Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.2 發行公告

Red Hat Enterprise Linux 7

Red Hat Enterprise Linux 7.2 發行公告

Red Hat 客戶服務部出版中心

摘要

《發行公告》提供了實作於 Red Hat Enterprise Linux 7.2 中的基本改善功能與新增功能上的相關資訊,並記載了此發行版中的已知問題。

序言

Red Hat Enterprise Linux(簡稱 RHEL)的次要發行版為個別升級、安全性,以及錯誤修正勘誤的彙總。《Red Hat Enterprise Linux 7.2 發行公告》記載了 RHEL 7 作業系統的重大變更,與此版本所搭載的應用程式,以及已知問題和目前所有可用技術預覽的完整清單。
RHEL 7 與其它系統版本的功能與限制,都可以在知識庫中找到,網址為〈https://access.redhat.com/articles/rhel-limits〉。
欲取得 RHEL 生命週期上的相關資訊,請參閱〈Red Hat Enterprise Linux 生命週期〉一文。

章 1. 架構

Red Hat Enterprise Linux 7.2 有著以下架構的獨立套件:[1]
  • 64 位元 AMD
  • 64 位元 Intel
  • IBM POWER7+ 與 POWER8(big endian)
  • IBM POWER8(little endian)[2]
  • IBM System z [3]
在此發行版中,Red Hat 匯集了伺服器、系統以及 Red Hat 開源式整體使用上的改善。

[1] 請注意,Red Hat Enterprise Linux 7.2 的安裝僅支援 64 位元的硬體。Red Hat Enterprise Linux 7.2 能執行 32 位元的作業系統作為虛擬機器,包括先前版本的 Red Hat Enterprise Linux。
[2] Red Hat Enterprise Linux 7.2(little endian)目前僅支援作為在 Red Hat Enteprise Virtualization for PowerPowerVM hypervisor 下的 KVM 客座。
[3] 請注意 Red Hat Enterprise Linux 7.2 支援 IBM zEnterprise 196 或是更新的硬體;IBM System z10 大型主機系統已不再受到支援,並且將無法啟動 Red Hat Enterprise Linux 7.2。

部 I. 新特性

本節描述了 Red Hat Enterprise Linux 7.2 裡的新特性與主要加強功能。

章 2. 身份認證

ca-certificate 重訂基底為版本 2.4

ca-certificates 套件已升級為上游版本 2.4,它提供了針對先前版本的數項錯誤修正和功能增強。值得注意的是,ca-certificates 進行了下列修正:
Mozilla 先前移除了數個包含 1024-bit RSA 金鑰的舊式 CA 憑證的信任。這版本的 ca-certificates 套件修正了 Mozilla 清單,以就預設值保留這些舊式 CA 憑證的信任。這些修正主要是要確保與既有 PKI 建置和基於 OpenSSL 或 GnuTLS 的軟體的相容性。
ca-certificates 套件現在也包含了ca-legacy 指令,它可被用來停用提及的相容性修改。欲取得更多有關於如何使用這項指令的相關資訊,請參閱 ca-legacy(8) man page。
建議嘗試停用舊式修改的使用者參閱知識庫文件 1413643,此文件提供了有關於這些修正、以及停用它們時所可能發生的潛在問題的相關資訊。
請注意,若要使用 ca-legacy 指令,您必須要能使用統一的 CA store。若要學習如何啟用統一的 CA store,請參閱 update-ca-trust(8) man page。

單向信任關係支援

Identity Management 現在允許使用者透過執行 ipa trust-add 指令來配置一項單向的信任關係。

openldap 已重訂基底為版本 2.4.40

openldap 套件已升級為上游版本 2.4.40,它針對先前版本提供了數項錯誤修正和一項功能增強。值得注意的是,ORDERING 比對規則已新增至 ppolicy 屬性類型詳述。修正過的錯誤包含了:當處理 SRV 紀錄時,伺服器已不再會非預期地終止,並且遺失的 objectClass 資訊已被加入,這能讓使用者以標準方式修改前端配置。

SSSD 中的快取認證

現在即使在線上模式,SSSD 也能在不嘗試重新連線的情況下針對於快取進行認證。重複針對網路伺服器直接進行認證可能會造成過度的應用程式遲緩,這可能會使登錄程序耗費大量時間。

SSSD 會在個別客戶端上啟用 UID 與 GID 對映

現在能在特定 RHEL 客戶端上,藉由使用 SSSD 透過客戶端配置來將使用者對映至不同的 UID 和 GID。這項客戶端置換能力能解決 UID 和 GID 重複所造成的問題。

SSSD 現在已可拒絕被鎖定之帳號的 SSH 存取

之前,SSSD 使用 OpenLDAP 作為身份辨識的資料庫時,使用者可以使用 SSH 金鑰成功通過身份認證,即使使用者帳號被鎖定亦然。ldap_access_order 參數現在接受 ppolicy 值,使得上述情況發生時,會拒絕 SSH 存取。欲知使用 ppolicy 的詳情,請參閱 ldap_access_order sssd-ldap(5) man page。

sudo 工具程式現在已能驗證指令的校驗碼

sudo 工具程式的配置現在已能儲存一項被允許的指令或是 script 的校驗碼(checksum)。當該指令或 script 再次執行時,校驗碼會被拿來與儲存的校驗碼做比較,以驗證是否無變更。若指令或 binary 遭到修改,sudo 工具程式將會拒絕執行指令或紀錄一則警告。這項功能能在發生事件時,正確轉移責任與解決問題的活動。

SSSD 智慧卡支援

SSSD 現在已支援智慧卡以進行本機認證。透過這項功能,使用者能藉由基於文字或圖形化的主控台介面,以及例如 sudo 服務一般的本機服務以使用智慧卡來登錄系統。使用者可將智慧卡插入讀取器,並在登錄提示中提供使用者名稱與智慧卡的 PIN。若智慧卡上的憑證已通過驗證,使用者便能成功通過認證。
請注意,SSSD 目前無法讓使用者透過智慧卡取得 Kerberos 票證。若要取得 Kerberos 票證,使用者還是需要使用 kinit 工具程式來進行認證。

多憑證設定檔支援

Identy Management 現在已支援多重設定檔以發出伺服器憑證和其它憑證,而不僅是支援單伺服器憑證設定檔。這些設定檔儲存在憑證系統(Certificate System)中。

密碼保存庫

這項新功能可以將私密使用者資訊(例如密碼以及已加入到 Identity Management 中的金鑰)存放在一個安全的中央儲存位置中。密碼保存庫(Password Vault)建置於公共密鑰基礎結構(PKI,Publica Key Infrastructure)金鑰還原認證中心(KRA,Key Recovery Authority)子系統上。

Identity Management 中的 DNSSEC 支援

透過 DNS 提供的 Identity Management 現在支援了 DNS Security Extension(DNSSEC),這是一組 DNS 的延伸功能,它能提升 DNS 協定的安全性。Identity Management 伺服器上的 DNS zone 能透過使用 DNSSEC 自動簽署。加密金鑰會自動產生和輪換。
建議希望透過 DNSSEC 來保護其 DNS zone 的使用者詳讀並依照下列文件進行:
DNSSEC 操作實務第二版:http://tools.ietf.org/html/rfc6781#section-2
DNS 防護建置指南:http://dx.doi.org/10.6028/NIST.SP.800-81-2
請注意,以 DNS 提供的 Identity Management 會使用 DNSSEC 來驗證從其它 DNS 伺服器取得的 DNS 回應。這可能會影響未根據《RHEL 網路指南》中所詳述的命名方式進行配置的 DNS zone 的可用性。

Identity Management 中的 Kerberos HTTPS 代理伺服器

金鑰分發中心(KDC,Key Distribution Center)代理伺服器功能與 Microsoft Kerberos KDC Proxy Protocol(MS-KKDCP)實作的互操作性現在在 Identity Management 中已可使用,並允許客戶端透過使用 HTTPS 來存取 KDC 和 kpasswd 服務。系統管理員現在已可藉由一個基本的 HTTPS 反向代理伺服器,來在其網路邊緣(network edge)開放代理伺服器,而無需設定和管理專屬的應用程式。

快取項目的背景更新

SSSD 現在已允許快取項目在背景中進行頻外(out-of-band)更新。之前,快取項目的有效性過期時,SSSD 會從遠端伺服器擷取這些快取項目,並將它們重新儲存在資料庫中,這可能會耗費許多時間。透過這次更新,項目能即時回傳,因為它們會在後端中被維持在最新狀態下。請注意,這會增加伺服器的負載,因為 SSSD 會定時下載這些項目,而不是只有被請求時才會進行下載。

快取 initgroups 作業

SSSD 快速記憶體快取現在支援 initgroups 作業,它提升了 initgroups 處理上的速度,並改善了部分應用程式的效能,例如 GlusterFS 和 slapi-nis

使用 mod_auth_gssapi 來簡化認證的交涉過程

Identity Management 現在使用了 mod_auth_gssapi 模組,該模組使用 GSSAPI 調用來替代先前使用了 mod_auth_kerb 模組的直接 Kerberos 調用。

使用者生命週期管理能力

使用者生命週期管理能讓系統管理員對於啟用與停用使用者帳號上擁有較大幅度的控制權。系統管理員現在已可藉由將新使用者帳號加入到 stage 區域中,而在不完全啟用它們的情況下佈建這些帳號、啟用停用的使用者帳號以讓它們能完整進行作業,或停用使用者帳號,而無需將它們完全從資料庫中刪除掉。
使用者生命週期管理能力能為大型的 IdM 建置帶來許多好處。請注意,使用者亦可直接透過使用直接 LDAP 作業的標準 LDAP 客戶端加入 stage 區域中。先前,IdM 僅支援管理使用了 IdM 指令列工具或 IdM 網站 UI 的使用者。

certmonger 中的 SCEP 支援

certmonger 服務已更新,以支援「簡易憑證註冊通訊協定」(SCEP,Simple Certificate Enrollment Protocol)。現在您已能透過 SCEP 發出新憑證和更新或替換既有的憑證。

新套件:ipsilon

ipsilon 套件提供了 Ipsilon 身份供應服務以進行同盟單次登入(federated single sign-on,SSO)。Ipsilon 連接了認證供應商和應用程式或工具程式以允許使用 SSO。它包含了用來配置基於 Apache 的服務供應商的伺服器與工具程式。
Ipsilon 供應的 SSO 的使用者認證乃針對一個獨立的 Identity Management 系統(比方說一個 Identity Management 伺服器)所進行的。Ipsilon 會透過同盟協定(例如 SAML 或是 OpenID)來與各種應用程式和工具程式進行通訊。

NSS 提高了可被接受的金鑰強度最小值

RHEL 7.2 中的 Network Security Services(NSS)函式庫已不再接受小於 768 位元的 Diffie-Hellman(DH)金鑰交換參數,並且也不接受金鑰大小小於 1023 位元的 RSA 和 DSA 憑證。提高可接受的最小金鑰強度值能避免攻擊者攻擊已知的安全性漏洞,例如 Logjam(CVE-2015-4000)和 FREAK(CVE-2015-0204)。
請注意,現在若嘗試使用一組強度比新的最小值還要弱的金鑰來連上伺服器將會失敗,儘管這樣的連線在先前的 RHEL 版本中可行。

nss 和 nss-util 已重訂基底為版本 3.19.1

nssnss-util 套件已升級為上游版本 3.19.1,它針對先前版本提供了數項錯誤修正和功能增強。值得注意的是,這項更新能讓使用者升級至 Mozila Firefox 38 Extended Support Release 並避免攻擊者攻擊 Logjam 安全性漏洞 CVE-2015-4000。

IdM 的 Apache 模組現在已完整受到支援

下列用於身份管理(IdM)的 Apache 模組,已作為技術預覽新增在 RHEL 7.1 中,並且受到完整支援:mod_authnz_pammod_lookup_identity 以及 mod_intercept_form_submit。這些 Apache 模組可被外部應用程式使用,以提供不限於基本認證的 IdM 緊密互動。

章 3. 叢集

systemd 和 pacemaker 現在在系統關閉時已能正確協調

先前,systemd 和 pacemaker 在系統關閉時無法正確進行協調,這造成了 pacemaker 資源無法正常終止。經過了這項更新,pacemaker 會被命令在 dbus 以及 pacemaker 所啟用的其它 systemd 服務之前停止。這能讓 pacemaker 與其管理的資源能夠正常關閉。

pcs resource movepcs resource ban 指令現在已會顯示一則警告訊息以釐清指令的行為。

pcs resource move 指令和 pcs resource ban 指令能建立位置限制以有效禁止資源在目前的節點上執行,直到這項限制被移除或直到限制的有效時間經過。使用者先前並不清楚這項特性。這些指令現在會顯示一則警告訊息解釋此行為,並且這些指令的協助畫面與相關文件亦已釐清。

將 Pacemaker 資源移至其偏好的節點上的新指令

當一項 Pacemaker 資源移動時(因為容錯移轉或因為管理員手動移動節點)即使在造成容錯移轉發生的情況被修正過後,它也不一定會移回其原始的節點上。您現在可使用 pcs resource relocate run 指令來將資源移至其偏好的節點上(以目前叢集狀態、限制、資源位置與其它設定而定)。您亦可使用 pcs resource relocate show 指令來顯示已遷移的資源。欲取得更多有關於這些指令的相關資訊,請參閱《High Availability 外掛程式參考指南》。

支援用來轉換和分析叢集配置格式的叢集指令

clufter 指令提供了一項工具以用來轉換與分析叢集配置格式。clufter 指令可被使用來協助由較舊的堆疊配置遷移至較新、利用了 Pacemaker 的配置。欲取得有關於 clufter 指令功能上的相關資訊,請參閱 clufter(1) man page 或 clufter -h 指令的輸出。

章 4. 編譯器與工具

tail --follow 現在已能正常搭配 Veritas Clustered 檔案系統(VXFS)上的檔案使用

Veritas Clustered file system(VXFS)是個遠端檔案系統,對於遠端檔案系統,tail 無法使用 '--follow' 模式的 'inotify' 功能。Veritas Clustered 檔案系統現在已被新增至遠端檔案系統清單中,並且使用了輪詢模式來取代 'inotify'。現在即使用於 VXFS 上的檔案,tail --follow 也可正常運作。

dd 指令現在已能顯示傳輸進度

用來以位元組為單位複製檔案的 dd 指令現在已提供了 'status=progress' 選項來顯示傳輸進度。這對於傳輸大型檔案來說特別有幫助,因為它允許使用者估計剩餘的時間,並偵測傳輸上的潛在問題。

改善了 libcurl 的等待時間

libcurl 函式庫對於無有效檔案描述元的動作使用了不必要的長時間阻斷延遲,儘管是較短的作業亦然。這代表某些動作(例如使用 /etc/hosts 來解析主機名稱)會花上一段長時間來完成。libcurl 中的阻斷碼(blocking code)現在已經過修正,而初始延遲已縮短,並且會逐漸增長直到一項事件發生。高速的 libcurl 作業現在已能更快速完成。

libcurl 函式庫現在會實作一個非阻塞式的 SSL handshake

先前,libcurl 函式庫並不會實作一項非阻斷式的 SSL handshake,這對基於 libcurl multi API 的應用程式的效能會產生負面影響。若要解決這項問題,非阻斷式的 SSL handshake 已實作於 libcurl 中,並且 libcurl multi API 現在在無法讀取來自於基礎網路 socket 的資料、或無法將資料寫入基礎網路 socket 時,便會即刻將控制權傳回至應用程式。

IBM Power Systems 上的 GDB 現在存取符號表時已不會失效

先前,64 位元 IBM Power Systems 上的 GDB 會錯誤取消一項重要變數的分配(這項變數提供了將被除錯的二進位檔的符號表),這會造成 GDB 在嘗試存取該符號表時產生區段錯誤(segmentation fault)。為了解決這項問題,這項特定變數已被設為永續性,而 GDB 現在已能在除錯 session 進行時存取必要的資訊,並且不會讀取到無效的記憶體區域。

nscd 已更新並會自動載入配置資料

這項 Name Server Caching Daemon(nscd)更新為 nscd 配置檔案新增了基於 inotify 的監控系統和基於數據的備份監控,如此一來 nscd 現在便能正確偵測到其配置上的變更並載入資料。這能避免 nscd 回傳資料失效(stale data)。

dlopen 函式庫功能已不會在遞迴調用的情況下當機

先前,dlopen 函式庫功能中的一項缺失會造成對於這項功能的遞迴調用當機或退出並回傳函式庫判斷提示。若使用者提供的 malloc 實作調用 dlopen 的話,遞迴調用便可能會成功。
這項實作現在已可重新進入,並且遞迴調用已不再會當機或退出並回傳判斷提示。

operf 工具現在已能辨識靜態的巨型分頁的識別碼

先前,當在巨型分頁已啟用的情況下分析 Java just-in-time(JIT)所編譯的程式碼之效能時,OProfile 的 operf 指令會將大量事件範本紀錄到匿名記憶體中(anon_hugepage 裡)而非至適當的 Java method 中。透過這項更新,operf 能辨識靜態巨型分頁的識別碼,並在使用靜態分配的巨型分頁時,正確將範本映射至 Java method 上。

rsync -X 指令現在已能正確運作

先前,rsync 工具會在設定安全性屬性之後(而不是之前)改變檔案擁有權。因為如此,目標的安全性屬性會遺失,而在特定情況下執行 rsync -X 指令會無法正常運作。透過了這項更新,作業的順序已被調換,並且 rsync 現在會在設定安全性屬性之前更改擁有權。因此,安全性屬性會在先前描述的情況下,按照預期地顯示。

Subversion 可執行檔現在已透過完整的 RELRO 資料建置

透過 subversion 套件供應的可執行檔現在已組建了完整唯讀的重定位資料(RELRO),這針對部分類型的記憶體損毀攻擊提供了相關保護。因此,未來就算發現了漏洞,要成功入侵 Subversion 也會相當困難。

TCL 中的執行緒延伸現在已能正常運作

先前,工具指令語言(Tool Command Language,TCL)中的執行緒支援並未最佳化實作。若 fork() 調用與在 TCL 解譯器中啟用的執行緒延伸(thread extension)搭配使用的話,這項程序可能會停止反應。因此,TCL 解譯器和 TK 應用程式先前是在停用執行緒延伸的情況下提供的。然而也因為如此,先前依賴搭配了執行緒的 TCL 或 TK 的第三方應用程式無法正常運作。目前已有一項修補程式被實作來修正這項錯誤,並且 TCL 和 TK 現在就預設值已啟用了執行緒延伸。

章 5. 桌面系統

GNOME 3.14

GNOME Desktop 已被升級為上游版本 3.14,並且包含了新功能及數項功能增強。其中包含了:
已針對 Wayland 視窗化協定新增了數項功能,包括鍵盤配置、觸控螢幕支援、拖放功能支援、功能內容選單、工具提示及下拉式方塊、高解析度顯示支援,以及視窗移動和重設大小功能。
Multitouch gestures(多觸控手勢)現在已能被使用於觸控螢幕進行系統和應用程式瀏覽。Gestures 可被用來開啟「活動總覽」、「應用程式檢視」以及「訊息匣」或可被使用來切換應用程式和工作空間。
GNOME 3.14 提供了改善的 Wi-Fi hotspots 支援。當連上一個需要認證的 Wi-Fi 入口網站時,做為連線程序的一部分,GNOME 現在將會自動顯示登錄網頁。
個人的 File Sharing (WebDAV)Media Sharing (DLNA)Screen Sharing (VNC) 現在已會記得使用者希望它們在哪個網路上啟用。此外,「設定」亦提供了決定在哪個網路上進行共享的控制能力。這項功能可避免在公共位置中共享內容與服務。
當使用數個螢幕時,若顯示器離線並再次連線,GNOME 3.14 現在已能使畫面復原為其原始的位置。
虛擬和遠端機器的 GNOME 應用程式 Boxes 現在提供了 snapshot。此外,Boxes 現在亦提供了自動下載、在獨立視窗中執行數個 box,以及使用者介面改善,包括改善的全螢幕特性和快取縮圖。
GTK+ 3.14 包含了數項錯誤修正與功能增強,例如自動載入資源的選單、GtkListBox 中的多重選擇支援、GtkBuilder 檔案中的內容綁定、支援在一個小工具配置(gtk_widget_set_clip())之外繪圖、GtkStack 中的新轉換類型,以及 GtkSourceView 的檔案載入和儲存。此外,GTK+ 現在已提供了手勢互動上的支援。版本 3.14 上大部份的常見多點觸控手勢皆可使用於 GTK+ 應用程式中,例如輕觸、拖曳、撥動、捏合和旋轉。手勢可透過使用 GtkGesture 來加入到既有的 GTK+ 應用程式中。
GLib 3.14 現在提供了新 MIME Applications Associations Specification 上的支援、GHmac 中的 SHA-512 支援、支援桌面檔案中的實作,以及 unicode 7.0 的支援。
GNOME 的 Help 文件瀏覽器現在已經過重新設計,以達成與其它 GNOME 3 應用程式的一致性。協助畫面現在已使用了表頭工具列、包含了整合式的搜尋功能,以及書籤介面。
Looking Glass Inspector 這個 GNOME Shell Extension 已為開發人員新增了數項功能:檢查一個 namespace 時顯示所有 method、class 等等、物件偵測器歷史擴展、或將 looking glass 的結果複製為字串,並通過事件傳送至 gnome-shell。

ibus-gtk2 套件現在已更新了 immodules.cache 檔案

先前,update-gtk-immodules script 會搜尋一個早已不存在的 /etc/gtk-2.0/$host 目錄。因為如此,ibus-gtk2 套件的 post-installation script 會失敗並退出,而不建立或更新快取。Post-installation script 已更改並將 update-gtk-immodules 替換為 gtk-query-immodules-2.0-BITS,在這之後,問題便不再發生。

章 6. 檔案系統

gfs2-utils 已重訂基底為版本 3.1.8

gfs2-utils 套件已重訂基底為版本 3.1.8,它提供了重要的修正及數項功能增強:
* fsck.gfs2mkfs.gfs2gfs2_edit 工具程式的效能已改善。
* fsck.gfs2 工具程式現在檢查日誌、jindex、系統 inode 以及 inode 的「goal」值的效能已改善。
* gfs2_jaddgfs2_grow 工具程式現在已是獨立的程式,而不是 mkfs.gfs2 的符號連結。
* 測試套件與相關文件已改善。
* 套件現在已不再依賴 Perl。

GFS2 現在會避免使用者超出其配額

先前,GFS2 僅會在作業完成後才會檢查配額上是否有違反限制,這可能會造成使用者或群組超出它們被分配的配額。這項行為已修正,並且 GFS2 現在已能預期一項作業會被分配到多少區塊,並檢查將它們分配出去是否會違反配額限制。會違反配額限制的作業將不會被允許,因此使用者永不會超出他們所被分配的配額。

XFS 已重訂基底為版本 4.1

XFS 已升級為上游版本 4.1,並包含了小幅錯誤修正、重構、重新進行特定內部機制的作業(例如日誌、pcpu 會計)以及新的 mmap 鎖定。除了上游變更之外,這項更新亦延伸了 rename() 函示以增加 cross-rename(rename() 的對稱變體)和 whiteout 的處理。

ext4 和 jbd2 升級

ext4 和 jbd2 裝置已升級為最新的上游版本,它提供了針對於先前版本的數項錯誤修正及功能增強。

cifs 已重訂基底為版本 3.17

CIFS 模組已升級為上游版本 3.17,這為 Server Message Block 2 和 3(SMB2 和 SMB3)提供了各種小幅修正和新功能。

章 7. 一般更新

lftp 現在已能正確處理 302 重定向

lftp 已更新並能在執行於鏡像模式中的時候,正確處理 302 重定向。先前,lftp 會停止並回傳錯誤。

新增了更多 sosreport 的診斷資訊以及重新命名的外掛程式

sosreport 工具已被啟用來從各種應用程式蒐集程序相關的資訊,這包含了 ptp、lastlog 以及 ethtool。經過這項變更,startup 外掛程式已被重新命名為 services,以使其作用易於辨別。

章 8. 安裝和開機

修正了在 Kickstart 中提供網路配置時的 initrd 中的網路設定

先前,若介面卡已定義於 Kickstart 檔案中,安裝程式將無法在 initrd 中設定或重新配置這些網路介面卡。若 Kickstart 檔案中的其它指令需要網路存取,這就可能會造成安裝程序失敗並進入緊急模式。
這項問題現在已解決,Anaconda 現在已能在初期開機程序進行時正確處理 initrd 中,來自於 Kickstart 檔案的網路配置。

Anaconda 現在已支援建立快取邏輯卷冊

安裝程式現在已支援建立快取 LVM 邏輯卷冊,並將系統安裝至這些卷冊上。
目前,這項作法僅支援於 Kickstart 中。若要建立快取邏輯卷冊,請使用 logvol Kickstart 指令的新選項:--cachepvs=--cachesize=--cachemode=
欲取得這些新選項上的詳細資訊,請參閱《Red Hat Enterprise Linux 7 安裝指南》。

改善了 GRUB2 開機選單的排序

有項 grub2-mkconfig 指令所使用的排序機制問題可能會造成 grub.cfg 配置檔案產生時包含錯誤的 kernel 排序。
GRUB2 現在使用了 rpmdevtools 套件來排序可用的 kernel,並且配置檔案將能正確產生並將最新的 kernel 列在清單頂部。

Anaconda 現在已能在磁碟選項受到變更時,正常復原磁碟動作

先前,當磁碟選項受到更改時,Anaconda 和 Blivet 無法正確還原排程在這些磁碟上的動作,這造成了些許問題。透過這項更新,Anaconda 已修正並能建立原始儲存配置的 snapshot,然後在磁碟選項受到變更之後返回,並完整還原所有原先為這些磁碟排程的動作。

改善了 device-mapper 磁碟名稱上的偵測

先前發行的 Red Hat Enterprise Linux 7 版本中,若在先前包含了 LVM 邏輯卷冊的磁碟上進行安裝,而這些卷冊 metadata 若還存在的話,安裝程式可能會當機。安裝程式無法識別正確的 device-mapper 名稱,而建立新 LVM 邏輯卷冊的程序將會失敗。
用來取得 device-mapper 裝置名稱的方式已更新,而現在在包含既有 LVM metadata 的磁碟上進行安裝也變得更為可靠了。

修正了 PReP Boot 在磁碟分割進行時的處理

在某些情況下,IBM Power System 上的 PReP Boot 分割區可能會在進行自訂磁碟分割時被設為無效的大小。在此情況下,請移除造成安裝程式當機的所有分割區。
anaconda 中現在已實作了檢測程式以確保分割區大小會正確介於 4096 KiB10 MiB 之間。此外,您已無需再更改 PReP Boot 分割區順序的格式,以更改其大小。

RAID1 裝置上的 EFI 分割區

EFI 系統分割區現在已能建立於 RAID1 裝置上,這是為了能在開機磁碟失效時啟用系統還原。然而,當 Boot####BootOrder 以及韌體所找到的 ESP 卷冊已損毀,不過卻依然顯示為有效的 ESP 時,則開機順序將不會被自動重建。然而,系統還是應手動式由第二個磁碟啟動。

文字模式安裝程序已不會再網路配置進行時當機

先前,在互動式的文字安裝程式中的「網路配置」畫面中,指定 nameserver 時使用空格將會造成安裝程式當機。
Anaconda 現在已能在文字模式中正確處理 nameserver 定義中的空格,而安裝程式也不再會因為使用空格來區隔 nameserver 位址而當機。

IBM System z 上的救援模式畫面現在已不再會被切掉

先前,在 IBM System z 伺服器上的救援畫面中的第二與第三個畫面無法正確顯示,並且部分的介面被切掉。此架構上的救援模式已經過改善並且所有畫面現在都已能正常使用。

Anaconda 中的 OpenSCAP 外掛程式

現在已能在進行安裝程序時套用 Security Content Automation Protocol(SCAP)內容。這項新的安裝程式外掛提供了可靠與容易的方式,以在不需要自訂 script 的情況下,配置安全性政策。
此外掛提供了一個新的 Kickstart 部分("%addon org_fedora_oscap")以及在進行互動式安裝程序時的一個新畫面。這三個部分皆記載於《RHEL 7 安裝指南》中。
在進行安裝時套用安全性政策,將會在安裝進行時或進行後即刻使各種變更生效,這也根據您所啟用的政策為何。若選擇了一個設定檔,openscap-scanner 套件(這是個 OpenSCAP 相容的掃描工具)會被加入到您的套件選項中,並且當安裝完成後,將會進行一項相容性掃描。這項掃瞄的結果將會被儲存到 /root/openscap_data 中。
scap-security-guide 套件在安裝媒介上提供了數個設定檔。您亦可視需求從一個 HTTP、HTTPS 或 FTP 伺服器來載入其它內容作為資料串流、封存檔案或是 RPM 套件。
請注意,套用安全性政策並非在所有系統上都是必要的。您只應該在您組織規定使用特定政策時,或是當政府機關規定時使用此外掛程式,否則您可將此外掛程式維持預設狀態,也就是不套用任何安全性政策。

Anaconda 已不會在等待 CD 或 DVD 上的 Kickstart 檔案時逾時

先前,若 Anaconda 被配置來透過 inst.ks=cdrom:/ks.cfg 指令載入一個來自於光碟媒介的 Kickstart 檔案,而系統也是透過 CD 或 DVD 開機時,安裝程式會等待一段短暫的時間,直到您切換磁碟。就預設值這段時間較短 — 僅 30 秒。在經過了這段時間後,系統便會進入緊急模式。
Anaconda 已被修正並且永不會在等待使用者提供 CD 或 DVD 上的 Kickstart 檔案時逾時。若使用了 inst.ks=cdrom 開機選項,而 Kickstart 檔案未被偵測到,Anaconda 將會顯示一則提示,並等待使用者提供檔案或重新開機。

章 9. Kernel

SHMMAX 與 SHMALL kernel 參數已復原為預設值

先前,設置於 /usr/lib/sysctl.d/00-system.conf 檔案中的 kernel.shmmaxkernel.shmall 參數的值過低。基於如此,部分應用程式(例如 SAP)無法正常運作。這項不適用的值已被移除,現在所使用的是足夠高的 kernel 預設值。

THP 已不再會造成記憶體損毀

THP(通透型巨型分頁,Transparent huge page)先前在進行讀取和寫入作業時無法正確同步化。在某些情況下當 THP 啟用時,會造成記憶體損毀。記憶體屏障已加入 THP 處理中,因此這項記憶體損毀的問題將不會再發生。

SCSI LIO 重訂基底

CSI kernel 目標 LIO 已從 Linux-4.0.stable 重設基底。這包含了許多錯誤修正,最主要乃針對於 iSER,不過同時也新增了 XCOPY、WRITE SAME 以及 ATS 指令上的支援;以及 DIF 資料整合性支援。

makedumpfile 現在支援了新的 sadump 格式,以表示達 16 TB 的實體記憶體

makedumpfile 指令現在已支援新的 sadump 格式,並且已能表示超過 16 TB 的實體記憶體空間。這能讓 makedumpfile 的使用者讀取特定新伺服器型號上的 sadump 所產生、超過 16 TB 的傾印檔案。

現在在移除或升級 kernel 時,已不再會顯示一則警告

kmod 所使用來管理 kABI 相容的模組符號連結的 weak-modules script 先前在移除與 kernel 相聯的檔案時,會將 /lib/modules/<version>/weak-updates 目錄移除。這目錄是由 kernel 套件所擁有,將它移除會造成檔案系統與 rpm 所預期的狀態之間產生不一致的情況。這會使得 kernel 每次升級或移除時,皆會出現一則警告。
這個 script 已更新並會移除 weak-updates 目錄的內容,但會保留目錄本身,而警告已不會再出現。

新套件:libevdev

libevdev 是個 Linux Kernel 輸入事件裝置介面的低層函式庫。它提供了安全的介面以查詢裝置能力,和處理來自於裝置的事件。目前版本的 xorg-x11-drv-evdev 和 xorg-x11-drv-synaptics 需要依賴此函式庫。

Tuned 現在能在 no-daemon 模式下執行

先前,Tuned 僅能作為一項 daemon 執行,但因為 Tuned daemon 的記憶體佔位空間(footprint)的關係,這可能會影響小型系統的效能。透過這項更新,Tuned 加入了一個不需要任何駐存記憶體的 no-daemon(one shot)模式。no-daemon 模式就預設值會被停用,因為 Tuned 大部份的功能在此模式中皆無法使用。

新套件:tuned-profiles-realtime

tuned-profiles-realtime 套件已新增至 Red Hat Enterprise Linux Server 和 Red Hat Enterprise Linux for Real Time 中。它包含了一個即時的設定檔以供 tuned 工具程式使用來執行 CPU 隔離與 IRQ 調整。當設定檔啟用後,它便會讀取一個含有變數的部分(這部分指定了欲隔離的 CPU)並移動所有可能會從這些 CPU 核心上移除的執行緒。

使用 blk-mq 進行多佇列 I/O 排程

RHEL 7.2 為區塊裝置新增了一項多重佇列 I/O 排程機制,其名稱為 blk-mq。它可藉由允許特定裝置驅動程式將 I/O 請求對映至多重硬體或軟體佇列,以改善效能。這項效能改善來自於減少多重執行緒對單一裝置執行 I/O 時所產生的鎖定爭用(lock contention)。較新的裝置(例如非揮發性記憶體,NVMe)最能夠有效善用這項功能,這是基於其對於多重硬體提交和完成佇列的原生支援,以及其低延遲的效能特性。取得的效能提升將一如往常視確切硬體和負載而定。
現在以下驅動程式已納入 blk-mq 功能,預設上為啟用:virtio-blkmtip32xxnvme 以及 rbd
scsi-mq 這項相關的功能能讓小型電腦系統介面(Small Computer System Interface,SCSI)裝置驅動程式使用 blk-mq 基礎結構。scsi-mq 功能乃 RHEL 7.2 中的技術預覽。若要啟用 scsi-mq,請在 kernel 指令列上指定 scsi_mod.use_blk_mq=y。預設值為 n(停用)。
DM multipath 目標使用了以要求為主的 DM,也可以配置給 blk-mq 基礎架構使用,前提是要指定 dm_mod.use_blk_mq=y kernel 選項。預設值為 n(停用)。
如果底層的 SCSI 裝置也使用 blk-mq 的話,設定 dm_mod.use_blk_mq=y 會有好處,因為這可以降低 DM 層的鎖定負荷。
若要判斷 DM multipath 在一部系統上是否有使用 blk-mq,請 cat /sys/block/dm-X/dm/use_blk_mq 這個檔案,dm-X 代表您所指定的 DM multipath 裝置。這個檔案乃唯讀並且將反映 /sys/module/dm_mod/parameters/use_blk_mq 中,基於請求的 DM multipath 裝置被建立當時的全域值。

SCSI 錯誤訊息現在已能正常解譯

之前,kernel 改用了 printk() 函式,導致 SCSI 錯誤訊息會寫入多行。因此,如果多個裝置發生了多項錯誤,就難以正確解讀錯誤訊息。此次更新改變了 SCSI 的錯誤紀錄碼,使用 dev_printk() 選項,能把錯誤訊息與產生錯誤的裝置建立關連。

libATA 子系統和驅動程式已更新

這項功能增強更新提供了數項錯誤修正及 libATA 子系統和驅動程式的功能增強。

FCoE 和 DCB 已升級

FCoE 與 DCB(資料中心橋接,Data Center Bridging)kernel 元件已經升級至最新的上游版本,與之前的版本比起來,修正了幾個 bug、提供了幾項加強功能。

perf 已重訂基底為版本 4.1

perf 套件已經升級至上游版本 4.1,與之前的版本比起來,修正了數個效能與穩定性的問題,並提供了幾個加強功能。值得注意的是,這次升級新增了 Intel Cache QoS 監控功能與 AMD IBS Ops 功能,對 Intel Xeon v4、壓縮的 kernel 模組、參數化事件、以及指定臨界點長度提供了支援。除此之外,perf 業已加入多種選項,如 --system-widetop -ztop -wtrace --filter-pids 以及 trace --event 選項。

TPM 2.0 支援

這項更新為與版本 2.0 相容的 Trusted Platform Module(TPM)裝置新增了驅動程式等級的支援。

Turbostat 現在已會提供正確的輸出

先前,turbostat 工具會藉由讀取 cpu0(而不是 cpu)的 /dev/cpu/0/msr 檔案來偵測系統是否支援 MSR 裝置。也因為如此,停用 CPU 會讓 CPU 能藉由 turbostat 的輸出被偵測到。這項錯誤已修正,並且執行 turbostat ls 指令現在已會回傳正確的輸出。

Intel Xeon v5 處理器支援

這項功能增強為 turbostat 工具新增了 Intel Xeon v5 處理器上的支援。

zswap 工具利用了 zpool API

先前,zswap 工具直接使用了 zbud,這是一項會將壓縮分頁以 2:1(當完整時)比例儲存的儲存集區。這項更新包含了 zpool API,它提供了 zbud 或 zsmalloc 集區的存取能力:zsmalloc 會利用較高的密度來儲存壓縮分頁,以從高度壓縮的分頁取得更多的記憶體。在這項更新中,zsmalloc 已被升階為 /mm 驅動程式,如此一來 zpool 便能依照預期地運作。

/proc/pid/cmdline 的檔案長度現在已無限制

之前 /proc/pid/cmdlineps 的檔案長度限制為 4,096 個字元,這已經寫死在 kernel 裡。此次更新確定了 /proc/pid/cmdline 的長度沒有限制,這在使用包含多個引數的長指令時,非常有用。

現在已提供了 dma_rmb 和 dma_wmb 的支援

此次更新引介了兩個新的先佔式之快取 / 記憶體讀寫工具:dma_wmb()dma_rmb()。這功能能用在驅動程式中。

章 10. 網路

現在 SNMP 會在 IPv6 上正確遵循 clientaddr 指示

之前,snmp.conf 中的 clientaddr 選項只會影響 IPv4 上向外發送的訊息。這次更新後,向外的 IPv6 訊息會從 clientaddr 所指定的介面正確發送訊息。

tcpdump 支援 -J、-j 與 --time-stamp-precision 選項

由於 kernel、glibc 與 libpcap 提供了 API 以取得以毫秒為單位的時間戳記,tcpdump 也隨之更新以使用這功能。現在使用者可以查詢哪個時間戳記來源可用(-J)、設定特定的時間戳記來源(-j)並使用特定的解析方式來請求時間戳記(--time-stamp-precision)。

TCP/IP 升級

TCP/IP 堆疊已經升級至上游版本 3.18,跟之前的版本比起來,修正了多個 bug、提供了多種加強功能。最顯著的,是這項更新修正了 TCP 的快速開啟延伸功能,現在在使用 IPv6 的時候,會如預期運作。除此之外,這項更新也提供了對於選用的 TCP autocorking 與 DCTCP(資料中心 TCP)的支援。

章 11. 伺服器與服務

ErrorPolicy 指示已驗證

之前在啟動時,ErrorPolicy 配置指示並未驗證,也可能會在沒有警告的情況下,使用了預設的錯誤政策。現在在啟動時會驗證這指示,如果配置值不正確的話,會回復至預設值。屆時會使用正確的政策,或紀錄警告訊息。

現在預設上 CUPS 會停用 SSLv3

之前要在 CUPS 排程程式中停用 SSLv3 加密功能是不可能的任務,這會導致駭客通過 SSLv3 進行攻擊。要解決這問題,cupsd.conf SSLOptions 關鍵字多了兩個新選項:AllowRC4AllowSSL3,每個都能啟用 cupsd 中的命名功能。新選項也可以透過 /etc/cups/client.conf 檔案進行支援。現在預設值為停用 cupsd 的 RC4 與 SSL3。

現在 CUPS 的印表機名稱支援底線符號

現在 cups 服務能讓使用者將底線符號(_)放入本地印表機的名稱中。

已移除 tftp-server 套件不需要的相依性

之前,安裝 tftp-server 套件時,預設上會一併安裝另一個額外套件。此次更新已移除這多餘的相依性套件;同時預設上安裝 tftp-server 時,也不會安裝此額外套件。

已移除過時的 /etc/sysconfig/conman 檔案

引入 systemd 管理員之前,可在 /etc/sysconfig/conman 檔案中配置多種服務限制。遷移至 systemd 之後,系統就不再使用 /etc/sysconfig/conman,因此便將其移除。要設定限制與 daemon 的其它參數,例如 LimitCPU=LimitDATA=LimitCORE=,請編輯 conman.service 檔案。欲知更多詳情,請參閱 systemd.exec(5) 的 man page。除此之外,systemd.service 檔案已加入 LimitNOFILE=10000 參數。預設上這變數是被加上註解符號的。請注意,對 systemd 配置做出任何改變之後,必須執行 systemctl daemon-reload 指令,好讓改變生效。

章 12. 儲存裝置

multipath.conf 檔案增加 delay_watch_checksdelay_wait_checks 選項

當路徑不可靠時(比方說連線時常斷線),multipathd 還是會繼續嘗試使用該路徑。multipathd 會在經過 300 秒之後才會斷定路徑已無法存取,這可能會使 multipathd 看似停止運作。
為了修正此問題,兩項新配置選項已被新增:delay_watch_checks 和 delay_wait_checks。請將 delay_watch_checks 設為 multipathd 啟用後,監控路徑的循環次數。若該路徑在指定的值之內無效的話,multipathd 便不會使用它。multipathd 接著便會藉由 delay_wait_checks 選項,告知它必須經過幾次的連續循環,路徑才會再次生效。這可避免低信賴度的路徑一連上線時便馬上被使用。

在 multipath.conf 檔案中新增了 config_dir 選項

原先,使用者無法將他們的配置分佈在 /etc/multipath.conf 與其它配置檔案之間。這造成使用者無法為他們的所有機器設定一個主要配置檔案,並在另一個獨立的配置檔案中為各機器保留機器特屬的配置資訊。
為了解決這項問題,有項新的 config_dir 選項已新增至 multipath.config 檔案中。使用者必須將 config_dir 選項更改為空白字串或完整目錄路徑名稱。當設為空白字串以外的格式時,multipath 將會以字母順序讀取所有 .conf 檔案。它接著會套用配置,如被新增至 /etc/multipath.conf 一般。若未進行此變更,config_dir 便會預設為 /etc/multipath/conf.d。

DM 升級

DM(Device Mapper)已更新至上游版本 4.0,並修正了一些錯誤、增強了若干功能,包括顯著的 DM 加密效能的更新,以及 DM 核心的更新,以支援多佇列 blk-mq(區塊 I/O 佇列機制,Block I/O Queueing Mechanism)。

新的 dmstats 指令可以顯示、管理使用 device-mapper 驅動程式的裝置之使用者定義區域的 I/O 統計數據

dmstats 指令提供了 device-mapper I/O 統計資料對使用者空間的支援。這能讓使用者建立、管理、回報 device-mapper 裝置的隨意區域之 I/O 計數器、數據、與延遲長方圖資料。現在統計欄位可以在 dmsetup 報告中找到,dmstats 指令會新增專用的回報模式,設計給統計資訊使用。欲知 dmstats 指令的詳細資訊,請參閱 dmstats(8) 的 man page。

在特定硬體上支援 DIX

RHEL 7.2 僅在以下 HBA 與儲存陣列上 — 但無法在自 SAN 環境中用以啟動的 LUN 上 — 完整支援 SCSI T10 DIX。除此之外,在 RHEL 7 中,T10 DIX 僅支援原生硬體,無法在虛擬客座端上執行。
* EMULEX LPe16000/LPe16002
* QLOGIC QLE2670/QLE2672
* FUJITSU ETERNUS DX100 S3
* FUJITSU ETERNUS DX200 S3
* FUJITSU ETERNUS DX500 S3
* FUJITSU ETERNUS DX600 S3
* FUJITSU ETERNUS DX8100 S3
* FUJITSU ETERNUS DX8700 S3
* FUJITSU ETERNUS DX8900 S3
* FUJITSU ETERNUS DX200F
* FUJITSU ETERNUS DX60 S3
在其它 HBA 與儲存陣列上支援 DIX,依舊屬於技術預覽版。
請注意,T10 DIX 需要資料庫或其它軟體,提供產生、驗證磁碟區塊校驗碼的功能。目前受到支援的 Linux 檔案系統都沒有此功能。

LVM 快取

RHEL 7.1 開始就已完整支援 LVM 快取。這功能允許使用者透過又小又快速的裝置,作為又大、又慢的裝置之快取,以建立 LV(邏輯卷冊)。關於建立快取 LV 的資訊,請參閱 lvmcache(7) 的 man page。
請注意,使用快取 LV 有以下限制:
* 快取 LV 必須是最上層的裝置,不能用作精簡集區 LV、RAID LV 的映像檔、或任何其它子 LV 類型。
* 快取 LV 與子 LV(原始 LV、metadata LV 與資料 LV)只能是線性、磁條或 RAID 類型。
* 快取 LV 建立之後,就無法變更屬性。要改變快取屬性,請移除快取(如 lvmcache(7) 所述),然後用想使用的屬性重建。

新的 LVM/DM 快取政策

在大多數情況下,新的 smq dm-cache 政策可以用來降低記憶體使用量、並改進效能;現在新政策是新 LVM 快取 LV 的預設快取政策。若想使用舊版的 mq 快取政策,請在建立快取 LV 的時候,使用 --cachepolicy 引數。

LVM systemID

現在可以為 LVM VG(卷冊群組)指定擁有者。卷冊群組的擁有者是主機的系統 ID。只有擁有此系統 ID 的主機,才可以使用 VG。這可以讓存於共享裝置上的 VG 獲益,讓多台主機存取;否則的話從多台主機上同步存取時,VG 就不會獲得保護。現在共享裝置上擁有指定系統 ID 的 LVM VG 是由一台主機所擁有,其它主機無法存取。

章 13. 系統與訂閱管理

PowerTOP 支援使用者定義的報告檔名

之前,PowerTOP 會以不清楚、不似文件的方式產生檔名。此次更新後已經有所改進,現在產生的檔名支援使用者所要求的名稱。這適用於 CSV 與 HTML 報告。

yum-config-manager 指令有所修正

之前,執行 yum-config-manager --disable 指令會停用所有已配置的軟體庫,而 yum-config-manager --enable 指令則不會啟用任何軟體庫。這項不一致的問題已經獲得修正。--disable--enable 選項現在需要使用「\*」語法,且 yum-config-manager --enable \* 會啟用軟體庫。如果執行時不加入「\*」,系統會跳出訊息,詢問使用者要執行 yum-config-manager --disable \*yum-config-manager --enable \*,以停用或啟用軟體庫。

yum 的新搜尋外掛程式 search-disabled-repos

yumsearch-disabled-repos 外掛程式已經加入 subscription-manager 套件中。這外掛程式能讓因為來源軟體庫相依於已停用軟體庫、而導致使用者操作失敗的 yum 指令成功完成。在上述例子安裝 search-disabled-repos 後,yum 會顯示暫時啟用已停用軟體庫的指示,然後搜尋先前找不到的相依套件。對/etc/yum/pluginconf.d/search-disabled-repos.conf 檔案做出所需修改之後,yum 就可以繼續運作,已停用的軟體庫會像已啟用一般正常運作。

章 14. 虛擬化

PCI 延展橋接裝置支援額外的 PCI root 匯流排

在 PCI 延展橋接裝置上的匯流排可以與 NUMA 節點相關連(這與 PCI-PCI 橋接裝置不同),允許客座端作業系統辨識接近記憶體與 CPU 的裝置。有了這項升級之後,指定的裝置可以與相對應的 NUMA 節點建立關連,以提升效能。

qemu-kvm 支援虛擬機器的關機追蹤事件

現在已支援對 qemu-kvm 的回溯事件,這及於虛擬機器關機過程;這樣能讓使用者取得詳盡、關於 virsh shutdown 指令或 virt-manager 應用程式所發出的關機需求的客座機器診斷資料。這給使用者更精進的功能來隔離、除錯 KVM 客座端在關機時遇到的問題。

Intel MPX 開放給客座端使用

此次升級後,qemu-kvm 能開放 Intel 的 MPX(記憶體保護延伸指令集,Memory Protection Extension)特性給客座端使用。在支援 MPX 的 Intel 64 主機系統上,為指標參照提供保護的硬體能使用一組延伸指令集。

qemu-kvm 核心萃取客座端記憶體傾印內容

QEMU 已納入 dump-guest-memory.py script,用來在客座端的 kernel 當機時,從 qemu-kvm 核心取得客座端記憶體的傾印內容。欲知詳情,請使用 help dump-guest-memory 指令取得相關說明。

完全支援 virt-v2v

到了 RHEL 7.2,virt-v2v 命令列工具已成為完整支援的版本。這工具會將其它 hypervisor 的虛擬機器轉為 KVM 格式。目前 virt-v2v 可以轉換 RHEL 5 Xen 與 VMware vCenter 的 Linux 與 Windows 客座端。

IBM Power 系統上的虛擬化

AMD64 與 Intel 64 系統上都可執行 RHEL 與 KVM,但 IBM Power 系統則否。目前 Red Hat 為 IBM Power 系統提供了以 POWER8 為基礎的 RHEV(Red Hat 企業版虛擬化方案,Red Hat Enterprise Virtualization)。
關於各種版本的支援與安裝步驟,請參閱此〈知識庫文章〉。

對 VirtIO-1 的支援

Virtio 驅動程式已經更新進 Kernel 4.1,提供對 VirtIO 1.0 裝置的支援。

對 Hyper-V TRIM 的支援

現在可以使用 VHDX(精簡佈建的 Hyper-V 虛擬硬碟,Thin Provisioned Hyper-V virtual hard disk)。這項更新加入新功能,可以縮小底層的微軟 Hyper-V 虛擬機器的 VHDX 檔案至實際大小。

章 15. Red Hat 軟體集

Red Hat 軟體集(Software Collection)是 Red Hat 的內容集,提供一組動態程式語言、資料庫伺服器、以及相關的套件,使用者安裝之後可以用於所有 RHEL 6 與 RHEL 7 支援版本,支援架構為 AMD64 與 Intel 64。
Red Hat 軟體集所提供的動態語言、資料庫伺服器以及其它工具並不會取代或凌駕 RHEL 所提供的工具。Red Hat 軟體集使用了 scl 工具程式的替代套件機制,同時提供多種套件的選擇。這軟體集提供了在 RHEL 上使用替代套件的選項。使用 scl 工具程式後,使用者可在任何時候,選取想要使用的套件版本。
現在 Red Hat 開發工具組(Developer Toolset)是 Red Hat 軟體集的一員。Red Hat 開發工具組專為 RHEL 平台的程式設計師所設計,提供了 GNU 編譯組、GNU Debugger、Eclipse 開發平台,以及其它開發、偵錯、以及效能監控的工具。

重要

Red Hat 軟體集的生命週期比 RHEL 短。欲知詳情,請參閱〈Red Hat 軟體集的生命週期〉一文。
欲知軟體集中的元件、系統需求、已知問題、用法,以及個別軟體的問題,請參閱〈Red Hat 軟體集〉的文件。
欲知軟體集中的元件資訊,及其安裝、用法、已知問題等等,請參閱〈Red Hat 開發工具組〉文件。

部 II. 技術預覽

本節提供了 Red Hat Enterprise Linux 7.2 中所引入、更新的技術預覽之概況。
欲知 Red Hat 技術預覽的更多詳情,請參閱 https://access.redhat.com/support/offerings/techpreview/

章 16. 身份認證

使用 AD 與 LDAP 的 sudo 供給程式

AD 供給程式(Active Directory provider)是用來連接 AD 伺服器的後端。在 RHEL 7.2 中,使用 AD sudo 供給程式並搭配 LDAP 供給程式目前仍是技術預覽功能。要啟用 AD sudo 供給程式,請在 sssd.conf 檔案中的 [domain] 一節裡,加入 sudo_provider=ad 設定。

章 17. 檔案系統

OverlayFS

OverlayFS 是 union 檔案系統的一種,允許使用者將一種檔案系統 overlay(覆蓋)在另一種檔案系統上。所有變更會記錄在上層的檔案系統中,而下層的檔案系統並不會有所改變。這能允許多名使用者共享一個檔案系統映像檔,例如 container 或 DVD-ROM,其中的基礎映像檔是唯讀的。詳情請參閱 kernel 的文件 Documentation/filesystems/overlayfs.txt
在大部分情況下,RHEL 7.2 的 OverlayFS 還是技術預覽版。因此,啟用此技術時,kernel 會記錄警告事件。
在以下限制下與 Docker 合用時,OverlayFS 有完整的支援:
* OverlayFS 只有在作為 Docker 圖形驅動程式時,才受到支援。使用 Overlay FS 僅支援 container COW 內容,而不及於永久性儲存。任何永久性儲存都必須放在非 OverlayFS 的卷冊,才受到支援。使用者只能使用預設的 Docker 配置;也就是說,一層 overlay,一層 lowerdir(底層目錄),同時上下兩層都位於同樣的檔案系統上。
* 底層檔案系統只支援 XFS。
* 必須在實體機器上啟用 SELinux,同時使用強制(enforcing)模式;但進行分離 container 時,必須在 container 上停用,也就是說,/etc/sysconfig/docker 不能包含 --selinux-enabled。SELinux 對 OverlayFS 的支援正由上游開發中,會納入未來的版本。
* OverlayFS kernel ABI(應用程式二進位介面,application binary interface)與 userspace 的行為還不穩定,之後可能會有所改變。
請注意,OverlayFS 提供了 POSIX 標準的限制組。在建置限制組之前,請完整測試您的應用程式。
在 RHEL 7.2 中,OverlayFS 還有幾項已知問題。詳情請見 Documentation/filesystems/overlayfs.txt 中的 Non-standard behavior(非標準行為)。

NFSv4 用戶端支援彈性檔案佈局

RHEL 7.2 在 NFSv4 用戶端上,新增了對彈性檔案佈局的支援。這項技術啟用了先進的特性,例如非分裂的檔案移動性(non-disruptive file mobility)、客戶端鏡射(client-side mirroring),在諸如資料庫、大數據與虛擬化領域中,提供功能更強大的使用性。
欲知 NFS 彈性檔案佈局的詳細資訊,請參閱 https://datatracker.ietf.org/doc/draft-ietf-nfsv4-flex-files/

在 RDMA 上執行 NFS

在 RHEL 7.2 中,NFSoRDMA 服務目前為技術預覽版。想在 RHEL 7.2 的 NFS 伺服器上使用 RDMA(遠端直接存取記憶體,Remote Direct Memory Access)傳輸的使用者,可以透過 svcrdma 模組達成。

Btrfs 檔案系統

在 RHEL 7.2 中,Btrfs(B-tree)檔案系統目前為技術預覽版。這檔案系統提供了先進的管理、可靠度、以及可擴充性功能。它能讓使用者建立 snapshot,也能壓縮、整合裝置管理。

章 18. 啟用硬體

quthqoat 對 OSA-Express5s 介面卡的支援

對 OSA-Express5s 介面卡的支援已經加入 qethqoat 工具中,成為 s390utils 套件的一部分。這項增強功能延伸了 OSA-Express5s 介面卡的網路及介面卡設定的服務性,目前在 IBM System z 的 RHEL 7.2 上,是技術預覽版。

IBM System z 的 runtime instrumentation

目前在 IBM System z 系統中,RHEL 7.2 的 Runtime Instrumentation 還是技術預覽版。Runtime Instrumentation 啟用了先進的分析與執行功能,給 IBM zEnterprise EC12 系統的多個使用者空間之應用程式使用。

LSI Syncro CS HA-DAS 介面卡

RHEL 7.1 納入了 megaraid_sas 驅動程式的原始碼,啟用了 LSI Syncro CS HA-DAS(高可用性執行連結儲存裝置,high-availability direct-attached storage)介面卡。雖然 megaraid_sas 驅動程式支援之前啟用的介面卡,但在 Syncro CS 上使用此驅動程式,目前還是技術預覽功能。對這介面卡的支援是由 LSI、您的系統整合商、或系統商直接提供。我們歡迎在 RHEL 7.2 上建置 Syncro CS 的使用者向 Red Hat 與 LSI 提供回饋意見。欲知 LSI Syncro CS 解決方案的更多資訊,請參閱 http://www.lsi.com/products/shared-das/pages/default.aspx

章 19. Kernel

AMD64 與 Intel 64 系統上,多 CPU 對 kdump 的支援

現在在 AMD64 與 Intel 64 系統上,kdump kernel 當機傾印機制可以在啟用了超過一個 CPU 時啟動。這解決了擁有大量記憶體空間的系統上,因為建立 kernel 傾印檔案時所產生的高 I/O 時,且 Linux 在啟用了單個 CPU 時("maxcpus=1" 或 nr_cpus=1),無法為裝置分配中斷的問題.
要在當機的 kernel 中啟用多個 CPU,請在 kernel 的命令列中提供 nr_cpus=X 選項(其中 X 是處理器的數量)與 disable_cpu_apicid=0 選項。

criu 工具

RHEL 7.2 納入了 criu 工具作為技術預覽版。這工具實作了 Checkpoint/Restore in User-space(在使用者空間中的回溯點 / 回復功能),可以用來凍結執行中的應用程式,並將其收藏為檔案。之後,這應用程式可以從凍結狀態中回復。
criu 工具依附於 Protocol Buffers(通訊協定緩衝區),是個與語言、平台中立的延伸機制,給序列化結構的資料使用。protobufprotobuf-c 套件提供了相依性,也加入了 RHEL 7.2 作為技術預覽版。

使用者命名空間

這功能對執行 Linux container 的伺服器,提供了額外的安全性,方法是在主機與 container 之間,提供隔離功能。container 的管理者再也不能於主機上進行系統管理方面的操作,這加強了安全性。

IBM System z 的 LPAR Watchdog

IBM System z 有了改良過的 watchdog 驅動程式,作為技術預覽版。這驅動程式支援 LPAR(Linux 邏輯分割區,Linux logical partition)以及 z/VM hypervisor 中的 Linux 客座端,並在 Linux 系統無法回應時,提供自動重新開機與自動傾印的能力。

使用 kpatch 動態更新 kernel

kpatch 工具程式能讓使用者管理多個 kernel 修補檔,進而動態升級 kernel,且不需要重新開機。kpatch 目前是技術預覽版,只支援 AMD64 與 Intel 64 架構。

i40evf 處理大型重置

VF(虛擬函數,Virtual Function)最常遇到的重置類型是 PF(實體函數,Physical Function)重置,後者會依序重置每個 VF。然而,對於「較大」(bigger)的重置,例如 Core 或 EMP 重置,當裝置重新初始化時,之前 VF 沒有取得同樣的 VSI,因此 VF 無法復原,會繼續為原始的 VSI 請求資源。作為技術預覽功能,這項更新為管理佇列狀態的機器新增了額外狀態,這樣一來,驅動程式可以在執行時重新請求其配置資訊。再重置復原時,這個位元會在 aq_required 欄位中設定,同時在試圖將驅動程式重新啟用時,會取得配置資訊。

章 20. 網路

Intel 乙太網路伺服器介面卡 X710/XL710 驅動程式已更新

i40e 與 i40evf kernel 驅動程式已經更新至 1.3.4-k 版,並納入 RHEL 7.2 作為技術預覽功能。

ethtool 輸出資料更準確

ethtool 工具程式的網路查詢功能已經有所改善,在 IBM System z 上的 RHEL 7.2 中以預覽功能呈現。因此,在相容於改善後的查詢之硬體上,ethtool 提供了更佳的監控選項,以及更準確的網路卡設定與數值。

Cisco usNIC 驅動程式

Cisco UCM(一致型通訊管理程式,Unified Communication Manager)伺服器有一項選用的功能,提供了 Cisco 專利的 usNIC(使用者空間的網路介面控制程式,User Space Network Interface Controller),讓使用者空間的應用程式進行類似 RDMA(遠端記憶體直接存取,Remote Direct Memory Access)的操作。libusnic_verbs 驅動程式目前還是技術預覽版,可透過根基於 Verbs API 的標準 InfiniBand RDMA 程式,使用 usNIC 裝置。

Cisco VIC kernel 驅動程式

Cisco VIC Infiniband kernel 驅動程式目前是技術預覽功能,能在擁有專利權的 Cisco 架構下使用類似 RDMA 的語法。

受信任的網路連接

受信任的網路連接(Trusted Network Connect)目前是技術預覽功能,用在現有的 NAC(網路存取控制,network access control)解決方案(例如 TLS、802.1X 或 IPsec)上,以整合端點態勢評估(endpoint posture assessment);亦即蒐集端點的系統資訊(例如作業系統配置設定、安裝套件等,作為整合評量)。受信任的網路連接是用來在端點存取網路之前,將這些資料與網路存取政策相驗證。

qlcnic 驅動程式中的 SR-IOV 功能

對 SR-IOV(單根 I/O 虛擬化,Single-Root I/O virtualization)的支援已經加入 qlcnic 驅動程式作為技術預覽功能。對此功能的支援是直接由 QLogic 所提供,我們鼓勵客戶向 Red Hat 與 QLogic 提供回饋意見。qlcnic 的其它功能依舊屬於完整支援。

章 21. 儲存裝置

SCSI 的多佇列 I/O 排程

RHEL 7.2 包括新的多佇列 I/O 排程(multiple-queue I/O scheduling)機制給區塊裝置使用,名為 blk-mqscsi-mq 套件能讓 SCSI 子系統善用這項佇列機制。這功能目前還是技術預覽版本,且預設上是停用的。要啟用這功能,請在 kernel 命令列中加入 scsi_mod.use_blk_mq=Y

更新 LVM 鎖定架構

lvmlockd 是 LVM 的新一代鎖定架構,能讓 LVM 使用 dlmsanlock 鎖定管理程式,安全地管理來自多主機的共享儲存空間。sanlock 允許 lvmlockd 透過以儲存裝置為基礎的鎖定方式,來協同主機,而不需要整個叢集架構。欲知詳情,請參閱 lvmlockd (8) man page。

來自 libStorageMgmt API 的 Targetd 外掛程式

在 RHEL 7.1 中,使用 libStorageMgmt(獨立於儲存陣列之外的 API)來管理儲存陣列是完整支援的功能。所提供的 API 是穩定、一致、且允許設計師透過程式管理不同的儲存陣列,並善用所提供的硬體加速特性。系統管理者也可以使用 libStorageMgmt 來手動配置儲存裝置,並使用其包含的命令列介面對管理工作加以自動化。
Targetd 外掛程式尚未受到完整的支援,目前還是技術預覽版。

DIF/DIX

DIF/DIX 是 SCSI 標準的新成員。在 RHEL 7.2 中,對於記載於〈新特性〉一章中的 HBA 與儲存陣列來說,這功能是完整支援的項目;但對於其它 HBA 與儲存陣列來說,仍然是技術預覽版。
DIF/DIX 增加了常用的 512 位元組磁碟區塊至 520 位元組,新增的是 DIF(資料完整性欄位,Data Integrity Field)。DIF 儲存了資料區塊的校驗值,寫入時會由 HBA(主匯流排介面卡,Host Bus Adapter)進行運算。接下來儲存裝置會在收到時確認校驗值,然後儲存資料與校驗值。反過來,在讀取時儲存裝置會檢查校驗值,然後由收取資料的 HBA 檢查。

dm-era device-mapper 目標

RHEL 7.1 引入了 dm-era 裝置對應目標(device-mapper target)作為技術預覽功能。dm-era 會持續追蹤哪些區塊在使用者定義的時間(era)內被寫入。每個 era 目標都會保留現有的 era 作為單調、持續增加的 32 位元計數器。這目標會啟用備份軟體,追蹤上次備份之後哪些區塊已經改變。它也會啟用快取的部分無效內容,在回復至供應商的 snapshot 時,回復快取的一致性。dm-era 目標主要是用來與 dm-cache 目標配對。

章 22. 虛擬化

巢式虛擬化

RHEL 7.2 提供了「巢式虛擬化」(nested virtualization)作為技術預覽功能。這能讓 KVM-QUME 的客座端做為主機,讓使用者在這些客座端中建立客座端。

virt-p2v 工具

RHEL 7.2 提供了 virt-p2v 工具作為技術預覽功能。virt-p2v(實體至虛擬)是光碟機、ISO 或 PXE 映像檔,給使用者在實體機器上開機,並轉換實體機器為 KVM 所使用的虛擬機器。

KVM 客座端對於 USB 3.0 的支援

在 RHEL 7.2 中,KVM 客座端的 USB 3.0 主機介面(xHCI)模擬器依舊是技術預覽功能。

部 III. 裝置驅動程式

本章提供了所有在 RHEL 7.2 上經過更新的裝置驅動程式之清單。

章 23. 驅動程式更新

  • hpsa 驅動程式已更新為版本 3.4.4-1-RH4。
  • qla2xxx 驅動程式已更新為版本 8.07.00.18.07.2-k。
  • lpfc 驅動程式已更新為版本 10.7.0.1。
  • megaraid_sas 驅動程式已更新為版本 06.807.10.00。
  • fnic 驅動程式已更新為版本 1.6.0.17
  • mpt2sas 驅動程式已更新為版本 20.100.00.00。
  • mpt3sas 驅動程式已更新為版本 9.100.00.00。
  • Emulex be2iscsi 驅動程式已更新為版本 10.6.0.0r。
  • aacraid 驅動程式已更新為版本 1.2。
  • bnx2i 驅動程式已更新為版本 2.7.10.1。
  • bnx2fc 驅動程式已更新為版本 2.4.2。

章 24. 網路驅動程式更新

  • tg3 驅動程式已更新為版本 3.137。
  • e1000 驅動程式已更新為版本 7.3.21-k8-NAPI,它提供了在使用 xmit_more Boolean 變數時的 txtd 更新延遲。
  • e1000e 驅動程式已更新為版本 2.3.2-k。
  • igb 驅動程式已更新為版本 5.2.15-k。
  • igbvf 驅動程式已更新為版本 2.0.2-k。
  • ixgbevf 驅動程式已更新為版本 2.12.1-k。
  • ixgbe 驅動程式已更新為版本 4.0.1-k。
  • bna 驅動程式與韌體已更新為版本 3.2.23.0r。
  • bnx2 驅動程式已更新為版本 2.4.2。
  • CNIC 驅動程式已更新為版本 2.5.21。
  • bnx2x 驅動程式已更新為版本 1.710.51-0,這同時也為 qlogic-nx2 控制器新增了 qlogic NPAR 支援。
  • be2net 驅動程式已更新為版本 10.6.0.2。
  • bna 驅動程式已更新為版本 3.2.23.0r。
  • qlcnic 驅動程式已更新為版本 5.3.62。
  • qlge 驅動程式已更新為版本 1.00.00.34,這同時也修正了一項新 API(NAPI)註冊與取消註冊之間的競爭情形。先前這會造成系統當機,當網路介面卡被設為「關閉」的情況下,特定參數被更改時便會發生。
  • r8169 驅動程式已更新為版本 2.3LK-NAPI。
  • i40e 和 i40evf 驅動程式已更新為版本 1.3.4-k。
  • netxen_nic 驅動程式已更新為版本 4.0.82。
  • sfc 驅動程式已更新為最新的上游版本。
  • 這項更新新增了版本 0.15.2-k 的 fm10k 驅動程式。
  • 這項更新新增了包含 netns 能力的 VTI6 支援。
  • bonding 驅動程式已更新為版本 3.7.1。
  • iwlwifi 驅動程式已更新為最新的上游版本。
  • vxlan 驅動程式已更新為版本 0.1。

章 25. 圖形驅動程式和雜項驅動程式更新

  • HDA 驅動程式已更新為最新的上游版本,以使用新的 jack kctls method。
  • HPI 驅動程式已更新為版本 4.14。
  • Realtek HD-audio 編碼驅動程式已更新並包含了 EAPD init 編碼的更新。
  • IPMI 驅動程式已更新來取代 timespec64 的 timespec 使用方法。
  • i915 已更新並將 RHEL 7.2 的 ACPI Video Extensions 驅動程式重訂基底。
  • ACPI Fan 驅動程式已更新為版本 0.25。
  • Update NVM-Express 驅動程式已更新為版本 3.19。
  • rtsx 驅動程式已更新為版本 4.0 以支援 rtl8402、rts524A 和 rts525A 晶片。
  • Generic WorkQueue Engine 裝置驅動程式已更新為最新的上游版本。
  • PCI 驅動程式已更新為版本 3.16。
  • EDAC kernel 模組已更新來提供 Intel Xeon v4 處理器上的支援。
  • pstate 驅動程式已更新來支援第六代 Intel 核心處理器。
  • intel_idle 驅動程式已更新來支援第六代 Intel 核心處理器。

部 IV. 已知問題

本節記載了 Red Hat Enterprise Linux 7.2 的已知問題。

章 26. 編譯器與工具

從 FCoE 上的 SAN 開機時,會出現幾項 bug

使用 FCoE(乙太網路上的光纖通道,Fibre Channel over Ethernet)上的 SAN(區域網路儲存裝置,Storage Area Network)開機時,會出現幾項 bug。Red Hat 會在接下來的 RHEL 7 中解決這些問題。欲知這些 bug 的清單與解決方案(如果有的話),請聯絡 Red Hat 技術服務人員。

Valgrind 無法執行早先版本的 Open MPI 所建立的程式

RHEL 7.2 只支援 Open MPI 1.10 版的 ABI(應用程式二進位介面,application binary interface),這與之前的 Open MBI 1.6 ABI 不相容。因此,RHEL 7.2 包含的 Valgrind 無法執行早先版本 Open MPI 所建立的程式。要解決這問題,請使用 Valgrind 的 Red Hat 開發者工具組(Developer Toolset),將程式連結至 Open MPI 1.6。

章 27. 桌面環境

pygobject3 套件的相依性問題會導致無法從 RHEL 7.1 升級

pygobject3-devel.i686 32 位元套件已經從 RHEL 7.2 中移除,並以 multilib 版本取代。如果您在 RHEL 7.1 上安裝了前者的 32 位元版,那麼試圖升級至 RHEL 7.2 時,會收到 yum 的錯誤訊息。
要解決這問題,請在升級系統前,以 root 身份執行 yum remove pygobject3-devel.i686 指令,移除此套件的 32 位元版。

章 28. 一般更新

新指定的裝置名稱會導致網路斷線

之前,為 virtio 裝置指定穩定的網路介面名稱是不可能的,因為這些裝置的列舉順序無法預期。此次修正後,每個 virtio 匯流排只有一個父 PCI 裝置,現在 virtio 網路裝置在虛擬機器中有持續一致的裝置名稱(根據 http://www.freedesktop.org/wiki/Software/systemd/PredictableNetworkInterfaceNames/)。
請注意,更新 systemd 並重新啟動之前來自 kernel 命名法(eth0、eth1)介面名稱的虛擬機器後,新的裝置名稱會在下一次啟動時被指定,這會導致虛擬機器斷線。

章 29. 安裝與啟動

在文字模式下配置網路時,不再當機

之前在互動式文字介面安裝程式下配置網路時,指定名稱伺服器若加入了空白字元會導致安裝程式當掉。
現在 Anaconda 能正確處理文字模式下的名稱伺服器定義;如果使用空白字元來分隔名稱伺服器,不會導致安裝程式當掉。

安裝時可能會出現 NetworkManager 的錯誤訊息

安裝時可能會出現以下錯誤訊息:
ERR NetworkManager: <error> [devices/nm-device.c:2590] activation_source_schedule(): (eth0): activation stage already scheduled
這問題目前無解。

安裝 Atomic Host 時,cryptsetup 不能用,系統卻依然提供此功能

安裝 RHEL 7 Atomic Host(原子主機)時,在手動分割畫面中,安裝程式會提供使用 cryptsetup 指令來加密分割區的選項;這與安裝 RHEL 7.2 時提供方式一樣。
然而,Atomic Host 並不支援加密的分割區。如果您在安裝過程中加密了任何分割區,稍後無法予以解密。
要解決這個問題,請不要在安裝 RHEL Atomic Host 時加密任何分割區或邏輯卷冊,即使安裝程式出現了這選項亦然。

只有在輸入儲存裝置自訂設置後,安裝程式才可以新增進階的儲存裝置

使用 Anaconda 圖形界面進行互動式安裝時,如果您已經輸入並讓儲存裝置自訂設置(稱為 spoke),那麼新增進階儲存裝置(iSCSI、zFCP、FCoE)至磁碟選項將無法運作。要解決這問題,請確定網路(如果需要網路的話)是連上的,然後輸入儲存裝置自訂設置,並新增所有進階的儲存裝置。

章 30. Kernel

部分 ext4 檔案系統無法改變大小

由於 ext4 程式碼的 bug,目前無法對擁有 1KB 磁區大小、小於 32MB 的 ext4 檔案系統調整大小。

啟用 iSER 的 iSCSI 目標會持續斷線

使用伺服器作為啟用 iSER 的 iSCSI 目標時,會持續發生斷線問題,目標會停止回應、kernel 亦然。要解決這問題,請將 iSER 斷線數降至最低、或轉為非 iSER iSCSI 模式。

SCSI 中間層會呼叫 I/O 指令,直到系統強迫關機為止

儲存陣列傳回 CHECK CONDITION(檢查狀況)狀態、但偵測資料不正確時,SCSI 中間層程式碼會再次嘗試 I/O 操作。如果接下來的 I/O 操作收到同樣的結果,SCSI 會無盡地嘗試進行 I/O 操作。對於這個 bug,目前沒有解決方案。

Red Hat 的 Beta 版公開金鑰憑證需要手動載入

系統管理者可以使用 MOK(機器擁有者金鑰,machine owner key)機制來載入相對應的 Red Hat Beta 公開金鑰憑證,用以對 RHEL Beta 版的 kernel 進行授權。在任何執行 UEFI 安全開機功能(UEFI Secure Boot)的 RHEL 7.2 Beta 版上,載入 Red Hat CA Beta 的公開金鑰是單次性的工作。
1. 關閉 UEFI 安全開機功能,安裝 RHEL 7.2 Beta。
2. 安裝 kernel-doc 套件(如果尚未安裝的話)。這套件提供了憑證檔案,裡面有 Red Hat CA 的 Beta 公開金鑰,檔案為:/usr/share/doc/kernel-keys/<kernel-ver>/kernel-signing-ca.cer,其中 <kernel-ver> 是 kernel 的版本字串,但不包含平台架構,例如 3.10.0-314.el7
3. 使用 mokutil 工具程式,手動請求將公開金鑰匯入系統上的 MOK 清單。請以 root 身份執行以下指令:
mokutil --import /usr/share/doc/kernel-keys/<kernel-ver>/kernel-signing-ca.cer
系統會要求您輸入匯入請求的密碼。
4. 下一次系統開機時,您會被要求在系統主控台中完成 MOK 請求。您需要予以回應,並輸入步驟 3 所提供給 mokutil 的密碼。
5. 完成 MOK 請求之後,系統會重新啟動。您可以在之後任何一次重新啟動後,再次啟動 UEFI 安全開機功能。

章 31. 網路

RHEL 7.2 kernel 中並未啟用逾時值政策

RHEL 7.2 並不支援 nfct timeout 指令。解決方法是使用 /proc/sys/net/netfilter/nf_conntrack_*_timeout_* 的全域逾時值來設定這個逾時值。

章 32. 系統與訂閱管理

錯誤時導致註冊不完整

在訂閱管理員的圖形界面下註冊系統時,如果註冊失敗,使用者按下錯誤對話視窗的「確定」按鈕,並不會關閉主註冊視窗。因此,主註冊視窗會保持在開啟的狀態,卻不能成功完成工作。舉例來說,使用者提供了錯誤的身份認證資訊、或使用自動連接來註冊,就可能造成這問題。要解決這問題,請在錯誤發生時,按下主註冊視窗的「取消」按鈕。

初次設定時,訂閱管理員外掛程式的「上一步」按鈕無法運作

初次設定時,訂閱管理員外掛程式的第一個頁框之「上一步」按鈕無法運作。要解決這個問題,請點選初次設定上方的「完成」按鈕,離開註冊流程。

章 33. 虛擬化

KVM 中探索 GRUB 2 的問題

透過 KVM 使用序列主控台時,按住方向鍵不放以探索 GRUB2 清單,會導致錯誤發生。要解決這問題,請避免按著方向鍵不放而導致的頻繁輸入。

在 Hyper-V 客座端上調整 GPT 磁碟的大小,會導致分割表發生錯誤

Hyper-V 管理程式支援在客座端上降低 GPT 分割磁碟的大小(如果在最後一個分割區之後有額外空間的話),方法是允許使用者放棄磁碟最後沒用到的部分。然而,這項操作會逕行刪除磁碟上的第二個 GPT 表頭,導致客座端檢視分割表(例如使用 parted(8))時產生錯誤。這是 Hyper-V 的已知限制。
要解決這問題,可以再降低 GPT 磁碟大小時,使用 gdisk(8) 的進階選項 e 來手動回復第二個 GPT 表頭。這問題也發生在使用 Hyper-V 的增大(Expand)選項時,但也可以透過 parted(8) 工具來修正。

附錄 A. 元件版本

此附錄為元件清單,及其在 RHEL 7.2 發行版中的版本。

表格 A.1. 元件版本

元件
版本
Kernel
3.10.0-306.0.1
QLogic qla2xxx 驅動程式
8.07.00.08.07.1-k1
QLogic qla4xxx 驅動程式
5.04.00.04.07.01-k0
Emulex lpfc 驅動程式
10.2.8021.1
iSCSI initiator 工具程式
iscsi-initiator-utils-6.2.0.873-32
DM-Multipath
device-mapper-multipath-0.4.9-82
LVM
lvm2-2.02.128-1

附錄 B. 修訂記錄

修訂記錄
修訂 0.0-1.16.1Sun Oct 25 2015Chester Cheng
翻譯、校閱完成。
修訂 0.0-1.16Mon Oct 12 2015Lenka Špačková
新增幾項新特性與已知問題。
修訂 0.0-1.15Thu Oct 8 2015Lenka Špačková
重新整理〈已知問題〉,並加入幾個項目。新增〈架構〉、更新〈技術預覽〉。
修訂 0.0-1.14Thu Oct 1 2015Lenka Špačková
更新〈裝置驅動程式〉,新增幾項已知問題。
修訂 0.0-1.13Wed Sep 16 2015Lenka Špačková
新增多項特性描述與已知問題。
修訂 0.0-1.10Wed Sep 09 2015Laura Bailey
為 7.2 Beta 加入驅動程式更新。
修訂 0.0-1.9Wed Sep 09 2015Laura Bailey
加入 OverlayFS 技術預覽相關的已知問題。
修訂 0.0-1.8Mon Sep 07 2015Laura Bailey
根據特性與文件、kernel 參數的變更、已知問題、驅動程式更新、以及技術預覽等,重寫《發行公告》。
修訂 0.0-1.7Fri Sep 04 2015Laura Bailey
新增〈技術預覽〉項目至《發行公告》。
修訂 0.0-1.4Mon Aug 31 2015Laura Bailey
發佈 RHEL 7.2 Beta 的《發行公告》。

法律聲明

Copyright © 2015 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.