Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
7.1 發行公告
Red Hat Enterprise Linux 7
Red Hat Enterprise Linux 7 發行公告
摘要
發行公告記載了實作於 Red Hat Enterprise Linux 7.1 中的主要功能與改善,以及此 7.1 發行版中的已知問題。欲取得更多 Red Hat Enterprise Linux 6 和 7 之間變更上的詳細資訊,請參閱《遷移規劃指南》。
通知
Red Hat Global Services 特別感謝 Sterling Alexander 和 Michael Everette 貢獻良多,協助測試 Red Hat Enterprise Linux 7。
序言
Red Hat Enterprise Linux (以下簡稱 RHEL)小幅更新版集合了各種增強功能、安全性更新、以及錯誤修正勘誤檔。《Red Hat Enterprise Linux 7.1 發行公告》記載了 Red Hat Enterprise Linux 7 的主要更新、特性、以及增強功能,及其小幅更新版所伴隨的應用程式。除此之外,《Red Hat Enterprise Linux 7.1 發行公告》也記載了 Red Hat Enterprise Linux 7.1 裡的已知問題。
重要
線上的《Red Hat Enterprise Linux 7.1 發行公告》是最權威、最新的版本。對此發行版有疑問的客戶請參閱與其 RHEL 版本相對應的線上《發行公告》。
注意
關於已知問題,請參閱《Red Hat Enterprise Linux 7.1 發行公告》的英文版。
如欲取得 Red Hat Enterprise Linux 生命週期上的相關資訊,請參閱 https://access.redhat.com/support/policy/updates/errata/。
部 I. 新功能
這部分詳述了 Red Hat Enterprise Linux 7.1 中所包含的新功能及重大增強功能。
章 1. 架構
Red Hat Enterprise Linux 7.1 作為獨立套件包含在以下架構中:[1]
在此發行版中,Red Hat 匯集了伺服器、系統以及 Red Hat 開源式整體使用上的改善。
1.1. Red Hat Enterprise Linux for POWER, Little Endian
Red Hat Enterprise Linux 7.1 為使用了 IBM POWER8 處理器的 IBM Power Systems 伺服器帶來了 little endian 上的支援。先前在 Red Hat Enterprise Linux 7 中,IBM Power Systems 僅被提供了 big endian 的支援。在基於 POWER8 的伺服器上支援 little endian 目的是為了改善 64 位元 Intel 相容系統(
x86_64)和 IBM Power Systems 之間的應用程式可攜性。
- 您將會被提供獨立的安裝媒介,在 IBM Power Systems 伺服器上以 little endian 模式安裝 Red Hat Enterprise Linux。這些媒介能藉由 Red Hat 客戶入口網站的「下載」部分取得。
- Red Hat Enterprise Linux for POWER, little endian 僅支援基於 IBM POWER8 處理器的伺服器。
- 目前 Red Hat Enterprise Linux for POWER, little endian 僅被支援用來作為 Red Hat Enteprise Virtualization for Power 下的 KVM 客座。目前並不支援在裸機硬體上進行安裝。
- little endian 與 big endian 型別的 Red Hat Enterprise Linux for POWER 皆可使用 IBM Power Systems 的所有軟體套件。
- 為 Red Hat Enterprise Linux for POWER, little endian 所建立的套件使用了
ppc64le架構的程式碼 - 比方說 gcc-4.8.3-9.ael7b.ppc64le.rpm。
[1]
請注意,Red Hat Enterprise Linux 7.1 僅支援安裝在 64 位元的硬體上。Red Hat Enterprise Linux 7.1 能以虛擬機器的方式執行 32 位元的作業系統,包括先前版本的 Red Hat Enterprise Linux。
[2]
Red Hat Enterprise Linux 7.1(little endian)目前僅支援作為在 Red Hat Enteprise Virtualization for Power 和 PowerVM hypervisor 下的 KVM 客座。
[3]
請注意 Red Hat Enterprise Linux 7.1 支援 IBM zEnterprise 196 或是更新的硬體;IBM System z10 大型主機系統已不再受到支援,並且將無法啟動 Red Hat Enterprise Linux 7.1。
章 2. Hardware Enablement
2.1. Intel Broadwell Processor and Graphics Support
Red Hat Enterprise Linux 7.1 adds support for all current 5th generation Intel processors (code name Broadwell). Support includes the CPUs themselves, integrated graphics in both 2D and 3D mode, and audio support (Broadwell High Definition Legacy Audio, HDMI Audio and DisplayPort Audio).
The turbostat tool (part of the kernel-tools package) has also been updated with support for the new processors.
2.2. Support for TCO Watchdog and I2C (SMBUS) on Intel Communications Chipset 89xx Series
Red Hat Enterprise Linux 7.1 adds support for TCO Watchdog and I2C (SMBUS) on the 89xx series Intel Communications Chipset (formerly Coleto Creek).
2.3. Intel Processor Microcode Update
CPU microcode for Intel processors in the microcode_ctl package has been updated from version
0x17 to version 0x1c in Red Hat Enterprise Linux 7.1.
章 3. 安裝和開機
3.1. 安裝程式
Red Hat Enterprise Linux 安裝程式 Anaconda 已增強,以便改善 Red Hat Enterprise Linux 7 的安裝程序。
介面
- 圖形安裝程式介面現在包含了一個額外畫面,此畫面能配置進行安裝程序時的 Kdump kernel 當機傾印機制。先前這是在安裝完成後透過使用 firstboot 工具程式來進行配置的,然而在沒有圖形介面的情況下將無法存取這項工具程式。現在,您可在一部沒有圖形環境的系統上,在進行安裝程序時配置 Kdump。新的畫面能透過主要的安裝程式選單(安裝概要)來存取。
圖形 3.1. 新的 Kdump 畫面
- 手動磁碟分割的畫面已重新設計,根據使用者經驗進行了改善。部分控制已被移至畫面上不同的位置。
圖形 3.2. 重新設計的手動磁碟分割畫面
- 您現在已可在安裝程式的「網路 & 主機名稱」畫面中配置網路橋接。若要這麼做,請點選介面卡清單下方的「+」按鈕,從選單中選擇「橋接」,並在之後出現的「編輯橋接連線」對話方塊中配置橋接。這個對話方塊是由 NetworkManager 所提供的,並且完整記載於《Red Hat Enterprise Linux 7.1 網路指南》中。橋接配置上也新增了幾項 Kickstart 選項。詳情請查看以下部分。
- 安裝程式已不再使用多重主控台來顯示日誌。現在所有日誌皆位於 tmux 面板的虛擬主控台 1(
tty1)之中。若要在進行安裝程序時存取日誌,請按下 Ctrl+Alt+F1 來切換至 tmux,然後使用 Ctrl+b X 來在不同視窗之間進行切換(將 X 替換為顯示在畫面下方的特定視窗編號)。若要切換回圖形介面,請按下 Ctrl+Alt+F6。 - Anaconda 的指令列介面現在已包含了完整的說明。若要檢視它,請在一部安裝了 anaconda 套件的系統上使用
anaconda -h指令。指令列介面能讓您在一部已完成安裝的系統上執行安裝程式,這對於磁碟映像安裝非常有幫助。
Kickstart 指令和選項
logvol指令包含了新選項:--profile=。請使用這項選項來指定精簡邏輯卷冊的配置設定檔案名稱。若使用了這項指令,該名稱也會被包含在邏輯卷冊的 metadata 中。就預設值,可用的設定檔案為default和thin-performance,並且定義於/etc/lvm/profile目錄中。欲取得額外資訊,請參閱lvm(8)man page。- The behavior of the
--size=and--percent=options of thelogvolcommand has changed. Previously, the--percent=option was used together with--growand--size=to specify how much a logical volume should expand after all statically-sized volumes have been created.Starting with Red Hat Enterprise Linux 7.1,--size=and--percent=can not be used on the samelogvolcommand. autostepKickstart 指令的--autoscreenshot選項已修正,並且現在已能正確將各個畫面的截圖(當退出該畫面時)儲存到/tmp/anaconda-screenshots目錄中。在安裝程序完成後,這些截圖將會被移入/root/anaconda-screenshots中。liveimg指令現在已支援從 tar 檔案和磁碟映像檔進行安裝。tar 壓縮檔案必須包含安裝媒介的 root 檔案系統,並且檔案名稱必須以.tar、.tbz、.tgz、.txz、.tar.bz2、.tar.gz,或是.tar.xz作為結尾。network指令已加入了幾項新選項,以配置網路橋接。這些選項有:--bridgeslaves=:當使用了此選項時,使用--device=選項指定了裝置名稱的網路橋接將會被建立,並且定義於--bridgeslaves=選項中的裝置將會被新增至橋接上。例如:network --device=bridge0 --bridgeslaves=em1--bridgeopts=:這是個選用性、以逗號區隔開的一列橋接介面卡參數。可用的值有stp、priority、forward-delay、hello-time、max-age以及ageing-time。欲取得更多有關於這些參數的相關資訊,請參閱nm-settings(5)man page。
autopart指令包含了一個新選項--fstype。此選項能讓您在 Kickstart 檔案中使用自動磁碟分割時,更改預設的檔案系統類型(xfs)。- Several new features were added to Kickstart for better container support. These features include:
repo --install:這項新選項會將軟體庫配置儲存在已安裝系統上的/etc/yum.repos.d/目錄中。若沒使用此選項,配置在 Kickstart 檔案中的軟體庫將僅能在進行安裝程序時使用,而無法在已安裝的系統上使用。bootloader --disabled:此選項能避免安裝開機載入程式。%packages --nocore:Kickstart 檔案的%packages部分的新選項,它能防止系統安裝@core套件群組。這能讓您進行極小型的安裝搭配 container 使用。
Please note that the described options are only useful when combined with containers, and using the options in a general-purpose installation could result in an unusable system.
Entropy Gathering for LUKS Encryption
- If you choose to encrypt one or more partitions or logical volumes during the installation (either during an interactive installation or in a Kickstart file), Anaconda will attempt to gather 256 bits of entropy (random data) to ensure the encryption is secure. The installation will continue after 256 bits of entropy are gathered or after 10 minutes. The attempt to gather entropy happens at the beginning of the actual installation phase when encrypted partitions or volumes are being created. A dialog window will open in the graphical interface, showing progress and remaining time.The entropy gathering process can not be skipped or disabled. However, there are several ways to speed the process up:
- If you can access the system during the installation, you can supply additional entropy by pressing random keys on the keyboard and moving the mouse.
- If the system being installed is a virtual machine, you can attach a virtio-rng device (a virtual random number generator) as described in the Red Hat Enterprise Linux 7.1 Virtualization Deployment and Administration Guide.
圖形 3.3. Gathering Entropy for Encryption
圖形安裝程式中的內建說明
圖形 3.4. Anaconda built-in help
3.2. 開機載入程式
IBM Power Systems 的安裝媒介現在使用了 GRUB2 開機載入程式來取代先前提供的 yaboot。對於 Red Hat Enterprise Linux for POWER 的 big endian 型類來說,使用 GRUB2 會較佳,然而您亦可使用 yaboot。新供應的 little endian 型類需要使用 GRUB2 來開機。
《安裝指南》已更新並提供了為使用 GRUB2 的 IBM Power Systems 設定網路開機伺服器的指示。
章 4. 儲存裝置
LVM 快取
As of Red Hat Enterprise Linux 7.1, LVM cache is fully supported. This feature allows users to create logical volumes with a small fast device performing as a cache to larger slower devices. Please refer to the
lvm(7) manual page for information on creating cache logical volumes.
請注意,使用邏輯卷冊(LV,logical colume)有以下限制:
- 快取 LV 必須是最高層的裝置,不能用於精簡集區(thin-pool)的 LV、RAID LV 的映像檔、或任何其它子 LV 的類型。
- The cache LV sub-LVs (the origin LV, metadata LV, and data LV) can only be of linear, stripe, or RAID type.
- 快取 LV 在建立之後,就不能變更屬性。要改變快取的屬性,請移除快取後,以您想要的屬性再次建立快取。
透過 libStorageMgmt API 來進行儲存裝置陣列管理
Red Hat Enterprise Linux 7.1 包括
libStorageMgmt(儲存陣列的獨立 API),完整支援儲存陣列管理。所提供的 API 非常穩定、恆定,能讓設計師用程式管理不同的儲存陣列,並善用所提供的硬體加速功能。系統管理者也可以使用 libStorageMgmt 的命令列介面,來手動配置儲存裝置、自動配置儲存管理任務。請注意 Targetd 外掛程式並不完全受到支援,依然是技術預覽版。
- NetApp Filer(ontap 7-Mode)
- Nexenta(僅 nstor 3.1.x)
- SMI-S,給以下廠商的產品使用:
- HP 3PAR
- OS 3.2.1 以上
- EMC VMAX 與 VNX
- Solutions Enabler V7.6.2.48 以上
- SMI-S Provider V4.6.2.18 hotfix kit 以上
- HDS VSP Array non-embedded provider
- Hitachi Command Suite v8.0 以上
欲知更多
libStorageMgmt 的資訊,請參閱《儲存管理指南・外部儲存管理》一章。
支援 LSI Syncro
Red Hat Enterprise Linux 7.1 在
megaraid_sas 驅動程式中包含了程式碼,以啟用 LSI Syncro CS high-availability direct-attached storage(HA-DAS)控制卡。儘管先前所啟用的控制卡已完整支援 megaraid_sas 驅動程式,然而使用此驅動程式搭配 Syncro CS 乃技術預覽。此控制卡的支援將直接由 LSI、您的系統整合者,或是系統廠商來提供。建議在 Red Hat Enterprise Linux 7.1 上建置 Syncro CS 的使用者提供回饋意見給 Red Hat 和 LSI。欲取得更多有關於 LSI Syncro CS 解決方案上的相關資訊,請參閱 http://www.lsi.com/products/shared-das/pages/default.aspx。
LVM 應用程式開發介面
Red Hat Enterprise Linux 7.1 包含了新的 LVM 應用程式開發介面(API)作為技術預覽。此 API 可被使用來查詢和控制 LVM 的特定機能。
詳情請參閱
lvm2app.h 標頭檔。
DIF/DIX 支援
DIF/DIX 乃一項新的 SCSI 標準項目,以及 Red Hat Enterprise Linux 7.1 中的技術預覽。DIF/DIX 將常用的 512 位元組磁碟區塊由 512 增加到了 520 位元組,並新增了資料完整性欄位(Data Integrity Field,DIF)。DIF 會在寫入情況發生時,儲存一個由 Host Bus Adapter(HBA)所計算的資料區塊 checksum 值。儲存裝置接著便會在接收時確認 checksum,並同時儲存資料和 checksum。相反地,當讀取情況發生時,儲存裝置和接收方的 HBA 皆可檢查該 checksum。
For more information, refer to the section Block Devices with DIF/DIX Enabled in the Storage Administration Guide.
增強 DM-Multipath 的語法錯誤檢查與輸出
device-mapper-multipath 工具已經增強,可更有效驗證 multipath.conf 檔案。因此,如果 multipath.conf 包含了任何無法剖析的段落,device-mapper-multipath 會回報錯誤,並忽略這些段落避免誤判。
除此之外,以下萬用字元的表示方法已經加入
multipathd show paths format 指令:
- %N 與 %n 分別表示主機與目標的 Fibre Channel World Wide Node 名稱。
- %R 與 %r 分別表示主機與目標的 Fibre Channel World Wide Port 名稱。
現在使用者可以更輕易地將 multipath 與特定的主機、目標及其連接埠建立關連,這讓使用者能更有效地管理儲存配置。
章 5. 檔案系統
支援 Btrfs 檔案系統
Red Hat Enterprise Linux 7.1 目前以技術預覽版的方式,支援
Btrfs(B-Tree)檔案系統。這檔案系統提供了更先進的管理功能、可靠度、以及可擴充性。Btrfs 能讓使用者建立 snapshot、啟用壓縮與裝置整合管理功能。
OverlayFS
The
OverlayFS file system service allows the user to "overlay" one file system on top of another. Changes are recorded in the upper fil esystem, while the lower file system becomes read-only. This can be useful because it allows multiple users to share a file system image, for example containers, or when the base image is on read-only media, for example a DVD-ROM.
On Red Hat Enterprise Linux 7.1, OverlayFS is supported as a Technology Preview. There are currently two restrictions:
- It is recommended to use
ext4as the lower file system; the use ofxfsandgfs2file systems is not supported. - SELinux is not supported, and to use OverlayFS, it is required to disable enforcing mode.
平行 NFS 支援
pNFS(平行 NFS,Parallel NFS)乃 NFS v4.1 標準的一部分,能讓用戶端以直接、平行的方式存取儲存裝置。pNFS 架構能針對數個常見的工作負載,改善 NFS 伺服器的延展性與效能。
pNFS defines three different storage protocols or layouts: files, objects, and blocks. The client supports the files layout, and with Red Hat Enterprise Linux 7.1, the blocks and object layouts are fully supported.
Red Hat 會持續與協力廠商與開放原始碼社群合作,在將來提供新的 pNFS 格式、以及對新格式的完整支援。
欲知 pNFS 的更多資訊,請參閱 http://www.pnfs.com/。
章 6. Kernel
Ceph 區塊裝置支援
libceph.ko 和 rbd.ko 模組已新增至 Red Hat Enterprise Linux 7.1 的 kernel 中。這些 RBD kernel 模組能讓 Linux 主機將 Ceph 區塊裝置視為一個一般磁碟裝置項目,並能掛載至一個目錄而格式化為標準的檔案系統,例如 XFS or ext4。
請注意,CephFS 模組
ceph.ko 目前在 Red Hat Enterprise Linux 7.1 中尚未受到支援。
同時的 Flash MCL 更新
IBM System z 架構上的 Red Hat Enterprise Linux 7.1 中已啟用微程式碼等級升級(MCL)。這些升級能在不影響 I/O 作業的情況下套用至快閃儲存媒介上,並通知使用者更改的快閃硬體服務等級。
動態式 kernel 修補
Red Hat Enterprise Linux 7.1 新增了 kpatch,這是個作為技術預覽的動態式「kernel 修補工具程式」。kpatch 工具程式能讓使用者管理一組二進位 kernel 修補檔案,它們能被用來在不重新開機的情況下動態式修補 kernel。請注意,kpatch 僅支援在 AMD64 和 Intel 64 架構上執行。
以超過 1 個 CPU 來啟動 Crashkernel
Red Hat Enterprise Linux 7.1 能允許以超過一個 CPU 來啟動 crashkernel。這項功能屬於技術預覽。
dm-era 目標
Red Hat Enterprise Linux 7.1 新增了 dm-era device-mapper 目標作為技術預覽。dm-era 會追蹤在使用者定義的時間週期(稱為「era」)內,被寫入的區塊有哪些。各個 era 目標事例皆會將目前的 era 作為依序遞增的 32 位元計數單位來維護。此目標能讓備份軟體追蹤哪些區塊在上次備份之後遭到變更。它亦能針對快取內容進行部分的無效判定,以在復原回廠商 snapshot 之後保有快取的一致性。dm-era 目標主要預期與 dm-cache 目標配對。
Cisco VIC kernel 驅動程式
Cisco VIC Infiniband kernel 驅動程式已新增至 Red Hat Enterprise Linux 7.1 作為技術預覽。這個驅動程式能讓您在私營的 Cisco 架構上使用類似 Remote Directory Memory Access(RDMA)的語意。
增強了 hwrng 中的 Entropy 管理
在 Red Hat Enterprise Linux 7.1 中透過 virtio-rng 來為 Linux 客座提供半虛擬化硬體 RNG(hwrng)的支援已增強。先前,您需要在客座中啟用
rngd daemon 並將其指向客座 kernel 的 entropy 集池。從 Red Hat Enterprise Linux 7.1 開始,這項手動步驟已被移除。若客座的 entropy 低於一個特定等級,有個新的 khwrngd 執行緒將會從 virtio-rng 裝置取得 entropy。讓這項程序透明化能協助所有 Red Hat Enterprise Linux 客座有效利用 KVM 主機所提供、經改善的半虛擬化硬體 RNG 的安全性增強功能。
排程器負載平衡效能改善
之前,排程程式的負載平衡碼會為所有閒置的 CPU 取得平衡。在 Red Hat Enterprise Linux 7.1 中,閒置 CPU 的閒置負載平衡只會在 CPU 排到負載平衡時進行。新的行為會降低非閒置 CPU 的負載平衡率,藉此改進效能。
改善了排程器中的 newidle 平衡
排程器的特性已經過修改以在有可執行的任務時,停止在
newidle 平衡碼中搜尋任務,這能帶來較佳的效能。
HugeTLB 支援個別節點的 1GB Huge Page 分配
Red Hat Enterprise Linux 7.1 已加入了在 runtime 分配巨型分頁上的支援,這能讓 1GB
hugetlbfs 的使用者指定在 runtime 時,這個 1GB 應分配給哪個非統一記憶體存取(Non-Uniform Memory Access,NUMA)節點。
新增了基於 MCS 的鎖定機制
Red Hat Enterprise Linux 7.1 包含了一個新的鎖定機制;MCS 鎖定。這項新的鎖定機制大幅減少了大型系統中的
spinlock 額外負荷,這使得 spinlocks 整體上在 Red Hat Enterprise Linux 7.1 中的效率更高。
程序堆疊大小已由 8KB 增加至 16KB
從 Red Hat Enterprise Linux 7.1 開始,kernel 程序堆疊大小已由 8KB 增加至 16KB,以協助使用堆疊空間的大型處理器。
uprobe 和 uretprobe 功能已啟用於 perf 和 systemtap 中
當使用 Red Hat Enterprise Linux 7.1 時,
uprobe 和 uretprobe 功能現在已能與 perf 指令和 systemtap script 搭配使用。
端對端的資料一致性檢查
Red Hat Enterprise Linux 7.1 中完整支援在 IBM System z 上的端對端資料一致性檢查。這提升了資料完整性並更有效預防資料損毀和遺失。
在 32 位元系統上的 DRBG
當使用 Red Hat Enterprise Linux 7.1 時,決定性隨機位元產生器(deterministic random bit generator,DRBG)已被更新以在 32 位元的系統上運作。
大型 Crashkernel 的支援
The Kdump kernel crash dumping mechanism on systems with large memory, that is up to the Red Hat Enterprise Linux 7.1 maximum memory supported limit of 6TB, has become fully supported in Red Hat Enterprise Linux 7.1.
章 7. 虛擬化
增加 KVM 中的最大 vCPU 數量
KVM 客座端所支援的虛擬 CPU(vCPU)之最大數量已增加為 240。這項變更增加了使用者可以指定給客座端使用的虛擬處理器數量,並以此增進效能。
QEMU、KVM 與 libvirt API 支援第五代 Intel 核心指令集
Red Hat Enterprise Linux 7.1 中,對第五代 Intel Core 處理器的支援已經加入 QEMU hypervisor、KVM kernel 原始碼、以及
libvirt API。這能讓 KVM 客座端使用以下指令與特性:ADCX、ADOX、RDSFEED、PREFETCHW 以及 SMAP(supervisor mode access prevention)。
KVM 客座端的 USB 3.0 支援
Red Hat Enterprise Linux 7.1 藉由新增了 USB 3.0 host adapter(xHCI)模擬作為技術預覽,以包含改善的 USB 支援。
dump-guest-memory 指令的壓縮功能
Red Hat Enterprise Linux 7.1 中,
dump-guest-memory 指令支援當機傾印時的壓縮功能。當機傾印時,這可以讓無法使用 virsh dump 指令的使用者所需之磁碟空間更小。除此之外,常常儲存壓縮過的客座端傾印檔,會比儲存未壓縮傾印檔的時間更快。
開放式虛擬機器的韌體
在 Red Hat Enterprise Linux 7.1 中,有開放式虛擬機器的韌體(OVMF,Open Virtual Machine Firmware)的技術預覽版。OVMF 是 AMD64 與 Intel 64 客座端的 UEFI 安全啟動環境。
Hyper-V 的網路效能更為精進
Hyper-V 網路驅動程式的幾項新特性可改善網路效能。例如 Receive-Side Scaling、Large Send Offload、Scatter/Gather I/O 都已受到支援,且網路吞吐量也已經增加。
hyperv-daemons 中的 hypervfcopyd
hypervfcopyd daemon 已加入 hyperv-daemons 套件。hypervfcopyd 是 Hyper-V 2012 R2 主機上執行的 LInux 客座端使用的檔案複製服務。這項服務能讓主機複製檔案(透過 VMBUS)到 Linux 客座端上。
libguestfs 的新特性
Red Hat Enterprise Linux 7.1 的
libguestfs(存取、修改虛擬機器磁碟映像檔的工具組)引入了多項特性。
新工具
virt-builder— 建立虛擬機器映像檔的新工具。使用 virt-builder 可快速、安全地建立、客製客座端。
virt-customize— 客製虛擬機器磁碟映像檔的新工具。virt-customize 可用來安裝套件、編輯配置檔、執行 script 並設定密碼。
virt-diff— 顯示兩台虛擬機器的檔案系統之差異的工具。virt-diff 可輕易找出 snapshot 之間的改變之處。
virt-log— 從客座端列出日誌檔的新工具。virt-log 工具支援多種客座端,包括傳統 Linux、使用日誌的 Linux、以及 Windows 事件記錄。
virt-v2v— 從其它 hypervisor 轉換客座端至 KVM 的新工具,可由 libvirt、OpenStack、oVirt、Red Hat Enterprise Virtualization (RHEV)、及其它目標管理。目前 virt-v2v 可以轉換 Xen 與 VMware ESX 的 Red Hat Enterprise Linux 與 Windows 客座端。
Flight Recorder 追蹤功能
Support for flight recorder tracing has been introduced in Red Hat Enterprise Linux 7.1. Flight recorder tracing uses
SystemTap to automatically capture qemu-kvm data as long as the guest machine is running. This provides an additional avenue for investigating qemu-kvm problems, more flexible than qemu-kvm core dumps.
欲知如何配置、使用 flight recorder 追蹤功能,請參閱《虛擬化建置與管理指南》。
RDMA-based Migration of Live Guests
The support for Remote Direct Memory Access (RDMA)-based migration has been added to
libvirt. As a result, it is now possible to use the new rdma:// migration URI to request migration over RDMA, which allows for significantly shorter live migration of large guests. Note that prior to using RDMA-based migration, RDMA has to be configured and libvirt has to be set up to use it.
章 8. 叢集
Corosync 的動態權杖逾時
token_coefficient 選項已新增至 Corosync Cluster Engine。token_coefficient 的值僅會在 nodelist 部分被指定並包含了至少三個節點時使用。在此情況下,權杖的逾時運算如下:
[token + (amount of nodes - 2)] * token_coefficient
這能讓叢集相應縮放,無需每次新增節點時手動更改權杖逾時。預設值為 650 ms,不過您亦可將它設為 0,並有效移除這項功能。
這項功能能讓
Corosync 處理節點的動態新增和移除。
Corosync Tie Breaker 增強功能
Corosync 的 auto_tie_breaker 仲裁功能已經過改善,並新增了能讓您更為靈活地配置和修改 tie breaker 節點的選項。使用者現在已能選擇一列節點,使其在相等叢集分裂發生的情況下保留仲裁,或選擇仲裁能被最低節點 ID 或是最高節點 ID 的節點保留。
Red Hat High Availability 增強功能
在 Red Hat Enterprise Linux 7.1 發行版中,
Red Hat High Availability Add-On 支援下列功能。欲取得這些功能上的相關資訊,請參閱《High Availability Add-On 參考指南》。
pcs resource cleanup指令現在已能重設資源狀態並為所有資源進行failcount。- 您可為
pcs resource move指令指定一個lifetime參數,以指出這項指令所建立的資源制約時間效果有多長。 - 您可使用
pcs acl指令來為本機使用者設定權限,以透過存取控制清單(ACL)來決定使用者對於叢集配置的權限屬於唯讀或是可讀寫。 - 除了一般的資源選項之外,
pcs constraint指令現在亦支援配置特定的制約選項。 pcs resource create指令支援disabled參數,以指定建立的資源不會自動啟用。pcs cluster quorum unblock指令能讓叢集在建立仲裁時,避免等待所有的節點。- 您可透過
pcs resource create指令的before和after參數來配置資源群組的順序。 - 您可將叢集配置備份在一個 tarball 中,並透過
pcs config指令的backup和restore選項,來藉由備份復原所有節點上的叢集配置檔案。
章 9. 編譯器與工具
System z Binaries 上的 Linux Hot-patching(熱修補)支援
GNU Compiler Collection(GCC)為 System z binaries 的多執行緒程式碼實作了線上修補支援。您可透過使用一項「功能屬性」來選擇特定的 hot patch 功能,您亦可透過使用
-mhotpatch 指令列選項來啟用所有功能的 hot patch。
啟用 hot-patch 對於軟體大小和效能有負面的影響。因此建議您針對特定功能使用 hot-patch,而非針對所有功能啟用 hot-patch。
System z binaries 上的 Linux Hot-patching 支援原先為 Red Hat Enterprise Linux 7.0 的技術預覽。在 Red Hat Enterprise Linux 7.1 發行之後已完整受到支援。
效能應用程式介面增強功能
Red Hat Enterprise Linux 7 包含了 Performance Application Programming Interface(PAPI)。PAPI 乃新型微處理器上的跨平台介面的硬體效能計數器規格。這些計數器為一組能計算事件的暫存器,這些事件皆為與處理器功能相關的特定訊號。監控這些事件可協助進行應用程式效能的分析與微調。
In Red Hat Enterprise Linux 7.1 PAPI and the related
libpfm libraries have been enhanced to provide support for IBM Power8, Applied Micro X-Gene, ARM Cortex A57, and ARM Cortex A53 processors. In addition, the events sets have been updated for Intel Haswell, Ivy Bridge, and Sandy Bridge processors.
OProfile
OProfile 是個系統全域的 Linux 系統分析工具。分析程序會在背景中以透明的方式執行,並且分析資料隨時都能夠取得。在 Red Hat Enterprise Linux 7.1 中,OProfile 已改善並支援了以下處理器家族:Intel Atom Processor C2XXX、5th Generation Intel Core Processors、IBM Power8、AppliedMicro X-Gene,以及 ARM Cortex A57。
OpenJDK8
Red Hat Enterprise Linux 7.1 包含了 java-1.8.0-openjdk 套件作為技術預覽,它包含了最新版的 Open Java Development Kit(OpenJDK),也就是 OpenJDK8。這些套件提供了 Java SE 8 的完整符合標準實作,並且能與既有、保留在 Red Hat Enterprise Linux 7.1 中的 java-1.7.0-openjdk 套件平行使用。
Java 8 包含了多項新改善,例如 Lambda 表示式、預設方式、用來蒐集的新 Stream API、JDBC 4.2、硬體 AES 支援,以及其它多項改善。除了這些之外,OpenJDK8 還包含了數項其它的效能更新和錯誤修正。
sosreport 取代了 snap
已淘汰的 snap 工具已由 powerpc-utils 套件中移除。其功能已被整合入 sosreport 工具中。
Little-Endian 64-bit PowerPC 的 GDB 支援
Red Hat Enterprise Linux 7.1 在 GNU Debugger(GDB)中實作了 64 位元 PowerPC little-endian 架構上的支援。
Tuna 增強功能
Tuna 是個可用來調整排程器微調項目(例如排程器政策、RT 優先權,以及 CPU 同質性)的工具。在 Red Hat Enterprise Linux 7.1 上,Tuna GUI 已經過改善並且會在啟動時要求 root 認證,如此一來使用者便無需以 root 執行桌面環境來引動 Tuna GUI。欲取得更多有關於 Tuna 上的相關資訊,請參閱《Tuna 使用者指南》。
章 10. 網路
信任的網路連線
Red Hat Enterprise Linux 7.1 帶入了信任的網路連線(Trusted Network Connect)功能作為技術預覽。信任的網路連線能搭配既有的網路存取控制(network access control,NAC)解決方案,例如 TLS、802.1X 或是 IPsec,以整合端點狀態評估(end point posture assessment);也就是蒐集端點的系統資訊(例如作業系統配置設定、已安裝套件等等的其它資訊,並以完整性量度單位顯示)。信任的網路連線會在端點允許存取網路之前,被使用來針對網路存取政策驗證這些量度。
qlcnic 驅動程式中的 SR-IOV 功能
Single-Root I/O virtualization(SR-IOV)的支援已新增至
qlcnic 驅動程式中作為技術預覽。這項功能的支援將會由 QLogic 直接提供,並且建議用戶提供回饋意見給 QLogic 和 Red Hat。qlcnic 驅動程式中的其它功能將維持受到完整支援。
Berkeley 封包篩選器
基於 Berkeley Packet Filter(BPF)的「流量分類器」的支援已新增至 Red Hat Enterprise Linux 7.1。BPF 主要用於封包 socket 的封包篩選、在「安全運算模式」(seccomp)中以及 Netfilter 中進行隔離。BPF 擁有一個最重要架構的 just-in-time 實作,以及用來建立篩選器的豐富語法。
改善的時鐘穩定性
之前的測試結果顯示,停用「無計時」(tickless)kernel 功能可以顯著改善系統時鐘的穩定性。kernel 無計時模式可以在 kernel 啟動選項中加入
nohz=off 來停用。然而,Red Hat Enterprise Linux 7.1 最近新增的改善功能已大幅改善系統時鐘的穩定性,同時對大多數使用者來說,不管使用 nohz=off 與否,系統時鐘的穩定性差別不大。這對使用 PTP 與 NTP 進行時間同步的應用程式來說,這項資訊非常有用。
libnetfilter_queue 套件
libnetfilter_queue 套件已加入 Red Hat Enterprise Linux 7.1。
libnetfilter_queue 是使用者空間的函示庫,為 kernel 封包篩選程式所排程的封包提供 API。這能讓 kernel nfnetlink_queue 子系統收取已排程的封包、剖析封包、重寫封包表頭、並重新注入修改過的封包。
協力上的增強功能
Red Hat Enterprise Linux 7.1 中,libteam 套件已更新至
1.14-1。這套件修正了多項錯誤、提供了多種增強功能。其中特別是 teamd 現在可以自動由 systemd 重新生成,增加了整體的可靠度。
Intel QuickAssist Technology 的驅動程式
Intel QuickAssist Technology (QAT) 驅動程式已加入 Red Hat Enterprise Linux 7.1。QAT 驅動程式啟用了 QuickAssist 硬體,讓硬體能降低系統編碼的負載。
PTP 與 NTP 之間的備援使用之 LinuxPTP timemaster 支援
Red Hat Enterprise Linux 7.1 中,linuxptp 套件已更新至
1.4。這套件修正了多項錯誤、提供了多種增強功能。其中特別是 PTP 網域與 NTP 來源之間的備援系統之支援,使用 timemaster 應用程式。如果網路上有多個 PTP 網域可使用,或需要調回 NTP 時,timemaster 程式可以用來將系統時鐘同步至所有可用的時間來源。
網路的 initscript
Red Hat Enterprise Linux 7.1 中已加入自動 VLAN 名稱的支援功能。GRE 穿隧的
IPv6 改良支援也已加入;重新開機之後,內部位址仍會保持一致。
TCP 延遲 ACK
Red Hat Enterprise Linux 7.1 中,對可配置的 TCP 延遲 ACK 功能已加入 iproute 套件中。這可以透過
ip route quickack 指令啟用。
NetworkManager
現在 Red Hat Enterprise Linux 7.1 已支援綁定選項
lacp_rate。NetworkManager 已經增強,提供更簡單的裝置更名功能,在變更有著 slave 介面的 master 介面時更為容易。
除此之外,NetworkManager 的自動連線功能新增了優先權設定。如果自動連線時有超過一組可用連線,NetworkManager 會選擇擁有最高優先順序的連線。如果所有可用連線的優先順序皆相同,NetworkManager 會使用預設的行為,並選擇最近一次啟用的連線。
網路的命名空間與 VTI
Red Hat Enterprise Linux 7.1 已加入 VTI(virtual tunnel interfaces,虛擬穿隧介面)搭配網路命名空間的功能。這能在包裹封包及解開時,讓來自 VTI 的網路交通在不同命名空間中傳遞。
MemberOf 外掛程式的其它配置儲存裝置
389 目錄伺服器的
MemberOf 外掛程式的配置可以儲存在後端的資料庫中。這允許 MemberOf 外掛程式的配置得以複製,讓使用者在重複出現的環境中,更輕易地以一致性的方式維護 MemberOf 外掛程式。
章 11. Linux Containers
The Docker project is an open-source project that automates the deployment of applications inside Linux Containers, and provides the capability to package an application with its runtime dependencies into a container. It provides a command-line tool for the life cycle management of image-based containers. Linux containers enable rapid application deployment, simpler testing, maintenance, and troubleshooting while improving security. Using Red Hat Enterprise Linux 7 with containers allows customers to increase staff efficiency, deploy third-party applications faster, enable a more agile development environment, and manage resources more tightly.
To quickly get up-and-running with docker formatted containers, refer to Get Started with docker Formatted Containers.
Red Hat Enterprise Linux 7.1 ships with docker version 1.4.1, which includes a number of new features, security fixes, patches and changes. Highlights include:
- The ENV instruction in the Dockerfile now supports arguments in the form of ENV name=value name2=value2 ...
- An experimental overlayfs storage driver has been introduced.
- An update is included for CVE-2014-9356: Path traversal during processing of absolute symlinks. Absolute symlinks were not adequately checked for traversal which created a vulnerability via image extraction and/or volume mounts.
- An update is included for CVE-2014-9357: Escalation of privileges during decompression of LZMA (.xz) archives. Docker 1.3.2 added chroot for archive extraction. This created a vulnerability that could allow malicious images or builds to write files to the host system and escape containerization, leading to privilege escalation.
- An update is included for CVE-2014-9358: Path traversal and spoofing opportunities via image identifiers. Image IDs passed either via docker load or registry communications were not sufficiently validated. This created a vulnerability to path traversal attacks wherein malicious images or repository spoofing could lead to graph corruption and manipulation.
Red Hat provides platform container images for building applications on both Red Hat Enterprise Linux 6 and Red Hat Enterprise Linux 7.
Red Hat 也提供 Kubernetes 用來協調 container。欲知 Kubernetes 的詳情,請參閱〈Get Started Orchestrating Docker Containers with Kubernetes〉一文。
Linux containers are supported running on hosts with SELinux enabled. SELinux is not supported when the
/var/lib/docker directory is located on a volume using the B-tree file system (Btrfs).
11.1. Components of docker Formatted Containers
The docker container format works with the following fundamental components:
- Container – 應用程式沙箱。每個 container 都基礎於存有必要配置資料的一個「映像檔」中。當您從映像檔中啟動 container 時,可寫入的階層會加到映像檔的上方。每次要寫入 container(使用
docker commit命令)時,新的映像檔階層就會被加入,以儲存變更。 - 映像檔(image)– container 配置的靜態 snapshot。映像檔是唯讀的階層,永遠不會被修改;所有變更都會在最上方的可寫入階層中進行,只有建立新的映像檔時才能存檔。每個映像檔都依賴一或多個父映像檔。
- Platform Container Image – an image that has no parent. Platform container images define the runtime environment, packages, and utilities necessary for a containerized application to run. The platform image is read-only, so any changes are reflected in the copied images stacked on top of it. See an example of such stacking in 圖形 11.1, “使用 Docker 格式的映像檔階層”.
- 註冊處(Registry)– 映像檔的儲存地。註冊處是公開或私有的軟體庫,包含了可供下載的映像檔。一些註冊處允許使用者上傳映像檔,好與其它使用者分享。
- Dockerfile – 擁有建立 Docker 映像檔的指示之配置檔。Dockerfile 提供了自動化、重複使用、共享建立步驟的方式。
圖形 11.1. 使用 Docker 格式的映像檔階層
11.2. Advantages of Using Containers
The Docker project provides an API for container management, an image format, and the possibility to use a remote registry for sharing containers. This scheme benefits both developers and system administrators with advantages such as:
- 快速建置應用程式 – container 包含了應用程式所需的最少 runtime 需求,降低 container 的大小,並能快速佈建。
- 機器間的可攜性 – 應用程式及其相依軟體可以包裹在一起,成為單一的 container,這與 Linux kernel、平台的散佈版本、或建置模型無關。這 container 可以傳送到另一台執行 Docker 的機器上執行,不會有相依性問題。
- 版本控制與元件重複使用 – 使用者可以追蹤 container 的累積版本、檢視不同之處、或回到之前的版本。Container 可從之前的階層重複使用元件,這讓 container 變得非常輕巧。
- 共享 – 使用者可以使用遠端軟體庫,與其他人共享 container。Red Hat 提供了註冊處以利此用途,同時也可以配置私有的軟體庫。
- 輕足跡與最小負荷 – 通常 Docker 映像檔非常的小,可以快速傳送,也降低佈建新應用程式 container 的時間。
- 簡化維護 – Docker 減少了投入時間與應用程式相依性上的問題與風險。
11.3. 與虛擬機器做比較
Virtual machines represent an entire server with all of the associated software and maintenance concerns. Containers provide application isolation and can be configured with minimum run-time environments. In a container, the kernel and parts of the operating system infrastructure are shared. For the virtual machine, a full operating system must be included.
- 您可快速且輕易地建立或刪除 container。虛擬機器需要安裝完整的作業系統,並且需要額外運算資源才能執行。
- Container 乃輕量型的項目,因此一部主機機器上能同時執行的 container 數量會比虛擬機器要來得多。
- Containers 能有效率地共享資源,虛擬機器則被隔離。因此在 container 中,多重應用程式也能以輕量化的方式執行。比方說,共享的二進位檔在系統上將不會重複。
- 虛擬機器能在執行的情況下遷移,container 在執行時則無法遷移,而必須先停用才能從一部主機機器遷移至另一方。
Container 並非在所有情況下皆能取代虛擬機器。您依然需要經過細心評估才能判斷對您應用程式最佳的選擇為何。
To quickly get up-and-running with docker formatted containers, refer to Get Started with docker Formatted Containers.
More information about Linux Containers, the Docker project, subscriptions and support can be found in this FAQ.
11.4. Using Containers on Red Hat Enterprise Linux 7.1
Packages containing docker, kubernetes, and registry software have been released as part of the Extras channel in Red Hat Enterprise Linux. Once the Extras channel has been enabled, the packages can be installed in the usual way. For more information on installing packages or enabling channels, see the System Administrator's Guide.
Red Hat provides a registry of platform container images and Red Hat Atomic Container Images. This registry provides base images for building applications on both Red Hat Enterprise Linux 6 and Red Hat Enterprise Linux 7 and pre-built solutions usable on Red Hat Enterprise Linux 7.1 with Docker. For more information about the registry and a list of available packages, see Container Images.
11.5. Containers with the LXC Format Have Been Deprecated
The following LXC packages, which contain Linux resource containers, are deprecated starting with Red Hat Enterprise Linux 7.1:
- libvirt-daemon-driver-lxc
- libvirt-daemon-lxc
- libvirt-login-shell
The Linux container functionality is now focused on the docker management interface (docker command-line interface). Please note: It is possible that the listed LXC packages will not be shipped with future releases of Red Hat Enterprise Linux, as they may be considered for formal removal.
章 12. 認證與互通性
Manual Backup and Restore Functionality
This update introduces the
ipa-backup and ipa-restore commands to Identity Management (IdM), which allow users to manually back up their IdM data and restore them in case of a hardware failure. For further information, see the ipa-backup(1) and ipa-restore(1) manual pages or the documentation in the Linux Domain Identity, Authentication, and Policy Guide.
由 WinSync 至 Trust 的遷移支援
This update implements the new
ID Views mechanism of user configuration. It enables the migration of Identity Management users from a WinSync synchronization-based architecture used by Active Directory to an infrastructure based on Cross-Realm Trusts. For the details of ID Views and the migration procedure, see the documentation in the Windows Integration Guide.
One-Time Password Authentication
One of the best ways to increase authentication security is to require two factor authentication (2FA). A very popular option is to use one-time passwords (OTP). This technique began in the proprietary space, but over time some open standards emerged (HOTP: RFC 4226, TOTP: RFC 6238). Identity Management in Red Hat Enterprise Linux 7.1 contains the first implementation of the standard OTP mechanism. For further details, see the documentation in the System-Level Authentication Guide.
一般網際網路檔案系統的 SSSD 整合
A plug-in interface provided by
SSSD has been added to configure the way in which the cifs-utils utility conducts the ID-mapping process. As a result, an SSSD client can now access a CIFS share with the same functionality as a client running the Winbind service. For further information, see the documentation in the Windows Integration Guide.
憑證認證管理工具
The
ipa-cacert-manage renew command has been added to the Identity management (IdM) client, which makes it possible to renew the IdM Certification Authority (CA) file. This enables users to smoothly install and set up IdM using a certificate signed by an external CA. For details on this feature, see the ipa-cacert-manage(1) manual page.
增加了存取控制上的細節
It is now possible to regulate read permissions of specific sections in the Identity Management (IdM) server UI. This allows IdM server administrators to limit the accessibility of privileged content only to chosen users. In addition, authenticated users of the IdM server no longer have read permissions to all of its contents by default. These changes improve the overall security of the IdM server data.
無特權使用者的有限網域存取
The
domains= option has been added to the pam_sss module, which overrides the domains= option in the /etc/sssd/sssd.conf file. In addition, this update adds the pam_trusted_users option, which allows the user to add a list of numerical UIDs or user names that are trusted by the SSSD daemon, and the pam_public_domains option and a list of domains accessible even for untrusted users. The mentioned additions allow the configuration of systems, where regular users are allowed to access the specified applications, but do not have login rights on the system itself. For additional information on this feature, see the documentation in the Linux Domain Identity, Authentication, and Policy Guide.
自動資料供應方配置
ipa-client-install 指令現在就預設值會將 SSSD 配置為 sudo 服務的資料供應方。此特性能藉由使用 --no-sudo 選項停用。此外,--nisdomain 選項已新增來為身份管理客戶端的安裝程序指定 NIS 網域名稱,而 --no_nisdomain 選項則被新增來避免設定 NIS 網域名稱。若兩個選項皆未使用到的話,IPA 網域將會被使用來作為替代。
使用 AD 和 LDAP sudo Provider
AD Provider 是個使用來連上 Active Directory 伺服器的後端。在 Red Hat Enterprise Linux 7.1 中,AD sudo provider 和 LDAP provider 的搭配使用已被支援作為技術預覽。若要啟用 AD sudo provider,請在
sssd.conf 檔案的網域部分中加入 sudo_provider=ad 設定。
32-bit Version of krb5-server and krb5-server-ldap Deprecated
The 32-bit version of
Kerberos 5 Server is no longer distributed, and the following packages are deprecated starting with Red Hat Enterprise Linux 7.1: krb5-server.i686, krb5-server.s390, krb5-server.ppc, krb5-server-ldap.i686, krb5-server-ldap.s390, and krb5-server-ldap.ppc. There is no need to distribute the 32-bit version of krb5-server on Red Hat Enterprise Linux 7, which is supported only on the following architectures: AMD64 and Intel 64 systems (x86_64), 64-bit IBM Power Systems servers (ppc64), and IBM System z (s390x).
章 13. 安全性
SCAP 安全指南
scap-security-guide 套件已納入 Red Hat Enterprise Linux 7.1,提供使用 SCAP(安全內容自動化通訊協定,Security Content Automation Protocol)時的安全上指引、基準、以及相關驗證機制。這項指引是由 SCAP(Security Content Automation Protocol)所規範,由實務上加強系統的諸多建議所組成。《SCAP 安全指南》包含了掃描系統安全是否符合現有安全政策需求之必要資料;不管是書面描述或自動化測試(偵測)都包含其中。將測試過程自動化,《SCAP 安全指南》提供了方便、可靠的方法,定期驗證系統是否符合安全政策。
The Red Hat Enterprise Linux 7.1 version of the SCAP Security Guide includes the Red Hat Corporate Profile for Certified Cloud Providers (RH CCP), which can be used for compliance scans of Red Hat Enterprise Linux Server 7.1 cloud systems.
Also, the Red Hat Enterprise Linux 7.1 scap-security-guide package contains SCAP datastream content format files for Red Hat Enterprise Linux 6 and Red Hat Enterprise Linux 7, so that remote compliance scanning of both of these products is possible.
The Red Hat Enterprise Linux 7.1 system administrator can use the
oscap command line tool from the openscap-scanner package to verify that the system conforms to the provided guidelines. See the scap-security-guide(8) manual page for further information.
SELinux 政策
Red Hat Enterprise Linux 7.1 中,SELinux 政策已經修改;沒有自己的 SELinux 政策的服務之前會在
init_t 區域中執行,現在會在新加入的 unconfined_service_t 區域中執行。詳情請參閱 Red Hat Enterprise Linux 7.1 的《SELinux 使用者與管理者指南・未受限程序》一章。
OpenSSH 的新特性
OpenSSH 工具組已經更新至 6.6.1p1 版,新增了幾項加密上的特性:
- 支援 Daniel Bernstein 的
Curve25519之橢圓曲線Diffie-Hellman金鑰交換功能。只要伺服器與客戶端都支援,這是預設方法。 - 支援使用
Ed25519橢圓曲線簽章法,作為公開金鑰的類型。Ed25519可以為使用者與主機產生金鑰,提供了比ECDSA與DSA更佳的安全性與效能。 - 新的私密金鑰格式已經加入,這格式使用
bcrypt金鑰衍生函數(KDF)。預設上,這格式是給Ed25519金鑰使用的,但也可以給其它金鑰類型使用。 - 已新增新的傳送解碼器,
chacha20-poly1305@openssh.com。這解碼器結合了 Daniel Bernstein 的ChaCha20串流解碼器與Poly1305訊息授權碼(MAC,message authentication code)。
Libreswan 的新特性
VPN 的 Libreswan 實作項目已更新到 3.12 版,新增了幾項新特性與改善項目。
- 已新增新的編碼器。
IKEv2support has been improved.- 中介憑證鍊已經加入
IKEv1與IKEv2。 - 已改善連線處理。
- 與 OpenBSD、Cisco 以及 Android 系統的異質平台整合功能已經改善。
- 已改善對 systemd 的支援。
- 已加入對雜湊
CERTREQ與交通數據的支援。
TNC 的新特性
The Trusted Network Connect (TNC) Architecture, provided by the strongimcv package, has been updated and is now based on strongSwan 5.2.0. The following new features and improvements have been added to the TNC:
- The
PT-EAPtransport protocol (RFC 7171) for Trusted Network Connect has been added. - The Attestation Integrity Measurement Collector (IMC)/Integrity Measurement Verifier (IMV) pair now supports the IMA-NG measurement format.
- 已改善 Attestation IMV 的支援,方法是實作了新的 TPMRA 工作項目。
- 已加入對 JSON-based REST API 搭配 SWID IMV 的支援。
- The SWID IMC can now extract all installed packages from the dpkg, rpm, or pacman package managers using the swidGenerator, which generates SWID tags according to the new ISO/IEC 19770-2:2014 standard.
- The
libtlsTLS 1.2implementation as used byEAP-(T)TLSand other protocols has been extended by AEAD mode support, currently limited toAES-GCM. - Improved (IMV) support for sharing access requestor ID, device ID, and product information of an access requestor via a common
imv_sessionobject. - 現有的
IF-TNCCS(PB-TNC、IF-M(PA-TNC))通訊協定、以及OS IMC/IMV配對的幾個 bug 已經修正。
GnuTLS 的新特性
SSL、TLS 以及 DTLS 通訊協定的 GnuTLS 實作項目已經更新至 3.3.8,提供了幾項新特性與改善項目。
- 增加對
DTLS 1.2的支援。 - 增加對 Application Layer Protocol Negotiation(ALPN,應用程式層通訊協定的協商)的支援。
- 已改善橢圓曲線解碼器組的效能。
- 已加入新的解碼器組
RSA-PSK與CAMELLIA-GCM。 - 已加入對 Trusted Platform Module(TPM,信任平台模組)的原生性支援。
- 在多個方面精進對
PKCS#11智慧卡與 hardware security modules(HSM,硬體安全模組)的支援。 - 在多個方面精進對 FIPS 140 安全標準(Federal Information Processing Standards,聯邦資訊處理標準)的相容性。
章 14. 桌面系統
支援四重緩衝的 OpenGL 立體視覺效果
GNOME Shell 與 Mutter 複合式視窗管理員現在允許使用者在受支援的硬體上,使用四重緩衝的 OpenGL 立體視覺效果。您需要安裝 NVIDIA 顯示卡驅動程式 337 版以上,才能使用此功能。
線上帳號供應方
新的 GSettings 鍵值
org.gnome.online-accounts.whitelisted-providers 已加入「GNOME 線上帳號」(由 gnome-online-accounts 套件提供)。這鍵值提供了線上帳號,可在啟動時明確地被載入。指定此鍵值後,系統管理員可以啟用正確的供應方,或選擇性地停用其它供應方。
章 15. 支援與維護
ABRT 所授權的微報告系統
In Red Hat Enterprise Linux 7.1, the Automatic Bug Reporting Tool (ABRT) receives tighter integration with the Red Hat Customer Portal and is capable of directly sending micro-reports to the Portal. ABRT provides a utility,
abrt-auto-reporting, to easily configure user's Portal credentials necessary to authorize micro-reports.
The integrated authorization allows ABRT to reply to a micro-report with a rich text which may include possible steps to fix the cause of the micro-report. For example, ABRT can suggest which packages are supposed to be upgraded or offer Knowledge base articles related to the issue.
詳情請參閱〈Crash micro-reports in RHEL7〉一文。
章 16. Red Hat 軟體集
Red Hat 軟體集(Software Collection)是 Red Hat 的內容集,提供一組動態程式語言、資料庫伺服器、以及相關的套件,使用者安裝之後可以用於所有 Red Hat Enterprise Linux 6 與 Red Hat Enterprise Linux 7 支援版本,支援架構為 AMD64 與 Intel 64。
Red Hat 軟體集所散佈的動態語言、資料庫伺服器、及其它工具並不會取代 Red Hat Enterprise Linux 的預設系統工具,也不是優先使用的工具。
Red Hat 軟體集使用了根基於
scl 工具程式的替代套件機制,提供套件組的另一種選擇。這軟體集能讓使用者使用 Red Hat Enterprise Linux 的替代套件。scl 工具程式能讓使用者在任何時候要執行哪個套件版本。
重要
Red Hat 軟體集的生命週期比 Red Hat Enterprise Linux 短。欲知詳情,請參閱〈Red Hat 軟體集的生命週期〉一文。
現在 Red Hat 開發工具組(Developer Toolset)是 Red Hat 軟體集的一員。Red Hat 開發工具組專為 Red Hat Enterprise Linux 平台的程式設計師所設計,提供了 GNU 編譯組、GNU Debugger、Eclipse 開發平台、以及其它開發、偵錯、以及效能監控的工具。
欲知軟體集中的元件、系統需求、已知問題、用法、以及個別軟體的問題,請參閱「Red Hat 軟體集」的文件。
欲知軟體集中的元件資訊、及其安裝、用法、已知問題等等,請參閱「Red Hat 開發工具組」文件。
章 17. Red Hat Enterprise Linux for Real Time
Red Hat Enterprise Linux for Real Time is a new offering in Red Hat Enterprise Linux 7.1 comprised of a special kernel build and several user space utilities. With this kernel and appropriate system configuration, Red Hat Enterprise Linux for Real Time brings deterministic workloads, which allow users to rely on consistent response times and low and predictable latency. These capabilities are critical in strategic industries such as financial service marketplaces, telecommunications, or medical research.
For instructions on how to install Red Hat Enterprise Linux for Real Time, and how to set up and tune the system so that you can take full advantage of this offering, refer to the Red Hat Enterprise Linux for Real Time 7 Installation Guide.
部 II. 裝置驅動程式
本章節列出了所有在 Red Hat Enterprise Linux 7.1 中已更新的裝置驅動程式。
章 18. 儲存裝置驅動程式更新
hpsa驅動程式已升級為版本 3.4.4-1-RH1。qla2xxx驅動程式已升級為版本 8.07.00.08.07.1-k1。qla4xxx驅動程式已升級為版本 5.04.00.04.07.01-k0。qlcnic驅動程式已升級為版本 5.3.61。netxen_nic驅動程式已升級為版本 4.0.82。qlge驅動程式已升級為版本 1.00.00.34。bnx2fc驅動程式已升級為版本 2.4.2。bnx2i驅動程式已升級為版本 2.7.10.1。cnic驅動程式已升級為版本 2.5.20。bnx2x驅動程式已升級為版本 1.710.51-0。bnx2驅動程式已升級為版本 2.2.5。megaraid_sas驅動程式已升級為版本 06.805.06.01-rc1。mpt2sas驅動程式已升級為版本 18.100.00.00。ipr驅動程式已升級為版本 2.6.0。- kmod-lpfc 套件已新增至 Red Hat Enterprise Linux 7 中,它可確保 lpfc 驅動程式與 Fibre Channel(FC)和 Fibre Channel over Ethernet(FCoE)控制卡搭配使用時能有更佳的穩定性。
lpfc驅動程式已升級為版本 0:10.2.8021.1。 be2iscsi驅動程式已升級為版本 10.4.74.0r。nvme驅動程式已升級為版本 0.9。
章 19. 網路驅動程式更新
bna驅動程式已升級為版本 3.2.23.0r。cxgb3驅動程式已升級為版本 1.1.5-ko。cxgb3i驅動程式已升級為版本 2.0.0。iw_cxgb3驅動程式已升級為版本 1.1。cxgb4驅動程式已升級為版本 2.0.0-ko。cxgb4vf驅動程式已升級為版本 2.0.0-ko。cxgb4i驅動程式已升級為版本 0.9.4。iw_cxgb4驅動程式已升級為版本 0.1。e1000e驅動程式已升級為版本 2.3.2-k。igb驅動程式已升級為版本 5.2.13-k。igbvf驅動程式已升級為版本 2.0.2-k。ixgbe驅動程式已升級為版本 3.19.1-k。ixgbevf驅動程式已升級為版本 2.12.1-k。i40e驅動程式已升級為版本 1.0.11-k。i40evf驅動程式已升級為版本 1.0.1。e1000驅動程式已升級為版本 7.3.21-k8-NAPI。mlx4_en驅動程式已升級為版本 2.2-1。mlx4_ib驅動程式已升級為版本 2.2-1。mlx5_core驅動程式已升級為版本 2.2-1。mlx5_ib驅動程式已升級為版本 2.2-1。ocrdma驅動程式已升級為版本 10.2.287.0u。ib_ipoib驅動程式已升級為版本 1.0.0。ib_qib驅動程式已升級為版本 1.11。enic驅動程式已升級為版本 2.1.1.67。be2net驅動程式已升級為版本 10.4r。tg3驅動程式已升級為版本 3.137。r8169驅動程式已升級為版本 2.3LK-NAPI。
章 20. 圖形驅動程式更新
vmwgfx驅動程式已升級為版本 2.6.0.0。
部 III. Known Issues
This part describes known issues in Red Hat Enterprise Linux 7.1.
章 21. Installation and Booting
-
anacondacomponent, BZ#1067868 - Under certain circumstances, when installing the system from the boot DVD or ISO image, not all assigned IP addresses are shown in the network spoke once network connectivity is configured and enabled. To work around this problem, leave the network spoke and enter it again. After re-entering, all assigned addresses are shown correctly.
章 22. Networking
rsynccomponent, BZ#1082496- The
rsyncutility cannot be run as a socket-activated service because thersyncd@.servicefile is missing from the rsync package. Consequently, thesystemctl start rsyncd.socketcommand does not work. However, runningrsyncas a daemon by executing thesystemctl start rsyncd.servicecommand works as expected.
章 23. Authentication and Interoperability
bind-dyndb-ldapcomponent, BZ#1139776- The latest version of the
bind-dyndb-ldapsystem plug-in offers significant improvements over the previous versions, but currently has some limitations. One of the limitations is missing support for the LDAP rename (MODRDN) operation. As a consequence, DNS records renamed in LDAP are not served correctly. To work around this problem, restart thenameddaemon to resynchronize data after each MODRDN operation. In an Identity Management (IdM) cluster, restart thenameddaemon on all IdM replicas. ipacomponent, BZ#1186352- When you restore an Identity Management (IdM) server from backup and re-initalize the restored data to other replicas, the Schema Compatibility plug-in can still maintain a cache of the old data from before performing the restore and re-initialization. Consequently, the replicas might behave unexpectedly. For example, if you attempt to add a user that was originally added after performing the backup, and thus removed during the restore and re-initialization steps, the operation might fail with an error, because the Schema Compatibility cache contains a conflicting user entry. To work around this problem, restart the IdM replicas after re-intializing them from the master server. This clears the Schema Compatibility cache and ensures that the replicas behave as expected in the described situation.
ipacomponent, BZ#1188195- Both anonymous and authenticated users lose the default permission to read the
facsimiletelephonenumberuser attribute after upgrading to the Red Hat Enterprise Linux 7.1 version of Identity Management (IdM). To manually change the new default setting and make the attribute readable again, run the following command:ipa permission-mod 'System: Read User Addressbook Attributes' --includedattrs facsimiletelephonenumber
章 24. Desktop
gobject-introspectioncomponent, BZ#1076414- The
gobject-introspectionlibrary is not available in a 32-bit multilib package. Users who wish to compile 32-bit applications that rely on GObject introspection or libraries that use it, such asGTK+orGLib, should use the mock package to set up a build environment for their applications.
附錄 A. 修訂記錄
| 修訂記錄 | |||
|---|---|---|---|
| 修訂 1.0-9.7 | Fri Jan 30 2015 | ||
| |||
| 修訂 1.0-9.5 | Fri Jan 30 2015 | ||
| |||
| 修訂 1.0-9.4 | Thu Jan 29 2015 | ||
| |||
| 修訂 1.0-9.1 | Thu Jan 29 2015 | ||
| |||
| 修訂 1.0-9 | Wed Jan 14 2015 | ||
| |||
| 修訂 1.0-8 | Thu Dec 15 2014 | ||
| |||
法律聲明
Copyright © 2015 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
