第 5 章 RHEL 8.2.0 发行版本
5.1. 新特性
这部分论述了红帽企业 Linux 8.2 中引入的新功能和主要增强。
5.1.1. 安装程序和镜像创建
注册您的系统、附加 RHEL 订阅以及使用红帽 CDN 安装的功能
在 RHEL 8.2 中,您可以在软件包安装前注册您的系统、附加 RHEL 订阅并从 Red Hat Content Delivery Network(CDN)安装。交互式 GUI 安装以及自动的 Kickstart 安装支持这个特性。优点包括:
- 使用较小的引导 ISO 镜像文件不需要下载更大的 Binary DVD ISO 镜像文件。
- CDN 使用最新的软件包,它会在安装后马上得到全面订阅和最新的系统。安装后无需安装软件包更新。
- 注册是在软件包安装之前执行的,从而缩短和简化的安装过程。
- 提供了对 Red Hat Insights 集成的支持。
(BZ#1748281)
在安装过程中将您的系统注册到 Red Hat Insights
在 RHEL 8.2 中,您可以在安装过程中将您的系统注册到 Red Hat Insights 中。交互式 GUI 安装以及自动的 Kickstart 安装支持这个特性。
优点包括:
- 更容易识别、排列和解决问题,防止业务操作受到影响。
- 通过预测分析主动识别和修复对安全性、性能、可用性和稳定性的威胁.
- 避免在您的环境中出现问题和计划外停机.
镜像构建器现在提供 cloud-init 支持来创建 Azure 镜像
在这个版本中,Cloud-init 支持由 Image Builder 创建的 Azure 镜像。因此,客户可以使用创建具有快速配置功能的内部镜像以及添加自定义数据的功能。
添加了新的 kickstart 命令:rh sm 和 zipl
在这个版本中,添加了以下 kickstart 命令:
-
rhsm:在安装过程中,使用rhsm命令在红帽注册系统。 -
zipl:使用zipl命令指定 IBM Z 系统上的zipl配置。
(BZ#1972214)
5.1.2. 软件管理
user-Agent 标头字符串现在包含从 /etc/os-release 文件中读取的信息
在这个版本中,DNF 发出的 HTTP 请求通常包含 User-Agent 标头字符串,使用从 /etc/os-release 文件读取的信息进行扩展。
要获得更多信息,请参阅 dnf.conf(5) man page 中的 user_agent。
现在,所有 dnf-automatic.timer 计时器单元都会默认使用实时时钟
在以前的版本中,dnf-automatic.timer 计时器单元使用单例时钟,这会导致系统引导后激活时间无法预计。在这个版本中,计时器单元在早上 6 点到早上 7 点之间运行。如果系统在该时间段内关闭,则定时器单元将在系统引导后一小时内激活。
createrepo_c 工具现在跳过元数据包含禁止控制字符的软件包
为确保有效的 XML,软件包元数据不得包含任何控制字符,但:
- 横向标签
- newline 字符
- 回车字符
在这个版本中,create repo_c 工具不会在新创建的仓库中包含元数据的软件包,并返回以下错误消息:
C_CREATEREPOLIB: Critical: Cannot dump XML for PACKAGE_NAME (PACKAGE_SUM): Forbidden control chars found (ASCII values <32 except 9, 10 and 13)
5.1.3. Shell 和命令行工具
opencv rebase 到版本 3.4.6
opencv 软件包已升级到上游版本 3.4.6。主要变更包括:
-
支持新的 Open CL 参数,如
OPENCV_OPENCL_BUILD_EXTRA_OPTIONS和OPENCV_OPENCL_DEVICE_MAX_WORK_GROUP_SIZE。 -
objdetect模块现在支持 QR 代码检测算法。 -
多种新方法,如
MatSize::dims 或VideoCapture::getBackendName。 -
多个新功能,如 draw
FrameAxes 或getVersionMajor。 -
各种性能得到了改进,包括在使用 SSSE3 指令时 GaussianBlur 函数
v_load_deinterleave和v_store_interleave内部函数的改进。
5.1.4. 基础架构服务
graphviz-python3 现在在 CRB 仓库中发布
在这个版本中,将 graphviz-python3 软件包添加到 RHEL 8。软件包提供使用 Python 的 Graphviz 图形视觉化软件所需的绑定。
请注意, graphviz-python3 软件包包括在不支持的 CodeReady Linux Builder 仓库(CRB)。
tuned rebase 到版本 2.13.0
tuned 软件包已升级到上游版本 2.13.0。主要改进包括:
- 添加了架构依赖的调优框架。
- 添加了对多个 include 指令的支持。
-
更新了
sap-hana、latency-performance和realtime配置文件中的调优。
powertop rebase 到版本 2.11
powertop 软件包已升级到 2.11 版本,它提供了以下显著变化:
- 支持 EHL、TGL、ICL/ICX 平台
(BZ#1716721)
BIND 现在支持 .GeoIP2 而不是 GeoLite Legacy GeoIP
GeoLite Legacy GeoIP 库不再被 BIND 支持。在这个版本中,GeoreLite Legacy GeoP 已被 GeoIP2 替代,它以 libmaxminddb 数据 格式提供。
请注意,新格式可能需要一些配置更改,而且格式还不支持以下旧的 GeoIP 访问控制列表(ACL)设置:
- GeoIP 网络速度
- GeoIP 机构
- ISO 3166 Alpha-3 国家代码
(BZ#1564443)
stale-answer 现在在 DDoS 攻击时提供旧的缓存记录
在以前的版本中,分布式服务(DDoS)攻击会导致权威服务器因为 SERVFAIL 错误而失败。在这个版本中,stale -answer 功能提供过期的记录,直到获取了全新的响应。
要启用或禁用 service -stale 功能,请使用以下任一功能:
- 配置文件
- 远程控制频道(rndc)
BIND rebase 到版本 9.11.13
bind 软件包已升级到 9.11.13 版本。主要变更包括:
-
添加了
tcp-highwater统计变量。此变量显示运行期间记录的最大并发 TCP 客户端。 -
添加了基于
SipHash-2-4的 DNS Cookies(RFC 7873)算法。 -
无论
minimal-responses配置选项是如何设置的,都将返回用于根启动查询的粘合地址。 -
named-checkconf命令现在确保DNS64网络前缀的有效性。 -
当
trusted-keys和managed-keys语句都为同一名称配置时,每个 RFC 5011 的自动滚动不再会失败。相反,会记录警告消息。 -
现在,如果
dig和nslookup实用程序中未在终端上运行(例如,在脚本中)中,国际化域名(IDN)处理会被默认禁用。可以使用+idnin和+idnout选项打开dig中的 IDN 处理。
5.1.5. 安全性
RHEL 8 现在包含 DISA STIG 配置集
安全技术实施指南(STIG)是国防部(DISA)发布的一组基线建议,以增强可能易受损害的信息系统和软件的安全性。这个版本包括这个安全策略的配置集和 Kickstart 文件。在这个版本中,用户可以检查系统的合规性,修复系统是否合规,以及安装与 Red Hat Enterprise Linux 8 的 DISA STIG 兼容的系统。
crypto-policies 现在可以自定义
在这个版本中,您可以调整任何策略级别的特定算法或协议,或将新的完整策略文件设置为当前系统范围的加密策略。这可让管理员根据不同场景的要求自定义系统范围的加密策略。
RPM 软件包应当将其提供的策略存储在 /usr/share/crypto-policies/policies 目录中。/etc/crypto-policies/policies/policies 目录包含本地自定义策略。
如需更多信息,请参阅 update-crypto-policies(8) 手册页中的 Custom Policies 部分和 update-crypto-policies(8) 手册页中的 Crypto Policy Definition Format 部分。
(BZ#1690565)
SCAP 安全指南现在支持 ACSC Esential Eight
scap-security-guide 软件包现在提供澳大利亚网络安全中心(ACSC)Essential Eight 合规性配置集和相应的 Kickstart 文件。在这个改进中,用户可以安装一个符合这个安全基点的系统。另外,您可以使用 OpenSCAP 套件使用 ACSC 定义的最低安全控制规范来检查安全合规和补救。
现在,提供了用于容器安全性和合规性扫描的 oscap-podman
这个 openscap 软件包更新引进了新的实用程序,用于容器的安全性和合规性扫描。The oscap-podman 工具提供等效的 the oscap-docker 实用程序,用于在 RHEL 7 中扫描容器和容器镜像。
(BZ#1642373)
现在,se troubleshoot 可以分析和响应 execmem 访问拒绝
在这个版本中引进了新的 setroubleshoot 插件。插件可以分析 execmem 访问拒绝(AVC),并提供相关建议。因此,setroubleshoot 现在可以建议在允许访问时切换布尔值,或者在没有布尔值允许访问时报告问题。
(BZ#1649842)
新软件包: setools-gui 和 setools-console-analyses
RHEL 8 现在引进了作为 RHEL 7 一部分的 setools-gui 软件包。图形工具有助于检查关系和数据流,尤其是在具有高度专业 SELinux 策略的多级别系统中。使用 setools-gui 软件包中的 apol 图形工具,您可以检查和分析 SELinux 策略的各个方面。setools-console-analyses 软件包中 的工具可让您分析域转换和 SELinux 策略信息流。
SELinux 中的受限用户现在可以管理用户会话服务
在以前的版本中,受限制的用户无法管理用户会话服务。因此,它们无法执行 systemctl --user 或 busctl --user 命令,或者在 RHEL web 控制台中正常工作。在这个版本中,受限用户可以管理用户会话。
lvmdbusd 服务现在被 SELinux 限制
lvmdbusd 服务向逻辑卷管理器(LVM)提供 D-Bus API。在以前的版本中,lvmdbusd 守护进程无法过渡到 lvm_t 上下文,即使定义了 lvm_t 的 SELinux 策略。因此,lvm dbusd 守护进程在 unconfined_service_t 域中被执行,将 lvmdbusd 标记为 unconfined。在这个版本中,lvm dbusd 可执行文件定义了 lvm_exec_t 上下文,现在可以 在强制模式下正确使用 lvmdbusd。
semanage 现在支持列出和修改 SCTP 和 DCCP 端口。
在以前的版本中,semanage 端口 只允许列出和修改 TCP 和 UDP 端口。在这个版本中,增加了对 semanage port 的 SCTP 和 DCCP 协议支持。现在,管理员可以检查两台机器是否能够通过 SCTP 通信,并完全启用 SCTP 功能来成功部署基于 SCTP 的应用程序。
(BZ#1563742)
semanage 导出 现在显示与 permissive 域相关的自定义
在这个版本中,semanage 实用程序是 SELinux 的 policycoreutils 软件包的一部分,可以显示与 permissive 域相关的自定义。系统管理员现在可以使用 semanage export 命令在机器之间传输许可的本地修改。
(BZ#1417455)
udica 可以将 SELinux 拒绝生成的新 allow 规则添加到现有容器策略
当在 udica 实用程序生成的策略下运行的容器触发 SELinux 拒绝时,udi ca 现在可以更新策略。新参数 -a 或 --append-rules 可以用来附加 AVC 文件中的规则。
新的 SELinux 类型使服务能够受限制
在这个版本中引进了新的 SELinux 类型,使以下服务能够以 SELinux enforcing 模式作为受限服务运行,而不是在 unconfined_service_t 域中运行:
-
lldpd现在运行 aslldpad_t -
rrdcached现在作为rrdcached_t运行 -
stratisd现在作为stratisd_t运行 -
timedatex现在作为timedatex_t运行
(BZ#1726246,BZ#1726255,BZ#1726259,BZ#1730204)
Clevis 能够列出给定 LUKS 设备的策略
在这个版本中,c levis luks list 命令列出 给定 LUKS 设备的 PBD 策略。这样更易于查找正在使用和固定配置的 Clevis pins 信息,如 Tang 服务器地址、tpm2 策略 的详情和 SSS 阈值。
Clevis 提供报告密钥状态和重新绑定过期密钥的新命令
clevis luks report 命令现在提供了报告特定绑定的键是否需要轮转的简单方法。Tang 服务器中的常规密钥轮转提高了 Network-Bound Disk 加密(NBDE)部署的安全性,因此客户端应提供已过期密钥的检测。如果密钥已过期,Clevis 建议使用 clevis luks regen 命令,该命令使用当前密钥将过期的密钥插槽重新关联。这大大简化了密钥轮转的过程。
(BZ#1564559, BZ#1564566)
Clevis 现在可以提取用于绑定 LUKS 设备中特定插槽的密码短语
在这个版本中,您可以提取用于在 LUKS 设备中绑定特定插槽的密码短语。在以前的版本中,如果删除了 LUKS 安装密语,Clevis 无法执行 LUKS 管理任务,如重新加密、使用用户密码启用新密钥插槽,并在管理员需要更改 ss 阈值时重新绑定 Clevis。在这个版本中引进了 clevis luks pass 命令,显示用于绑定特定插槽的密码短语。
(BZ#1436780)
Clevis 现在提供改进的对在引导时解密多个 LUKS 设备的支持
clevis 软件包已经更新,为在启动时解密多个 LUKS 加密设备提供更好的支持。在进行这一改进之前,管理员必须对系统配置执行复杂的更改,以便 Clevis 在引导时正确解密多个设备。在这个发行版本中,您可以使用 clevis luks bind 命令并通过 The dracut -fv --regenerate-all 命令更新 initramfs 来设置解密。
如需了解更多详细信息,请参阅使用基于策略的解密配置加密卷的自动解锁部分。
openssl-pkcs11 rebase 到 0.4.10
Open ssl-pkcs11 软件包已升级到上游版本 0.4.10,它比之前的版本提供了很多程序错误修复和增强。openssl-pkcs11 软件包通过引擎接口提供对 PKCS #11 模块的访问。新版本引入的主要更改有:
- 如果在加载 ECDSA 私钥时不提供与私钥对应的公钥对象,则引擎将从匹配的证书加载公钥(如果存在)。
-
您可以使用通用 PKCS #11 URI(如 example
pkcs11:type=public),因为openssl-pkcs11引擎搜索与给定 PKCS #11 URI 匹配的所有令牌。 - 只有在单个设备与 URI 搜索匹配时,系统才会尝试使用 PIN 登录。这可防止因为将 PIN 提供给所有匹配的令牌而导致身份验证失败。
-
在访问设备时,
openssl-pkcs11引擎现在使用RSA_FLAG_FIPS_METHOD标志标记 RSA 方法结构。在 FIPS 模式中,OpenSSL 要求在 RSA 方法结构中设置 标志。请注意,引擎无法检测设备是否经过 FIPS 认证。
(BZ#1745082)
rsyslog rebase 到 8.1911.0
rsyslog 工具已升级到上游版本 8.1911.0,它提供很多程序错误修复和增强。以下列表包含显著的改进:
-
New
omhttp模块允许您通过 HTTP REST 接口发送消息。 - 文件输入模块得到了增强,以提高稳定性、错误报告和截断检测。
-
新的
action.resumeIntervalMax参数可与任何操作一起使用,允许将重试间隔增长上限为指定的值。 -
TLS
的新 StreamDriver.PermitExpiredCerts选项允许连接,即使证书已过期。 - 现在,您可以根据配置的外部文件内容暂停和恢复输出。这在另一端始终接受消息并在无法全部处理消息时静默丢弃消息时很有用。
- 文件输出模块的错误报告已被改进,现在包含真实的文件名和有关错误原因的更多信息。
- 磁盘队列现在运行多线程,以提高性能。
-
您可以设置更严格的 TLS 操作模式:检查 extend
KeyUsage证书字段,并对CN/SAN证书字段进行更严格的检查。
(BZ#1740683)
rsyslog 现在提供通过 HTTP REST 接口进行通信的 omhttp 插件
在这个版本中,您可以使用 new omhttp 插件生成与服务兼容的输出,如 Ceph 存储平台、Amazon S3)和 Grafana Loki。这个新的 HTTP 输出模块提供了可配置的 REST 路径和消息格式,支持多种批处理格式、压缩和 TLS 加密。
如需了解更多详细信息,请参阅使用 rsyslog-doc 软件包安装在系统上的 /usr/share/doc/rsyslog/html/configuration/modules/omhttp.html 文件。
rsyslog 中的 omelasticsearch 现在支持 rebindinterval
此 rsyslog 软件包更新引进了对在 omelasticsearch 模块中设置定期重新连接时间的支持。您可以根据您的场景设置这个参数来提高在将记录发送到 Elasticsearch 节点集群时的性能。rebindinterval 参数的值指示 rsyslog 关闭连接并建立新的节点时提交到节点的操作数量。默认值为 -1,表示 rsyslog 不会重新建立连接。
rsyslog mmkubernetes 现在提供元数据缓存过期时间
在这个版本中 , 您可以使用 mmkubernetes 模块的两个新参数来设置元数据缓存过期时间。这样可确保从 mmkubernetes 静态缓存中删除删除的 Kubernetes 对象。cacheentryttl 参数的值指示缓存条目的最长期限(以秒为单位)。cacheexpireinterval 参数具有以下值:
-
-1用于禁用缓存扩展检查 -
0用于启用缓存扩展检查 - 大于 0 用于常规缓存扩展检查(以秒为单位)
Audit rebase 到版本 3.0-0.14
审计 软件包已升级到上游版本 3.0-0.14,它与之前的版本相比提供了很多程序错误修复和增强,最重要的是:
- 添加了一个选项来解释 syslog 插件中的字段
-
将
30-ospp-v42.rules文件分成更细化的文件 -
将示例规则移到
/usr/share/audit/sample-rules/目录中 - 修复了用于远程日志的 Audit KRB5 传输模式
Audit 现在包含内核 v5.5-rc1 的许多改进
除了 Linux 内核外,还包含与 Audit 子系统相关的大部分增强功能、漏洞修复和清理,并在 4.18 和 5.5-rc1 版本之间引入。以下列表重点介绍了重要变化:
-
更广泛的使用
exe字段进行过滤 - 支持 v3 命名空间功能
- 在远程文件系统中进行过滤的改进
-
修正 the
gid过滤器规则 - 修复无用的内存损坏和内存泄漏
- 事件记录的关联改进
-
清理
fanoticy接口、审计配置选项和 syscall 接口 - 修复扩展验证模块(EVM)返回值
- 修复和清理几种记录格式
- 虚拟文件系统(VFS)审核的简化和修复
(BZ#1716002)
fapolicyd rebase 到 0.9.1-2
提供 RHEL 应用白名单的 fapolicyd 软件包已升级到上游版本 0.9.1-2。重要的程序错误修复和增强包括:
- 进程标识已修复。
- 现在,主题部分和对象部分被严格放在规则中。这两个组件都用冒号分隔,它们包含所需的权限(执行、打开、任意)。
- 主题和对象属性已合并。
新规则格式如下:
DECISION PERMISSION SUBJECT : OBJECT
例如:
allow perm=open exe=/usr/bin/rpm : all
sudo rebase 到 1.8.29-3.el8
sudo 软件包已升级到上游版本 1.8.29-3,它提供很多程序错误修复和增强。新版本引入的主要更改有:
-
sudo现在将可插拔验证模块(PAM)消息写入用户的终端(如果可用),而不是标准输出或标准错误输出。这可防止对 PAM 输出和发送到文件和管道的命令输出造成可能的混淆。 -
LDAP 和 SSSD 的
notBefore和notAfter选项现在可以正常工作,并可以使用sudo -l命令正确显示。 -
现在,在从 LDIF 转换为
sudoers和 JSON 格式时,cvtsudoers命令会拒绝非 LDAP 数据交换格式(LDIF)输入。 -
使用
sudoers的新log_allowed和log_denied设置,您可以禁用允许和拒绝命令的日志和审核。 -
现在,您可以将
sudo与-g选项搭配使用,以指定与任何目标用户组匹配的组,即使runas_spec规格中不存在任何组。在以前的版本中,只有在组与目标用户的主组匹配时才可以这样做。 -
修复了一个阻止
sudo 将主机名与sssd.conf中的ipa_hostname匹配(如果指定)值的错误。 -
现在,解决了一个允许
sudo用户在Runas规格不允许使用ALL关键字进行root访问时以 root 身份运行命令的漏洞(CVE-2019-14287)。 -
permissive
sudoers条目(例如使用 ALL 关键字)的未知用户和组 ID 现已禁用。您可以使用runas_allow_unknown_id设置(CVE-2019-19232)启用它。
pam_namespace 模块现在允许为 tmpfs指定额外的挂载选项
现在可以在 /etc/security/namespace.conf 配置文件中使用 nosuid、noexec 和 nodev 挂载选项,来分别禁用 setuid 位效果、禁用运行的可执行文件,并防止文件被解释为已挂载的 tmpfs 文件系统上的字符或块设备。
其他挂载选项在 tmpfs(5) man page 中指定。
(BZ#1252859)
pam_faillock 现在可以从 faillock.conf 配置文件读取设置
pam_faillock 模块是可插拔身份验证模块(PAM)的一部分,现在可以从位于 /etc/security/faillock.conf 的配置文件读取设置。这样更易于在身份验证失败时设置帐户锁定,为此功能提供用户配置文件,并通过编辑 faillock.conf 文件来处理不同的 PAM 配置。
5.1.6. 网络
用户空间应用程序现在可以检索内核选择的 netns id
用户空间应用程序可以请求内核选择新的 netns ID 并将其分配给网络命名空间。有了这个增强,用户可以在向内核发送 RTM_NETNSID netlink 消息时指定 NLM_F_ECHO 标志。然后,内核将 netlink 消息发回给用户。此消息包括设置为内核所选值的 netns ID。因此,用户空间应用程序现在可以使用可靠的选项来识别内核选择的 netlink ID。
(BZ#1763661)
firewalld 被 rebase 到版本 0.8
firewalld 软件包已更新至 0.8 版本。主要变更包括:
-
这个
firewalld版本包括版本 0.7.0 以来的所有 bug 修复。 -
firewalld现在将libnftablesJSON 接口用于nftables子系统。这可以提高规则应用的性能和可靠性。 -
在服务定义中,新的
helper元素取代了模块。 - 此版本允许自定义帮助者使用标准帮助程序模块。
ndptool 现在可以在 IPv6 标头中指定目标地址
在这个版本中,ndptool 实用程序可以通过在 IPv6 标头中指定地址,将邻居请求(NS)或邻居公告(NA)消息发送到特定目的地。因此,可以将消息发送到本地链路地址以外的地址。
nftables 现在支持多维 IP 设置类型
在这个版本中,nf tables 数据包过滤框架支持设置具有串联和间隔的类型。因此,管理员不再需要临时解决方案来创建多组 IP 设置类型。
(BZ#1593711)
nftables rebase 到版本 0.9.3
nftables 软件包已升级到上游版本 0.9.3,它提供很多程序错误修复和增强:
-
在
libnftables库中添加了一个 JSON API。此库提供了一个高级别接口,可用于管理来自第三方应用的 nftables 规则集。要在 Python 中使用新 API,请安装python3-nftables软件包。 -
声明支持 IP 前缀和范围,如
192.0.2.0/24和192.0.2.0-192.0.2.30。 -
添加了对操作系统指纹的支持,以根据猜测的操作系统标记数据包。详情请查看
nft(8)manpage 中的osf 表达式部分。 -
添加了透明代理支持,将数据包重定向到本地套接字,而不以任何方式更改数据包标头。详情请查看
nft(8)manpage 中的tproxy 语句部分。 -
默认情况下,
nft 在创建 nft链时显示优先级集的文本名称。要查看标准优先级数字值,请使用-y选项。 - 添加了安全标记支持。
- 改进了对动态集更新的支持,以设置数据包路径的更新。
- 添加了对传输标头端口匹配的支持。
有关显著变化的更多信息,请在更新前阅读上游发行注记:
(BZ#1643192)
firewalld 服务的规则现在可以将连接跟踪帮助器用于在非标准端口上运行的服务
firewalld 服务中的用户定义的帮助程序现在可以使用标准内核帮助程序模块。这可让管理员创建 firewalld 规则,将连接跟踪帮助器用于在非标准端口上运行的服务。
whois 软件包现在可用
在这个版本中,whois 软件包在 RHEL 8.2.0 中可用。因此,现在可以检索特定域名或 IP 地址的信息。
(BZ#1734183)
现在完全支持 tc 的 eBPF
流量控制(tc)内核子系统和 tc 工具可以附加扩展 Berkeley Packet 过滤(eBPF)程序作为数据包分类器,以及用于入口和出站队列规则的操作。这启用了内核网络数据路径中的可编程数据包处理。RHEL 8.2 现在完全支持 tc 的 eBPF(以前作为技术预览提供)。
5.1.7. 内核
RHEL 8.2 中的内核版本
Red Hat Enterprise Linux 8.2 带有内核版本 4.18.0-193。
另请参阅外部内核参数的重要变化和设备驱动程序。
RHEL 8.2 的扩展 Berkeley Packet 过滤器
Extended Berkeley Packet Filter(eBPF) 是一个内核中的虚拟机,允许在可访问有限功能的受限沙箱环境中在内核空间中执行代码。虚拟机执行类特殊的装配代码。eBPF 字节码首先加载到内核,然后进行验证,通过即时编译到原生机器代码转换,然后虚拟机执行代码。
红帽提供大量使用 eBPF 虚拟机的组件。每个组件处于不同的开发阶段,因此目前并不完全支持所有组件。在 RHEL 8.2 中,支持以下 eBPF 组件:
- TheBPF Compiler Collection(BCC) 工具软件包,这是使用 eBPF 虚拟机创建高效内核跟踪程序的用户空间集合。BCC 提供用于使用 eBPF 的 I/O 分析、网络和监控 Linux 操作系统的工具。
- BCC 库,它允许开发与 BCC 工具软件包中相似的工具。
- eBPF for Traffic Control(tc) 功能,可在内核网络数据路径中启用可编程数据包处理。
所有其他 eBPF 组件都作为技术预览提供,除非有特定组件被显示为受支持。
以下显著的 eBPF 组件当前作为技术预览提供:
-
bpftrace追踪语言 - TheeXpress 数据路径(XDP) 功能
如需有关技术预览组件的更多信息,请参阅 技术预览。
Intel ® Omni-Path 架构(OPA)主机软件
Red Hat Enterprise Linux 8.2 完全支持 Intel Omni-Path 架构(OPA)主机软件。Intel OPA 为在集群环境中的计算和 I/O 节点之间的高性能数据传输(高带宽、高消息率、低延迟)提供主机 Fabric Interface(HFI)硬件初始化和设置。
(BZ#1833541)
RHEL 8 现在完全支持 control Group v2
控制组 v2 机制是统一的层次结构控制组。控制组 v2 以分层方式组织进程,并以受控和可配置的方式在层次结构中分发系统资源。
与之前的版本不同,控制组 v2 只有一个层次结构。这个单一层次结构使 Linux 内核能够:
- 根据拥有者的角色对进程进行分类。
- 解决多个分级冲突策略的问题。
控制组 v2 支持大量控制器。其中一些示例如下:
CPU 控制器规定了 CPU 周期的分布。这个控制器实现:
- 常规调度策略的权重和绝对带宽限制模型。
- 用于实时调度策略的绝对带宽分配模型.
-
cpuset 控制器将处理器和/或内存放置限制为在
cpuset接口文件中指定的资源。 内存控制器规定了内存分布。目前,会追踪以下类型的内存用量:
- Userland memory - 页面缓存和匿名内存。
- 内核数据结构,如密度和内节点。
- TCP 套接字缓冲。
- I/O 控制器规定了 I/O 资源的分配。
- 回写控制器与 Memory 和 I/O 控制器交互,并且特定于 Control Group v2。
以上信息基于 Control Group v2 上游文档。您可以参照同一链接来获取有关特定控制组 v2 控制器的更多信息。
请注意,上游文档中提及的所有功能尚未在 RHEL 8 中实施。
(BZ#1401552)
随机化空闲列表:提高直接映射内存缓存的性能和使用
在这个版本中,您可以启用页面分配器来随机化自由列表,并提高直接映射的内存端缓存的平均利用率。内核命令行选项 page_alloc.shuffle 允许页面分配器随机化空闲列表并将布尔值标志设置为 True。sysfs 文件位于 /sys/module/page_alloc/parameters/shuffle 中,读取标志状态,缓冲可用列表,从而缓存 Dynamic Random Access Memory(DRAM),并减少 DRAM 和持久内存之间的延迟带。因此,在通用服务器平台上提供了容量较高的持久内存。
(BZ#1620349)
TPM 用户空间工具已更新至最后一个版本
tpm2-tools 用户空间工具已更新至 3.2.1 版本。这个版本提供了几个程序错误修正,特别是与平台配置寄存器代码和手动页面清理相关的内容。
(BZ#1725714)
C620 排序 PCH 芯片组现在支持 Intel Trace Hub 功能
在这个版本中,在 C620-series Platform Controller Hub(PCH)(也称为 Lewisburg PCH)中添加了对 Intel Trace Hub(TH)的硬件支持。具有 C620 序列的用户现在可以使用 Intel TH。
(BZ#1714486)
perf 工具现在支持 CLX-AP 和 CPX 处理器的每个中断事件聚合
在这个版本中,perf 工具 支持针对具有多个死锁的一些 Intel CPU 进行每个die 事件计数。要启用此模式,请在 Xeon Cascade Lake-AP(CLX-AP)和 Cooper Lake(CPX)系统处理器之外添加 --per-die 选项。因此,这个更新会检测到结束之间的任何冲突。perf stat 命令捕获事件计数并显示输出结果,如下所示:
# perf stat -e cycles --per-die -a -- sleep 1 Performance counter stats for 'system wide': S0-D0 8 21,029,877 cycles S0-D1 8 19,192,372 cycles
(BZ#1660368)
IBM Z 上的 crashkernel=auto 阈值会降低
现在,在 IBM Z 系统上,crashkernel=auto 内核命令行参数的较低阈值从 4G 降至 1G。这个实现允许 IBM Z 与 AMD64 和 Intel 64 系统的阈值一致,在 崩溃内核=auto 的较低阈值上共享相同的保留策略。因此,崩溃内核可以在内存不足 4GB 的系统上为 kdump 自动保留内存。
(BZ#1780432)
numactl manual 条目阐明内存用量输出
在这个 RHEL 8 发行版本中,num actl 的 man page 明确提到内存用量信息只反映系统中的驻留页面。这种添加的原因是消除了用户在内存用量信息与常驻页面还是虚拟内存相关的潜在混淆。
kexec-tools 文档现已更新为包含 Kdump FCoE 目标支持
在这个发行版本中,/usr/share/doc/kexec-tools/supported-kdump-targets.txt 文件已更新,以包含 Kdump Fibre Channel over Ethernet(FCoE)目标支持。现在,用户可以更好地了解 FCoE 目标支持中 kdump 崩溃转储机制的状态和详情。
(BZ#1690729)
固件辅助转储现在支持 PowerNV
现在 PowerNV 平台支持固件辅助转储(fadump)机制。IBM POWER9 FW941 固件版本及更新的版本支持这个功能。系统故障时,fadump 和 vmcore 文件也会导出 opalcore 文件。opalcore 文件包含分类时有关 OpenPOWER Abstraction Layer(OPAL)内存状态的信息。opalcore 文件有助于调试基于 OPAL 的系统崩溃。
(BZ#1524687)
kernel-rt 源树现在与最新的 RHEL 8 树匹配
kernel-rt 源已更新为使用最新的 RHEL 内核源树。实时补丁集也更新至最新的上游 v5.2.21-rt13 版本。这两个更新都提供很多程序错误修正和增强。
(BZ#1680161)
rngd 现在能够以非 root 权限运行
随机数生成器守护进程(rngd)检查随机性来源提供的数据是否足够随机,然后将数据存储在内核的随机数熵池中。在这个版本中,rngd 可以使用非 root 用户权限运行,以增强系统安全性。
现在,在 POWER 9 中 RHEL 8.2 及更新的版本支持虚拟持久性内存
当在 IBM POWER9 硬件上运行带有 PowerVM 管理程序的 RHEL 8.2 或更高版本主机时,主机现在可以使用 Virtual Persistent Memory(vPMEM)功能。使用 vPMEM 时,数据会在应用程序间持久保留,并在物理服务器关闭前进行分区重启。因此,重启使用 vPMEM 的工作负载要快得多。
您的系统必须使用 vPMEM 必须满足以下要求:
- 硬件管理控制台(HMC)V9R1 M940 或更高版本
- 固件级别 FW940 或更高版本
- E980 系统固件 FW940 或更高版本
- L922 系统固件 FW940 或更高版本
- PowerVM 级别 V3.1.1
请注意,当前在 RHEL 8 中使用 vPMEM 存在几个已知问题。详情请查看以下知识库文章:
(BZ#1859262)
5.1.8. 文件系统和存储
LVM 现在支持 dm-writecache 缓存方法
LVM 缓存卷现在除了提供现有的 dm-cache 方法外,还提供 dm-writecache 缓存方法。
dm-cache- 这个方法可通过在更快的卷上缓存数据来加快频繁使用数据的访问速度。这个方法会缓存读写操作。
dm-writecache- 这个方法只缓存写操作。较快速的卷通常是 SSD 或持久内存(PMEM)磁盘,首先存储写入操作,然后在后台将其迁移到较慢的磁盘。
要配置缓存方法,请使用 --type cache 或 --type writecache 选项以及 lvconvert 实用程序。
(BZ#1600174)
VDO async 策略现在兼容 ACID
在这个版本中,VDO async 写入模式与 Atomicity、Consistency、Isolation、Durability(ACID)兼容。如果在 VDO 以 async 模式写入数据时系统意外停止,则恢复的数据现在始终一致。
由于 ACID 合规性,a sync 的性能现在低于上一个版本。要恢复原始性能,您可以将 VDO 卷的写入模式改为 async-unsafe 模式,这不兼容 ACID。
如需更多信息,请参阅 选择 VDO 写模式。
(BZ#1657301)
现在,您可以导入 VDO 卷
The vdo 工具现在可让您导入系统中当前没有注册的现有 VDO 卷。要导入 VDO 卷,请使用 vdo import 命令。
另外,您可以使用 vdo import 命令修改 VDO 卷的通用唯一标识符(UUID)。
mountstats 和 nfsiostat的输出中现在提供了新的 每个错误 计数器
NFS 客户端系统可使用的一个小的支持性功能:nfs-utils 中的 mountstats 和 nfsiostat 命令的输出有一个 per-op 错误计数。在这个版本中,这些工具可以显示 每个错误 计数和百分比,以帮助缩小 NFS 客户端计算机上特定 NFS 挂载点上的问题。请注意,这些新统计数据取决于 Red Hat Enterprise Linux 8.2 内核中的内核更改。
XFS 现在提供了带有 cgroup 感知的 writeback IO
在这个版本中,XFS 支持使用 cgroup 感知的 writeback IO。通常,c group writeback 需要底层文件系统明确支持。直到现在,XFS 上的 writeback IO 仅仅是 root cgroup 的属性。
(BZ#1274406)
FUSE 文件系统现在实施 copy_file_range()
copy_file_range() 系统调用为文件系统提供了一种实施高效数据复制机制的方法。在这个版本中,使用用户空间(FUSE)框架中的 Filesystem 的 GlusterFS 利用了这个机制。由于 FUSE 文件系统的读/写功能涉及多个数据副本,使用 copy_file_range() 可以显著提高性能。
(BZ#1650518)
现在,mountstats 和 nfsiostat 命令提供了 对每个应用程序的统计信息 的支持
NFS 客户端系统现在具有支持功能: /proc/self/mountstats 文件具有 每个错误 计数器。在这个版本中,在每个 op 统计行下,第九个数字表示以 status 值小于后零完成的操作数。此状态值表示错误。如需更多信息,请参阅 nfs -utils 中对 mountstats 和 nfsiostat 程序的更新,其中显示了这些新错误计数。
(BZ#1636572)
/proc/self/mountstats 文件中提供了新的挂载统计信息 lease_time 和 lease_expired
NFSv4.x 客户端系统提供一项支持功能。/proc/self/mountstats 文件在以 nfsv4: 开头的行末尾有 lease_time 和 lease_expired 字段:lease_time 字段指示 NFSv4 租用时间内的秒数。lease_expired 字段指示自租用过期起的秒数;如果租期未过期,则为 0。
(BZ#1727369)
意外删除(Surprise removal)NVMe 设备
在这个版本中,您可以在不预先通知操作系统的情况下从 Linux 操作系统中意外删除 NVMe 设备。这可提高 NVMe 设备的可用性,因为不需要额外的步骤来准备设备以按顺序删除,从而可以避免服务器停机时间以确保服务器可用。
注意以下几点:
-
意外删除 NVMe 设备需要
kernel-4.18.0-193.13.2.el8_2.x86_64或更高版本。 - 要成功意外删除 NVMe 设备,可能需要硬件平台或软件的额外要求。
- 不支持意外删除对系统操作很重要的 NVMe 设备。例如:您无法意外删除包含操作系统或者 swap 分区的 NVMe 设备。
(BZ#1634655)
5.1.9. 高可用性和集群
仅在不影响其他资源的情况下禁用资源的新命令选项
有时,只有在这不会影响其他资源时才需要禁用资源。在具有复杂的资源关系时,这可能无法通过手动设置来完成。要满足这个需要,pc s resource disable 命令现在支持以下选项:
-
pcs resource disable --simulate:显示禁用指定资源的效果,而不更改群集配置 -
pcs resource disable --safe:仅在没有任何方式影响任何其他资源(如从一个节点迁移到另一个节点)时禁用指定的资源 -
pcs resource disable --safe --no-strict:仅在没有其他资源停止或降级时禁用指定资源
此外,还引进了 pcs resource secure-disable 命令,作为 pcs resource disable --safe 的别名。
显示资源关系的新命令
新的 pcs resource relationship 命令 允许您显示树结构中的群集资源之间的关系。
(BZ#1631514)
新命令可显示主站点和恢复站点集群的状态
如果您已将集群配置为用作恢复站点,则可以使用 pcs dr 命令将该集群配置为恢复站点集群。然后,您可以使用 pcs dr 命令显示主站点集群和恢复站点集群的状态。
(BZ#1676431)
现在,在列出限制时默认隐藏已过期的资源限制
列出资源约束不再默认显示过期的限制。要包含过期的 constaints,请使用 pcs constraint 命令的 --all 选项。这将列出已过期的限制,注意显示中的限制和 相关规则( 扩展)。
Pacemaker 支持将资源配置为在清理节点关闭时保持停止
当集群节点关闭时,Pacemaker 的默认响应是停止在该节点上运行的所有资源,并在其它位置恢复这些资源。有些用户希望只在失败时具有高可用性,并希望将清理关闭视为调度的中断。要解决这个问题,Pacemaker 现在支持 shutdown-lock 和 shutdown-lock-limit 集群属性,以指定在关闭时节点上活跃的资源应该一直停止,直到节点下一次重新加入为止。现在,用户可以根据调度的中断使用干净的关闭,而无需手动干预。有关将资源配置为在干净节点关闭中保持停止的详情,请参考 链接:将资源配置为在清理节点关闭时保持停止。
支持在单一节点中运行集群环境
仅配置了一个成员的群集现在可以在集群环境中启动和运行资源。这允许用户为使用单一节点进行备份的多节点集群配置单独的灾难恢复站点。请注意,只有一个节点的群集本身不容错。
(BZ#1700104)
5.1.10. 动态编程语言、网页和数据库服务器
新模块: python38
RHEL 8.2 引入了 Python 3.8,它由新模块 python38 和 ubi8/python-38 容器镜像提供。
与 Python 3.6 相比,显著改进包括:
-
新的 Python 模块,如
contextvars、dataclasses或importlib.resources -
新语言特性,如分配表达式(所谓的 walrus operator
::=)或仅位置参数 -
改进了关于
breakpoint()内置功能、=格式字符串规格的开发人员体验,以及 Python 和扩展模块的调试和非调试构建之间的兼容性 - 性能改进
- 改进了对可选静态类型提示的支持
-
为更轻松地调试添加了格式化字符串文字(f-strings)的
=specifier -
软件包的更新版本,如
pip、requests或Cython
Python 3.8 和为其构建的软件包可以与 Python 3.6 在同一系统上并行安装。
请注意,python38 模块没有包括为 python 36 模块提供的系统工具(RPM、DNF 和 SELinux 等)相同的二进制绑定。
要从 python38 模块安装软件包,请使用:
# yum install python38 # yum install python38-Cython
python38:3.8 模块流将自动启用。
要运行解释器,例如:
$ python3.8 $ python3.8 -m cython --help
如需更多信息,请参阅 安装和使用 Python。
请注意,红帽将继续对 Python 3.6 提供支持,直至 RHEL 8 生命周期结束。Python 3.8 的生命周期较短,请参阅 RHEL 8 应用程序流生命周期。
(BZ#1747329)
mod_wsgi 安装中的更改
在以前的版本中,当用户尝试使用 yum install mod_wsgi 命令安装 mod_wsgi 模块时,总是会安装 python3-mod_wsgi 软件包。RHEL 8.2 引入了 Python 3.8,作为 Python 3.6 的补充。在这个版本中,您需要指定要安装的 mod_wsgi 版本,否则返回错误消息。
要安装 mod_wsgi 的 Python 3.6 版本:
# yum install python3-mod_wsgi
要安装 mod_wsgi 的 Python 3.8 版本:
# yum install python38-mod_wsgi
请注意,python3-mod_wsgi 和 python38-mod_wsgi 软件包相互冲突,并且由于 Apache HTTP 服务器的限制,系统上只能安装一个 mod_wsgi 模块。
此更改引入了 BZ#1829692 中描述的依赖项已知问题。
(BZ#1779705)
支持 IBM Z 上的 zlib 中的硬件加速定义
在这个版本中,为 IBM Z 大型机中的 zlib 库增加了对硬件加速定义算法的支持。因此,提高了 IBM Z 向量机器上的压缩和解压缩性能。
(BZ#1659433)
IBM Power Systems、little endian 上的 gzip 解压缩时提高了性能
在这个版本中,32 位 Cyclic Redundancy 检查(CRC32)的优化功能增加了对 IBM Power Systems little endian 的 zlib 库的优化。因此,解压缩 gzip 文件的性能提高了。
(BZ#1666798)
新模块流: maven:3.6
RHEL 8.2 引入了一个新的模块流 maven:3.6。此版本的 Maven 软件项目管理和理解工具针对 RHEL 8.0 提供的 maven:3.5 流提供大量程序错误修复和各种增强。
要安装 maven:3.6 流,请使用:
# yum module install maven:3.6
如果要从 maven:3.5 流升级,请参阅切换到更新的流。
(BZ#1783926)
mod_md 现在支持 ACMEv2 协议
mod_md 模块已更新至 2.0.8 版本。在这个版本中增加了一些功能,特别是支持自动证书管理环境(ACME)证书和管理协议的版本 2,即互联网工程任务组(IETF)标准(RFC 8555)。原始 ACMEv1 协议仍然被支持,但已被常见服务提供商弃用。
(BZ#1747923)
PHP 7.3 的新扩展
php:7.3 模块流已更新,提供两个新的 PHP 扩展: rrd 和 Xdebug。
rrd 扩展提供到 RRDtool C 库的绑定。RRDtool 是用于时间序列数据的高性能数据日志记录和图形化系统。
包括 Xdebug 扩展以帮助您调试和开发。请注意,扩展仅用于开发目的,不应在生产环境中使用。
有关在 RHEL 8 中安装和使用 PHP 的详情 ,请参考使用 PHP 脚本语言。
(BZ#1769857, BZ#1764738)
新软件包: perl-LDAP 和 perl-Convert-ASN1
这个更新向 RHEL 8 添加了 perl-LDAP 和 Perl-Convert-ASN1 软件包。perl-LDAP 软件包为 Perl 语言提供 LDAP 客户端。Perl-LDAP 需要 perl-Convert-ASN1 软件包,该软件包使用基本编码规则(BER)和可辨识的编码规则(DER)来编码和解码 Abstract Syntax Notation One(ASN.1)数据结构。
sscg 现在支持生成受密码保护的私钥文件
sscg 实用程序现在可以生成受密码保护的私钥文件。这为私钥增加了另一级别的保护,而且某些服务(如 FreeRADIUS)需要它。
5.1.11. 编译器和开发工具
Grafana rebase 到版本 6.3.6
The grafana 软件包已升级到 6.3.6 版本,提供多个程序错误修复和增强。主要变更包括:
- Database:重写系统统计信息查询,以获得更好的性能。
探索:
- 在 Safari 浏览器的分割视图中修复查询字段布局。
-
为支持的数据源添加 Live 选项,将
orgId添加到 URL 中以进行共享。 -
添加了对标签端点的新
lokistart和end参数的支持。 - 添加了对 Explore 中切换原始查询模式的支持,允许在指标和日志之间进行切换。
- 显示日志级别,如果由字段或标签提供,则不会解析日志级别。
-
支持新的
LogQL过滤语法。 -
使用 Grafana/UI 中的新
TimePicker。 -
处理
LogRow高亮点中的新行. - 修复重新浏览到控制面板面板。
- 按日志图中的序列级别修复过滤器。
- 修复加载和图形/表被折叠时的问题。
- 修复日志行的选择/复制。
-
仪表板:修复仪表板
init失败的仪表板加载错误,包含缺少属性的面板链接,并在导出到逗号分隔的值(CSV)数据链接时修复时区仪表板设置。 - editor:修复仅复制整行的问题。
-
LDAP:集成
多 LDAP 和LDAP身份验证组件. -
profile/UserAdmin:修复用户代理解析器在 32 位构建中崩溃
grafana-server。 Prometheus:
-
在切换到
Prometheus数据源时防止面板编辑器崩溃,将大括号更改为更少烦恼。 -
通过
label_replace修复查询,并在加载查询编辑器时删除 $1 个匹配项。 - 一致允许编辑器中的多行查询,并将时区考虑步骤匹配。
-
将覆盖面板范围用于
$__range,而不是仪表板范围。 -
为序列标签查询添加时间范围过滤器,转义
|插入的PromQL变量中的字面。 - 在添加在 Explore 中包含冒号的指标标签时修复。
-
在切换到
- auth:允许 API 密钥过期,返回设备、os 和浏览器,同时在 HTTP API 中列出用户身份验证令牌,支持在 UI 中列出和撤销用户身份验证令牌。
-
DataLinks:正确地将有作用域的变量应用到数据链路,紧跟时区,同时在图形上下文菜单中显示数据点时间戳,在变量插入时使用数据点时间戳,修复
${__series_name}的不正确插入情况。 - 图:修复图例问题单击序列行图标,并在窗口中看到水平滚动栏时出现问题,添加新的填空选项。
-
图表:避免单值数组变量的 Glanceob,修复最后移动别名函数的问题,修复
seriesByTag和函数与变量参数相关的问题,将POST用于/metrics/find请求。 - 时间序列:假定值都是数字。
-
计量型/BarGauge:修复阈值丢失的问题,以及
avgstat 加载 Gauge 的问题。 - PanelLinks:使用面板链接修复 Gauge 和 Bar Gauge 面板中的崩溃问题(浏览链接),修复显示问题,而未显示面板描述。
-
OAuth:修复了因 SameSite cookie 策略而
丢失的保存状态OAuth 登录失败,修复了 DS 代理中对OAuth刷新的错误用户令牌更新。 - auth Proxy:包含其他标头作为缓存密钥的一部分。
-
CLI:修复在 dev 模式中识别时的 sql 错误,修复encrypt-datasource-passwords失败的问题。 - 权限:在导航中为非管理员用户显示插件,但隐藏插件配置。
- TimePicker:提高自定义范围弹出的最大快速范围下拉菜单高度和修复风格问题。
- Loki:按照 Explore 中的正确顺序显示实时跟踪的日志。
- Timerange:修复自定义时间范围不遵循通用时间协调(UTC)的错误。
-
remote_cache:修复redis connstr解析。 -
警报:添加标签到警报规则,尝试发送电子邮件通知到所有给定的电子邮件地址,改进警报规则测试,支持为
Discord警报通知器配置内容字段。 - Alertmanager:在标签名称中将非法字符替换为下划线。
- AzureMonitor:为 Azure Logs 更改内置 Grafana 变量或宏名称。
-
cloudwatch:对 Amazon Web Services(AWS)Cloudwatch Expressions 可见的区域,添加 AWS
DocDB指标。 - GraphPanel:当图例表和排序列不可见时,请勿排序系列。
- InfluxDB:支持可视化内存中的日志.
- MySQL/Postgres/MSSQL:在宏中添加每天、周和年间隔的解析,增加了对定期重新加载客户端证书的支持。
-
plugins:使用
plugin.json文件中的skipDataQuery标志替换dataFormats列表。 - 刷新提取器:处理空间隔。
-
singlestat:将
ymin/max 配置添加到 singlestat sparklines。 -
模板:在页面重新加载后,在多值变量中显示
__text,支持选择多值变量的所有筛选值。 - frontend:修复 Json 树组件无法正常工作的问题。
- InfluxDB:修复标签值过滤器中未转义的单引号的问题。
-
config:修复
defaults.ini文件中的remote_cache的连接字符串选项。 - Elasticsearch:修复空查询(通过模板变量)应该以通配符形式发送,修复默认的最大并发分片请求,支持在 Explore 中视觉化日志。
- TablePanel:修复注释显示。
-
Grafana-CLI:通过命令行修复接收标记,
RPM/DEB软件包中的grafana-cli的 wrapper 和config/homepath现在是全局标记。 -
HTTPServer:修复
X-XSS-Protection标头格式,用于返回新标头的选项X-Content-Type-Options、X-XSS-Protection和Strict-Transport-Security,修复Strict-Transport-Security标头,使用自定义 URL 路径前缀提供 Grafana。
pcp rebase 到版本 5.0.2
pcp 软件包已升级到 5.0.2 版本,提供多个程序错误修复和增强。主要变更包括:
-
pcp-webapp-*软件包现在由grafana-pcp软件包和pmproxy替代。 -
pcp-collectl工具现在被pmrep配置替代。 新的且改进的性能指标域代理(PMDA):
-
pmdamssql:适用于 Microsoft SQL Server 实施的新 PMDA. -
pmdanetcheck:用于执行网络检查的新 PMDA。 -
pmdaopenmetrics:将prometheus代理重新命名为openmetrics。 -
pmdanfsclient:添加per-op和每个mountrpc错误指标。 -
pmdalmsensors:改进名称解析和错误处理。 -
pmdaperfevent:支持多节点系统上的hv_24x7嵌套事件。 pmdalinux:- 正确处理稀疏或停止的数值节点。
-
使用 cpu
instname,而不是每个cpunuma stats 的instid。 -
为 slab
info v2 解析添加一个活跃和总计 slabs -
修复了几个 unix socket,
icmp6指标数据、巨页指标值. 计算、带有大量 CPU 数的中断代码的segfault -
在
--container命名空间中获取更多网络指标。
-
pmdabcc:修复了bcc0.10.0 及更高版本的 tracepoints 模块 -
pmdabpftrace:bpftrace脚本中指标的新 PMDA pmdaproc:-
修复
pidlist刷新中的内存泄漏。 -
避免
cgroups_scan中过多的 stat 调用。 -
保留
cgroup路径,并且仅保留 un-scape 实例名称。
-
修复
-
pmdaroot:改进了缓存或不活跃的 的cgroup行为的处理,并刷新了对cgroupfs 更改的容器indom。
-
收集器(服务器)工具修复:
-
pmproxy:通过/metrics 端点提供 Openmetrics支持,整合pmseries/grafanaREST API,并添加新的 asyncPMWEBAPI(3)REST API 实施。 -
SELinux:大量 pcp 策略更新. -
Python
pmdas:启用身份验证支持,使用新的set_comm_flags方法来设置通信标记。 -
Python api:导出pmdaGetContext()并添加调试打包程序。 -
Perl api:确保为 PMDA 存储设置的上下文与 python wrapper 一样。 -
systemd:在所有服务中添加 120s 超时,并修复启动pmlogger服务失败。
-
分析(客户端)工具修复:
-
pmchart:修复获取错误条件下的 Chart 自动扩展。 -
pmrep:修复了collectl-dm-sD和collectl-sD的wait.formula。 -
pmseries:提供对 delta 关键字和更好的时间戳的支持。 -
pcp-atop:修复写入模式(-w)以处理procvshotproc指标。 -
pcp-atopsar:修复几个命令行参数的错误处理。 -
pcp-dstat:在 CSV 输出中修复不匹配的标头,并处理--bits命令行选项。 -
libpcp:使用本地上下文修复cockpit-pcpsegv,针对损坏的归档修复多存档错误处理。
-
Grafana-pcp 现在包括在 RHEL 8.2 中
The grafana-pcp 软件包提供新的 grafana 数据源和应用程序插件,将 PCP 与 grafana 连接。使用 grafana-pcp 软件包,您可以分别使用 pmseries 查询语言和 pmwebapi 实时服务分析历史 PCP 指标和实时 PCP 指标。如需更多信息,请参阅 Performance Co-Pilot Grafana 插件。
(BZ#1685315)
更新了 GCC 工具集 9
GCC 工具集 9 是提供开发工具最新版本的编译器工具集。它以 AppStream 存储库中的 Software Collection 的形式作为 Application Stream 提供。
RHEL 8.2 的主要变化包括:
- GCC 编译器已更新至版本 9.2.1,它在上游 GCC 中提供了很多程序错误修复和增强。
GCC Toolset 9 组件现在在两个容器镜像中可用:
-
rhel8/gcc-toolset-9-toolchain,其中包括 GCC 编译器、GDB 调试器和make自动化工具。 rhel8/gcc-toolset-9-perftools,其中包括性能监控工具,如 SystemTap 和 Valgrind。要拉取容器镜像,以 root 身份运行以下命令:
# podman pull registry.redhat.io/<image_name>
-
GCC 工具集 9 提供以下工具和版本:
| 工具 | 版本 |
|---|---|
| GCC | 9.2.1 |
| GDB | 8.3 |
| Valgrind | 3.15.0 |
| SystemTap | 4.1 |
| Dyninst | 10.1.0 |
| binutils | 2.32 |
| elfutils | 0.176 |
| dwz | 0.12 |
| make | 4.2.1 |
| strace | 5.1 |
| ltrace | 0.7.91 |
| annobin | 9.08 |
要安装 GCC Toolset 9,以 root 用户身份运行以下命令:
# yum install gcc-toolset-9
要从 GCC Toolset 9 运行工具:
$ scl enable gcc-toolset-9 tool要运行 shell 会话,GCC Toolset 9 的工具版本优先于这些工具的系统版本:
$ scl enable gcc-toolset-9 bash
如需更多信息,请参阅使用 GCC Toolset。
GCC Toolset 9 现在支持 NVIDIA PTX 目标卸载
GCC Toolset 9 中的 GCC 编译器现在支持 NVIDIA PTX 的 OpenMP 目标卸载。
(BZ#1698607)
更新的 GCC 编译器现在可用于 RHEL 8.2
系统 GCC 编译器 8.3.1 版已更新,包括了上游 GCC 中提供的众多程序错误修复和增强。
GNU 编译器集合(GCC)提供了用于使用 C、C++ 和 Fortran 编程语言开发应用程序的工具。
有关使用信息,请参阅在 RHEL 8 中开发 C 和 C++ 应用程序。
(BZ#1747157)
用于更改 glibc中最大 fastbin 大小的新可调项
malloc 函数使用一系列将可重复使用的内存区块保留为特定大小的 fastbin。32 位系统中的默认块大小为 80 字节,64 位系统中的默认块大小为 160 字节。这个功能在 glibc 中引入了一个新的 glibc.malloc.mxfast 可调项,可让您 更改最大 fastbin 大小。
现在在 GCC Toolset 9 中为 GNU Fortran 启用向量化数学库
在这个版本中,GCC 工具集的 GNU Fortran 可以使用向量化数学库 libmvec 中的例程。在以前的版本中,GCC Toolset 中的 Fortran 编译器需要一个 Fortran 标头文件,然后才能使用 GNU C 库 glibc 提供的 libmvec 提供的例程。
glibc.malloc.tcache 可调项已被改进
glibc.malloc.tcache_count 可调项可用于设置可存储在每个线程缓存(tcache)的每个大小的最大内存区块数。在这个版本中,glibc.malloc.tcache_count 可调项的上限从 127 增加到 65535。
glibc 动态加载程序被改进,以提供非继承库预加载机制
在这个版本中,可以调用加载程序来加载使用 --preload 选项的用户程序,后跟用于预加载的以冒号分隔的库列表。此功能允许用户通过加载器直接调用其程序,并包含非继承库预加载列表。
在以前的版本中,用户必须使用 LD_PRELOAD 环境变量,该变量由所有子进程通过自己的环境继承。
GDB 现在支持 IBM Z 架构中的 ARCH(13)扩展
在这个版本中,GNU Debugger(GDB)支持 IBM Z 架构中的 ARCH(13)扩展实施的新指令。
elfutils rebase 到版本 0.178
The elfutils 软件包已升级到 0.178 版本,它提供多个程序错误修复和增强。主要变更包括:
-
elfclassify:分析 ELF 对象的新工具。 -
debuginfod:通过 HTTP 从文件和 RPM 存档中自动获取 ELF、DWARF 和源的新服务器、客户端工具和库。 -
libebl现在直接编译到libdw.so中。 -
eu-readelf具有多个注释、章节编号和符号表的新标志。 -
libdw改进了多线程支持。 -
libdw支持额外的 GNU DWARF 扩展。
SystemTap rebase 到版本 4.2
SystemTap 工具已更新至版本 4.2。主要改进包括:
- 回溯追踪现在可以包含源文件名和行号。
- 现在提供了许多 Berkeley Packet Filter(BPF)后端扩展,例如用于循环、计时和其他进程。
- 提供了用于管理 SystemTap 脚本的新服务。此服务将指标发送到与 Prometheus 兼容的监控系统。
-
SystemTap 继承了新的 HTTP 文件服务器 for
elfutils(名为debuginfod)的功能。此服务器会自动向 SystemTap 发送调试资源。
IBM Z 系列性能计数器的改进
IBM Z 系列类型 0x8561、0x8562 和 0x3907(z14 ZR1)机器现在可以被 libpfm 识别。现在提供了在 IBM Z 系列上监控 elliptic-curve 加密(ECC)操作的性能事件。这允许监控 IBM Z 系列机器上的其他子系统。
(BZ#1731019)
Rust Toolset rebase 到版本 1.41
Rust Toolset 已更新至 1.41 版本。主要变更包括:
- 现在更容易实施新的特征,因为孤立规则不太严格。
-
现在,您可以将
#[non_exustive]属性附加到一个结构、enum或enum变体。 -
在规范
功能接口(FFI)中使用 Box<T> 现在可以提供更多保障。box<T>拥有与 FFI 中的T*指针相同的 Application Binary Interface(ABI)。 - Trust 应该在编译时检测到内存安全错误,但之前的租借检查器存在限制,并允许未定义的行为和内存不安全。新的非编配生命周期(NLL)借机检查器可将内存不安全问题报告为困难错误。它现在适用于 Rust 2015 和 Rust 2018 版本。在以前的版本中,在 Rust 2015 中,NLL 租借检查器只引发有关此类问题的警告。
要安装 rust -toolset 模块,以 root 用户身份运行以下命令:
# yum module install rust-toolset
有关使用信息,请参阅使用 Rust Toolset。
(BZ#1776847)
LLVM Toolset rebase 到版本 9.0.1
LLVM Toolset 已升级至版本 9.0.1。在这个版本中,支持 asm goto 语句。此更改允许在 AMD64 和 Intel 64 构架中编译 Linux 内核。
要安装 llvm-toolset 模块,以 root 用户身份运行以下命令:
# yum module install llvm-toolset
如需更多信息,请参阅使用 LLVM Toolset。
(BZ#1747139)
Go Toolset rebase 到版本 1.13
Go Toolset 已升级到 1.13 版本。主要改进包括:
-
现在,当 RHEL 系统以 FIPS 模式引导时,Git 可使用 FIPS 认证的加密模块。用户可以使用
GOLANG_FIPS=1环境变量手动启用此模式。 -
Delve debugger 版本 1.3.2 现在可用于 Go。它是 Go(
golang)编程语言的源级调试器。
要安装 go-toolset 模块,以 root 用户身份运行以下命令:
# yum module install go-toolset
要安装 Delve 调试程序,以 root 用户身份运行以下命令:
# yum install delve
要使用 Delve 调试 helloworld.go 程序,请运行以下命令:
$ dlv debug helloworld.go
有关 Go Toolset 的详情,请参考使用 Go Toolset。
有关 Delve 的更多信息,请参见上游 Delve 文档。
(BZ#1747150)
OpenJDK 现在也支持 secp256k1
在以前的版本中,OpenJDK(OpenJDK)只能使用 NSS 库中的 curves。因此,对于椭圆曲线加密(ECC),OpenJDK 只提供了 secp256r1、secp384r1 和 secp521r1 curves。在这个版本中,OpenJDK 使用内部 ECC 实现,并支持 secp256k1 curve。
5.1.12. Identity Management
IdM 现在支持新的 Ansible 管理模块
此更新引入了几个 ansible-freeipa 模块,用于使用 Ansible playbook 自动完成通用身份管理(IdM)任务:
-
ipauser模块可自动添加和删除用户。 -
ipagroup模块自动向用户组和用户组添加和删除用户组。 -
ipahost模块自动添加和删除主机。 -
ipahostgroup模块自动向主机组和主机组添加和删除主机和主机组。 -
ipasudorule模块自动管理sudo命令和sudo规则。 -
ipapwpolicy模块会在 IdM 中自动配置密码策略。 -
ipahbacrule模块在 IdM 中自动管理基于主机的访问控制。
请注意,您可以将两个或多个 ipauser 调用组合一个与 users 变量,或者使用包含用户的 JSON 文件。类似地,您可以将两个或多个 ipahost 调用组合一个与 hosts 变量,或者使用包含主机的 JSON 文件。ipahost 模块还可确保主机存在或不存在多个 IPv4 和 IPv6 地址。
(JIRA:RHELPLAN-37713)
IdM Healthcheck 现在支持强制 DNS 记录
在这个版本中引进了对 Identity Management(IdM)服务器上的 DNS 记录的独立手动测试。
该测试使用 Healthcheck 工具,并使用 etc/resolv.conf 文件中的本地解析器执行 DNS 查询。测试可确保自动发现所需的预期 DNS 记录可以解析。
(JIRA:RHELPLAN-37777)
使用 SSSD 将 RHEL 直接集成到 AD 中现在支持 FIPS
在这个版本中,系统服务安全守护进程(SSSD)与 Active Directory(AD)部署集成,它们的身份验证机制使用由联邦信息处理标准(FIPS)批准的加密类型。这个增强可让您在必须满足 FIPS 条件的环境中直接将 RHEL 系统集成到 AD 中。
默认情况下,Samba 服务器和客户端实用程序中已禁用 SMB1 协议
在 Samba 4.11 中,服务器 min 协议和客户端 min 协议 参数的默认值已从 NT1 改为 SMB2_02,因为服务器消息块版本 1(SMB1)协议已弃用。如果您还没有在 /etc/samba/smb.conf 文件中设置这些参数:
- 仅支持 SMB1 的客户端不再能够连接到 Samba 服务器。
-
Samba 客户端实用程序(如
smbclient和libsmbclient库)无法连接到仅支持 SMB1 的服务器。
红帽建议不要使用 SMB1 协议。但是,如果您的环境需要 SMB1,您可以手动重新启用该协议。
要在 Samba 服务器中重新启用 SMB1:
-
在
/etc/samba/smb.conf文件中添加以下设置:
server min protocol = NT1
-
重启
smb服务:
# systemctl restart smb
要为 Samba 客户端实用程序和 libsmbclient 库重新启用 SMB1:
-
在
/etc/samba/smb.conf文件中添加以下设置:
client min protocol = NT1
-
重启
smb服务:
# systemctl restart smb
请注意,SMB1 协议将在以后的 Samba 发行版中删除。
Samba rebase 到版本 4.11.2
samba 软件包已升级到上游版本 4.11.2,它提供很多程序错误修复和增强。主要变更包括:
-
默认情况下,Samba 服务器、客户端实用程序和
libsmbclient库中现在禁用服务器消息块版本 1(SMB1)协议。但是,您仍然可以手动将服务器 min 协议和客户端 min 协议参数设置为NT1以重新启用 SMB1。红帽不建议重新启用 SMB1 协议。 -
The
lanman auth和encryptpassword 参数已弃用。这些参数启用不安全的身份验证,且仅在已弃用的 SMB1 协议中使用。 -
o
参数已从onode集群的简单数据库(CTDB)实用程序中删除。 - Samba 现在使用 GnuTLS 库进行加密。因此,如果启用了 RHEL 中的 FIPS 模式,Samba 符合 FIPS 标准。
-
现在,当使用超过 90% 的 CPU 线程时,c
tdbd服务会进行日志。 - 弃用的 Python 2 支持已被删除。
当 smbd、nmbd 或者 winbind 服务启动时,Samba 会自动更新它的 tdb 数据库文件。在启动 Samba 前备份数据库文件。请注意,红帽不支持降级 tdb 数据库文件。
有关显著变化的更多信息,请在更新前阅读上游发行注记: https://www.samba.org/samba/history/samba-4.11.0.html
目录服务器 rebase 到版本 1.4.2.4
389-ds-base 软件包已升级到上游版本 1.4.2.4,与之前的版本相比,它提供了一些程序错误修复和增强。如需显著变化的完整列表,请在更新前阅读归档的上游发行注记:
389 目录服务器发行注记存档包括以下版本的发行注记:* 389 Directory Server 1.4.2.4 * 389 Directory Server 1.4.2.3 * 389 Directory Server 1.4.2.2 * 389 Directory Server 1.4.2.1
目录服务器中替换了一些旧脚本
这个增强为不支持的 dbverify、validate-syntax.pl、cl-dump.pl、fixup-memberuid.pl 和 repl-monitor.pl 传统脚本提供了目录服务器中的替换。以下命令替换了这些脚本:
-
dbverify:dsctl instance_name dbverify -
validate-syntax.pl:dsconf schema validate-syntax -
CL-dump.pl:dsconf 复制 dump-changelog -
fixup-memberuid.pl:dsconf plugin posix-winsync fixup -
rEPL-monitor.pl:dsconf 复制监控器
有关所有旧脚本及其替换列表,请参阅 Red Hat Directory Server 11 中的命令行实用程序。
现在完全支持将 IdM 设置为隐藏的副本
RHEL 8.2 中的身份管理(IdM)完全支持将 IdM 服务器设置为隐藏的副本。隐藏的副本是一个 IdM 服务器,它具有所有运行的服务并可用。但是,它不会公告给其他客户端或主控机,因为 DNS 中不存在服务的 SRV 记录,并且未启用 LDAP 服务器角色。因此,客户端无法使用服务发现来检测隐藏的副本。
隐藏副本主要针对可能会破坏客户端的专用服务设计。例如,IdM 的完整备份需要关闭 master 或副本中的所有 IdM 服务。因为没有客户端使用隐藏的副本,管理员可以在不影响任何客户端的情况下暂时关闭这个主机上的服务。其他用例包括 IdM API 或 LDAP 服务器上的高负载操作,如大量导入或广泛查询。
若要安装新的隐藏副本,请使用 ipa-replica-install --hidden-replica 命令。要更改现有副本的状态,请使用 ipa server-state 命令。
Kerberos 票据策略现在支持验证指示符
身份验证指示符会根据用来获取票据的预身份验证机制附加到 Kerberos 票据中:
-
OTP 用于双因素身份验证(密码 + OTP) -
用于RADIUS 身份验证的 radius -
用于PKINIT、智能卡或证书身份验证的 PKINIT -
强化强化的密码(SPAKE 或 FAST)
Kerberos 分发中心(KDC)可以对基于身份验证指示器的服务票据请求实施策略,如服务访问控制、最长票据生命周期和最长可续订期限。
在这个版本中,管理员可以要求来自用户票据的特定身份验证指示器更精细地控制服务票据。
krb5 软件包现在与 FIPS 兼容
在这个版本中,禁止使用不合规的加密。因此,管理员可以在 FIPS 管理的环境中使用 Kerberos。
(BZ#1754690)
目录服务器根据系统范围的加密策略设置 sslVersionMin 参数
默认情况下,Directory 服务器现在根据系统范围的加密策略设置 sslVersionMin 参数的值。如果您在 /etc/crypto-policies/config 文件中将 crypto 策略配置集设置为:
-
DEFAULT、FUTURE 或FIPS目录服务器将sslVersionMin设置为TLS1.2 -
criACY, Directory Server 将sslVersionMin设置为TLS1.0
或者,您可以将 sslVersionMin 手动设置为比 crypto 策略中定义的值更高:
# dsconf -D "cn=Directory Manager" __ldap://server.example.com__ security set --tls-protocol-min TLS1.3
(BZ#1828727)
SSSD 现在默认强制使用 AD GPOs
SSSD 选项 ad_gpo_access_control 的默认设置现在是 enforcing。在 RHEL 8 中,SSSD 默认根据 Active Directory Group 策略对象(GPO)强制实施访问控制规则。
红帽建议确保在从 RHEL 7 升级到 RHEL 8 前,在 Active Directory 中正确配置 GPO。如果您不想强制执行 GPOs,请将 /etc/sssd/sssd.conf 文件中的 ad_gpo_access_control 选项的值改为 permissive。
(JIRA:RHELPLAN-51289)
5.1.13. Desktop
Wayland 现在在双GPU系统上启用
在以前的版本中,GNOME 环境默认为笔记本电脑和其他具有两个图形处理单元(GPU)的 X11 会话。在这个版本中,GNOME 默认为双GPU 系统上的 Wayland 会话,这与单GPU 系统上的行为相同。
(BZ#1749960)
5.1.14. 图形基础结构
支持新图形卡
现在支持以下图形卡:
- Intel HD Graphics 610、620 和 630,可在 Intel Comet Lake H 和 U 处理器中找到
Intel Ice Lake UHD Graphics 910 和 Iris Plus Graphics 930、940 和 950。
您不再需要设置
alpha_support内核选项来启用对 Intel Ice Lake 图形的支持。AMD Navi 10 系列,其包括以下型号:
- Radeon RX 5600
- Radeon RX 5600 XT
- Radeon RX 5700
- Radeon RX 5700 XT
- Radeon Pro W5700
Nvidia Turing TU116 系列,包括以下模型:
请注意,
nouveau 图形驱动程序尚不支持使用 Nvidia Turing TU116 系列的 3D 加速。- GeForce GTX 1650 Super
- GeForce GTX 1660
- GeForce GTX 1660 Super
- GeForce GTX 1660 Ti
- GeForce GTX 1660 Ti Max-Q
另外,以下图形驱动程序已被更新:
-
Matrox
mgag2000驱动程序 -
A fast
ast驱动程序 -
Intel
i915驱动程序
(JIRA:RHELPLAN-41384)
5.1.15. Web 控制台
管理员现在可以使用客户端证书在 RHEL 8 web 控制台中进行身份验证
有了这个 web 控制台增强,系统管理员可以使用客户端证书本地访问 RHEL 8 系统,或使用带有内置证书身份验证的浏览器远程访问 RHEL 8 系统。不需要额外的客户端软件。这些证书通常由智能卡或 Yubikey 提供,也可以导入到浏览器中。
使用证书登录时,用户目前无法在 Web 控制台中执行管理操作。但是,用户可以在使用密码进行身份验证后通过 sudo 命令在 Terminal 页面上执行它们。
(JIRA:RHELPLAN-2507)
使用 TLS 客户端证书登录到 web 控制台的选项
在这个版本中,可以配置 Web 控制台,以使用浏览器或智能卡或 YubiKey 等设备提供的 TLS 客户端证书登录。
更改 Web 控制台登录
RHEL web 控制台已更新了以下更改:
-
在 15 分钟不活动后,Web 控制台将自动从当前会话注销。您可以在
/etc/cockpit/cockpit.conf文件中几分钟内配置超时。 -
与 SSH 类似,Web 控制台现在可以选择性地显示登录屏幕上横幅文件的内容。用户需要在
/etc/cockpit/cockpit.conf文件中配置功能。
如需更多信息,请参阅 cockpit.conf(5) 手册页。
RHEL web 控制台已被重新设计为使用 PatternFly 4 用户界面设计系统
新的设计提供了更好的可访问性,与 OpenShift 4 的设计相匹配。更新包括:
- Overview 页面已被完全重新设计。例如,信息被分组为更容易理解的面板,健康信息更突出,资源图已移至自己的页面,现在硬件信息页面更容易找到。
- 用户可以使用导航菜单中的新搜索字段轻松查找基于关键字的特定页面。
有关 PatternFly 的更多信息,请参阅 PatternFly 项目页面。
Virtual Machines 页面更新
Web 控制台的 Virtual Machines 页面有几个存储改进:
- 存储卷创建现在可以适用于所有 libvirt 支持的类型。
- 可以在 LVM 或 iSCSI 上创建存储池。
另外,Virtual Machines 页面现在支持创建和删除虚拟网络接口。
Web 控制台 存储 页面更新
可用性测试表明 RHEL Web 控制台 存储 页面 中的默认挂载点 概念难以获取,并导致很多混淆。在这个版本中,在挂载文件系统时,Web 控制台不再提供默认选择。现在,创建新文件系统总是需要指定挂载点。
此外,Web 控制台现在隐藏了配置(/etc/fstab)和运行时状态(/proc/mounts)之间的区别。Web 控制台中所做的更改始终同时应用到配置和运行时状态。当配置和运行时状态相互不同时,Web 控制台会显示警告信息,并允许用户轻松将其重新同步。
5.1.16. 虚拟化
现在,尝试从安装树创建 RHEL 虚拟机会返回更有用的错误消息。
使用 virt-install 实用程序和 --location 选项创建的 RHEL 7 和 RHEL 8 虚拟机在某些情况下无法引导。这个更新添加了 virt-install 错误消息,它提供了有关如何临时解决这个问题的说明。
(BZ#1677019)
KVM 客户机上支持 Intel Xeon Platinum 9200 系列处理器
现在,在 KVM 管理程序和内核代码以及 libvirt API 中增加了对 Intel Xeon Platinum 9200 系列处理器(以前称为 Cascade Lake)的支持。这使得 KVM 虚拟机能够使用 Intel Xeon Platinum 9200 系列处理器。
(JIRA:RHELPLAN-13995)
EDK2 被 rebase 到版本 stable201908
EDK2 软件包已升级至 stable201908 版本,提供多个改进。值得注意的是:
- EDK2 现在包括对 OpenSSL-1.1.1 的支持。
-
为了满足上游项目的许可要求,EDK 2 软件包许可证已从
BSD 和 OpenSSL 和 MIT 改为 BSD-2-Clause-Patent 和 OpenSSL 和 MIT。
创建嵌套虚拟机
在这个版本中,在带有 RHEL 8 的 Intel 64 主机上运行的 KVM 虚拟机(VM)完全支持嵌套虚拟化。使用此功能,在物理 RHEL 8 主机上运行的 RHEL 7 或 RHEL 8 虚拟机可作为虚拟机监控程序,并托管自己的虚拟机。
请注意,在 AMD64 系统中,嵌套的 KVM 虚拟化仍然是技术预览。
(JIRA:RHELPLAN-14047、JIRA:RHELPLAN-24437)
5.1.17. 容器
/etc/containers/registries.conf 中的默认 registry 搜索列表已被更新
/etc/containers/registries.conf 中的默认 registries.search 列表已更新,仅包含受信任的 registry,这些 registry 提供由红帽及其合作伙伴设置的容器镜像。
红帽建议您始终使用完全限定的镜像名称,包括:
- 注册表服务器(完整 DNS 名称)
- 命名空间
- 镜像名称
-
tag(如
registry.redhat.io/ubi8/ubu:latest)
在使用短名称时,例如欺骗风险始终存在,用户希望从注册表中提取名为 foobar 的镜像,并且希望它来自 myregistry.com。如果 myregistry.com 先不在搜索列表中,攻击者可以在搜索列表中的 registry 放置不同的 foobar 镜像。用户会意外拉取并运行攻击者镜像和代码,而不是预期的内容。红帽建议您只添加受信任的 registry,即不允许未知或匿名用户创建带有任意名称的帐户的 registry。这可以防止镜像被欺骗、排序或者变得不安全。
Podman 不再依赖于 oci-systemd-hook
Podman 不需要或依赖 oci-systemd-hook 软件包,该软件包已从 container-tools:rhel8 和 container-tools:2.0 模块流中删除了。
(BZ#1645280)
