8.8. 内核

kdump 无法在 RHEL 9 内核中启动

RHEL 9 内核没有默认配置的 crashkernel=auto 参数。因此,kdump 服务默认无法启动。

要临时解决这个问题,请将 crashkernel= 选项配置为所需的值。

例如,要使用 grubby 工具保留 256 MB 内存,请输入以下命令:

# grubby --args crashkernel=256M --update-kernel ALL

因此,RHEL 9 内核会启动 kdump,并使用配置的内存大小值转储 vmcore 文件。

(BZ#1894783)

kdump 机制无法捕获 LUKS 加密目标中的 vmcore

当在使用 Linux Unified Key Setup(LUKS)加密分区的系统中运行 kdump 时,系统需要特定的可用内存。当可用内存小于所需内存量时,systemd-cryptsetup 服务将无法挂载分区。因此,第二个内核无法捕获 LUKS 加密目标上的崩溃转储文件(vmcore)。

使用 kdumpctl estimate 命令,您可以查询 推荐的 crashkernel 值,这是推荐的 kdump 所需的内存大小。

要临时解决这个问题,请按照以下步骤为 LUKS 加密目标上的 kdump 配置所需的内存:

  1. 输出估计的 crashkernel 值:

    # kdumpctl estimate
  2. 通过增大 crashkernel 值来配置所需的内存量:

    # grubby --args=crashkernel=652M --update-kernel=ALL
  3. 重启系统以使更改生效。

    # reboot

因此,kdump 在带有 LUKS 加密分区的系统上可以正常工作。

(BZ#2017401)

在引导时分配崩溃内核内存会失败

在某些 Ampere Altra 系统上,在可用内存低于 1 GB 时,在引导过程中,为 kdump 使用分配崩溃内核内存会失败。因此,kdumpctl 命令无法启动 kdump 服务,因为所需内存大于可用内存。

作为临时解决方案,将 crashkernel 参数的值减少至少 240 MB 以满足大小要求,例如 crashkernel=240M。因此,kdump 的崩溃内核内存分配不会在 Ampere Altra 系统上失败。

(BZ#2065013)

KTLS 不支持将 TLS 1.3 卸载到 NIC

内核传输层安全(kTLS)不支持将 TLS 1.3 卸载到 NIC。因此,即使 NIC 支持 TLS 卸载,软件加密也会与 TLS 1.3 一起使用。要临时解决这个问题,如果需要卸载,禁用 TLS 1.3。因此,您只能卸载 TLS 1.2。当使用 TLS 1.3 时,性能较低,因为无法卸载 TLS 1.3。

(BZ#2000616)

启用安全引导的 FADump 可能会导致 GRUB 内存不足(OOM)

在安全引导环境中,GRUB 和 PowerVM 一起分配一个 512 MB 内存区域,称为 Real Mode Area (RMA),用于引导内存。区域在引导组件之间划分,如果任何一个组件超过其分配,则会发生内存不足故障。

通常,默认安装的 initramfs 文件系统和 vmlinux 符号表在限制内,以避免出现这样的故障。但是,如果在系统中启用了固件辅助转储(FADump),则默认的 initramfs 大小可以增加并超过 95 MB。因此,每个系统重启都会导致 GRUB OOM 状态。

要避免这个问题,请不要将安全引导和 FADump 一起使用。有关如何临时解决这个问题的更多信息和方法,请参阅链接:https://www.ibm.com/support/pages/node/6846531。

(BZ#2149172)

安全引导中的系统无法运行动态 LPAR 操作

如果满足这些条件中的任何一,则用户无法从硬件管理控制台(HMC)运行动态逻辑分区(DLPAR)操作:

  • 启用安全引导功能,隐式在完整性模式下启用内核 lockdown 机制。
  • 内核 lockdown 机制在完整性或机密模式下被手动启用。

在 RHEL 9 中,内核 lockdown 会完全阻止 Run Time Abstraction 服务(RTAS)访问可通过 /dev/mem 字符设备文件访问的系统内存。多个 RTAS 调用需要对 /dev/mem 有写访问才能正常工作。因此,RTAS 调用无法正确执行,用户会看到以下错误消息:

HSCL2957 Either there is currently no RMC connection between the management console and the partition <LPAR name> or the partition does not support dynamic partitioning operations. Verify the network setup on the management console and the partition and ensure that any firewall authentication between the management console and the partition has occurred. Run the management console diagrmc command to identify problems that might be causing no RMC connection.

(BZ#2083106)