会触发 rdma 服务,它会加载所有已启用的 RDMA 堆栈模块,包括 i40iw 模块。

(BZ#1623712)

当很多设备被连接时,系统有时会变得无响应

当 Red Hat Enterprise Linux 8 配置大量设备时,系统控制台中会出现大量控制台信息。例如,当存在大量逻辑单元号(LUN)时,每个 LUN 都有多个路径。除了内核正在执行的其他工作外,控制台消息的激增可能会导致内核监视功能强制出现内核 panic,因为内核似乎处于挂起状态。

因为扫描在引导周期早期发生,所以连接很多设备时系统会变得无响应。这通常在系统启动时发生。

如果在启动后在机器上在设备扫描事件中启用了 kdump,硬锁定会导致一个 vmcore 镜像的捕获。

要临时解决这个问题,增大 watchdog 锁定计时器。为此,请将 watchdog_thresh=N 选项添加到内核命令行。将 N 替换为秒数:

  • 如果少于一千台设备,请使用 30 个设备。
  • 如果您有超过一千台设备,请使用 60 个设备。

对于存储,设备数量是到所有 LUN 的路径数:通常,/dev/sd* 设备的数量。

应用临时解决方案后,系统在配置大量设备时不再响应。

(BZ#1598448)

KSM 有时会忽略 NUMA 内存策略

当内核共享内存(KSM)功能通过 merge_across_nodes=1 参数启用时,KSM 会忽略 mbind()函数设置的内存策略,并且可能会将某些内存区域的页面合并到与策略不匹配的非一致性内存访问(NUMA)节点。

要临时解决这个问题,如果使用 NUMA 内存与 QEMU 绑定,请禁用 KSM 或将 merge_across_nodes 参数设置为 0。因此,为 KVM 虚拟机配置的 NUMA 内存策略可以正常工作。

(BZ#1153521)

qede 驱动程序挂起 NIC 并使其不可用

由于一个错误,41000 和 45000 QLogic 系列 NIC 的 qede 驱动程序可能会导致固件升级和调试数据收集操作失败,并使 NIC 不可用或处于挂起状态,直到主机重新引导(PCI 重置)使 NIC 再次正常运行。

在以下情况下都检测到了这个问题:

  • 当使用 inbox 驱动程序升级 NIC 的固件时
  • 在收集调试数据时,运行 ethtool -d ethx 命令
  • 运行 sosreport 命令,因为它包含 ethtool -d ethx。
  • 当 inbox 驱动程序启动自动调试数据收集,如 IO 超时、Mail Box 命令超时和硬件属性。

红帽的未来勘误将通过红帽漏洞公告(RHBA)发布来解决这个问题。要临时解决这个问题,请在 https://access.redhat.com/support 中创建一个问题单来请求受支持的修复程序,直到 RHBA 发布为止。

(BZ#1697310)

radix 树符号被添加到 kernel-abi-whitelists

在 Red Hat Enterprise Linux 8 中的 kernel-abi-whitelists 软件包中添加了以下 radix 树符号:

  • __radix_tree_insert
  • __radix_tree_next_slot
  • radix_tree_delete
  • radix_tree_gang_lookup
  • radix_tree_gang_lookup_tag
  • radix_tree_next_chunk
  • radix_tree_preload
  • radix_tree_tag_set

上面的符号不应存在,将从 RHEL8 白名单中删除。

(BZ#1695142)

Podman 无法检查 RHEL 8 中的容器

Checkpoint 和 Restore in Userspace(CRIU)软件包的版本在 Red Hat Enterprise Linux 8 中已经过时。因此,CRIU 不支持容器检查点和恢复功能,podman 实用程序无法检查点容器。在运行 podman container checkpoint 命令时,会显示以下出错信息:'checkpointing a container requires at least CRIU 31100'

(BZ#1689746)

如果在 dracut.conf中使用 add_dracutmodules+=earlykdump 选项,则 early-kdump 和标准的 kdump 会失败

目前,在为 early-kdump 安装的内核版本和为其生成的内核版本 initramfs 之间会发生不一致。因此,启用了 early-kdump 的引导会失败,early-kdump 会失败。另外,如果 early-kdump 检测到它包含在标准 kdump initramfs 镜像中,它会强制退出。因此,如果将 early-kdump 作为默认的 dracut 模块添加,则标准的 kdump 服务在尝试重建 kdump 时也会失败。因此,early-kdump 和标准 kdump 都会失败。要临时解决这个问题,请不要在 dracut.conf 文件中添加 add_dracutmodules+=earlykdump 或任何等同的配置。因此,dracut 默认不包含 early-kdump,这可以防止问题的发生。但是,如果需要 early-kdump 镜像,则必须手动创建它。

(BZ#1662911)

Debug 内核无法在 RHEL 8 的崩溃捕获环境中引导

由于 debug 内核的内存需求特性,会在使用 debug 内核并触发内核 panic 时出现问题。因此,调试内核无法作为捕获内核引导,而是生成一个堆栈追踪。要临时解决这个问题,相应地增大崩溃内核内存。因此,debug 内核可以在崩溃捕获环境中成功引导。

(BZ#1659609)

当使用 fadump 时,网络接口被重命名为 kdump-<interface-name>

当固件辅助转储(fadump)用来捕获 vmcore ,并使用 SSH 或 NFS 协议将其保存到远程机器时,如果 <interface-name> 是通用的,则网络接口被重命名为 kdump-<interface-name>。这是因为初始 RAM 磁盘(initrd)中的 vmcore 捕获脚本在网络接口名称中添加 kdump- 前缀来保护持久性命名。同一 initrd 也用于常规引导,因此生产内核的接口名称也会更改。

(BZ#1745507)

5.5.4. 软件管理

在非 root 用户下运行 yum list 会导致 YUM 崩溃

当在 libdnf 软件包已更新后在非 root 用户下运行 yum list 命令时,YUM 可能会意外终止。如果您碰到这个 bug,请在 root 下运行 yum list 来解决此问题。因此,在非 root 用户下后续尝试运行 yum list 不再会导致 YUM 崩溃。

(BZ#1642458)

默认情况下,YUM v4 跳过不可用的软件仓库

YUM v4 默认为所有存储库的"skip_if_unavailable=True"设置。因此,如果所需的存储库不可用,则不会在安装、搜索或更新操作中考虑存储库中的软件包。因此,即使不存在存储库,某些 yum 命令和基于 yum 的脚本也会成功使用退出代码 0。

目前,除了更新 libdnf 软件包外,没有其他可用的临时解决方案。

(BZ#1679509)

5.5.5. 基础架构服务

nslookuphost 实用程序会忽略递归不可用的名称服务器的回复

如果配置了名称服务器,且递归不能用于名称服务器,则 nslookuphost 工具会忽略来自此类名称服务器的回复,除非它是最后配置的那个。如果是上次配置的名称服务器,即使没有 递归可用 标志,也会接受答案。但是,如果最后配置的域名服务器无法响应或者无法访问,名字解析会失败。

要临时解决这个问题:

  • 确定配置的域名服务器总是使用 recursion available 进行回复。
  • 允许为所有内部客户端进行 recursion。

若要对问题进行故障排除,您还可以使用 dig 实用程序检测递归是否可用。

(BZ#1599459)

5.5.6. Shell 和命令行工具

绑定了 net-snmp 软件包的 Python 不可用

Net-SNMP 工具套件不为 Python 3 提供绑定,这是 RHEL 8 中默认的 Python 实现。因此,RHEL 8 不提供 python-net-snmppython2-net-snmppython3-net-snmp 软件包。

(BZ#1584510)

调试模式中的 systemd 生成不必要的日志消息

调试模式中的 systemd 系统和服务管理器会生成不必要的日志消息,其开头如下:

"Failed to add rule for system call ..."

运行以下命令列出信息:

journalctl -b _PID=1

这些调试消息毫无危害,您可以放心忽略它们。

目前,还没有可用的临时解决方案。

(BZ#1658691)

带有 KEYBD 陷阱字节字符的 ksh

当启用 KEYBD 陷阱时,Korn Shell(KSH)无法正确处理多字节字符。因此,当用户输入日语字符时,ksh 显示一个不正确的字符串。要临时解决这个问题,注释掉以下行,在 /etc/kshrc 文件中禁用 KEYBD 陷阱:

trap keybd_trap KEYBD

如需了解更多详细信息,请参阅相关的 知识库解决方案

(BZ#1503922)

5.5.7. 动态编程语言、网页和数据库服务器

数据库服务器无法并行安装

由于 RPM 软件包冲突,RHEL 8.0 中无法并行安装 mariadbmysql 模块。

按照设计,无法并行安装同一模块的多个版本(stream)。例如,您只需要从 postgresql 模块中选择一个可用的流,可以是 10 (默认)或 9.6。在 RHEL 6 和 RHEL 7 的 Red Hat Software Collections 中可以并行安装组件。在 RHEL 8 中,可在容器中使用不同版本的数据库服务器。

(BZ#1566048)

mod_cgid 日志记录中的问题

如果在线程多处理模块(MPM)下使用 mod_cgid Apache httpd 模块(这是 RHEL 8 中的默认情况),则会出现以下日志问题:

  • CGI 脚本的 stderr 输出未使用标准时间戳信息作为前缀。
  • 如果已配置,CGI 脚本的 stderr 输出将无法正确重定向到特定于 VirtualHost 的日志文件。

(BZ#1633224)

IO::Socket::SSL Perl 模块不支持 TLS 1.3

TLS 1.3 协议的新功能(如会话恢复或后握验证)是在 RHEL 8 OpenSSL 库中实现的,但未在 Net::SSLeay Perl 模块中实现,因此在 IO::Socket::SSL Perl 模块中不可用。因此,客户端证书身份验证可能会失败,重新建立会话可能比 TLS 1.2 协议慢。

要临时解决这个问题,请在创建 IO::Socket::SSL 对象时将 SSL_version 选项设置为 !TLSv1_3 值来禁用 TLS 1.3 的使用。

(BZ#1632600)

生成的 Scala 文档不可读取

使用 scaladoc 命令生成文档时,因为缺少 JavaScript 资源,生成的 HTML 页面将无法使用。

(BZ#1641744)

5.5.8. Desktop

QXL 无法在基于 Wayland 的虚拟机上工作

qxl 驱动程序无法在特定系统管理程序上提供内核模式设置功能。因此,使用 qxl 的虚拟机(VM)不支持基于 Wayland 协议的图形,基于 Wayland 的登录屏幕也不会启动。

要临时解决这个问题,请使用 :

  • 基于 QuarkXpress Element Library(QXL)图形的虚拟机上的 Xorg 显示服务器而不是 Wayland 上的 GNOME Shell

或者

  • 虚拟机的 virtio 驱动程序而不是 qxl 驱动程序。

(BZ#1641763)

运行 systemctl isolate multi-user.target时不会显示控制台提示符

当在 GNOME 桌面会话中运行 systemctl isolate multi-user.target 命令时,只会显示光标,而不是控制台提示符。要临时解决这个问题,请按 Ctrl+Alt+F2 键。因此,会出现控制台提示符。

其行为适用于 Wayland 上的 GNOME ShellX.Org 显示服务器。

(BZ#1678627)

5.5.9. 图形基础结构

X.Org 上运行的桌面在更改为低屏幕分辨率时挂起

将 GNOME 桌面与 X.Org 显示服务器搭配使用时,如果您尝试将屏幕分辨率更改为低值,桌面将变得无响应。要临时解决这个问题,请不要将屏幕分辨率设置为小于 800 x 600 像素的值。

(BZ#1655413)

radeon 无法正确重置硬件

radeon 内核驱动程序目前没有在 kexec 上下文中正确重置硬件。相反,radeon 无法工作,从而导致剩余的 kdump 服务失败。

要临时解决这个问题,请通过在 /etc/kdump.conf 文件中添加以下行来在 kdump 中将 radeon 列入黑名单:

dracut_args --omit-drivers "radeon"
force_rebuild 1

重启机器和 kdump。启动 kdump 后,force_rebuild 1 行可能会从配置文件中删除 。

请注意,在这种情况下,kdump 不会提供图形,但 kdump 可成功运行。

(BZ#1694705)

5.5.10. 硬件启用

使用 ARP 链接监控器时备份从 MII 状态不起作用

默认情况下,由 i40e 驱动程序管理的设备进行源修剪,这会丢弃具有源 Media Access Control(MAC)地址与其中一个接收过滤器匹配的数据包。因此,在通道绑定中使用地址解析协议(ARP)监控时,备份介质独立接口(MII)状态将无法正常工作。要临时解决这个问题,请使用以下命令禁用源修剪:

# ethtool --set-priv-flags <ethX> disable-source-pruning on

因此,备份从 MII 状态可以正常工作。

(BZ#1645433)

在某些情况下,HP NMI watchdog 不会生成崩溃转储

HP NMI watchdog 的 hpwdt 驱动程序有时无法声明由 HPE watchdog 计时器生成的不可屏蔽中断(NMI),因为 NMI 被 perfmon 驱动程序使用。

因此,hpwdt 在某些情况下无法调用 panic 来生成崩溃转储。

(BZ#1602962)

5.5.11. 身份管理

KCM 凭证缓存不适用于单个凭证缓存中的大量凭证

Kerberos 凭据管理器(KCM)可以处理最多 64 kB 的 ccache 大小。如果它包含太多凭证,Kerberos 操作(如 kinit )会失败,因为用于在 sssd-kcm 组件和底层数据库间传输数据的缓冲区存在硬编码限制。

要临时解决这个问题,请在 /etc/sssd/sssd.conf 文件的 kcm 部分添加 ccache_storage = memory 选项。这指示 kcm 响应器仅将凭证缓存存储在内存中,而不是永久存储。如果您这样做,重启系统或 sssd-kcm 会清除凭证缓存。

(BZ#1448094)

更改 /etc/nsswitch.conf 需要手动重启系统

/etc/nsswitch.conf 文件的任何更改(例如运行 authselect select profile_id 命令)都需要重启系统,以便所有相关进程使用更新版本的 /etc/nsswitch.conf 文件。如果无法重新启动系统,请重新启动将您的系统加入 Active Directory 的服务,即 系统安全服务后台程序 (SSSD)或 winbind

(BZ#1657295)

冲突的超时值阻止 SSSD 连接到服务器

与 System Security Services Daemon(SSSD)使用的故障转移操作相关的一些默认超时值相互冲突。因此,为 SSSD 与单个服务器进行通信的超时值会阻止 SSSD 在连接操作超时前尝试其他服务器。要临时解决这个问题,请设置 ldap_opt_timeout 超时参数的值,高于 dns_resolver_timeout 参数的值,并设置 dns_resolver_timeout 参数的值高于 dns_resolver_op_timeout 参数的值。

(BZ#1382750)

SSSD 只能查找 ID 覆盖中的唯一证书

当多个 ID 覆盖包含同一证书时,系统安全服务守护进程(SSSD)将无法解析与证书匹配的用户的查询。尝试查找这些用户不会返回任何用户。请注意,通过使用用户名或 UID 查找用户可以正常工作。

(BZ#1446101)

SSSD 无法正确处理具有相同优先级的多个证书匹配规则

如果给定证书与多个具有相同优先级的证书匹配规则匹配,系统安全服务守护进程(SSSD)只使用其中一个规则。作为临时解决方案,请使用单个证书匹配规则,该规则 LDAP 过滤器由与 | (或)运算符串联的单独规则的过滤器组成。有关证书匹配规则的示例,请参阅 sss-certamp(5)man page。

(BZ#1447945)

SSSD 为本地用户返回不正确的 LDAP 组成员资格

如果系统安全服务守护进程(SSSD)从本地文件为用户提供服务,则文件提供商不包含来自其他域的组成员资格。因此,如果本地用户是 LDAP 组的成员,id local_user 命令不会返回用户的 LDAP 组成员资格。要临时解决这个问题,可以恢复系统在 /etc/nsswitch.conf 文件中查找用户的组成员资格的数据库的顺序,将 sss files 替换为 files sss,或隐式禁用 files 域,方法是添加

enable_files_domain=False

/etc/sssd/sssd.conf 文件中的 [sssd] 部分。

因此,id local_user 会为本地用户返回正确的 LDAP 组成员资格。

(BZ#1652562)

如果 sudo 规则引用组名称,则 sudo 规则可能无法用于 id_provider=ad

initgroups 操作过程中,系统安全服务守护进程(SSSD)不会解析 Active Directory 组名称,因为使用缓存优化了 AD 和 SSSD 之间的通信。缓存条目仅包含安全标识符(SID),在按名称或 ID 请求组之前,不包含组名称。因此,sudo 规则与 AD 组不匹配,除非在运行 sudo 之前完全解析了这些组。

要临时解决这个问题,您需要禁用优化:打开 /etc/sssd/sssd.conf 文件,并在 [domain/example.com] 部分中添加 ldap_use_tokengroups = false 参数。

(BZ#1659457)

RHEL 8 中已更改了 systemd-user 的默认 PAM 设置,这可能会影响 SSSD 行为

Red Hat Enterprise Linux 8 中更改了可插拔验证模块(PAM)堆栈。例如,systemd 用户会话现在使用 systemd -user PAM 服务启动 PAM 对话。此服务现在递归包含 system-auth PAM 服务,其中可能包括 pam_sss.so 接口。这意味着始终调用 SSSD 访问控制。

请注意为 RHEL 8 系统设计访问控制规则时的更改。例如,您可以将 systemd-user 服务添加到允许的服务列表中。

请注意,对于某些访问控制机制,如 IPA HBAC 或 AD GPOs,默认情况下 systemd-user 服务已添加到允许的服务列表中,您不需要进行任何操作。

(BZ#1669407)

IdM 服务器在 FIPS 中无法工作

由于 Tomcat 的 SSL 连接器实现不完整,装有证书服务器的身份管理(IdM)服务器在启用了 FIPS 模式的机器上无法正常工作。

(BZ#1673296)

使用 sss ID 映射插件时,Samba 拒绝访问

要将 Samba 用作加入 Active Directory(AD)域的 RHEL 主机上的文件服务器,必须运行 Samba Winbind 服务,即使 SSSD 用于管理 AD 中的用户和组。如果您使用 realm join --client-software=sssd 命令加入域,或者在此命令中未指定 --client-software 参数,则 realm 仅创建 /etc/sssd/sssd.conf 文件。当您使用此配置在域成员上运行 Samba 并添加使用 sss ID 映射后端到 /etc/samba/smb.conf 文件以共享目录的配置时,ID 映射后端的更改可能会导致错误。因此,Samba 在某些情况下拒绝访问文件,即使存在用户或组且 SSSD 已知的。

如果您计划从以前的 RHEL 版本升级,/etc/sssd/sssd.conf 文件中的 ldap_id_mapping 参数被设置为 True(这是默认值),则没有可用的临时解决方案。在这种情况下,不要将主机升级到 RHEL 8,直到问题解决为止。

在其他情况下可能解决这一问题:

  • 对于新安装,请使用 realm join --client-software=winbind 命令加入域。这会将系统配置为在所有用户和组查找中使用 Winbind 而不是 SSSD。在这种情况下,Samba 根据您是否将 --automatic-id-mapping 选项设置为 yes(默认)或 no 来在 /etc/samba/smb.conf 中使用 ridad ID 映射插件。如果您计划在将来或其他系统中使用 SSSD,使用 --automatic-id-mapping=no 允许更轻松地迁移,但要求您在 AD 中为所有用户和组存储 POSIX UID 和 GID。
  • 当从以前的 RHEL 版本升级时,如果 /etc/sssd/sssd.conf 文件中的 ldap_id_mapping 参数被设置为 False,系统使用 AD 中的 uidNumbergidNumber 属性进行 ID 映射:

    1. /etc/samba/smb.conf 文件中的 idmap config <domain> : backend = sss 条目改为 idmap config <domain> : backend = ad
    2. 使用 systemctl status winbind 命令重新启动 Winbind。

(BZ#1657665)

nuxwdog 服务在 HSM 环境中失败,且需要在非 HSM 环境中安装 keyutils 软件包

nuxwdog watchdog 服务已集成到证书系统中。因此,nuxwdog 不再作为单独的软件包提供。要使用 watchdog 服务,请安装 pki-server 软件包。

请注意,nuxwdog 服务有以下已知问题:

  • 如果您使用硬件存储模块(HSM),nuxwdog 服务将无法工作。对于这个问题,没有可用的临时解决方案。
  • 在非 HSM 环境中,Red Hat Enterprise Linux 8.0 不自动安装 keyutils 软件包作为依赖项。要手动安装 软件包,请使用 dnf install keyutils 命令。

(BZ#1652269)

仅可在 IdM CLI 中添加 AD 用户的 ID 覆盖

目前,将 Active Directory(AD)用户的 ID 覆盖添加到 Identity Management(IdM)组中,以便在 IdM Web UI 中授予对管理角色的访问权限。要临时解决这个问题,请使用 IdM 命令行界面(CLI)。

请注意,如果在之前使用 ipa 工具执行了某些操作后,在 IdM 服务器上安装了 ipa-idoverride-memberof-plugin 软件包,红帽建议清理 ipa 工具的缓存,以强制它刷新其有关 IdM 服务器元数据的视图。

为此,请删除在其下执行 ipa 实用程序的用户 ~/.cache/ipa 目录的内容。例如,对于 root:

# rm -r /root/.cache/ipa

(BZ#1651577)

在 IdM 中启用 AD 信任时,没有显示有关所需 DNS 记录的信息

当通过外部 DNS 管理启用对 Red Hat Enterprise Linux Identity Management(IdM)安装中的 Active Directory(AD)信任时,不会显示有关所需 DNS 记录的信息。只有添加所需的 DNS 记录后,林信任才会成功。要临时解决这个问题,请运行 'ipa dns-update-system-records --dry-run' 命令,以获取 IdM 所需的所有 DNS 记录列表。当 IdM 域的外部 DNS 定义所需的 DNS 记录时,有可能建立对 AD 的林信任。

(BZ#1665051)

ldap_id_use_start_tls 选项使用默认值时的潜在风险

当使用没有 TLS 的 ldap:// 进行身份查找时,可能会对攻击向量构成风险。特别是中间人(MITM)攻击,例如,攻击者可以通过更改 LDAP 搜索中返回的对象的 UID 或 GID 来冒充用户。

目前,强制 TLS 的 SSSD 配置选项 ldap_id_use_start_tls 默认为 false。确保您的设置在可信环境中操作,并决定对 id_provider = ldap 使用未加密的通信是否是安全的。注意 id_provider = adid_provider = ipa 不受影响,因为它们使用 SASL 和 GSSAPI 保护的加密连接。

如果使用未加密的通信不安全,请在 /etc/sssd/sssd.conf 文件中将 ldap_id_use_start_tls 选项设置为 true 来强制使用 TLS。计划在以后的 RHEL 版本中更改的默认行为。

(JIRA:RHELPLAN-155168)

5.5.12. 编译器和开发工具

GCC confuse SystemTap 生成的复合功能

GCC 优化可以为其他函数的部分内嵌副本生成复合函数。SystemTap 和 GDB 等工具无法区分这些复合函数和实际功能。因此,SystemTap 可以在复合和真实功能入口点上放置探测,从而为单个实际函数调用注册多个探测命中。

要临时解决这个问题,SystemTap 脚本必须经过相应调整,如检测递归和抑制与内联部分功能相关的探测。例如,一个脚本

probe kernel.function("can_nice").call { }

可以尝试避免描述的问题,如下所示:

global in_can_nice%

probe kernel.function("can_nice").call {
  in_can_nice[tid()] ++;
  if (in_can_nice[tid()] > 1) { next }
  /* code for real probe handler */
}

probe kernel.function("can_nice").return {
  in_can_nice[tid()] --;
}

请注意,这个示例脚本没有考虑所有可能的情况,如错过的 kprobes 或 kretprobes 或真正的预期递归。

(BZ#1169184)

ltrace 工具不报告函数调用

由于改进了应用于所有 RHEL 组件的二进制强化,ltrace 工具无法再检测 RHEL 组件的二进制文件中的功能调用。因此,ltrace 输出为空,因为在用于此类二进制文件时,其不报告任何检测到的调用。目前还没有可用的临时解决方案。

作为备注,ltrace 可以正确报告自定义二进制文件中的调用,而无需相应的强化标记。

(BZ#1618748, BZ#1655368)

5.5.13. 文件系统和存储

无法使用 iscsiuio 软件包发现 iSCSI 目标

Red Hat Enterprise Linux 8 不允许并发访问 PCI 寄存器区域。因此,无法设置主机 net 参数(err 29)错误,到发现门户的连接会失败。要临时解决这个问题,请在内核命令行中设置 iSCSI 卸载的内核参数 iomem=relaxed。这专门涉及使用 bnx2i 驱动程序进行卸载。因此,到发现门户的连接现在是成功的,iscsiuio 软件包现在可以正常工作。

(BZ#1626629)

迁移到不同的终端平台后,VDO 卷会丢失重复数据删除建议

Virtual Data Optimizer(VDO)以您的平台原生的 endian 格式写入通用重复数据删除服务(UDS)索引标头。如果您将 VDO 卷移至使用其他 endian 的平台,VDO 会考虑 UDS 索引损坏,并使用新的空白索引覆盖它。

因此,覆盖前保存在 UDS 索引中的任何重复数据删除建议都会丢失。然后 VDO 无法根据在移动卷前存储的数据删除新写入的数据,从而减少空间。

(BZ#1696492)

XFS DAX 挂载选项与共享写时复制数据扩展不兼容

使用共享写时复制数据扩展功能格式化的 XFS 文件系统与 -o dax 挂载选项不兼容。因此,使用 -o dax 挂载这样的文件系统会失败。

要临时解决这个问题,使用 reflink=0 metadata 选项格式化文件系统以禁用共享复制时写入数据扩展:

# mkfs.xfs -m reflink=0 block-device

因此,使用 -o dax 挂载文件系统会成功。

如需更多信息,请参阅 在 NVDIMM 上创建文件系统 DAX 命名空间

(BZ#1620330)

某些 SCSI 驱动程序有时可能会使用过多的内存

某些 SCSI 驱动程序使用的内存比 RHEL 7 中的内存更大。在某些情况下,比如在光纤通道主机总线适配器(HBA)上创建 vPort,内存用量可能会过大,具体取决于系统配置。

内存用量增加是由块层中内存预分配造成的。多队列块设备调度(BLK-MQ)和多队列 SCSI 堆栈(SCSI-MQ)预分配 RHEL 8 中每个 I/O 请求的内存,从而提高了内存用量。

(BZ#1733278)

5.5.14. 网络

nftables 不支持多组 IP 设置类型

nftables 数据包过滤框架不支持设置具有串联和间隔的类型。因此,您无法使用带有 nftables 的多维 IP 设置类型,如 hash:net,port

要临时解决这个问题,如果您需要多组 IP 设置类型,请将 iptables 框架与 ipset 工具一起使用。

(BZ#1593711)

iptables-extensions(8)man page 中的 TRACE 目标不参考 the nf_tables 变体

iptables-extensions(8) 手册页中 TRACE 目标的描述只指向 compat 变体,但 Red Hat Enterprise Linux(RHEL)8.0 使用 nf_tables 变体。RHEL 中的基于 nftablesiptables 实用程序在内部使用 meta nftrace 表达式。因此,内核不会在内核日志中打印 TRACE 事件,而是将它们发送到用户空间。但是,man page 不引用 xtables-monitor 命令行实用程序来显示这些事件。

(BZ#1658734)

RHEL 8 在交换机在长时间不可用后显示 802.3ad 绑定的状态为"Churned"

目前,当您配置 802.3ad 网络绑定并且交换机长时间停机时,Red Hat Enterprise Linux 会正确地将绑定的状态显示为"Churned",即使连接返回到工作状态后也是如此。但是,这是预期的行为,因为"Churned"状态旨在告知管理员发生了重大链接中断。要清除此状态,请重新启动网络绑定或重新引导主机。

(BZ#1708807)

ebtables 命令不支持 broute

Red Hat Enterprise Linux 8.0 中的 nftables-based ebtables 命令不支持 broute 表。因此,用户无法使用这个功能。

(BZ#1649790)

当禁用 GRO 时,IPsec 网络流量在 IPsec 卸载过程中失败

当在该设备中禁用通用接收 Offload(GRO)时,IPsec 卸载将不会正常工作。如果在一个网络接口中配置了 IPsec 卸载,且在该设备中禁用 GRO,IPsec 网络流量会失败。

要临时解决这个问题,在该设备中启用 GRO。

(BZ#1649647)

NetworkManager 现在默认使用 内部 DHCP 插件

NetworkManager 支持 internaldhclient DHCP 插件。默认情况下, Red Hat Enterprise Linux(RHEL)7 中的 NetworkManager 使用 dhclient,RHEL 8 使用 internal 插件。在某些情况下,插件的行为不同。例如: dhclient 可以使用在 /etc/dhcp/ 目录里指定的附加设置。

如果您从 RHEL 7 升级到 RHEL 8,且 NetworkManager 的行为不同,请在 /etc/NetworkManager/NetworkManager.conf 文件中的 [main] 部分添加以下设置以使用 dhclient 插件:

[main]
dhcp=dhclient

(BZ#1571655)

不能使用 gnome-control-center更改 基于 IPsec 的 VPN 高级选项

当使用 gnome-control-center 应用程序配置 基于 IPsec 的 VPN 连接时,高级 对话框将仅显示配置,但不允许进行任何更改。因此,用户无法更改任何高级 IPsec 选项。要临时解决这个问题,请使用 nm-connection-editornmcli 工具来执行高级属性的配置。

(BZ#1697326)

/etc/hosts.allow 和 /etc/hosts.deny 文件包含不准确的信息

在 Red Hat Enterprise Linux(RHEL)8 中删除 tcp_wrappers 软件包,但不删除其文件 /etc/hosts.allow 和 /etc/hosts.deny。因此,这些文件包含过时的信息,不适用于 RHEL 8。

要临时解决这个问题,请使用防火墙规则过滤对服务的访问。要根据用户名和主机名进行过滤,请使用特定于应用程序的配置。

(BZ#1663556)

在网络流量过载下,IP 碎片整理无法持续

在 Red Hat Enterprise Linux 8 中,垃圾回收内核线程已被删除,IP 片段仅在超时后过期。因此,在 Denial of Service(DoS)下的 CPU 使用率低得多,且最大可持续发展片段丢弃率会受到为 IP 回配单元配置的内存量的限制。使用默认设置工作负载需要存在数据包丢弃的碎片流量时,数据包重新排序或多个并发碎片流可能会发生相关的性能回归。

在这种情况下,用户可以在 /proc/sys/net/ipv4 目录设置 ipfrag_high_thresh 变量来限制内存量和 ipfrag_time 变量,从而在内存中保持每秒的 IP 碎片。例如,

echo 419430400 > /proc/sys/net/ipv4/ipfrag_high_thresh echo 1 > /proc/sys/net/ipv4/ipfrag_time

以上命令适用于 IPv4 流量。对于 IPv6 ,相关可调项是:/proc/sys/net/ipv6/ 目录中的 ip6frag_high_threship6frag_time

请注意,任何依赖于高速碎片流量的工作负载都可能导致稳定性和性能问题,特别是在数据包丢弃方面,因此生产环境中强烈建议进行此类部署。

(BZ#1597671)

RHEL 8 中的网络接口名称更改

在 Red Hat Enterprise Linux 8 中,默认使用与 RHEL 7 相同的一致的网络设备命名方案。但是,有些内核驱动程序,如 e1000enfpqedesfctg3bnxt_en 在 RHEL 8 的新安装中更改了它们的一致性名称。但是,名称会在从 RHEL 7 升级时保留。

(BZ#1701968)

5.5.15. 安全性

libselinux-python 只能通过其模块提供

libselinux-python 软件包只包含用于开发 SELinux 应用程序的 Python 2 绑定,它用于向后兼容。因此,通过 dnf install libselinux-python 命令,默认的 RHEL 8 软件仓库不再提供 libselinux-python

要临时解决这个问题,请启用 libselinux-pythonpython27 模块,并使用以下命令安装 libselinux-python 软件包及其相依性软件包:

# dnf module enable libselinux-python
# dnf install libselinux-python

或者,使用它的安装配置集在一个命令中安装 libselinux-python:

# dnf module install libselinux-python:2.8/common

因此,您可以使用相关的模块安装 libselinux-python

(BZ#1666328)

libssh 不遵循系统范围的加密策略

libssh 库不遵循系统范围的加密策略设置。因此,当管理员使用 update-crypto-policies 命令更改 crypto 策略级别时,支持的算法集合不会被改变。

要临时解决这个问题,需要使用 libssh 的每个应用程序单独设置一组公告的算法。因此,当系统被设置为 criACY 或 FUTURE 策略级别时,使用 libssh 的应用程序与 OpenSSH 相比的行为不一致。

(BZ#1646563)

某些 rsyslog 优先级字符串无法正常工作

对于允许对加密进行精细控制的 imtcpGnuTLS 优先级字符串的支持并不完整。因此,以下优先级字符串无法在 rsyslog 中正常工作:

NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+DHE-RSA:+AES-256-GCM:+SIGN-RSA-SHA384:+COMP-ALL:+GROUP-ALL

要临时解决这个问题,请只使用正确的优先级字符串:

NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+ECDHE-RSA:+AES-128-CBC:+SIGN-RSA-SHA1:+COMP-ALL:+GROUP-ALL

因此,当前的配置必须仅限于可正常工作的字符串。

(BZ#1679512)

默认日志设置在性能上的负面影响

默认日志环境设置可能会消耗 4 GB 内存甚至更多,当 systemd-journald 使用 rsyslog 运行时,速率限制值的调整会很复杂。

如需更多信息,请参阅 RHEL 默认日志设置对性能的负面影响及环境方案

(JIRA:RHELPLAN-10431)

OpenSCAP rpmverifypackage 无法正常工作

rpmverifypackage 探测调用 chdirchroot 系统调用两次。因此,在使用自定义 Open Vulnerability 和评估语言(OVAL)内容的 OpenSCAP 扫描中使用探测时会出现错误。

要临时解决这个问题,请不要在您的内容中使用 rpmverifypackage_test OVAL 测试,或者仅使用未使用 rpmverifypackage_testscap-security-guide 软件包中的内容。

(BZ#1646197)

SCAP Workbench 无法从定制的配置集生成基于结果的补救方法

当尝试使用 SCAP Workbench 工具从自定义配置文件生成基于结果的补救角色时,会发生以下错误:

Error generating remediation role .../remediation.sh: Exit code of oscap was 1: [output truncated]

要临时解决这个问题,请使用带有 --tailoring-file 选项的 oscap 命令。

(BZ#1640715)

Kickstart 在 RHEL 8 中使用 org_fedora_oscap 而不是 com_redhat_oscap

Kickstart 将 Open Security Content Automation Protocol(OSCAP)Anaconda 附加组件引用为 org_fedora_oscap 而不是 com_redhat_oscap,这可能会导致混乱。这样做可以保持与 Red Hat Enterprise Linux 7 的向后兼容性。

(BZ#1665082)

OpenSCAP rpmverifyfile 无法正常工作

OpenSCAP 扫描程序无法以脱机模式正确更改当前工作目录,并且不使用 OpenSCAP rpmverifyfile 探测中的正确参数调用 fchdir 功能。因此,如果在 SCAP 内容中使用 rpmverifyfile_test,则使用一个 oscap-chroot 命令扫描任意文件系统会失败。因此,在上述场景中,oscap-chroot 中止。

(BZ#1636431)

OpenSCAP 不提供虚拟机和容器的离线扫描

重构 OpenSCAP 代码库会导致某些 RPM 探测无法在离线模式下扫描虚拟机和容器文件系统。因此,以下工具已从 openscap-utils 软件包中删除: oscap-vmoscap-chroot。另外,opens cap-containers 软件包已被完全删除。

(BZ#1618489)

不提供容器安全和合规性扫描的实用程序

在 Red Hat Enterprise Linux 7 中,oscap-docker 工具可用于根据原子技术扫描 Docker 容器。在 Red Hat Enterprise Linux 8 中,Docker 和 Atomic 相关的 OpenSCAP 命令不可用。因此,RHEL 8 当前无法使用, oscap-docker 或等同的工具用于容器的安全性和合规性扫描。

(BZ#1642373)

OpenSSL TLS 库不会检测到 PKCS#11 令牌是否支持创建原始 RSARSA-PSS 签名

TLS-1.3 协议需要支持 RSA-PSS 签名。如果 PKCS#11 令牌不支持 raw RSARSA-PSS 签名,使用 OpenSSL TLS 库的服务器应用程序将无法使用 RSA 密钥(如果 PKCS#11 令牌持有)。因此,TLS 通信将失败。

要临时解决这个问题,将服务器或客户端配置为使用 TLS-1.2 版本作为可用最高 TLS 协议版本。

(BZ#1681178)

如果 Apache httpd 使用存储在 PKCS#11 设备和 RSA-PSS 证书中的 RSA 私钥,则无法启动

PKCS#11 标准不会区分 RSA 和 RSA-PSS 密钥对象,并为这两者使用 CKK_RSA 类型。但是,OpenSSL 将不同类型的用于 RSA 和 RSA-PSS 密钥。因此,openssl-pkcs11 引擎无法决定为 OpenSSL 提供 PKCS#11 RSA 密钥对象的类型。目前,引擎会将所有 PKCS#11 CKK_RSA 对象的密钥类型设置为 RSA 密钥。当 OpenSSL 将从证书获得的 RSA-PSS 公钥的类型与引擎提供的 RSA 私钥对象中包含的类型进行比较时,则得出不同类型的结果。因此,证书和私钥不匹配。X509_check_private_key() OpenSSL 函数中执行的检查在此场景中返回一个错误。httpd Web 服务器在其启动过程中调用此功能,以检查提供的证书和密钥是否匹配。由于对包含 RSA-PSS 公钥和 PKCS#11 模块中存储的 RSA-PSS 公钥和 RSA 私钥的证书进行这个检查总会失败,所以 httpd 无法开始使用此配置。这个问题没有可用的临时解决方案。

(BZ#1664802)

如果 httpd 使用 ECDSA 私钥,且未存储在 PKCS#11 设备中的对应公钥,则 httpd 无法启动

与 RSA 密钥不同,ECDSA 私钥不一定包含公钥信息。在这种情况下,您无法从 ECDSA 私钥获取公钥。因此,PKCS#11 设备将公钥信息存储在单独的对象中,无论是公钥对象还是证书对象。OpenSSL 期望引擎提供的 EVP_PKEY 结构用于存放公钥信息的私钥。填写要提供给 OpenSSL 的 EVP_PKEY 结构时,openssl-pkcs11 软件包中的引擎会尝试仅从匹配的公钥对象获取公钥信息,并忽略当前的证书对象。

当 OpenSSL 从引擎请求 ECDSA 私钥时,提供的 EVP_PKEY 结构不包含公钥信息,如果 PKCS#11 设备中没有公钥,即使有匹配的证书可用,也是如此。因此,因为 Apache httpd web 服务器调用 X509_check_private_key() 函数,因此在启动过程中需要公钥,httpd 无法在此场景中启动。要临时解决这个问题,使用 ECDSA 密钥将私钥和公钥保存在 PKCS#11 设备中。因此,当 ECDSA 密钥存储在 PKCS#11 设备中时,httpd 可正确启动。

(BZ#1664807)

OpenSSH 无法正确处理不匹配标签的密钥的 PKCS #11 URI

OpenSSH 套件可以通过标签识别密钥对。该标签可能会在保存在智能卡中的私钥和公钥上有所不同。因此,使用对象部分(密钥标签)指定 PKCS #11 URI 可以阻止 OpenSSH 在 PKCS #11 中查找适当的对象。

要临时解决这个问题,请指定 PKCS #11 URIs,但没有对象部分。因此,OpenSSH 可以在使用 PKCS #11 URI 引用的智能卡上使用密钥。

(BZ#1671262)

iptables-ebtables 输出不与 ebtables 100% 兼容

在 RHEL 8 中,ebtables 命令由 iptables-ebtables 软件包提供,该软件包包含一个基于 nftables 的工具的重新实现。此工具具有不同的代码库,其输出在诸多方面有偏差,这些代码可忽略或谨慎设计选择。

因此,在迁移用于解析 ebtables 输出脚本时,需要对脚本进行以下调整:

  • 将 MAC 地址格式化改为固定长度。必要时,在独立的字节值的开始包含一个 0,用于维护每个字段值带有两个字符。
  • 已更改 IPv6 前缀的格式以符合 RFC 4291。斜杠字符后的结尾部分不再包含 IPv6 地址格式的子网掩码,而是一个前缀长度。这个更改只适用于有效的(left-contiguous)掩码,其他更改则仍然以旧格式打印。

(BZ#1674536)

OpenSSH 中默认不支持 curve25519-sha256

OpenSSH 客户端和服务器的系统范围的加密策略配置中缺少 curve25519-sha256 SSH 密钥交换算法,即使它符合默认的策略级别。因此,如果客户端或服务器使用 curve25519-sha256 且主机不支持这个算法,则连接可能会失败。

要临时解决这个问题,您可以通过为 OpenSSH 客户端和服务器修改 /etc/crypto-policies/back-ends/ 目录中的 openssh.configopensshserver.config 文件来手动覆盖系统范围加密策略的配置。请注意,这个配置在每次系统范围的加密策略更改中都会被覆盖。如需更多信息,请参阅 update-crypto-policies(8) man page。

(BZ#1678661)

OpenSSL 错误处理 PKCS #11 tokens 不支持原始 RSA 或 RSA-PSS 签名

OpenSSL 库不会检测到 PKCS #11 令牌的与键相关的功能。因此,当使用不支持原始 RSA 或 RSA-PSS 签名的令牌创建签名时,建立 TLS 连接会失败。

要临时解决这个问题,请在 /etc/pki/tls/openssl.cnf 文件的 crypto_policy 部分的 .include 行后面添加以下行:

SignatureAlgorithms = RSA+SHA256:RSA+SHA512:RSA+SHA384:ECDSA+SHA256:ECDSA+SHA512:ECDSA+SHA384
MaxProtocol = TLSv1.2

因此,可以在描述的场景中建立 TLS 连接。

(BZ#1685470)

与 VMware 托管系统的 SSH 连接无法正常工作

OpenSSH 套件的当前版本在 SSH 数据包中引入了对默认 IP 服务质量(IPQoS)标记的更改,这是 VMware 虚拟化平台无法正确处理的。因此,无法与 VMware 上的系统建立 SSH 连接。

要临时解决这个问题,请在 ssh_config 文件中包含 IPQoS=throughput。因此,与 VMware 托管系统的 SSH 连接可以正常工作。

如需更多信息,请参阅 在 VMWare 工作站中运行的 RHEL 8 无法通过 SSH 连接到其他主机 知识库解决方案。

(BZ#1651763)

5.5.16. 订阅管理

没有打印成功设置和取消设置 服务级别的消息

candlepin 服务没有"syspurpose"功能时,订阅管理器会使用不同的代码路径来设置 service-level 参数。这个代码路径不会打印操作的结果。因此,当订阅管理器设置了服务级别时,不会显示任何信息。当 service-level 集有拼写错误或不可用时,这尤其成问题。

(BZ#1661414)

syspurpose addonssubscription-manager attach --auto 输出没有影响。

在 Red Hat Enterprise Linux 8 中,添加了 syspurpose 命令行工具的四个属性:roleusageservice_level_agreementaddons目前,只有 roleusageservice_level_agreement 会影响到运行 subscription-manager attach --auto 命令的输出。试图为 addons 参数设置值的用户不会观察到对自动附加的订阅有任何影响。

(BZ#1687900)

5.5.17. 虚拟化

ESXi 虚拟机使用 cloud-init 自定义并克隆的启动非常慢

目前,如果 cloud-init 服务用于修改在 VMware ESXi 管理程序上运行的虚拟机(VM),以使用静态 IP,然后克隆虚拟机,则新的克隆虚拟机在某些情况下需要很长时间才能重新引导。这是因为 cloud-init 将虚拟机的静态 IP 重写为 DHCP,然后搜索可用的数据源。

要临时解决这个问题,您可以在虚拟机第一次引导后卸载 cloud-init。因此,后续重启不会减慢。

(BZ#1666961, BZ#1706482)

启用嵌套虚拟化阻止实时迁移

目前,嵌套虚拟化功能与实时迁移不兼容。因此,在 RHEL 8 主机上启用嵌套虚拟化会阻止从主机迁移任何虚拟机(VM),并保存虚拟机状态快照到磁盘。

请注意,嵌套虚拟化目前在 RHEL 8 中作为技术预览提供,因此不受支持。此外,默认禁用嵌套虚拟化。如果要启用它,请使用 kvm_intel.nestedkvm_amd.nested 模块参数。

(BZ#1689216)

使用 cloud-init 在 Microsoft Azure 上置备虚拟机会失败

目前,无法使用 cloud-init 工具在 Microsoft Azure 平台上置备 RHEL 8 虚拟机(VM)。要临时解决这个问题,请使用以下方法之一:

  • 使用 WALinuxAgent 软件包而不是 cloud-init 在 Microsoft Azure 上调配虚拟机。
  • /etc/NetworkManager/NetworkManager.conf 文件中的 [main] 部分添加以下设置:

    [main]
    dhcp=dhclient

(BZ#1641190)

第二代 RHEL 8 虚拟机有时无法在 Hyper-V Server 2016 主机上引导

当使用 RHEL 8 作为在 Microsoft Hyper-V Server 2016 主机上运行的虚拟机(VM)中的客户机操作系统时,虚拟机在某些情况下无法引导,并返回到 GRUB 引导菜单。另外,会在 Hyper-V 事件日志中记录以下错误:

The guest operating system reported that it failed with the following error code: 0x1E

这个错误是由 Hyper-V 主机上的 UEFI 固件错误造成的。要临时解决这个问题,,使用 Hyper-V Server 2019 作为主机。

(BZ#1583445)

virsh iface-\* 命令无法一致性地工作

因为配置的依赖关系,目前virsh iface-* 命令(如 virsh iface-startvirsh iface-destroy 会经常失败。因此,建议您不要使用 virsh iface-\* 命令配置和管理主机网络连接。反之,使用 NetworkManager 程序及其相关管理程序。

(BZ#1664592)

Azure 的 Linux 虚拟机扩展有时无法正常工作

默认情况下,RHEL 8 不包含 python2 软件包。因此,在某些情况下,在 RHEL 8 虚拟机上为 Azure 运行 Linux 虚拟机扩展(也称为 azure-linux-extensions )会失败。

要提高 azure-linux-extensions 按预期工作的可能性,请手动在 RHEL 8 虚拟机上安装 python2

# yum install python2

(BZ#1561132)

5.5.18. 支持性

redhat-support-tool 不从 opencase中自动收集 sosreport

redhat-support-tool 命令无法创建 sosreport 归档。要临时解决这个问题,请单独运行 sosreport 命令,然后输入 redhat-support-tool addattachment -c 命令以上传归档或在客户门户网站中使用 Web UI。因此,会创建一个问题单并上传 sosreport

请注意,findkerneldebugsbtextractanalyzediagnose 命令无法按预期工作,并将在以后的版本中修复。

(BZ#1688274)