第 6 章 RHEL 8.1.0 发行版本

6.1. 新特性

这部分论述了 Red Hat Enterprise Linux 8.1 中引入的新功能和主要增强。

6.1.1. 安装程序和镜像创建

现在可以在 Kickstart 安装过程中禁用模块

在这个版本中,用户可以禁用模块来防止从模块安装软件包。要在 Kickstart 安装过程中禁用模块,请使用该命令:

module --name=foo --stream=bar --disable

(BZ#1655523)

现在提供了对蓝图的 repo.git 部分的支持

新的 repo.git 蓝图部分允许用户在其镜像构建中包含额外文件。这些文件必须托管在 git 存储库中,该存储库中可从 lorax-composer 构建服务器访问。

(BZ#1709594)

镜像构建器现在支持为更多云供应商创建镜像

在这个版本中,Image Builder 扩展了 Image Builder 可为其创建镜像的云供应商数量。现在,您可以创建也可以在 Google Cloud 和 Alibaba Cloud 上部署的 RHEL 镜像,并在这些平台上运行自定义实例。

(BZ#1689140)

6.1.2. 软件管理

dnf-utils 已重命名为 yum-utils

在这个版本中,作为 YUM 堆栈一部分的 dnf-utils 软件包被重命名为 yum-utils。出于兼容性的原因,仍然可以使用 dnf-utils 名称安装该软件包,并在升级您的系统时自动替换原始软件包。

(BZ#1722093)

6.1.3. 订阅管理

subscription-manager 现在报告角色、用法和附加组件值

在这个版本中,subscription-manager 可以显示当前机构中每个订阅的 Role、Usage 和 Add-ons 值,这些订阅已注册到客户门户网站或 Satellite。

  • 通过为那些订阅添加角色、使用 和 Add-ons 值来显示可用的订阅:

    # subscription-manager list --available
  • 要显示消耗的订阅,包括额外的角色、使用和附加组件值,请使用:

    # subscription-manager list --consumed

(BZ#1665167)

6.1.4. 基础架构服务

tuned rebase 到版本 2.12

tuned 软件包已升级到上游版本 2.12,它提供很多程序错误修复和增强,特别是:

  • 已删除和重新附加的设备的处理已被修复。
  • 添加了对 CPU 列表求反的支持。
  • 通过从 sysctl 工具切换到特定于 Tuned 的新实现,改进了运行时内核参数配置的性能。

(BZ#1685585)

chrony rebase 到版本 3.5

chrony 软件包已升级到上游版本 3.5,它提供很多程序错误修复和增强,特别是:

  • 添加了对 RHEL 8.1 内核中与硬件时间戳进行更准确的系统时钟同步的支持。
  • 硬件时间戳有显著改进。
  • 可用轮询间隔的范围已扩展。
  • filter 选项已添加到 NTP 源中。

(BZ#1685469)

提供了新的 FRRouting 路由 协议堆栈

在这个版本中, Quagga 被 Free Range Routing(FRRouting FRR)替代,这是一个新的路由协议堆栈。FRR 由 AppStream 软件仓库中的 frr 软件包提供。

FRR 提供基于 TCP/IP 的路由服务,支持多个 IPv4 和 IPv6 路由协议,如 BGPIS-ISOSPF PIMRIP

安装 FRR 时,系统可以充当专用路由器,与内部或外部网络中的其他路由器交换路由信息。

如需更多信息,请参阅 为您的系统设置路由协议

(BZ#1657029)

GNU enscript 现在支持 ISO-8859-15 编码

在这个版本中,在 GNU enscript 程序中添加了对 ISO-8859-15 编码的支持。

(BZ#1664366)

提高了 phc2sys中系统时钟偏移的测量准确性

linuxptp 软件包中的 phc2sys 程序现在支持更精确的方法来测量系统时钟偏移。

(BZ#1677217)

ptp4l 现在支持主动备份模式中的组接口

在这个版本中,在 PTP Boundary/Ordinary Clock(ptp4l)中添加了对主动备份 模式中的组接口的支持。

(BZ#1685467)

现在支持 macvlan 接口中的 PTP 时间同步

在这个版本中,增加了对 Linux 内核中 macvlan 接口的硬件时间戳的支持。现在,macvlan 接口可以使用 Precision Time Protocol (PTP)进行时间同步。

(BZ#1664359)

6.1.5. 安全性

新软件包: fapolicyd

fapolicyd 软件框架引入了一种基于用户定义的策略的应用程序白名单和黑名单。应用白名单功能提供了一种最有效的方法,可以防止在系统上运行不受信任和可能的恶意应用程序。

fapolicyd 框架提供以下组件:

  • fapolicyd 服务
  • fapolicyd 命令行工具
  • yum plugin
  • 规则语言

管理员可以根据路径、散列、MIME 类型或信任任何应用程序定义 allowdeny 执行规则,且有可能进行审计。

请注意,每个 fapolicyd 设置都会影响整个系统性能。性能影响因使用案例而异。应用将速度减慢 open()exec() 系统调用,因此主要影响频繁执行此类系统调用的应用程序。

如需更多信息,请参阅 RHEL 8 安全强化标题中 的配置和管理应用程序白名单 以及 fapolicyd(8)fapolicyd.rules(5)fapolicyd.conf(5) man page 中的内容。

(BZ#1673323)

新软件包: udica

新的 udica 软件包提供了一个为容器生成 SELinux 策略的工具。使用 udica,您可以创建一个定制的安全策略来更好地控制容器如何访问主机系统资源,如存储、设备和网络。这可让强化容器部署以避免出现安全问题,并简化了规范合规性的实现和维护。

如需更多信息,请参阅 RHEL 8 使用 SELinux 标题为容器创建 SELinux 策略部分。

(BZ#1673643)

SELinux 用户空间工具更新至 2.9 版本

libsepollibselinuxlibsemanagepolicycoreutilscheckpolicymcstrans SELinux 用户空间工具已升级到最新的上游版本 2.9,它比之前的版本提供了很多程序错误修复和增强。

(BZ#1672638,BZ#1672642,BZ#1672637,BZ#1672640,BZ#1672635,BZ#1672641)

setools 更新至版本 4.2.2

SETools 工具和库集合已升级到最新的上游版本 4.2.2,它提供以下更改:

  • 从 man page 中删除了源策略引用,因为不再支持载入源策略
  • 修复了别名加载中的性能回归

(BZ#1672631)

selinux-policy rebase 到 3.14.3

selinux-policy 软件包已升级到上游版本 3.14.3,它为允许规则提供了大量程序错误修正和增强。

(BZ#1673107)

新的 SELinux 类型: boltd_t

新的 SELinux 类型 ,boltd_t 限制 boltd,这是用于管理 Thunderbolt 3 设备的系统守护进程。因此,boltd 现在在 SELinux enforcing 模式下作为受限服务运行。

(BZ#1684103)

新的 SELinux 策略类: bpf

引入了一个新的 SELinux 策略类 bpfbpf 类允许用户通过 SElinux 控制 Berkeley Packet Filter (BPF) 流,并允许检查和简单操作扩展 Berkeley Packet Filter (eBPF) 程序以及 SELinux 控制的映射。

(BZ#1673056)

OpenSCAP rebase 到版本 1.3.1

openscap 软件包已升级到上游版本 1.3.1,它提供很多程序错误修复和增强,特别是:

  • 支持 SCAP 1.3 源数据流:评估、XML 架构和验证
  • 定制文件包含在 ARF 结果文件中
  • OVAL 详情总是在 HTML 报告中显示,用户不必提供 --oval-results 选项
  • HTML 报告还显示 OVAL 测试详情,用于使用 OVAL extend_definition 元素从其他 OVAL 定义中包含的 OVAL 测试
  • OVAL 测试 ID 显示在 HTML 报告中
  • 规则 ID 显示在 HTML 指南中

(BZ#1718826)

OpenSCAP 现在支持 SCAP 1.3

OpenSCAP 套件现在支持符合最新版本的 SCAP 标准 - SCAP 1.3 的数据流。现在,您可以使用 SCAP 1.3 数据流,如 scap-security-guide 软件包中包含的流,其方式与 SCAP 1.2 数据流相同,且无额外的可用性限制。

(BZ#1709429)

scap-security-guide rebase 到版本 0.1.46

scap-security-guide 软件包已升级到上游版本 0.1.46,它与之前的版本相比提供了很多程序错误修复和增强,最重要的是:* SCAP 内容符合 SCAP 标准最新版本 SCAP 1.3 * SCAP 内容支持 UBI 镜像

(BZ#1718839)

OpenSSH rebase 到 8.0p1

openssh 软件包已升级到上游版本 8.0p1,它提供很多程序错误修复和增强,最重要的是:

  • ssh-keygen 工具的默认 RSA 密钥大小增加到 3072 位
  • 删除了对 ShowPatchLevel 配置选项的支持
  • 应用大量 GSSAPI 密钥交换代码修复,如修复 Kerberos 清理过程
  • 删除回退到 sshd_net_t SELinux 上下文
  • 添加了对 Match final 块的支持
  • 修复了 ssh-copy-id 命令中的次要问题
  • 修复了与 scp 工具程序(CVE-2019-6111、CVE-20685、C-2019-6109)相关的通用漏洞和风险(CVE-2019-61E)

请注意,这个版本引进了 scp 次要不兼容的问题,以缓解 CVE-2019-6111。如果您的脚本在下载 scp 时依赖于路径的高级 bash 扩展,您可以在连接到可信服务器时使用 -T 交换机临时关闭这些缓解方案。

(BZ#1691045)

libssh 现在符合系统范围 crypto-policies

libssh 客户端和服务器现在分别自动载入 /etc/libssh/libssh_client.config 文件和 /etc/libssh/libssh_server.config。这个配置文件包含系统范围的 crypto-policies 组件为 libssh 后端设置的选项,以及 /etc/ssh/ssh_config/etc/ssh/sshd_config OpenSSH 配置文件中设置的选项。自动载入配置文件时,libssh 现在使用 crypto-policies 设置的系统范围的加密设置。这个变化简化了应用程序对已使用的加密算法集的控制。

(BZ#1610883, BZ#1610884)

提供了保留 FROMHOST 问题单的 rsyslog 选项

这个更新到 rsyslog 服务引进了选项来管理 imudpimtcp 模块的 FROMHOST 属性的字母大小写保留。将 preservecase 值设置为 on 意味着 FROMHOST 属性以区分大小写的方式处理。为了避免破坏现有配置,preservecase 的默认值为 on(对于 imtcp)和 off(对于 imudp

(BZ#1614181)

6.1.6. 网络

现在 VXLAN 和 GENEVE 隧道支持 PMTU 发现和路由重定向

Red Hat Enterprise Linux(RHEL)8.0 中的内核没有处理虚拟可扩展局域网(VXLAN)和通用网络虚拟化封装(GENEVE)隧道的 Internet 控制消息协议(ICMP)和 ICMPv6 消息。因此,在 8.1 之前的 RHEL 发行版本中,Path MTU(PMTU)发现和路由重定向不支持 VXLAN 和 GENEVE 隧道。在这个版本中,内核通过调整 PMTU 并修改转发信息来处理 ICMP "Destination Unreachable" 和 "Redirect Message" 错误消息,以及 ICMPv6 "Packet Too Big" 和 "Destination Unreachable" 错误消息。因此,RHEL 8.1 支持使用 VXLAN 和 GENEVE 隧道进行 PMTU 发现和路由重定向。

(BZ#1652222)

内核中的 XDP 和网络 eBPF 功能中的显著变化

kernel 软件包中的 XDP 和网络 eBPF 功能已升级到上游版本 5.0,它提供很多程序错误修复和增强:

  • eBPF 程序现在可以更好地与 TCP/IP 堆栈交互,执行流程断开,有更广泛的 bpf 帮助程序可用,并可访问新的映射类型。
  • XDP 元数据现在可用于 AF_XDP 套接字。

(BZ#1687459)

新的 PTP_SYS_OFFSET_EXTENDED 控制 ioctl() 可提高测量的 system-PHC ofsets 的准确性

这个增强为 ioctl() 功能增加了 PTP_SYS_OFFSET_EXTENDED 控制,以便更加精确地测量系统精确时间协议(PTP)硬件时钟(PHC)误差。PTP_SYS_OFFSET 控制 chrony 服务用来测量 PHC 和系统时钟间的偏移不够准确。使用新的 PTP_SYS_OFFSET_EXTENDED 控制,驱动程序可以隔离最低位的读取。这提高了测量偏移的准确性。网络驱动程序通常读取多个 PCI 寄存器,并且驱动程序不会读取系统时钟两次读取之间 PHC 时间戳的最低位。

(BZ#1677215)

ipset rebase 到版本 7.1

ipset 软件包已升级到上游版本 7.1,它提供很多程序错误修复和增强:

  • ipset 协议版本 7 引入了 IPSET_CMD_GET_BYNAMEIPSET_CMD_GET_BYINDEX 操作。另外,用户空间组件现在可以检测到内核组件支持的确切兼容性级别。
  • 已修复大量错误,如内存泄漏和无用错误。

(BZ#1649090)

6.1.7. 内核

RHEL 8.1 中的内核版本

Red Hat Enterprise Linux 8.1 带有内核版本 4.18.0-147。

(BZ#1797671)

现在提供了内核的实时补丁

内核的实时补丁 kpatch 提供了在不重启或重启任何进程的情况下对运行的内核进行补丁的机制。将为特定的 RHEL 次要发行流提供实时内核补丁,该政策包括在 延长更新支持(EUS)策略下,以修复关键(Critical) 和重要(Important) CVE。

要为 RHEL 8.1 版本订阅 kpatch 流,请安装 RHEA-2019:3695 公告提供的 kpatch-patch-4_18_0-147 软件包。

如需更多信息,请参阅管理、监控和更新内核中 的内核实时补丁应用 补丁。

(BZ#1763780)

RHEL 8 中的 扩展 Berkeley Packet 过滤器

Extended Berkeley Packet Filter(eBPF) 是一个内核中的虚拟机,允许在可访问有限功能的受限沙箱环境中在内核空间中执行代码。虚拟机执行类特殊的装配代码。然后,代码被加载到内核,并使用即时编译方式转换为原生机器代码。红帽提供的很多组件都使用 eBPF 虚拟机。每个组件处于不同的开发阶段,因此目前并不完全支持所有组件。

在 RHEL 8.1 中,AMD 和 Intel 64 位构架完全支持 BPF Compiler Collection(BCC) 工具软件包。BCC 工具软件包是使用 eBPF 虚拟机的动态内核跟踪工具的集合。

以下 eBPF 组件当前作为技术预览提供:

  • 以下架构中的 BCC 工具软件包:64 位 ARM 架构、IBM Power Systems、Little Endian 和 IBM Z
  • 所有构架上的 BCC
  • bpftrace 追踪语言
  • eXpress 数据路径(XDP)功能

有关技术预览组件的详情,请参考 第 6.5.2 节 “内核”

(BZ#1780124)

Red Hat Enterprise Linux 8 现在支持 early kdump

early kdump 功能允许崩溃内核和 initramfs 加载足够早的负载,以便在早期崩溃时捕获 vmcore 信息。

有关 early kdump 的详情,请查看 /usr/share/doc/kexec-tools/early-kdump-howto.txt 文件。

(BZ#1520209)

RHEL 8 现在支持 ipcmni_extend

在 Red Hat Enterprise Linux 8 中添加了一个新的内核命令行参数 ipcmni_extend。参数将多个唯一的 System V 进程间通信(IPC)标识符从当前最大 32 KB(15 位)扩展到 16 MB(24 位)。因此,应用程序产生大量共享内存片段的用户可以创建更强大的 IPC 标识符,且不超过 32 KB 限制。

请注意,在某些情况下,使用 ipcmni_extend 会产生较小的性能开销,只有在应用程序需要超过 32 KB 唯一 IPC 标识符时才能使用它。

(BZ#1710480)

持久内存初始化代码支持并行初始化

持久内存初始化代码在具有多个持久内存节点的系统上启用并行初始化。并行初始化可显著减少具有大量持久内存的系统上总体内存初始化时间。因此,这些系统现在可以更快地引导。

(BZ#1634343)

TPM 用户空间工具已更新至最后一个版本

tpm2-tools 用户空间工具已更新至版本 2.0。在这个版本中,tpm2-tools 可以修复很多缺陷。

(BZ#1664498)

rngd 守护进程现在可以使用非 root 权限运行

随机数生成器守护进程(rngd)检查随机源提供的数据是否足够随机,然后将数据存储在内核的随机数熵池中。在这个版本中,rngd 能够以非 root 用户权限运行,以增强系统安全性。

(BZ#1692435)

完全支持 ibmvnic 驱动程序

随着 Red Hat Enterprise Linux 8.0 的推出,IBM POWER 架构的 IBM Virtual Network Interface Controller(vNIC)驱动程序作为技术预览提供。vNIC 是一种 PowerVM 虚拟网络技术,可提供企业功能并简化网络管理。ibmvnic这是一个高性能、高效的技术,在与 SR-IOV NIC 结合使用时,可在虚拟 NIC 级别提供带宽控制服务质量(QoS)功能。vNIC 显著降低了虚拟化开销,从而减少了网络虚拟化所需的延迟和服务器资源(包括 CPU 和内存)。

从 Red Hat Enterprise Linux 8.1 开始,IBM POWER9 系统完全支持 ibmvnic 设备驱动程序。

(BZ#1665717)

Intel ® Omni-Path 架构(OPA)主机软件

Red Hat Enterprise Linux 8.1 完全支持 Intel Omni-Path 架构(OPA)主机软件。Intel OPA 为在集群环境中的计算和 I/O 节点之间的高性能数据传输(高带宽、高消息率、低延迟)提供主机 Fabric Interface(HFI)硬件初始化和设置。

有关安装 Intel Omni-Path 架构文档的说明,请参阅:https://cdrdv2.intel.com/v1/dl/getContent/616368

(BZ#1766186)

UBSan 在 RHEL 8 的 debug 内核中启用

Undefined Behavior Sanitizer (UBSan)实用程序在运行时公开 C 代码语言的未定义行为缺陷。现在,在 debug 内核中启用了这个工具,因为编译器的行为在某些情况下与开发人员的预期不同。特别是对于编译器优化的情况(其中微小),可能会引发模糊错误。因此,启用 UBSan 运行 debug 内核可让系统轻松检测到此类错误。

(BZ#1571628)

fadump 基础架构现在支持在 RHEL 8 中重新注册

添加了对在任何内存热添加/删除操作更新崩溃内存范围后重新注册(取消注册和注册)固件辅助转储(fadump)基础架构的支持。这个功能旨在防止系统在取消注册并在 udev 事件中从用户空间注册 fadump 时出现潜在的问题。

(BZ#1710288)

RHEL for Real Time 8 中引入了 determine_maximum_mpps.sh 脚本

引进了 determine_maximum_mpps.sh 脚本来帮助使用 queuelat 测试程序。脚本执行 queuelat 以确定机器可以处理每秒的最大数据包数。

(BZ#1686494)

kernel-rt 源树现在与最新的 RHEL 8 树匹配

kernel-rt 源已升级为基于最新的 Red Hat Enterprise Linux 内核源树,它提供了与之前版本相比的一些程序错误修复和增强。

(BZ#1678887)

ssdd 测试已添加到 RHEL for Real Time 8 中

添加了 ssdd 测试,以启用追踪子系统的压力测试。该测试运行多个追踪线程,以验证追踪系统中的锁定是否正确。

(BZ#1666351)

6.1.8. 硬件启用

完全支持 Optane DC Persistent Memory 技术的内存模式

Intel Optane DC 持久内存存储设备提供数据中心级别的持久内存技术,这可以显著提高事务吞吐量。

要使用内存模式技术,您的系统不需要任何特殊驱动程序或特定认证。内存模式对操作系统是透明的。

(BZ#1718422)

IBM Z 现在支持系统引导签名验证

安全引导允许系统固件检查用于签署内核空间代码的加密密钥的真实性。因此,该功能提高了安全性,因为只能执行来自可信供应商的代码。

请注意,IBM z15 需要使用安全引导机制。

(BZ#1659399)

6.1.9. 文件系统和存储

支持 Data Integrity Field/Data Integrity Extension(DIF/DIX)

只有在硬件厂商已验证,并完全支持在 RHEL 中的特定主机总线适配器(HBA)和存储阵列,则支持 DIF/DIX。

在以下配置中不支持 DIF/DIX:

  • 不支持在引导设备中使用。
  • 在虚拟客户机中不支持。
  • 当启用了 DIF/DIX 时,红帽不支持使用 Automatic Storage Management 库(ASMLib)。

在涉及应用程序之前(包括应用程序)的不同层的存储设备上启用或禁用 DIF/DIX。在存储设备中激活 DIF 的方法取决于设备。

有关 DIF/DIX 功能的详情,请参考 什么是 DIF/DIX

(BZ#1649493)

Optane DC 内存系统现在支持 EDAC 报告

在以前的版本中,如果内存地址在 NVDIMM 模块内,EDAC 不会被报告内存修正/不正确的事件。在这个版本中,EDAC 可以使用正确的 memory 模块信息正确报告事件。

(BZ#1571534)

VDO Ansible 模块已移到 Ansible 软件包

在以前的版本中,VDO Ansible 模块由 vdo RPM 软件包提供。从这个发行版本开始,该模块由 ansible 软件包提供。

VDO Ansible 模块文件的原始位置是:

/usr/share/doc/vdo/examples/ansible/vdo.py

文件的新位置为:

/usr/lib/python3.6/site-packages/ansible/modules/system/vdo.py

vdo 软件包继续分发 Ansible playbook。

如需有关 Ansible 的更多信息,请参阅 http://docs.ansible.com/

(BZ#1669534)

现在完全支持 Aero 适配器

以下 Aero 适配器(之前作为技术预览提供)现已获得全面支持:

  • PCI ID 0x1000:0x00e2 和 0x1000:0x00e6,由 mpt3sas 驱动程序控制
  • PCI ID 0x1000:Ox10e5 和 0x1000:0x10e6,由 megaraid_sas 驱动程序控制

(BZ#1663281)

LUKS2 现在支持在线重新加密

Linux 统一密钥设置版本 2(LUKS2)格式现在支持在设备正在使用时重新加密加密设备。例如:您不必卸载该设备中的文件系统来执行以下任务:

  • 更改卷密钥
  • 更改加密算法

加密非加密设备时,您仍然必须卸载文件系统,但现在加密速度明显加快。您可以在简短初始化加密后重新挂载文件系统。

另外,LUK2 再加密现在更具弹性。您可以在重新加密过程中选择几个优先的性能或数据保护的选项。

若要执行 LUKS2 重新加密,可使用 cryptsetup reencrypt 子命令。红帽不再建议为 LUKS2 格式使用 cryptsetup-reencrypt 工具。

请注意,LUKS1 格式不支持在线重新加密,cryptsetup reencrypt 子命令与 LUKS1 不兼容。要加密或重新加密 LUKS1 设备,请使用 cryptsetup-reencrypt 工具。

如需有关磁盘加密的更多信息,请参阅使用 LUKS 加密块设备

(BZ#1676622)

RHEL 8 提供了 ext4 的新功能

在 RHEL8 中,以下是 ext4 的新完全支持功能:

  • 非默认功能:

    • project
    • quota
    • mmp
  • 非默认挂载选项:

    • bsddf|minixdf
    • grpid|bsdgroups and nogrpid|sysvgroups
    • resgid=n and resuid=n
    • errors={continue|remount-ro|panic}
    • commit=nrsec
    • max_batch_time=usec
    • min_batch_time=usec
    • grpquota|noquota|quota|usrquota
    • prjquota
    • dax
    • lazytime|nolazytime
    • discard|nodiscard
    • init_itable|noinit_itable
    • jqfmt={vfsold|vfsv0|vfsv1}
    • usrjquota=aquota.user|grpjquota=aquota.group

有关功能和挂载选项的详情请参考 ext4 man page。Red Hat 可能无法完全支持其他 ext4 功能、挂载选项或两者的组合。如果您的特殊工作负载需要一个在红帽版本中未获得完全支持的功能或挂载选项,请联系红帽支持,以评估它是否包含在我们支持列表中。

(BZ#1741531)

NVMe over RDMA 现在支持 IBM Coral 系统的目标模式中的 Infiniband

在 RHEL 8.1 中,RDMA 上的 NVMe 现在支持 IBM Coral 系统的目标模式中的 Infiniband,并在卡中添加单个 NVMe PCIe 作为目标。

(BZ#1721683)

6.1.10. 高可用性和集群

Pacemaker 现在将 concurrent-fencing 集群属性默认设置为 true

如果需要同时隔离多个群集节点,且它们使用不同的配置的隔离设备,Pacemaker 现在将同时执行隔离,而不是像以前一样进行序列化。当必须隔离多个节点时,这可能会导致在大型集群中大幅加快恢复。

(BZ#1715426)

扩展共享逻辑卷不再需要在每个集群节点上刷新

在这个版本中,在一个集群节点中运行 lvextend 命令后,扩展共享逻辑卷不再需要在每个集群节点中刷新。有关扩展 GFS2 文件系统大小的完整步骤,请参阅 增大 GFS2 文件系统

(BZ#1649086)

支持的 RHEL HA 集群的最大大小从 16 个增加到 32 个节点

在这个版本中,红帽支持部署多达 32 个完整集群节点的集群。

(BZ#1693491)

添加、更改和删除 corosync 链接的命令已添加到 pcs

Kronosnet(knet)协议现在允许您在正在运行的集群中添加和删除 knet 链接。要支持这个功能,pcs 命令现在提供了添加、更改和删除 knet 链接的命令,并更改现有集群中的 upd/udpu 链接。有关在现有集群中添加和修改链接的详情,请参阅 在现有集群中添加和修改链接。(BZ#1667058)

6.1.11. 动态编程语言、网页和数据库服务器

新模块流: php:7.3

RHEL 8.1 引入了 PHP 7.3,它提供了许多新功能和增强功能。主要变更包括:

  • 增强且更灵活的 heredocnowdoc 语法
  • PCRE 扩展升级至 PCRE2
  • 改进了多字节字符串处理
  • 支持 LDAP 控制
  • 改进了 FastCGI 进程管理器(FPM)日志
  • 几个弃用和向后不兼容的更改

如需更多信息,请参阅 从 PHP 7.2.x 迁移到 PHP 7.3.x

请注意,RHEL 8 版本 PHP 7.3 不支持 Argon2 密码哈希算法。

要安装 php:7.3 流,请使用:

# yum module install php:7.3

如果要从 php:7.2 流升级,请参阅切换到更新的流

(BZ#1653109)

新模块流: ruby:2.6

现在提供了一个新的模块流 ruby:2.6Ruby 2.6.3包括在 RHEL 8.1 中,与 RHEL 8.0 中发布的版本 2.5 相比,提供了大量新功能、增强功能、错误和安全修复以及性能改进。

主要改进包括:

  • 现在允许使用非ASCII 大写字母开始使用恒定名称。
  • 添加了对无限范围的支持。
  • 提供了一个新的 Binding#source_location 方法。
  • $SAFE 现在是一个进程全局状态,它可以重新设置为 0

改进的性能:

  • Proc#callblock.call 进程已被优化。
  • 增加了一个新的垃圾收集器管理堆 Transient堆(theap)。
  • 引进了针对个别架构的本机工程实施。

另外,ruby:2.5 流提供的 Ruby 2.5 已升级到 2.5.5 版本,它提供一些程序错误修复和安全修复。

要安装 ruby:2.6 流,请使用:

# yum module install ruby:2.6

如果要从 ruby:2.5 流升级,请参阅切换到更新的流

(BZ#1672575)

新模块流: nodejs:12

RHEL 8.1 引入了 Node.js 12,它比版本 10 提供了很多新功能和增强。主要变更包括:

  • V8 引擎升级到 7.4 版本
  • 新的默认 HTTP 解析器 llhttp (不再实验)
  • 堆转储生成集成功能
  • 支持 ECMAScript 2015(ES6)模块
  • 改进了对原生模块的支持
  • worker 线程不再需要一个标记
  • 一个新的实验诊断报告功能
  • 提高的性能

要安装 nodejs:12 流,请使用:

# yum module install nodejs:12

如果要从 nodejs:10 流升级,请参阅切换到更新的流

(BZ#1685191)

Judy-devel CRB 中提供

Judy-devel 软件包现在作为 CodeReady Linux Builder 仓库(CRB) 中的 mariadb-devel:10.3 模块的一部分提供。现在,开发人员可以使用 Judy 库构建应用程序。

要安装 Judy-devel 软件包,请首先启用 mariadb-devel:10.3 模块:

# yum module enable mariadb-devel:10.3
# yum install Judy-devel

(BZ#1657053)

FIPS 合规性 Python 3

在这个版本中,在 Python 3 中增加了对 OpenSSL FIPS 模式的支持。特征:

  • 在 FIPS 模式中,blake2sha3shake 哈希使用 OpenSSL 打包程序,且不提供扩展功能(如键、树状哈希或自定义摘要大小)。
  • 在 FIPS 模式中,hmac.HMAC 类只能使用 OpenSSL 打包程序或使用 OpenSSL 哈希名称作为 digestmod 参数进行实例化。必须指定参数(而不是默认为 md5 算法)。

请注意,哈希功能支持 usedforsecurity 参数,该参数允许在 OpenSSL FIPS 模式中使用不安全的哈希。用户负责确保符合任何相关标准。

(BZ#1731424)

FIPS 合规性更改 python3-wheel

这个 python3-wheel 软件包更新删除了用来签名和验证与 FIPS 不兼容数据的内置实现。

(BZ#1731526)

新模块流: nginx:1.16

nginx 1.16 web 和代理服务器现在提供很多新功能以及版本 1.14 增强。例如:

  • 大量与 SSL 相关的更新(从变量加载 SSL 证书和 secret 密钥,ssl_certificatessl_certificate_key 指令中的变量支持,新的 ssl_early_data 指令)
  • 新的 keepalive相关指令
  • 用于分布式负载均衡的新 random 指令
  • 新参数和对现有指令的改进( listen 指令的端口范围,limit_req 指令的新 delay 参数,启用两阶段速率限制)
  • 新的 $upstream_bytes_sent 变量
  • 用户数据报协议(UDP)代理的改进

其他显著变化包括:

  • nginx:1.16 流中,nginx 软件包不需要 nginx-all-modules 软件包,因此必须明确安装 nginx 模块。当您将 nginx 作为模块安装时,nginx-all-modules 软件包作为 common 配置集的一部分安装,这是默认配置集。
  • ssl 指令已弃用,而是使用 listen 指令的 ssl 参数。
  • nginx 现在在配置测试过程中检测到缺少的 SSL 证书。
  • 当在 listen 指令中使用主机名时,nginx 现在为主机名解析到的所有地址创建侦听套接字。

要安装 nginx:1.16 流,请使用:

# yum module install nginx:1.16

如果要从 nginx:1.14 流升级,请参阅切换到更新的流

(BZ#1690292)

perl-IO-Socket-SSL rebase 到版本 2.066

perl-IO-Socket-SSL 软件包已升级到 2.066 版本,它提供一些程序错误修正和增强,例如:

  • 改进了对 TLS 1.3 的支持,特别是会话重用和客户端端的自动后握身份验证
  • 添加了对多个曲线、自动设置曲线、部分信任链以及支持同一域中 RSA 和 ECDSA 证书的支持

(BZ#1632600)

perl-Net-SSLeay rebase 到版本 1.88

perl-Net-SSLeay 软件包已升级到 1.88 版本,它提供多个程序错误修复和增强。主要变更包括:

  • 提高了与 OpenSSL 1.1.1 的兼容性,例如操作证书和 X509 存储堆栈,以及选择 elliptic curves 和 groups
  • 改进了与 TLS 1.3 的兼容性,例如,会话重用和后握身份验证
  • 修复了 cb_data_advanced_put() 子例程中的内存泄漏问题。

(BZ#1632597)

6.1.12. 编译器和开发工具

GCC Toolset 9 可用

Red Hat Enterprise Linux 8.1 引入了 GCC Toolset 9,应用程序流包含更新的开发工具版本。

GCC 工具集 9 提供以下工具和版本:

工具版本

GCC

9.1.1

GDB

8.3

Valgrind

3.15.0

SystemTap

4.1

Dyninst

10.1.0

binutils

2.32

elfutils

0.176

dwz

0.12

make

4.2.1

strace

5.1

ltrace

0.7.91

annobin

8.79

GCC Toolset 9 以 AppStream 仓库中的 Software Collection 的形式作为 Application Stream 提供。GCC 工具集是与适用于 RHEL 7 的红帽开发人员工具集 类似的一组工具。

安装 GCC Toolset 9:

# yum install gcc-toolset-9

要从 GCC Toolset 9 运行工具:

$ scl enable gcc-toolset-9 tool

要运行 shell 会话,GCC Toolset 9 的工具版本优先于这些工具的系统版本:

$ scl enable gcc-toolset-9 bash

有关使用方法的详细信息,请参阅使用 GCC Toolset

(BZ#1685482)

升级的编译器工具集

使用 RHEL 8.1 升级了以下编译器工具集,作为 Application Streams 分发:

  • clang 和 LLVM Toolset 提供 LLVM 编译器基础架构框架、用于 C 和 C++ 语言的 Clang 编译器、LLDB 调试器和相关工具,用于代码分析,到版本 8.0.1
  • Russt Toolset,向版本 1.37 提供 Rust 编程语言编译器 rustccargo 构建工具和依赖关系管理器以及所需的库。
  • Go Toolset,它为版本 1.12.8 提供 Go(golang)编程语言工具和库。

(BZ#1731502, BZ#1691975, BZ#1680091, BZ#1677819, BZ#1681643)

SystemTap rebase 到版本 4.1

SystemTap 工具已更新至上游版本 4.1。主要改进包括:

  • eBPF 运行时后端可以处理脚本语言的更多功能,如字符串变量和丰富的格式化打印。
  • 转换器的性能显著提高。
  • 现在,可以使用 DWARF4 debuginfo 结构提取优化 C 代码中的更多数据类型。

(BZ#1675740)

DHAT 工具的通用版本

Red Hat Enterprise Linux 8.1 引进了 DHAT 工具的通用版本。它基于 valgrind 工具版本 3.15.0。

您可以在以下 valgrind 工具功能中找到更改/改进:

  • 使用 --tool=dhat 而不是 --tool=exp-dhat,
  • --show-top-n--sort-by 选项已被删除,因为 dhat 工具现在会在程序结束后打印最小数据。
  • 新查看器 dh_view.html,它是一个 JavaScript 程序m,包含配置集结果。短消息说明了如何在运行结束后查看结果.
  • 查看器的文档位于 /usr/libexec/valgrind/dh_view.html
  • DHAT 工具的文档位于: /usr/share/doc/valgrind/html/dh-manual.html,
  • 对 amd64(x86_64)的支持:添加了 RDRANDF16C insn 设置扩展。
  • cachegrind 中,cg_annotate 命令具有一个新选项 --show-percs,它会输出所有事件数旁的百分比。
  • callgrind 中,callgrind_annotate 命令具有一个新选项 --show-percs,它会输出所有事件数旁的百分比。
  • massif--read-inline-info 的默认值现在是 yes
  • memcheck 选项 --xtree-leak=yes 中,输出泄漏的结果为 xtree 格式,它会自动激活 --show-leak-kinds=all
  • 新选项 --show-error-list=no|yes 显示检测到的错误列表,并在运行结束时显示所用的抑制。在以前的版本中,用户可以为 valgrind 命令指定 -v 选项,该命令会显示许多可能令人困惑的信息。选项 -s 等同于选项 --show-error-list=yes

(BZ#1683715)

elfutils rebase 到版本 0.176

elfutils 软件包已更新至上游版本 0.176。这个版本会提供各种程序错误修复,并解决以下漏洞:

主要改进包括:

  • libdw 库使用 dwelf_elf_begin() 功能扩展,它是处理压缩文件的 elf_begin() 变体。
  • eu-strip 工具中添加了新的 --reloc-debug-sections-only 选项,用于在没有其它条带的情况下解决在 debug 部分间的所有简单重新定位问题。在某些情况下,这个功能只与 ET_REL 文件相关。

(BZ#1683705)

中的额外内存分配检查 glibc

应用程序内存损坏是应用和安全缺陷的领先原因。早期检测此类损坏,与检测成本保持平衡,可为应用开发人员带来显著的好处。

为改进检测,额外六个内存损坏检查已添加到 GNU C 库(glibc)中的 malloc 元数据中,这是 RHEL 中 C 核心库。这些额外的检查是以极低的成本为运行时性能添加的。

(BZ#1651283)

GDB 可以访问更多的 POWER8 寄存器

在这个版本中,GNU debugger(GDB)及其远程 stub gdbserver 可以访问 IBM 的 POWER8 处理器行的以下附加寄存器和注册集合:

  • PPR
  • DSCR
  • TAR
  • EBB/PMU
  • HTM

(BZ#1187581)

binutils disassembler 可以处理 NFP 二进制文件

来自 binutils 软件包的 disassembler 工具已扩展,以处理 Netronome Flow Processor(NFP)硬件系列的二进制文件。需要此功能才能在 bpftool Berkeley Packet Filter(BPF)代码编译器中启用更多功能。

(BZ#1644391)

IBM Z 架构现在支持部分可写 GOT 部分

现在可以通过生成部分可写全局偏移表(GOT)部分来强化使用加载器"平面绑定"功能的 IBM Z 二进制文件。这些二进制文件需要读写 GOT,但并非所有条目都可写入。在这个版本中,对潜在攻击的条目提供保护。

(BZ#1525406)

binutils 现在支持 IBM Z 的 Arch13 处理器

在这个版本中,在 IBM Z 构架中的 binutils 软件包中添加了对 Arch13 处理器的扩展的支持。现在,可以使用 IBM Z 上的 arch13 启用 CPU 中的功能构建内核。

(BZ#1659437)

Dyninst rebase 到版本 10.1.0

Dyninst 工具库已更新至上游版本 10.1.0。主要变更包括:

  • Dyninst 支持 Linux PowerPC Little Endian(ppcle)和 64 位 ARM(aarch64)架构。
  • 通过使用并行代码分析改进了启动时间。

(BZ#1648441)

日本 Reiwa 时代的日期格式化更新

GNU C 库现在为 Reiwa 时代提供正确的日语名称格式,自 2019 年 5 月 1 日起生效。时间处理 API 数据已被更新,包括 strftimestrptime 功能使用的数据。所有 API 将正确打印 Reiwa 时代,包括何时将 strftime 与其中一个时代转换指定符一起使用,如 %EC%EY%Ey

(BZ#1577438)

Performance Co-Pilot 被 rebase 到版本 4.3.2

在 RHEL 8.1 中,Performance Co-Pilot(PCP)工具已更新至上游版本 4.3.2。主要改进包括:

  • 添加了新的指标 - Linux 内核熵、压力停滞信息、Nvidia GPU 统计信息等。
  • pcp-dstatpcp-atopperfevent PMDA 等工具已更新,以报告新的指标。
  • 高性能 PCP 与 Grafana 集成的 pmseriespmproxy 工具已被更新。

这个版本对库、无线协议和磁盘 PCP 归档格式向后兼容。

(BZ#1685302)

6.1.13. Identity Management

IdM 现在支持 Ansible 角色和模块进行安装和管理

在这个版本中引进了 ansible-freeipa 软件包,它为 Identity Management(IdM)部署和管理提供了 Ansible 角色和模块。您可以使用 Ansible 角色安装和卸载 IdM 服务器、副本和客户端。您可以使用 Ansible 模块来管理 IdM 组、拓扑和用户。还提供 playbook 示例。

这个版本简化了基于 IdM 的解决方案的安装和配置。

(JIRA:RHELPLAN-2542)

测试 IdM 部署的整体适配性的新工具: Healthcheck

这个版本在 Identity Management(IdM)中引入了 Healthcheck 工具。该工具提供测试来验证当前 IdM 服务器是否已正确配置和运行。

目前涵盖的主要区域包括:* 证书配置和过期日期 * Replication topology * Replication topology * AD Trust configuration * Service status * 重要配置文件的文件权限 * Filesystem space

Healthcheck 工具可在命令行界面(CLI)中找到。

(JIRA:RHELPLAN-13066)

IdM 现在支持在服务器离线时续订过期的系统证书

在这个版本中,管理员可以在 Identity Management(IdM)离线时续订过期的系统证书。当系统证书过期时,IdM 无法启动。新的 ipa-cert-fix 命令替换了为手动设置日期进行续订过程的临时解决方案。因此,在上述情景中,停机时间和支持成本降低。

(JIRA:RHELPLAN-13074)

Identity Management 支持与 Windows Server 2019 信任

在使用身份管理时,您现在可以对 Windows Server 2019 运行的 Active Directory 机构建立一个受支持的林信任。支持的林和域功能级别保持不变,支持最高等级 Windows Server 2016。

(JIRA:RHELPLAN-15036)

samba rebase 到版本 4.10.4

samba 软件包升级至上游版本 4.10.4,它提供了大量的程序错误修复和增强:

  • Samba 4.10 完全支持 Python 3。请注意,将来的 Samba 版本将不支持 Python 2。
  • JavaScript Object Notation(JSON)日志记录功能现在记录 Windows 事件 ID 和日志记录类型用于验证消息。
  • 当 Samba 访问 GlusterFS 卷时,用户空间(FUSE)模块中新的 vfs_glusterfs_fuse 文件系统可以提高性能。要启用这个模块,请在 /etc/samba/smb.conf 文件中共享的 vfs_objects 参数中添加 glusterfs_fuse。请注意,vfs_glusterfs_fuse 没有替换现有的 vfs_glusterfs 模块。
  • 服务器消息块(SMB)客户端 Python 绑定现已弃用,并将在以后的 Samba 发行版本中删除。这只会影响使用 Samba Python 绑定来编写其自身工具的用户。

smbdnmbdwinbind 服务启动时,Samba 会自动更新它的 tdb 数据库文件。在启动 Samba 前备份数据库文件。请注意,红帽不支持降级 tdb 数据库文件。

如需了解更多与显著变化相关的信息,请在更新前阅读上游发行注记: https://www.samba.org/samba/history/samba-4.10.0.html

(BZ#1638001)

为 OpenLDAP 更新系统范围证书存储位置

OpenLDAP 可信 CA 的默认位置已更新为使用系统范围的证书存储(/etc/pki/ca-trust/source)而不是 /etc/openldap/certs。进行这个更改是为了简化 CA 信任的设置。

设置 CA 信任不需要额外的设置,除非您有特定于服务的要求。例如:如果您要求 LDAP 客户端连接只信任 LDAP 服务器的证书,则必须像之前一样设置 CA 证书。

(JIRA:RHELPLAN-7109)

引进了新的 ipa-crl-generation 命令以简化 IdM CRL master 的管理

在这个版本中引进了 ipa-crl-generation status/enable/disable 命令。这些命令由 root 用户运行,简化了 IdM 中证书撤销列表(CRL)的工作。在以前的版本中,将 CRL 生成 master 从 IdM CA 服务器移到另一个 IdM CA 服务器是一个冗长、手动和容易出错的步骤。

ipa-crl-generation status 命令检查当前主机是否为 CRL 生成 master。如果当前主机是 IdM CA 服务器,ipa-crl-generation enable 命令使当前主机在 IdM 中成为 CRL 生成 master。ipa-crl-generation disable 命令停止当前主机上的 CRL 生成。

另外,ipa-server-install --uninstall 命令现在包括一个保护性检查主机是否为 CRL 生成 master。这样,IdM 可确保系统管理员不会从拓扑中删除 CRL 生成 master。

(JIRA:RHELPLAN-13068)

OpenID Connect 支持. keycloak-httpd-client-install

keycloak-httpd-client-install 身份提供程序之前只支持使用 mod_auth_mellon 身份验证模块的 SAML(Security Assertion Markup Language)验证。这个 rebase 引入了 mod_auth_openidc 身份验证模块支持,它允许您配置 OpenID Connect 身份验证。

keycloak-httpd-client-install 身份提供商允许通过配置 mod_auth_openidc 将 apache 实例配置为 OpenID Connect 客户端。

(BZ#1553890)

将 IdM 设置为隐藏的副本现在作为技术预览提供

这个增强可让管理员将 Identity Management(IdM)副本设置为隐藏的副本。隐藏的副本是一个 IdM 服务器,它具有所有运行的服务并可用。但是,因为在 DNS 中没有服务的 SRV 记且 LDAP 服务器角色没有启用,它不会被公告到其他客户端或 master。因此,客户端无法使用服务发现来检测隐藏的副本。

隐藏副本主要针对可能会破坏客户端的专用服务设计。例如,IdM 的完整备份需要关闭 master 或副本中的所有 IdM 服务。因为没有客户端使用隐藏的副本,管理员可以在不影响任何客户端的情况下暂时关闭这个主机上的服务。其他用例包括 IdM API 或 LDAP 服务器上的高负载操作,如大量导入或广泛查询。

要安装新隐藏的副本,请使用 ipa-replica-install --hidden-replica 命令。要更改现有副本的状态,使用 ipa server-state 命令。

(BZ#1719767)

SSSD 现在默认强制使用 AD GPOs

SSSD 选项 ad_gpo_access_control 的默认设置现在是 enforcing。在 RHEL 8 中,SSSD 默认根据 Active Directory Group 策略对象(GPO)强制实施访问控制规则。

红帽建议确保在从 RHEL 7 升级到 RHEL 8 前,在 Active Directory 中正确配置 GPO。如果您不想强制 GPO,将 /etc/sssd/sssd.conf 文件中的 ad_gpo_access_control 选项的值改为 permissive

(JIRA:RHELPLAN-51289)

6.1.14. Desktop

修改了 GNOME Classic 中的工作空间交换器

GNOME Classic 环境中的工作空间交换器已被修改。交换器现在位于底部栏的右侧,它被设计为一个横向的缩略图。点击相关的缩略图标可以在不同工作区间切换。或者,也可以使用 Ctrl+Alt+down/向上箭头键 的组合在工作区之间切换。正在使用的工作区的内容在底部条的左侧以窗口列表的形式显示。

在特定工作区中按 Super 键时,您可以看到 窗口选择程序,其中包括在此工作区中打开的所有窗口。但是,之前的 RHEL 版本中可用的以下元素将不会在窗口选择器中显示:

  • dock (屏幕左侧的垂直栏)
  • workspace switcher(屏幕右侧的垂直栏)
  • 搜索条目

对于之前由这些项完成的特定任务,请采用以下方法:

  • 现在,您可以通过以下方式启动应用程序,而不使用 dock

    • 使用顶部栏中的 Applications 菜单
    • 按 [Alt + F2] 组合键显示 Enter a Command 屏幕,并在此屏幕中输入可执行文件的名称。
  • 要在工作区间进行切换,使用右侧底层栏中的 workspace switcher 而不是使用垂直栏的 workspace switcher
  • 如果需要 搜索条目 或垂直 工作区切换器,请使用 GNOME Standard 环境而不是 GNOME Classic。

(BZ#1704360)

6.1.15. 图形基础结构

DRM rebase 到 Linux 内核版本 5.1

Direct Rendering Manager (DRM)内核图形子系统已被 rebase 到上游 Linux 内核版本 5.1,它提供很多程序错误修复和增强。最值得注意的是:

  • mgag200 驱动程序已被更新。该驱动程序继续支持 HPE Proliant Gen10 Systems,该系统使用 Matrox G200 eH3 GPU。更新的驱动程序还支持当前和新的 Dell EMC PowerEdge 服务器。
  • nouveau 驱动程序已被更新,为当前和将来使用 NVIDIA GPU 的联想平台提供硬件启用功能。
  • i915 显示驱动程序已被更新,以持续支持当前和新 Intel GPU。
  • 添加了 A fast AST BMC 显示芯片的错误修复。
  • 添加了对 AMD Raven 2 加速处理单元(APU)的支持。
  • 添加了对 AMD Picasso APU 的支持。
  • 添加了对 AMD Vega GPU 的支持。
  • 添加了对 Intel Amber Lake-Y 和 Intel Comet Lake-U GPU 的支持。

(BZ#1685552)

支持 AMD Picasso 图形卡

在这个版本中引进了 amdgpu 图形驱动程序。现在,RHEL 8 中完全支持 AMD Picasso 图形卡。

(BZ#1685427)

6.1.16. Web 控制台

启用和禁用 SMT

RHEL 8 现在提供了并发多线程(SMT)配置。在 web 控制台中禁用 SMT 可让您缓解一系列 CPU 安全漏洞,例如:

(BZ#1678956)

在 Services 页面中添加搜索框

Services 页面现在有一个搜索框用来过滤服务:

  • 名称
  • 描述
  • 状态

此外,服务状态已合并为一个列表中。页面顶部的切换器按钮已更改为选项卡,以改进 Services 页面的用户体验。

(BZ#1657752)

添加对防火墙区的支持

Networking 页面中的防火墙设置现在支持:

  • 添加和删除区域
  • 在任意区域中添加或删除服务,以及
  • 除了 firewalld 服务外,配置自定义端口。

(BZ#1678473)

为虚拟机配置添加改进

在这个版本中,RHEL 8 web 控制台在 Virtual Machines 页面中包括了许多改进。现在您可以:

  • 管理各种类型的存储池
  • 配置虚拟机自动启动
  • 导入现有的 qcow 镜像
  • 通过 PXE 引导安装虚拟机
  • 更改内存分配
  • 暂停/恢复虚拟机
  • 配置缓存特征(directsync、回写)
  • 更改引导顺序

(BZ#1658847)

6.1.17. Red Hat Enterprise Linux 系统角色

为 RHEL 系统角色添加了新的 storage 角色

storage 角色已添加到由 rhel-system-roles 软件包提供的 RHEL 系统角色中。storage 角色可用于使用 Ansible 管理本地存储。

目前,storage 角色支持以下类型的任务:

  • 在整个磁盘中管理文件系统
  • 管理 LVM 卷组
  • 管理逻辑卷及其文件系统

如需更多信息,请参阅 管理文件系统 以及配置和管理逻辑卷

(BZ#1691966)

6.1.18. 虚拟化

WALinuxAgent rebase 到版本 2.2.38

WALinuxAgent 软件包已升级到上游版本 2.2.38,与之前的版本相比,它提供了一些程序错误修复和增强。

此外,WALinuxAgent 不再与 Python 2 兼容,应用程序依赖于 Python 2。因此,使用 Python 2 编写的应用程序和扩展需要转换为 Python 3,以建立与 WALinuxAgent 的兼容性。

(BZ#1722848)

Windows 自动找到所需的 virtio-win 驱动程序

Windows 现在可以从驱动程序 ISO 中自动找到所需的 virtio-win 驱动程序,而无需用户选择其所在的文件夹。

(BZ#1223668)

KVM 支持 5 级分页

借助红帽企业 Linux 8,KVM 虚拟化支持 5 级分页功能。在选定的主机 CPU 上,这会显著增加主机和虚拟客户机系统可以使用的物理和虚拟地址空间。

(BZ#1526548)

现在使用 ActivClient 驱动程序的 Windows 客户机上支持智能卡共享

在这个版本中,增加了对使用 Windows guest OS 和 ActivClient 驱动程序的虚拟机(VM)中的智能卡共享的支持。这可在这些虚拟机上使用仿真或共享智能卡进行用户登录的智能卡验证。

(BZ#1615840)

添加了新选项 virt-xml

virt-xml 工具现在可以使用以下命令行选项:

  • --no-define - virt-xml 命令对虚拟机(VM)所做的更改不会保存到持久配置中。
  • --start - 在执行请求的更改后启动虚拟机。

通过结合使用这两个选项,用户可以更改虚拟机的配置,并使用新的配置启动虚拟机,而不会使更改持久保留。例如,以下命令将 testguest 虚拟机的引导顺序改为网络以进行下一次引导,并启动引导:

virt-xml testguest  --start --no-define --edit --boot network

(JIRA:RHELPLAN-13960)

KVM 支持的 IBM z14 GA2 CPU

在这个版本中,KVM 支持 IBM z14 GA2 CPU 型号。这样便可以在使用 RHEL 8 作为主机操作系统的 IBM z14 GA2 主机上创建虚拟机,并在客户机中使用 IBM z14 GA2 CPU。

(JIRA:RHELPLAN-13649)

Nvidia NVLink2 现在与 IBM POWER9 上的虚拟机兼容

现在,可将支持 NVLink2 功能的 nvidia VGPU 分配给在 IBM POWER9 系统的 RHEL 8 主机中运行的虚拟机(VM)。这使得这些虚拟机能够充分利用 NVLink2 的性能潜力。

(JIRA:RHELPLAN-12811)