第 6 章 RHEL 8.1.0 发行版本
6.1. 新特性
这部分论述了 Red Hat Enterprise Linux 8.1 中引入的新功能和主要增强。
6.1.1. 安装程序和镜像创建
现在可以在 Kickstart 安装过程中禁用模块
在这个版本中,用户可以禁用模块来防止从模块安装软件包。要在 Kickstart 安装过程中禁用模块,请使用该命令:
module --name=foo --stream=bar --disable
(BZ#1655523)
现在提供了对蓝图的 repo.git 部分的支持
新的 repo.git 蓝图部分允许用户在其镜像构建中包含额外文件。这些文件必须托管在 git 存储库中,该存储库中可从 lorax-composer 构建服务器访问。
镜像构建器现在支持为更多云供应商创建镜像
在这个版本中,Image Builder 扩展了 Image Builder 可为其创建镜像的云供应商数量。现在,您可以创建也可以在 Google Cloud 和 Alibaba Cloud 上部署的 RHEL 镜像,并在这些平台上运行自定义实例。
6.1.2. 软件管理
dnf-utils 已重命名为 yum-utils
在这个版本中,作为 YUM 堆栈一部分的 dnf-utils 软件包被重命名为 yum-utils。出于兼容性的原因,仍然可以使用 dnf-utils 名称安装软件包,并在升级系统时自动替换原始软件包。
(BZ#1722093)
6.1.3. 订阅管理
subscription-manager 现在报告角色、使用和附加组件值
在这个版本中,subscription -manager 可以显示当前机构中每个订阅的角色、使用情况和附加项值,这些订阅已注册到客户门户或卫星。
通过为那些订阅添加角色、使用 和 Add-ons 值来显示可用的订阅:
# subscription-manager list --available
要显示消耗的订阅,包括额外的角色、使用和附加组件值,请使用:
# subscription-manager list --consumed
(BZ#1665167)
6.1.4. 基础架构服务
tuned rebase 到版本 2.12
tuned 软件包已升级到上游版本 2.12,它提供很多程序错误修复和增强,特别是:
- 已删除和重新附加的设备的处理已被修复。
- 添加了对 CPU 列表求反的支持。
-
通过从
sysctl工具切换到专用于Tuned的新实施,提高了运行时内核参数配置的性能。
Chrony rebase 到版本 3.5
chrony 软件包已升级到上游版本 3.5,它提供很多程序错误修复和增强,特别是:
- 添加了对 RHEL 8.1 内核中与硬件时间戳进行更准确的系统时钟同步的支持。
- 硬件时间戳有显著改进。
- 可用轮询间隔的范围已扩展。
- filter 选项已添加到 NTP 源中。
提供了新的 FRRouting 路由协议堆栈
有了这个更新, Quagga 已被 Free Range Routing(FRRouting 或 FRR)替代,这是一个新的路由协议堆栈。FRR 由 AppStream 存储库中的 frr 软件包提供。
FRR 提供基于 TCP/IP 的路由服务,支持多种 IPv4 和 IPv6 路由协议,如 BGP、IS-IS、OSPF、PIM 和 RIP。
安装 FRR 时,系统可以充当专用路由器,与内部或外部网络中的其他路由器交换路由信息。
(BZ#1657029)
GNU enscript 现在支持 ISO-8859-15 编码
在这个版本中,在 GNU enscript 程序中添加了对 ISO-8859-15 编码的支持。
提高了 phc2sys中系统时钟偏移的测量准确性
linuxptp 软件包中的 phc2sys 程序现在支持更精确的方法来测量系统时钟偏移。
(BZ#1677217)
ptp4l 现在支持主动备份模式中的组接口
在这个版本中,在 PTP Boundary/Ordinary Clock(ptp4l)中添加了对主动备份 模式中的组接口的支持。
(BZ#1685467)
现在支持 macvlan 接口上的 PTP 时间同步
在这个版本中,将 macvlan 接口上的硬件时间戳支持添加到 Linux 内核中。因此,mac vlan 接口现在可以使用 Precision Time Protocol( PTP)进行时间同步。
(BZ#1664359)
6.1.5. 安全性
新软件包: fapolicyd
fapolicyd 软件框架根据用户定义的策略引入了一种应用白名单和黑名单。应用白名单功能提供了一种最有效的方法,可以防止在系统上运行不受信任和可能的恶意应用程序。
fapolicyd 框架提供以下组件。
-
fapolicyd服务 -
fapolicyd命令行工具 -
yum插件 - 规则语言
管理员可以根据任何应用的路径、散列、MIME 类型或信任来定义 允许 和 拒绝执行 规则,同时有可能进行审计。
请注意,每个 fapolicyd 设置都会影响整体系统性能。性能影响因使用案例而异。应用将缓慢地列入 open()和 exec()系统调用 白名单,因此主要影响频繁执行此类系统调用的应用。
详情请查看 fapolicyd(8)、fapolicyd.rules(5) 和 fapolicyd.conf (5) 手册页。
(BZ#1673323)
新软件包:udica
新的 udica 软件包提供了一个工具,可用于为容器生成 SELinux 策略。使用 udica,您可以创建一个定制安全策略,更好地控制容器如何访问主机系统资源,如存储、设备和网络。这可让强化容器部署以避免出现安全问题,并简化了规范合规性的实现和维护。
如需更多信息,请参阅 RHEL 8 使用 SELinux 标题为容器创建 SELinux 策略部分。
(BZ#1673643)
SELinux 用户空间工具更新至 2.9 版本
libsepol、libselinux、libsemanage、policycoreutils、checkpolicy 和 mcstrans SELinux 用户空间工具已升级到最新的上游版本 2.9,它比之前的版本提供了很多程序错误修复和增强。
(BZ#1672638,BZ#1672642,BZ#1672637,BZ#1672640,BZ#1672635,BZ#1672641)
setools 更新至版本 4.2.2
SETools 工具和库集合已升级到最新的上游版本 4.2.2,它提供以下更改:
- 从 man page 中删除了源策略引用,因为不再支持载入源策略
- 修复了别名加载中的性能回归
selinux-policy rebase 到 3.14.3
selinux-policy 软件包已升级到上游版本 3.14.3,它提供了一些程序错误修正和允许规则的改进。
新 SELinux 类型: boltd_t
新的 SELinux 类型 boltd_t 限制 boltd,这是用于管理 Thunderbolt 3 设备的系统守护进程。现在,bol td 在 SELinux enforcing 模式下作为受限服务运行。
(BZ#1684103)
新的 SELinux 策略类: bpf
引入了一个新的 SELinux 策略类 bpf。bpf 类使用户能够通过 SElinux 控制 Berkeley Packet Filter(BPF)流,并允许对扩展 Berkeley Packet Filter(eBPF)程序和由 SELinux 控制的映射进行检查和简单操作。
(BZ#1673056)
OpenSCAP rebase 到版本 1.3.1
openscap 软件包已升级到上游版本 1.3.1,它与之前的版本相比提供了很多程序错误修复和增强,最重要的是:
- 支持 SCAP 1.3 源数据流:评估、XML 架构和验证
- 定制文件包含在 ARF 结果文件中
-
OVAL 详情总是在 HTML 报告中显示,用户不必提供
--oval-results选项 -
HTML 报告还显示 OVAL 测试的详细信息,用于使用 OVAL
extend_definition元素从其他 OVAL 定义中包含的 OVAL 测试 - OVAL 测试 ID 显示在 HTML 报告中
- 规则 ID在 HTML 指南中显示
OpenSCAP 现在支持 SCAP 1.3
OpenSCAP 套件现在支持符合最新版本的 SCAP 标准 - SCAP 1.3 的数据流。现在,您可以使用 SCAP 1.3 数据流,如 scap-security-guide 软件包中包含的流,其方式与 SCAP 1.2 数据流相同,没有任何额外的可用性限制。
scap-security-guide rebase 到版本 0.1.46
scap-security-guide 软件包已升级到上游版本 0.1.46,它比之前的版本提供了很多程序错误修复和增强,最重要的是:* SCAP 内容符合 SCAP 标准的最新版本,SCAP 1.3 * SCAP 内容支持 UBI 镜像
OpenSSH rebase 到 8.0p1
openssh 软件包已升级到上游版本 8.0p1,它与之前的版本相比提供了很多程序错误修复和增强,最重要的是:
-
ssh-keygen工具的默认 RSA 密钥大小增加到 3072 位 -
删除了对
ShowPatchLevel配置选项的支持 - 应用大量 GSSAPI 密钥交换代码修复,如修复 Kerberos 清理过程
-
删除回退到
sshd_net_tSELinux 上下文 -
添加了对
匹配最终块的支持 -
修复了
ssh-copy-id命令中的次要问题 -
修复了与
scp工具相关的常见漏洞和风险(CVE)(CVE-2019-6111、CVE-2018-20685、CVE-2019-6109)
请注意,这个版本引入了一些不兼容的 scp 缓解 CVE-2019-6111。如果您的脚本在下载 scp 时依赖于路径的高级 bash 扩展,您可以在连接到可信服务器时使用 -T 开关临时关闭这些缓解方案。
libssh 现在符合 系统范围的加密
libssh 客户端和服务器现在会自动加载 /etc/libssh/libssh_client.config 文件以及 /etc/libssh/libssh_server.config。此配置文件包含系统范围的 crypto-policies 组件为 libssh 后端设置的选项,以及在 /etc/ssh/ssh_config 或 /etc/ssh/sshd_config OpenSSH 配置文件中设置的选项。自动载入配置文件后,libs sh 现在 使用由 crypto-policies 设置的系统范围的加密设置。这个变化简化了应用程序对已使用的加密算法集的控制。
(BZ#1610883, BZ#1610884)
rsyslog 保留 FROMHOST 案例的选项可用
此对 rsyslog 服务的更新引入了 选项,以管理 imudp 和 imtcp 模块的 FROMHOST 属性的字母大小写保留。将 preservecase 值设置为 on 时表示 FROMHOST 属性以区分大小写的方式处理。为避免破坏现有配置,对于 imtcp 的保留大小为 on,对于 imudp 则为 off。
(BZ#1614181)
6.1.6. 网络
现在 VXLAN 和 GENEVE 隧道支持 PMTU 发现和路由重定向
Red Hat Enterprise Linux(RHEL)8.0 中的内核没有处理虚拟可扩展局域网(VXLAN)和通用网络虚拟化封装(GENEVE)隧道的 Internet 控制消息协议(ICMP)和 ICMPv6 消息。因此,在 8.1 之前的 RHEL 发行版本中,Path MTU(PMTU)发现和路由重定向不支持 VXLAN 和 GENEVE 隧道。在这个版本中,内核通过调整 PMTU 并修改转发信息来处理 ICMP "Destination Unreachable" 和 "Redirect Message" 错误消息,以及 ICMPv6 "Packet Too Big" 和 "Destination Unreachable" 错误消息。因此,RHEL 8.1 支持使用 VXLAN 和 GENEVE 隧道进行 PMTU 发现和路由重定向。
(BZ#1652222)
内核中的 XDP 和网络 eBPF 功能中的显著变化
内核 软件包中的 XDP 和网络 eBPF 功能已升级到上游版本 5.0,它提供很多程序错误修复和增强:
-
eBPF 程序现在可以更好地与 TCP/IP 堆栈交互,执行流断开,有更广泛的
bpf帮助程序可用,并且可以访问新的映射类型。 - XDP 元数据现在可用于 AF_XDP 套接字。
(BZ#1687459)
新的 PTP_SYS_OFFSET_EXTENDED 控制 ioctl() 提高测量 system-PHC ofsets 的准确性
在这个版本中,增加了 PTP_SYS_OFFSET_EXTENDED 控制,以便在 ioctl()功能中更精确地测量系统精确时间协议(PTP)硬件时钟(PHC) 偏移量。PTP_SYS_OFFSET 控制,例如 chrony 服务用来测量 PHC 和系统时钟之间的偏移不够准确。新的 PTP_SYS_OFFSET_EXTENDED 控制,驱动程序可以隔离最低位的读取。这提高了测量偏移的准确性。网络驱动程序通常读取多个 PCI 寄存器,并且驱动程序不会读取系统时钟两次读取之间 PHC 时间戳的最低位。
(BZ#1677215)
ipset rebase 到版本 7.1
ipset 软件包已升级到上游版本 7.1,它提供很多程序错误修复和增强:
-
ipset协议版本 7 引入了IPSET_CMD_GET_BYNAME和IPSET_CMD_GET_BYINDEX操作。另外,用户空间组件现在可以检测到内核组件支持的确切兼容性级别。 - 已修复大量错误,如内存泄漏和无用错误。
(BZ#1649090)
6.1.7. 内核
RHEL 8.1 中的内核版本
Red Hat Enterprise Linux 8.1 带有内核版本 4.18.0-147。
(BZ#1797671)
现在提供了内核的实时补丁
内核的实时补丁 kpatch 提供了在不重新启动或重新启动任何进程的情况下对正在运行的内核进行补丁的机制。将为特定的 RHEL 次要发行流提供实时内核补丁,该政策包括在 延长更新支持(EUS)策略下,以修复关键(Critical) 和重要(Important) CVE。
要为 RHEL 8.1 版本订阅 kpatch 流,请安装 RHEA-2019:3695 公告提供的 kpatch-patch-4_18_0-147 软件包。
如需更多信息,请参阅管理、监控和更新内核中 的内核实时补丁应用 补丁。
(BZ#1763780)
RHEL 8 中的 扩展 Berkeley Packet 过滤器
Extended Berkeley Packet Filter(eBPF) 是一个内核中的虚拟机,允许在可访问有限功能的受限沙箱环境中在内核空间中执行代码。虚拟机执行类特殊的装配代码。然后,代码被加载到内核,并使用即时编译方式转换为原生机器代码。红帽提供的很多组件都使用 eBPF 虚拟机。每个组件处于不同的开发阶段,因此目前并不完全支持所有组件。
在 RHEL 8.1 中,AMD 和 Intel 64 位构架完全支持 BPF Compiler Collection(BCC) 工具软件包。BCC 工具软件包是使用 eBPF 虚拟机的动态内核跟踪工具的集合。
以下 eBPF 组件当前作为技术预览提供:
- 以下架构中的 BCC 工具软件包:64 位 ARM 架构、IBM Power Systems、Little Endian 和 IBM Z
- 所有构架上的 BCC 库
-
bpftrace追踪语言 - eXpress 数据路径(XDP)功能
有关技术预览组件的详情,请参考 第 6.5.2 节 “内核”。
(BZ#1780124)
Red Hat Enterprise Linux 8 现在支持 早期 kdump
早期 kdump 功能允许崩溃内核和 initramfs 加载足够早的负载,以便在早期崩溃时捕获 vmcore 信息。
有关 早期 kdump 的详情,请查看 /usr/share/doc/kexec-tools/early-kdump-howto.txt 文件。
(BZ#1520209)
RHEL 8 现在支持 ipcmni_extend
在 Red Hat Enterprise Linux 8 中添加了一个新的内核命令行参数 ipcmni_extend。参数将多个唯一的 System V 进程间通信(IPC)标识符从当前最大 32 KB(15 位)扩展到 16 MB(24 位)。因此,应用程序产生大量共享内存片段的用户可以创建更强大的 IPC 标识符,且不超过 32 KB 限制。
请注意,在某些情况下,使用 ipcmni_extend 会产生较小的性能开销,只有在应用程序需要超过 32 KB 唯一 IPC 标识符时才应使用它。
(BZ#1710480)
持久内存初始化代码支持并行初始化
持久内存初始化代码在具有多个持久内存节点的系统上启用并行初始化。并行初始化可显著减少具有大量持久内存的系统上总体内存初始化时间。因此,这些系统现在可以更快地引导。
(BZ#1634343)
TPM 用户空间工具已更新至最后一个版本
tpm2-tools 用户空间工具已更新至版本 2.0。在这个版本中,tpm2-tools 可以修复许多缺陷。
rngd 守护进程现在可以使用非 root 特权运行
随机数生成器守护进程(rngd)检查随机性来源提供的数据是否足够随机,然后将数据存储在内核的随机数熵池中。在这个版本中,rngd 可以使用非 root 用户权限运行,以增强系统安全性。
完全支持 the ibmvnic 驱动程序
随着红帽企业 Linux 8.0 的推出,用于 IBM POWER 架构的 IBM Virtual Network Interface Controller( vNIC)驱动程序作为技术预览提供。vNIC 是一种 PowerVM 虚拟网络技术,可提供企业功能并简化网络管理。这是一个高性能、高效的技术,在与 SR-IOV NIC 结合使用时,可在虚拟 NIC 级别提供带宽控制服务质量(QoS)功能。vNIC 显著降低了虚拟化开销,从而减少了网络虚拟化所需的延迟和服务器资源(包括 CPU 和内存)。
从 Red Hat Enterprise Linux 8.1 the ibmvnic 设备驱动程序开始,IBM POWER9 系统上被完全支持。
(BZ#1665717)
Intel ® Omni-Path 架构(OPA)主机软件
Red Hat Enterprise Linux 8.1 完全支持 Intel Omni-Path 架构(OPA)主机软件。Intel OPA 为在集群环境中的计算和 I/O 节点之间的高性能数据传输(高带宽、高消息率、低延迟)提供主机 Fabric Interface(HFI)硬件初始化和设置。
RHEL 8 的 debug 内核中启用了 UBSan
Undefined Behavior Sanitizer (UBSan)实用程序在运行时在 C 代码语言中公开未定义的行为缺陷。现在,在 debug 内核中启用了这个工具,因为编译器的行为在某些情况下与开发人员的预期不同。特别是对于编译器优化的情况(其中微小),可能会引发模糊错误。因此,启用了 UBSan 运行 debug 内核可让系统轻松检测到此类错误。
(BZ#1571628)
fadump 基础架构现在支持在 RHEL 8 中重新注册
添加了对在任何内存热添加/删除操作后重新注册(取消注册和注册)固件辅助转储(fadump)基础架构的支持,以更新崩溃内存范围。这个功能旨在防止系统在取消注册并在 udev 事件期间从用户空间注册 fadump 时出现潜在的问题。
(BZ#1710288)
RHEL for Real Time 8 中引入了 determine _maximum_mpps.sh 脚本
介绍了 determine_maximum_mpps.sh 脚本来帮助使用 queuelat 测试程序。脚本执行 队列, 以确定计算机可以每秒处理的最大数据包数。
kernel-rt 源树现在与最新的 RHEL 8 树匹配
kernel-rt 源已升级为基于最新的 Red Hat Enterprise Linux 内核源树,与之前的版本相比,它提供了一些程序错误修复和增强。
ssdd 测试已添加到 RHEL for Real Time 8 中
添加了 ssdd 测试,以启用追踪子系统的压力测试。该测试运行多个追踪线程,以验证追踪系统中的锁定是否正确。
6.1.8. 硬件启用
完全支持 Optane DC Persistent Memory 技术的内存模式
Intel Optane DC 持久内存存储设备提供数据中心级别的持久内存技术,这可以显著提高事务吞吐量。
要使用内存模式技术,您的系统不需要任何特殊驱动程序或特定认证。内存模式对操作系统是透明的。
IBM Z 现在支持系统引导签名验证
安全引导允许系统固件检查用于签署内核空间代码的加密密钥的真实性。因此,该功能提高了安全性,因为只能执行来自可信供应商的代码。
请注意,IBM z15 需要使用安全引导机制。
(BZ#1659399)
6.1.9. 文件系统和存储
支持 Data Integrity Field/Data Integrity Extension(DIF/DIX)
只有在硬件厂商已验证,并完全支持在 RHEL 中的特定主机总线适配器(HBA)和存储阵列,则支持 DIF/DIX。
在以下配置中不支持 DIF/DIX:
- 不支持在引导设备中使用。
- 在虚拟客户机中不支持。
- 当启用了 DIF/DIX 时,红帽不支持使用 Automatic Storage Management 库(ASMLib)。
在涉及应用程序之前(包括应用程序)的不同层的存储设备上启用或禁用 DIF/DIX。在存储设备中激活 DIF 的方法取决于设备。
有关 DIF/DIX 功能的详情,请参考 什么是 DIF/DIX。
(BZ#1649493)
Optane DC 内存系统现在支持 EDAC 报告
在以前的版本中,如果内存地址在 NVDIMM 模块内,EDAC 不会被报告内存修正/不正确的事件。有了此更新,EDAC 可以使用正确的内存模块信息正确报告事件。
(BZ#1571534)
VDO Ansible 模块已移到 Ansible 软件包
在以前的版本中,VDO Ansible 模块由 vdo RPM 软件包提供。自此发行版本起,模块由 ansible 软件包提供。
VDO Ansible 模块文件的原始位置是:
/usr/share/doc/vdo/examples/ansible/vdo.py
文件的新位置为:
/usr/lib/python3.6/site-packages/ansible/modules/system/vdo.py
The vdo 软件包继续分发 Ansible playbook。
如需有关 Ansible 的更多信息,请参阅 http://docs.ansible.com/。
现在完全支持 Aero 适配器
以下 Aero 适配器(之前作为技术预览提供)现已获得全面支持:
-
PCI ID 0x1000:0x00e2 和 0x1000:0x00e6,由
mpt3sas驱动程序控制 -
PCI ID 0x1000:Ox10e5 和 0x1000:0x10e6,由
megaraid_sas驱动程序控制
(BZ#1663281)
LUKS2 现在支持在线重新加密
Linux 统一密钥设置版本 2(LUKS2)格式现在支持在设备正在使用时重新加密加密设备。例如:您不必卸载该设备中的文件系统来执行以下任务:
- 更改卷密钥
- 更改加密算法
加密非加密设备时,您仍然必须卸载文件系统,但现在加密速度明显加快。您可以在简短初始化加密后重新挂载文件系统。
另外,LUK2 再加密现在更具弹性。您可以在重新加密过程中选择几个优先的性能或数据保护的选项。
若要执行 LUKS2 重新加密,可使用 cryptsetup reencrypt 子命令。红帽不再建议对 LUKS2 格式使用 cryptsetup-reencrypt 工具。
请注意,LUKS1 格式不支持在线重新加密,并且 cryptsetup reencrypt 子命令与 LUKS1 不兼容。要加密或重新加密 LUKS1 设备,请使用 cryptsetup-reencrypt 实用程序。
如需有关磁盘加密的更多信息,请参阅使用 LUKS 加密块设备。
RHEL 8 提供了 ext4 的新功能
在 RHEL8 中,以下是 ext4 的新完全支持功能:
非默认功能:
-
project -
quota -
mmp
-
非默认挂载选项:
-
bsddf|minixdf -
grpid|bsdgroups 和 nogrpid|sysvgroups -
resgid=n 和 resuid=n -
errors={continue|remount-ro|panic} -
commit=nrsec -
max_batch_time=usec -
min_batch_time=usec -
grpquota|noquota|quota|usrquota -
prjquota -
dax -
lazytime|nolazytime -
discard|nodiscard -
init_itable|noinit_itable -
jqfmt={vfsold|vfsv0|vfsv1} -
usrjquota=aquota.user|grpjquota=aquota.group
-
有关功能和挂载选项的更多信息,请参阅 ext4 man page。Red Hat 可能无法完全支持其他 ext4 功能、挂载选项或两者的组合。如果您的特殊工作负载需要一个在红帽版本中未获得完全支持的功能或挂载选项,请联系红帽支持,以评估它是否包含在我们支持列表中。
(BZ#1741531)
NVMe over RDMA 现在在 IBM Coral 系统的目标模式中支持 Infiniband
在 RHEL 8.1 中,RDMA 上的 NVMe 现在支持 IBM Coral 系统的目标模式中的 Infiniband,并在卡中添加单个 NVMe PCIe 作为目标。
6.1.10. 高可用性和集群
Pacemaker 现在 将并发集群 属性默认设置为 true
如果需要同时隔离多个群集节点,且它们使用不同的配置的隔离设备,Pacemaker 现在将同时执行隔离,而不是像以前一样进行序列化。当必须隔离多个节点时,这可能会导致在大型集群中大幅加快恢复。
扩展共享逻辑卷不再需要在每个集群节点上刷新
在这个版本中,在一个集群节点中运行 lvextend 命令后,扩展共享逻辑卷不再需要在每个集群节点上刷新。有关扩展 GFS2 文件系统大小的完整步骤,请参阅 增大 GFS2 文件系统。
(BZ#1649086)
支持的 RHEL HA 集群的最大大小从 16 个增加到 32 个节点
在这个版本中,红帽支持部署多达 32 个完整集群节点的集群。
(BZ#1693491)
在 pcs中添加了用于添加、更改和删除 corosync 链接的命令
Kronosnet(knet)协议现在允许您在正在运行的集群中添加和删除 knet 链接。为了支持此功能,pcs 命令 现在提供了命令来添加、更改和删除 knet 链接并更改现有群集中的 upd/udpu 链接。有关在现有集群中添加和修改链接的详情,请参阅 在现有集群中添加和修改链接。(BZ#1667058)
6.1.11. 动态编程语言、网页和数据库服务器
新模块流: php:7.3
RHEL 8.1 引入了 PHP 7.3,它提供了许多新功能和增强功能。主要变更包括:
-
增强且更灵活的
heredoc和nowdoc语法 - PCRE 扩展升级至 PCRE2
- 改进了多字节字符串处理
- 支持 LDAP 控制
- 改进了 FastCGI 进程管理器(FPM)日志
- 几个弃用和向后不兼容的更改
如需更多信息,请参阅 从 PHP 7.2.x 迁移到 PHP 7.3.x。
请注意,RHEL 8 版本 PHP 7.3 不支持 Argon2 密码哈希算法。
要安装 php:7.3 流,请使用:
# yum module install php:7.3
如果要从 php:7.2 流升级,请参阅切换到更新的流。
新模块流: ruby:2.6
现在提供了一个新的模块流 ruby:2.6。Ruby 2.6.3 包括在 RHEL 8.1 中,与 RHEL 8.0 中的版本 2.5 相比,提供了大量新功能、增强功能、错误和安全修复以及性能改进。
主要改进包括:
- 现在允许使用非ASCII 大写字母开始使用恒定名称。
- 添加了对无限范围的支持。
-
提供了一个新的
Binding#source_location方法。 -
$SAFE现在是一个进程全局状态,它可以重新设置为0。
改进的性能:
-
Proc#call和block.call进程已优化。 -
增加了一个新的垃圾收集器管理堆、Tient 堆(
ap)。 - 引进了针对个别架构的本机工程实施。
另外,ruby:2.5 流提供的 Ruby 2.5 已被升级到 2.5.5 版本,它提供了一些程序错误修复和安全修复。
要安装 ruby:2.6 流,请使用:
# yum module install ruby:2.6
如果要从 ruby:2.5 流升级,请参阅切换到更新的流。
(BZ#1672575)
新模块流: nodejs:12
RHEL 8.1 引入了 Node.js 12,它比版本 10 提供了一些新功能和增强。主要变更包括:
- V8 引擎升级到 7.4 版本
-
新的默认 HTTP 解析器
llhttp(不再实验) - 堆转储生成集成功能
- 支持 ECMAScript 2015(ES6)模块
- 改进了对原生模块的支持
- worker 线程不再需要一个标记
- 一个新的实验诊断报告功能
- 提高的性能
要安装 nodejs:12 流,请使用:
# yum module install nodejs:12
如果要从 nodejs:10 流升级,请参阅切换到更新的流。
(BZ#1685191)
Judy-devel 在 CRB 中可用
Judy-devel 软件包现在作为 CodeReady Linux Builder 存储库(CRB) 中的 mariadb-devel:10.3 模块的一部分提供。因此,开发人员现在可以使用 Judy 库构建应用程序。
要安装 Judy-devel 软件包,请首先启用 mariadb-devel:10.3 模块:
# yum module enable mariadb-devel:10.3 # yum install Judy-devel
(BZ#1657053)
Python 3中的 FIPS 合规性
在这个版本中,Python 3 添加了对 OpenSSL FIPS 模式的支持。特征:
-
在 FIPS 模式中,
blake2、sha3和shake哈希使用 OpenSSL 打包程序,且不提供扩展功能(如键、树哈希或自定义摘要大小)。 -
在 FIPS 模式中,
hmac.HMAC类只能使用 OpenSSL 打包程序或带有 OpenSSL 哈希名称的字符串作为 summarymod参数进行实例化。必须指定 参数(而不是默认为 std5算法)。
请注意,哈希功能支持 use forsecurity 参数,该参数允许在 OpenSSL FIPS 模式中使用不安全的哈希。用户负责确保符合任何相关标准。
python3-wheel中的 FIPS 合规性更改
这个 python3-wheel 软件包更新删除了用来签名和验证与 FIPS 不兼容数据的内置实现。
(BZ#1731526)
新模块流: nginx:1.16
nginx 1.16 web 和代理服务器现已发布,与版本 1.14 相比提供了许多新功能和增强功能。例如:
-
大量与 SSL 相关的更新(从变量加载 SSL 证书和 secret 密钥,
ssl_certificate和ssl_certificate_key指令中支持的变量,新的ssl_early_data指令) -
新的与
keepalive有关的指令 -
用于分布式负载平衡的新的
random指令 -
新参数和现有指令的改进(
listen 指令的端口范围,limit_req指令的新延迟参数,启用两阶段速率限制) -
新的
$upstream_bytes_sent变量 - 用户数据报协议(UDP)代理的改进
其他显著变化包括:
-
在
nginx:1.16流中,nginx软件包不需要nginx-all-modules软件包,因此必须明确安装nginx模块。当您以模块形式安装nginx时,nginx-all-modules软件包将作为common配置集的一部分安装,这是默认配置集。 -
The
ssl指令已弃用;改为将ssl参数用于listen指令。 -
nginx现在会在配置测试过程中检测到缺少的 SSL 证书。 -
当在
listen指令中使用主机名时,nginx 现在会为主机名解析到的所有地址创建侦听套接字。
要安装 nginx:1.16 流,请使用:
# yum module install nginx:1.16
如果要从 nginx:1.14 流升级,请参阅切换到更新的流。
(BZ#1690292)
perl-IO-Socket-SSL rebase 到版本 2.066
perl-IO-Socket-SSL 软件包已升级到 2.066 版本,它提供很多程序错误修复和增强,例如:
- 改进了对 TLS 1.3 的支持,特别是会话重用和客户端端的自动后握身份验证
- 添加了对多个曲线、自动设置曲线、部分信任链以及支持同一域中 RSA 和 ECDSA 证书的支持
(BZ#1632600)
perl-Net-SSLeay rebase 到版本 1.88
perl-Net-SSLeay 软件包已升级到 1.88 版本,提供多个程序错误修复和增强。主要变更包括:
- 提高了与 OpenSSL 1.1.1 的兼容性,例如操作证书和 X509 存储堆栈,以及选择 elliptic curves 和 groups
- 改进了与 TLS 1.3 的兼容性,例如,会话重用和后握身份验证
-
修复了
cb_data_advanced_put()子例程中的内存泄漏问题。
(BZ#1632597)
6.1.12. 编译器和开发工具
GCC Toolset 9 可用
Red Hat Enterprise Linux 8.1 引入了 GCC Toolset 9,应用程序流包含更新的开发工具版本。
GCC 工具集 9 提供以下工具和版本:
| 工具 | 版本 |
|---|---|
| GCC | 9.1.1 |
| GDB | 8.3 |
| Valgrind | 3.15.0 |
| SystemTap | 4.1 |
| Dyninst | 10.1.0 |
| binutils | 2.32 |
| elfutils | 0.176 |
| dwz | 0.12 |
| make | 4.2.1 |
| strace | 5.1 |
| ltrace | 0.7.91 |
| annobin | 8.79 |
GCC Toolset 9 以 AppStream 存储库中的 Software Collection 的形式作为 Application Stream 提供。GCC 工具集是与适用于 RHEL 7 的红帽开发人员工具集 类似的一组工具。
安装 GCC Toolset 9:
# yum install gcc-toolset-9
要从 GCC Toolset 9 运行工具:
$ scl enable gcc-toolset-9 tool要运行 shell 会话,GCC Toolset 9 的工具版本优先于这些工具的系统版本:
$ scl enable gcc-toolset-9 bash
有关使用方法的详细信息,请参阅使用 GCC Toolset。
(BZ#1685482)
升级的编译器工具集
使用 RHEL 8.1 升级了以下编译器工具集,作为 Application Streams 分发:
- clang 和 LLVM Toolset 提供 LLVM 编译器基础架构框架、用于 C 和 C++ 语言的 Clang 编译器、LLDB 调试器和相关工具,用于代码分析,到版本 8.0.1
-
Rust Toolset,向版本 1.37 提供 Rust 编程语言编译器 rust
c、构建工具和依赖关系管理器以及所需的库 -
Go Toolset,它为版本 1.12.8 提供 Go(
golang)编程语言工具和库。
(BZ#1731502, BZ#1691975, BZ#1680091, BZ#1677819, BZ#1681643)
SystemTap rebase 到版本 4.1
SystemTap 工具已更新至上游版本 4.1。主要改进包括:
- eBPF 运行时后端可以处理脚本语言的更多功能,如字符串变量和丰富的格式化打印。
- 转换器的性能显著提高。
- 现在,可以使用 DWARF4 debuginfo 结构提取优化 C 代码中的更多数据类型。
DHAT 工具的通用版本
Red Hat Enterprise Linux 8.1 引进了 DHAT 工具的通用版本。它基于 valgrind 工具版本 3.15.0。
您可以在下面的 valgrind 工具功能中找到更改/改进:
- 使用 --tool=dhat 而不是 --tool=exp-dhat,
-
--show-top-n 和 --sort-by 选项已被删除,因为
dhat工具现在会在程序结束后打印最小数据。 -
新的 viewer
dh_view.html是 JavaScript 程序m,包含配置集结果。短消息说明了如何在运行结束后查看结果. - 查看器的文档位于 /usr/libexec/valgrind/dh_view.html,
-
DHAT工具的文档位于: /usr/share/doc/valgrind/html/dh-manual.html. -
对 amd64(x86_64)的支持:添加了
RDRAND 和F16C insn集合扩展, -
在
cachegrind中,cg_annotate命令有一个新选项 --show-percs,它在所有事件数旁边打印百分比。 -
在
callgrind中,callgrind_annotate命令有一个新选项 --show-percs,它在所有事件数旁边打印百分比, -
如果--read-inline-info 的默认值现在是 yes, -
在
memcheck选项 --xtree-leak=yes 中,输出泄漏的结果为xtree格式,会自动激活选项 --show-leak-kinds=all, -
新选项 --show-error-list=no|yes 显示检测到的错误列表,并在运行结束时显示所用的抑制。在以前的版本中,用户可以指定 -v for
valgrind命令,该命令会显示许多可能令人困惑的信息。选项 -s 等同于选项 --show-error-list=yes。
(BZ#1683715)
elfutils rebase 到版本 0.176
elfutils 软件包已更新至上游版本 0.176。这个版本会提供各种程序错误修复,并解决以下漏洞:
主要改进包括:
-
libdw库已使用 dwelf_elf_begin()函数进行扩展,该函数是处理压缩文件的elf_begin()变体。 -
一个新的
--reloc-debug-sections-only选项已添加到eu-strip工具中,以解决在调试部分之间的所有简单重新定位,而无需任何其他条带。在某些情况下,此功能只与ET_REL文件相关。
(BZ#1683705)
glibc中的额外内存分配检查
应用程序内存损坏是应用程序和安全缺陷的主要原因。早期检测此类损坏,与检测成本保持平衡,可为应用开发人员带来显著的好处。
为改进检测,在 GNU C 库(glibc)的 malloc 元数据中添加了六个额外的内存损坏检查,这是 RHEL 中 C 核心库。这些额外的检查是以极低的成本为运行时性能添加的。
(BZ#1651283)
GDB 可以访问更多的 POWER8 寄存器
在这个版本中,GNU debugger(GDB)及其远程 stub gdbserver 可以访问以下附加寄存器,并注册 IBM 的 POWER8 处理器行的集合:
-
PPR -
DSCR -
TAR -
EBB/PMU -
HTM
(BZ#1187581)
Binutils deassembler 可以处理 NFP 二进制文件
binutils 软件包中的 disassembler 工具已扩展,以处理 Netronome Flow Processor(NFP)硬件系列的二进制文件。需要此功能才能在 bpftool Berkeley Packet Filter(BPF)代码编译器中启用更多功能。
(BZ#1644391)
IBM Z 架构现在支持部分可写 GOT 部分
现在可以通过生成部分可写全局偏移表(GOT)部分来强化使用加载器"平面绑定"功能的 IBM Z 二进制文件。这些二进制文件需要读写 GOT,但并非所有条目都可写入。在这个版本中,对潜在攻击的条目提供保护。
(BZ#1525406)
Binutils 现在支持 IBM Z 的 Arch13 处理器
在这个版本中,在 IBM Z 构架中的 binutils 软件包中添加了对 Arch13 处理器相关的扩展的支持。现在,可以使用 IBM Z 上的 arch13 启用 CPU 中的功能构建内核。
(BZ#1659437)
Dyninst rebase 到版本 10.1.0
Dyninst 检测库已更新至上游版本 10.1.0。主要变更包括:
-
Dyninst 支持 Linux PowerPC Little Endian(
ppcle)和 64 位 ARM(aarch64)架构。 - 通过使用并行代码分析改进了启动时间。
(BZ#1648441)
日文 Reiwa 时代的日期格式化更新
GNU C 库现在为 2019 年 5 月 1 日起的 Reiwa 时代提供正确的日文时代名称格式。时间处理 API 数据已被更新,包括 strftime 和 str ptime 功能 使用的数据。所有 API 将正确打印 Reiwa 时代,包括何时将strf time 与其中一个纠删转换指定符一起使用,如 %EC、%EY 或 %Ey。
(BZ#1577438)
Performance Co-Pilot 被 rebase 到版本 4.3.2
在 RHEL 8.1 中,Performance Co-Pilot(PCP)工具已更新至上游版本 4.3.2。主要改进包括:
- 添加了新的指标 - Linux 内核熵、压力停滞信息、Nvidia GPU 统计信息等。
-
pcp-dstat、pcp-atop、perfeventPMDA 等工具已更新,以报告新的指标。 -
用于与 Grafana 集成的高性能 PCP 的
pmseries和pmproxy工具已更新。
这个版本对库、无线协议和磁盘 PCP 归档格式向后兼容。
6.1.13. Identity Management
IdM 现在支持 Ansible 角色和模块进行安装和管理
此更新引入了 ansible-freeipa 软件包,它为身份管理(IdM)部署和管理提供了 Ansible 角色和模块。您可以使用 Ansible 角色安装和卸载 IdM 服务器、副本和客户端。您可以使用 Ansible 模块来管理 IdM 组、拓扑和用户。还提供 playbook 示例。
这个版本简化了基于 IdM 的解决方案的安装和配置。
(JIRA:RHELPLAN-2542)
测试 IdM 部署整体是否适合的新工具: 健康检查
在这个版本中,在 Identity Management(IdM)中引入了 Healthcheck 工具。该工具提供测试来验证当前 IdM 服务器是否已正确配置和运行。
目前涵盖的主要区域包括:* 证书配置和过期日期 * Replication topology * Replication topology * AD Trust configuration * Service status * 重要配置文件的文件权限 * Filesystem space
Healthcheck 工具位于命令行界面(CLI)中。
(JIRA:RHELPLAN-13066)
IdM 现在支持在服务器离线时续订过期的系统证书
在这个版本中,管理员可以在 Identity Management(IdM)离线时续订过期的系统证书。当系统证书过期时,IdM 无法启动。新的 ipa-cert-fix 命令替换了用于手动将日期设置回以进行续订过程的临时解决方案。因此,在上述情景中,停机时间和支持成本降低。
(JIRA:RHELPLAN-13074)
Identity Management 支持与 Windows Server 2019 信任
在使用身份管理时,您现在可以对 Windows Server 2019 运行的 Active Directory 机构建立一个受支持的林信任。支持的林和域功能级别保持不变,支持最高等级 Windows Server 2016。
(JIRA:RHELPLAN-15036)
samba rebase 到版本 4.10.4
samba 软件包升级至上游版本 4.10.4,它提供了大量的程序错误修复和增强:
- Samba 4.10 完全支持 Python 3。请注意,将来的 Samba 版本将不支持 Python 2。
- JavaScript Object Notation(JSON)日志记录功能现在记录 Windows 事件 ID 和日志记录类型用于验证消息。
-
当 Samba 访问 GlusterFS 卷时,用户空间(FUSE)模块中新的
vfs_glusterfs_fuse文件系统可以提高性能。若要启用此模块,请将glusterfs_fuse添加到/etc/samba/smb.conf文件中共享的vfs_objects参数。请注意,vfs_glusterfs_fuse不会替换现有的vfs_glusterfs模块。 - 服务器消息块(SMB)客户端 Python 绑定现已弃用,并将在以后的 Samba 发行版本中删除。这只会影响使用 Samba Python 绑定来编写其自身工具的用户。
当 smbd、nmbd 或者 winbind 服务启动时,Samba 会自动更新它的 tdb 数据库文件。在启动 Samba 前备份数据库文件。请注意,红帽不支持降级 tdb 数据库文件。
如需了解更多与显著变化相关的信息,请在更新前阅读上游发行注记: https://www.samba.org/samba/history/samba-4.10.0.html
(BZ#1638001)
为 OpenLDAP 更新系统范围证书存储位置
OpenLDAP 可信 CA 的默认位置已更新为使用系统范围的证书存储(/etc/pki/ca-trust/source)而不是 /etc/openldap/certs。进行这个更改是为了简化 CA 信任的设置。
设置 CA 信任不需要额外的设置,除非您有特定于服务的要求。例如:如果您要求 LDAP 客户端连接只信任 LDAP 服务器的证书,则必须像之前一样设置 CA 证书。
(JIRA:RHELPLAN-7109)
引进了新的 ipa-crl-generation 命令以简化 IdM CRL master 的管理
这个版本引进了 ipa-crl-generation status/enable/disable 命令。这些命令由 root 用户运行,简化了 IdM 中证书撤销列表(CRL)的工作。在以前的版本中,将 CRL 生成 master 从 IdM CA 服务器移到另一个 IdM CA 服务器是一个冗长、手动和容易出错的步骤。
ipa-crl-generation status 命令检查当前主机是否为 CRL 生成 master。ipa-crl-generation enable 命令使当前主机成为 IdM 中的 CRL 生成 master(如果当前主机是 IdM CA 服务器)。ipa-crl-generation disable 命令在当前主机上停止 CRL 生成。
另外,ip a-server-install --uninstall 命令现在包含一个保护检查主机是否为 CRL 生成 master 的安全检查。这样,IdM 可确保系统管理员不会从拓扑中删除 CRL 生成 master。
(JIRA:RHELPLAN-13068)
keycloak-httpd-client-install中的 OpenID Connect 支持
keycloak-httpd-client-install 身份提供商之前只支持使用 mod_auth_mellon 身份验证模块的 SAML(安全断言标记语言)身份验证。此重基引入了 mod_auth_openidc 身份验证模块支持,允许您同时配置 OpenID Connect 身份验证。
keycloak-httpd-client-install 身份提供程序允许通过配置 mod_auth_openidc 将 apache 实例配置为 OpenID Connect 客户端。
(BZ#1553890)
将 IdM 设置为隐藏的副本现在作为技术预览提供
这个增强可让管理员将 Identity Management(IdM)副本设置为隐藏的副本。隐藏的副本是一个 IdM 服务器,它具有所有运行的服务并可用。但是,它不会公告给其他客户端或主控机,因为 DNS 中不存在服务的 SRV 记录,并且未启用 LDAP 服务器角色。因此,客户端无法使用服务发现来检测隐藏的副本。
隐藏副本主要针对可能会破坏客户端的专用服务设计。例如,IdM 的完整备份需要关闭 master 或副本中的所有 IdM 服务。因为没有客户端使用隐藏的副本,管理员可以在不影响任何客户端的情况下暂时关闭这个主机上的服务。其他用例包括 IdM API 或 LDAP 服务器上的高负载操作,如大量导入或广泛查询。
若要安装新的隐藏副本,请使用 ipa-replica-install --hidden-replica 命令。要更改现有副本的状态,请使用 ipa server-state 命令。
SSSD 现在默认强制使用 AD GPOs
SSSD 选项 ad_gpo_access_control 的默认设置现在是 enforcing。在 RHEL 8 中,SSSD 默认根据 Active Directory Group 策略对象(GPO)强制实施访问控制规则。
红帽建议确保在从 RHEL 7 升级到 RHEL 8 前,在 Active Directory 中正确配置 GPO。如果您不想强制执行 GPOs,请将 /etc/sssd/sssd.conf 文件中的 ad_gpo_access_control 选项的值改为 permissive。
(JIRA:RHELPLAN-51289)
6.1.14. Desktop
修改了 GNOME Classic 中的工作空间交换器
GNOME Classic 环境中的工作空间交换器已被修改。交换器现在位于底部栏的右侧,它被设计为一个横向的缩略图。点击相关的缩略图标可以在不同工作区间切换。或者,也可以使用 Ctrl+Alt+down/向上箭头键 的组合在工作区之间切换。正在使用的工作区的内容在底部条的左侧以窗口列表的形式显示。
在特定工作区中按 Super 键时,您可以看到 窗口选择程序,其中包括在此工作区中打开的所有窗口。但是,之前的 RHEL 版本中可用的以下元素将不会在窗口选择器中显示:
- dock (屏幕左侧的垂直栏)
- workspace switcher(屏幕右侧的垂直栏)
- 搜索条目
对于之前由这些项完成的特定任务,请采用以下方法:
现在,您可以通过以下方式启动应用程序,而不使用 dock:
- 使用顶部栏中的 Applications 菜单
- 按 [Alt + F2] 组合键显示 Enter a Command 屏幕,并在此屏幕中输入可执行文件的名称。
- 要在工作区间进行切换,使用右侧底层栏中的 workspace switcher 而不是使用垂直栏的 workspace switcher。
- 如果需要 搜索条目 或垂直 工作区切换器,请使用 GNOME Standard 环境而不是 GNOME Classic。
6.1.15. 图形基础结构
DRM rebase 到 Linux 内核版本 5.1
Direct Rendering Manager (DRM)内核图形子系统已被 rebase 到上游 Linux 内核版本 5.1,它提供很多程序错误修复和增强。最值得注意的是:
-
mgag200驱动程序已被更新。该驱动程序继续支持 HPE Proliant Gen10 Systems,该系统使用 Matrox G200 eH3 GPU。更新的驱动程序还支持当前和新的 Dell EMC PowerEdge 服务器。 -
nouveau驱动程序已被更新,为当前和未来使用 NVIDIA GPU 的联想平台提供硬件启用功能。 -
i915显示驱动程序已被更新,以继续支持当前和新 Intel GPU。 - 添加了 A fast AST BMC 显示芯片的错误修复。
- 添加了对 AMD Raven 2 加速处理单元(APU)的支持。
- 添加了对 AMD Picasso APU 的支持。
- 添加了对 AMD Vega GPU 的支持。
- 添加了对 Intel Amber Lake-Y 和 Intel Comet Lake-U GPU 的支持。
(BZ#1685552)
支持 AMD Picasso 图形卡
这个版本引进了 amdgpu 图形驱动程序。现在,RHEL 8 中完全支持 AMD Picasso 图形卡。
(BZ#1685427)
6.1.16. Web 控制台
启用和禁用 SMT
RHEL 8 现在提供了并发多线程(SMT)配置。在 web 控制台中禁用 SMT 可让您缓解一系列 CPU 安全漏洞,例如:
在 Services 页面中添加搜索框
Services 页面现在有一个搜索框用来过滤服务:
- 名称
- 描述
- 状态
此外,服务状态已合并为一个列表中。页面顶部的切换器按钮已更改为选项卡,以改进 Services 页面的用户体验。
添加对防火墙区的支持
Networking 页面中的防火墙设置现在支持:
- 添加和删除区域
- 在任意区域中添加或删除服务,以及
-
除了
firewalld服务外,配置自定义端口。
为虚拟机配置添加改进
在这个版本中,RHEL 8 web 控制台在 Virtual Machines 页面中包括了许多改进。您现在可以:
- 管理各种类型的存储池
- 配置虚拟机自动启动
- 导入现有的 qcow 镜像
- 通过 PXE 引导安装虚拟机
- 更改内存分配
- 暂停/恢复虚拟机
- 配置缓存特征(directsync、回写)
- 更改引导顺序
6.1.17. Red Hat Enterprise Linux 系统角色
新的 storage 角色添加到 RHEL 系统角色
存储 角色已添加到 rhel-system-roles 软件包提供的 RHEL 系统角色中。存储 角色可用于使用 Ansible 管理本地存储。
目前,存储 角色支持以下类型的任务:
- 在整个磁盘中管理文件系统
- 管理 LVM 卷组
- 管理逻辑卷及其文件系统
如需更多信息,请参阅 管理文件系统 以及配置和管理逻辑卷。
(BZ#1691966)
6.1.18. 虚拟化
WALinuxAgent rebase 到版本 2.2.38
WALinuxAgent 软件包已升级到上游版本 2.2.38,与之前的版本相比,它提供了一些程序错误修复和增强。
此外,WALinuxAgent 不再与 Python 2 兼容,应用程序依赖于 Python 2。因此,使用 Python 2 编写的应用程序和扩展需要转换为 Python 3,以建立与 WALinuxAgent 的兼容性。
Windows 自动找到所需的 virtio-win 驱动程序
Windows 现在可以从驱动程序 ISO 中自动找到所需的 virtio-win 驱动程序,而无需用户选择其所在的文件夹。
KVM 支持 5 级分页
借助红帽企业 Linux 8,KVM 虚拟化支持 5 级分页功能。在选定的主机 CPU 上,这会显著增加主机和虚拟客户机系统可以使用的物理和虚拟地址空间。
(BZ#1526548)
现在使用 ActivClient 驱动程序的 Windows 客户机上支持智能卡共享
在这个版本中,增加了对使用 Windows guest OS 和 ActivClient 驱动程序的虚拟机(VM)中的智能卡共享的支持。这可在这些虚拟机上使用仿真或共享智能卡进行用户登录的智能卡验证。
(BZ#1615840)
为 virt-xml添加了新选项
virt-xml 工具现在可以使用以下命令行选项:
-
--no-define- 通过virt-xml命令对虚拟机(VM)进行的更改不会保存到永久配置中。 -
--start- 在执行请求的更改后启动虚拟机。
通过结合使用这两个选项,用户可以更改虚拟机的配置,并使用新的配置启动虚拟机,而不会使更改持久保留。例如,以下命令将 testguest 虚拟机的引导顺序改为网络以进行下一次引导,并启动引导:
virt-xml testguest --start --no-define --edit --boot network
(JIRA:RHELPLAN-13960)
KVM 支持的 IBM z14 GA2 CPU
在这个版本中,KVM 支持 IBM z14 GA2 CPU 型号。这样便可以在使用 RHEL 8 作为主机操作系统的 IBM z14 GA2 主机上创建虚拟机,并在客户机中使用 IBM z14 GA2 CPU。
(JIRA:RHELPLAN-13649)
Nvidia NVLink2 现在与 IBM POWER9 上的虚拟机兼容
现在,可将支持 NVLink2 功能的 nvidia VGPU 分配给在 IBM POWER9 系统的 RHEL 8 主机中运行的虚拟机(VM)。这使得这些虚拟机能够充分利用 NVLink2 的性能潜力。
(JIRA:RHELPLAN-12811)
