Red Hat Summit10.1 リリースノート
Red Hat Enterprise Linux 10.1 リリースノート
概要
Red Hat ドキュメントへのフィードバック (英語のみ)
Red Hat ドキュメントに関するご意見やご感想をお寄せください。また、改善点があればお知らせください。
Jira からのフィードバック送信 (アカウントが必要)
- Jira の Web サイトにログインします。
- 上部のナビゲーションバーで Create をクリックします。
- Summary フィールドにわかりやすいタイトルを入力します。
- Description フィールドに、ドキュメントの改善に関するご意見を記入してください。ドキュメントの該当部分へのリンクも追加してください。
- ダイアログの下部にある Create をクリックします。
第1章 概要
1.1. RHEL 10.1 における主な変更点
インストーラーおよびイメージの作成
RHEL インストーラーの主なハイライト:
- オプションを選択解除しない限り、新しく作成されたユーザーにはデフォルトで管理者権限が与えられます。
- タイムゾーンマップの代わりに新しいオプションを使用して、必要なタイムゾーンを設定できるようになりました。
- VNC の代わりに Remote Desktop Protocol (RDP) がグラフィカルリモートアクセスに採用されました。
RHEL Image Builder の主なハイライト:
- RHEL Image Builder には、テクノロジープレビューとして提供される新しい CLI 機能があります。
-
RHEL Image Builder の
cockpit-composerパッケージが削除され、新しいcockpit-image-builderプラグインに置き換えられました。 -
RHEL Image Builder で作成されたシステムイメージ (AWS や KVM 形式など) には、個別の
/bootパーティションがありません。 - RHEL Image Builder が WSL2 イメージをサポートするようになりました
詳細は、新機能および機能拡張 - インストーラーとイメージの作成 を参照してください。
セキュリティー
システム全体の 暗号化ポリシー により、すべてのポリシーで耐量子計算機暗号 (PQC) アルゴリズムがデフォルトで有効になります。
OpenSSL 3.5 で、ML-KEM、ML-DSA、および SLH-DSA 耐量子計算機アルゴリズム のサポートが導入され、ハイブリッド ML-KEM アルゴリズムがデフォルトの TLS グループリストに追加されました。
RHEL 10.1 では、RPMv6 署名のサポートも導入されています。この新しい形式により、RPM パッケージ内で複数の署名が可能になります。Sequoia PGP ツールを使用して、PQC アルゴリズムで RPM パッケージに署名し、OpenPGPv6 署名を作成または検証できます。
詳細は、新機能 - セキュリティー を参照してください。
カーネル
RHEL 10.1 では、カーネルに重点を置いた可観測性およびエネルギー追跡機能が拡張されています。機能拡張には、perf および BPF のアップストリームとの整合性確保、より広範な uncore および core カウンター、Intel RAPL エネルギーイベント、Intel Trace Hub (NPK) デバイス ID、AMD コアごとのエネルギー追跡、python-drgn による最新のデバッグ、およびクラッシュツールの更新が含まれます。rng-tools によってエントロピーの生成が改善され、現行のハードウェア世代全体で、より一貫したパフォーマンス分析情報が得られます。
動的プログラミング言語、Web サーバー、およびデータベースサーバー
次の Application Streams の新しいバージョンが利用可能になりました。
- Node.js 24
次の Web サーバーの最新バージョンが利用可能になりました。
- Apache HTTP Server 2.4.63
詳細は、新機能 - 動的プログラミング言語、Web サーバー、およびデータベースサーバー を参照してください。
コンパイラーおよび開発ツール
システムツールチェーン
RHEL 10.1 では、以下のシステムツールチェーンコンポーネントを利用できます。
- GCC 14.3
- glibc 2.39
- Annobin 12.99
- binutils 2.41
パフォーマンスツールおよびデバッガー
RHEL 10.1 では、以下のパフォーマンスツールおよびデバッガーが利用できます。
- GDB 16.3
- Valgrind 3.25.1
- SystemTap 5.3
- Dyninst 13.0.0
- elfutils 0.193
- libabigail 2.8
パフォーマンス監視ツール
RHEL 10.1 では、以下のパフォーマンス監視ツールが利用できます。
- PCP 6.3.7
- Grafana 10.2.6
.NET 10.0 が RHEL で利用可能になりました
Red Hat Enterprise Linux (RHEL) は、自動メモリー管理と最新のプログラミング言語を備えた汎用開発プラットフォームである .NET をサポートしており、高品質のアプリケーションを効率的に構築できます。この更新により、最新バージョンである .NET 10.0 (Long-Term Support) のサポートが追加され、RHEL で利用可能なバージョンが拡充されました。サポートされているその他のバージョンには、.NET 9.0 (Standard-Term Support) と、以前の長期サポートバージョンである .NET 8.0 があります。
詳細は、.NET 10.0 RPM パッケージのリリースノート および .NET 10.0 コンテナーのリリースノート を参照してください。
コンパイラーツールセット
RHEL 10.1 では、以下のコンパイラーツールセットが利用できます。
GCC Toolset 15
- GCC 15.1
Binutils 2.44
Annobinとdwzは、バージョン 15 以降の GCC Toolset では提供されないことに注意してください。
- LLVM Toolset 20.1.8
- Rust Toolset 1.88.0
- Go Toolset 1.24
詳しい変更点は、新機能 - コンパイラーと開発ツール を参照してください。
Web コンソール
cockpit パッケージがバージョン 344 にアップグレードされ、Patternfly 6 システムデザイン へのアップグレードをはじめとする多くの強化が加えられました。
詳細は、新機能 - Web コンソール を参照してください。
1.2. インプレースアップグレード
RHEL 9 から RHEL 10 へのインプレースアップグレード
現在サポートされているインプレースアップグレードパスは次のとおりです。
次のアーキテクチャー上の RHEL 9.6 から RHEL 10.0、および RHEL 9.7 から RHEL 10.1:
- AMD および Intel 64 ビットアーキテクチャー (x86-64-v3)
64 ビット ARM アーキテクチャー (ARMv8.0-A)
重要64 ビット ARM アーキテクチャーの場合、インプレースアップグレードは、
4kページサイズのカーネルを実行するシステムでのみサポートされます。システムが64kページサイズのカーネルで起動されている場合、leapp ユーティリティーはインプレースアップグレードをサポートしません。- IBM Power Systems (リトルエンディアン) (POWER9)
- 64 ビット IBM Z (z14)
詳細は、Supported in-place upgrade paths for Red Hat Enterprise Linux を参照してください。
インプレースアップグレードの実行方法は、RHEL 9 から RHEL 10 へのアップグレード を参照してください。
以下は、主な機能拡張およびバグ修正です。
-
fapolicydソフトウェアフレームワークを使用するシステムでのインプレースアップグレードが修正されました。 -
アップグレードを実行するときに、
localpkg_gpgcheckDNF オプションが無効になります。これにより、バンドルされている必須メタパッケージleapp-deps-el10およびleapp-repository-deps-el10のインストールが可能になりました。 - LiveMode 機能がテクノロジープレビューとして導入されました。LiveMode を使用すると、標準のブートプロセスを使用してアップグレードできます。LiveMode はトラブルシューティングやテストにも使用できます。詳細は、LiveMode を使用したアップグレードの設定 を参照してください。
-
カーネルパニックを防ぐために、非推奨の
network-legacydracut モジュールを使用しているシステムのアップグレードが防止されます。 - インプレースアップグレード中に SSSD 設定が移行されます。
- Amazon Web Services (AWS)、Azure、Google Cloud 上で、Red Hat Upgrade Infrastructure (RHUI) を使用している PAYG RHEL システムのアップグレードが可能になりました。
RHEL 8 から RHEL 10 へのインプレースアップグレード
RHEL 8 から直接 RHEL 10 へインプレースアップグレードを実行することはできません。ただし、RHEL 8 から RHEL 9 へのインプレースアップグレードを実行してから、RHEL 10 への 2 回目のインプレースアップグレードを実行することはできます。詳細は、In-place upgrades over multiple RHEL major versions by using Leapp を参照してください。
1.3. Red Hat Customer Portal Labs
Red Hat Customer Portal Labs は、カスタマーポータルのセクションにあるツールセットで、https://access.redhat.com/labs/ から入手できます。Red Hat Customer Portal Labs のアプリケーションは、パフォーマンスの向上、問題の迅速なトラブルシューティング、セキュリティー問題の特定、複雑なアプリケーションの迅速なデプロイメントおよび設定に役立ちます。最も一般的なアプリケーションには、以下のものがあります。
- Registration Assistant
- Kickstart Generator
- Red Hat Product Certificates
- Red Hat CVE Checker
- Kernel Oops Analyzer
- Red Hat Satellite Upgrade Helper
- JVM Options Configuration Tool
- Load Balancer Configuration Tool
- Ceph Placement Groups (PGs) per Pool Calculator
- Yum Repository Configuration Helper
- Red Hat Out of Memory Analyzer
- Postfix Configuration Helper
- System Unit Generator
- Rsyslog Configuration Helper
- Red Hat IdM Upgrade Helper
1.4. 関連情報
Red Hat Insights が Red Hat Lightspeed になりました。これは名称だけの変更です。これまで Red Hat Insights という名前でご利用いただいていた製品の機能、性能、および能力は、引き続き Red Hat Lightspeed という名前でご利用いただけます。Red Hat Lightspeed はすべての RHEL サブスクリプションに含まれています。これを使用すると、既知の技術的な問題をプロアクティブに特定、調査、解決できます。クライアントをインストールしてシステムをサービスに登録する方法は、Red Hat Lightspeed のドキュメントページを参照してください。
公開リリースノートには、元の追跡チケットにアクセスするためのリンクが含まれていますが、非公開リリースノートは表示できないため、リンクは含まれていません。[1]
第2章 アーキテクチャー
Red Hat Enterprise Linux 10.1 には、カーネルバージョン 6.12.0-124.8.1 が同梱されています。このカーネルは、次のアーキテクチャーをサポートしています (括弧内は最低限必要なバージョン)。
- AMD および Intel 64 ビットアーキテクチャー (x86-64-v3)
- 64 ビット ARM アーキテクチャー (ARMv8.0-A)
- IBM Power Systems、リトルエンディアン (POWER10 以降)
- 64 ビット IBM Z (z15 以降)
各アーキテクチャーに適切なサブスクリプションを購入してください。
第3章 RHEL 10 でのコンテンツの配布
3.1. インストール
Red Hat Enterprise Linux 10 は、ISO イメージを使用してインストールします。AMD64、Intel 64 ビット、64 ビット ARM、IBM Power Systems、IBM Z アーキテクチャーで、以下の 2 種類のインストールメディアが利用できます。
インストール ISO: BaseOS リポジトリーおよび AppStream リポジトリーが含まれ、リポジトリーを追加しなくてもインストールを完了できる完全インストールイメージです。Product Downloads ページでは、
Installation ISOはBinary DVDと呼ばれます。注記インストール用 ISO イメージのサイズは複数 GB であるため、光学メディア形式には適合しない場合があります。インストール ISO イメージを使用して起動可能なインストールメディアを作成する場合は、USB キーまたは USB ハードドライブを使用することが推奨されます。Image Builder ツールを使用すれば、RHEL イメージをカスタマイズできます。Image Builder の詳細は Composing a customized RHEL system image を参照してください。
- Boot ISO - インストールプログラムを起動するのに使用する最小限の ISO ブートイメージです。このオプションでは、ソフトウェアパッケージをインストールするのに、BaseOS リポジトリーおよび AppStream リポジトリーにアクセスする必要があります。リポジトリーは、Installation ISO イメージの一部です。インストール中に Red Hat CDN または Satellite に登録して、Red Hat CDN または Satellite から最新の BaseOS および AppStream コンテンツを使用することもできます。
3.2. リポジトリー
Red Hat Enterprise Linux 10 は、2 つのメインリポジトリーで配布されています。
- BaseOS
- AppStream
基本的な RHEL インストールにはどちらのリポジトリーも必要で、すべての RHEL サブスクリプションで利用できます。
BaseOS リポジトリーのコンテンツは、すべてのインストールのベースとなる、基本的なオペレーティングシステム機能のコアセットを提供します。このコンテンツは RPM 形式で提供されており、RHEL の以前のリリースと同様のサポート条件が適用されます。
AppStream リポジトリーには、さまざまなワークロードとユースケースに対応するために、ユーザー空間アプリケーション、ランタイム言語、およびデータベースが同梱されます。
また、CodeReady Linux Builder リポジトリーは、すべての RHEL サブスクリプションで利用できます。このリポジトリーは、開発者向けの追加パッケージを提供します。CodeReady Linux Builder リポジトリーに含まれるパッケージは、サポート対象外です。
RHEL 10 リポジトリーとそれらが提供するパッケージの詳細は、パッケージマニフェスト を参照してください。
3.3. Application Streams
複数のバージョンのユーザー空間コンポーネントが Application Streams として配信され、オペレーティングシステムのコアパッケージよりも頻繁に更新されます。これにより、プラットフォームや特定のデプロイメントの基盤となる安定性に影響を及ぼさずに、RHEL をより柔軟にカスタマイズできます。
Application Streams は以下の形式で利用できます。
- RPM 形式
- Software Collections
- Flatpak
以前の RHEL メジャーバージョンでは、一部の Application Streams が、RPM 形式の拡張として、モジュールとして使用できました。RHEL 10 では、Red Hat はパッケージング技術としてモジュールを使用する Application Streams を提供する予定がないため、RHEL 10 ではモジュールコンテンツは配布されません。
各 Application Stream コンポーネントには、RHEL 10 と同じか、それより短いライフサイクルが指定されています。
RHEL 10 では、dnf install コマンドを使用して RPM パッケージとしてインストールできる最初の Application Streams バージョンを提供することで、Application Streams エクスペリエンスを向上させています。
RPM 形式を使用する初期 Application Streams の中には、Red Hat Enterprise Linux 10 よりも短いライフサイクルのものがあります。
インストールする Application Stream のバージョンを考慮してください。
代替コンパイラーやコンテナーツールなど、迅速な更新を必要とするコンテンツは、代替バージョンを並行して提供しないローリングストリームで利用できます。
第4章 外部カーネルパラメーターへの重要な変更
この章では、システム管理者向けに、Red Hat Enterprise Linux 10.1 で配布されるカーネルの重要な変更点の概要を説明します。これらの変更には、たとえば、追加または更新された proc entries、sysctl、sysfs のデフォルト値、ブートパラメーター、カーネル設定オプション、または主な動作の変更などが含まれます。
新しいカーネルパラメーター
indirect_target_selection=
[X86、Intel] Intel CPU における Indirect Target Selection (ITS) 問題に対する緩和策を制御します。IBPB の修正にはマイクロコードの更新が必要です。
値:
on(デフォルト)- 緩和策を有効にします。
off- 緩和策を無効にします。
force- ITS のバグが存在する状態を強制的に適用し、デフォルトの緩和策をデプロイします。
vmexit- ゲスト/ホスト間の分離のためだけに緩和策をデプロイします。
stuff- retpoline がデプロイされている場合は RSB-fill を使用します。それ以外の場合はデフォルトの緩和策を使用します。
Documentation/admin-guide/hw-vuln/indirect-target-selection.rst を参照してください。
sdw_mclk_divider=
[SDW、Intel] BIOS がクロックレートを適切に提供しない場合に、Intel SoundWire バスの MCLK 分周器を指定します。
thp_shmem=
[KNL、MM] 内部の shmem マウントのサイズごとにデフォルトの huge page ポリシーを制御します。
形式:
<size>[KMG]<size>[KMG]:<policy>;<size>[KMG]-<size>[KMG]:<policy>
ポリシー: always、inherit、never、within_size、advise。
これを複数回指定すると、複数の THP サイズに対して複数のポリシーを設定できます。Documentation/admin-guide/mm/transhuge.rst を参照してください。
transparent_hugepage_shmem=
[KNL、MM] 内部の shmem マウントの huge page 割り当てポリシーを制御します。
値: always、within_size、advise、never、deny、force。Documentation/admin-guide/mm/transhuge.rst を参照してください。
tsa=
[X86、AMD] AMD CPU に対する Transient Scheduler Attacks の緩和策を制御します。
値:
off- 緩和策を無効にします。
on(デフォルト)- 緩和策を有効にします。
user- ユーザー/カーネル間の遷移にのみ緩和策を適用します。
vm- ゲスト/ホスト間の遷移にのみ緩和策を適用します。
ガイダンスについては、Transient Scheduler Attacks に関するベンダーのドキュメントを参照してください。
更新されたカーネルパラメーター
init=
[KNL] 形式: <full_path> システムの init プロセスとして、/sbin/init の代わりに、指定のバイナリーを実行します。
intremap=
[X86-64、Intel-IOMMU、EARLY]
値:
on- 割り込み再のマッピングを有効にします (デフォルト)。
off- 割り込みの再マッピングを無効にします。
kvm-arm.mode=
[KVM、ARM、EARLY] Arm KVM 仮想化モードを選択します。
値:
nvhe- ゲスト保護機能のない標準的な nVHE ベースのモード。
protected-
ハードウェアのサポート状況に応じて VHE または nVHE を使用し、ホストから隠蔽された状態を持つゲストをサポートします。ホスト上の kexec とハイバネートを無効にします。VHE ハードウェアで nVHE を強制するには、コマンドラインに
arm64_sw.hvhe=0 id_aa64mmfr1.vh=0を追加してください。 nested- ネステッド仮想化を備えた VHE ベースのモード。Armv8.4 ハードウェア (FEAT_NV2) が必要です。実験的機能のため、細心の注意を払って使用してください。ハードウェアのサポート状況に応じて、デフォルトで VHE または nVHE に設定されます。
kvm-arm.vgic_v3_group0_trap=
[KVM、ARM、EARLY] より厳格な分離とデバッグのために、ゲストによる GICv3 グループ 0 レジスターへのアクセスをホスト側で捕捉します。
libata.force=
[SATA/ATA] ポートごとのオプション:
- 新機能:
external -
ポートを外部 (ホットプラグ対応) とマークします。その他のオプションも引き続き使用できます (例:
max_sec_lba48、[no]lpm、[no]setxfer)。
nohz
[KNL] 単一のタスクの実行時にティックを無効にし、RCU コールバックなどの他のカーネル処理をオフロードします。nohz_full と同等です。残りの 1 Hz のティックは、ワークキューにオフロードされます。このワークキューは、グローバルワークキュー CPU マスクによって、ハウスキーピング用の CPU に割り当ててください。rcu_nocbs= および isolcpus= も参照してください。
pci=
[PCI] ACS の設定例が、デバイスセレクターを含むように更新されました (pci=config_acs=10x@pci:0:0):: 指定されたデバイスパスに沿って、P2P Request Redirect を有効にし、Translation Blocking を無効にし、Source Validation を変更しないように設定します。
pcie=
[PCIE] 新しいシステム全体のフラグ: notph:: CONFIG_PCIE_TPH が有効な場合に、PCIe TLP Processing Hints のサポートを無効にします。
pcie_aspm=
[PCIE] PCIe Active State Power Management を強制的に有効化または無視します。動作は変更されません。必要に応じて pcie= フラグと一緒に使用してください。
preempt=
[KNL、Scheduler] プリエンプション制御モード。新機能: lazy:: full に似たスケジューラー制御モード。スケジューラーが強制的にプリエンプションを実行する前に、処理を譲るための 1 HZ ティック分の時間がタスクに与えられます。タスクがユーザー空間に戻った時点で、プリエンプションが 1 回発生したとカウントされます。
print-fatal-signals=
[KNL] 致命的なシグナルのデバッグ出力を有効にします。
skew_tick=
[KNL、EARLY] 大規模システムや CONFIG_MAXSMP が有効なシステムでの競合を減らすために、CPU ごとの定期的なタイマーティックのタイミングをずらします。
slub_debug=
[MM] SLUB アロケーターのデバッグ。slub_nomerge はレガシーエイリアスとして残されています。Documentation/mm/slub.rst を参照してください。
spectre_v2=
[X86] 特定の緩和策を選択しても、ユーザー空間の緩和策が強制的に有効になるわけではありません。on 選択すると、カーネル保護が有効になり、ユーザータスク間攻撃が軽減されます。off を選択すると、両方とも無効になります。
tsc=
[X86] TSC のクロックソース安定性チェックを無効にします。
値:
reliable- TSC クロックソースを信頼できるものとしてマークします。
noirqtime- IRQ アカウンティングに TSC を使用しません。
unstable- TSC クロックソースを不安定としてマークします。
nowatchdog- クロックソースウォッチドッグを無効にします。
recalibrate- TSC 周波数が MSR または CPUID(0x15) から取得されたものである場合、HPET または PM タイマーを基準に再較正します。基準との差が 500 ppm を超える場合は、警告が出力されます。
watchdog- TSC が信頼できるシステムで、TSC をウォッチドッグ用のクロックソースとして使用します。
注記: tsc=nowatchdog が先に指定された場合、watchdog は抑制されます。tsc=nowatchdog が後から指定された場合、watchdog はオーバーライドされます。カーネルは抑制またはオーバーライドが発生したことをログに記録します。
transparent_hugepage_shmem=
[KNL、MM] 値: always、within_size、advise、never、deny、force。内部の shmem マウントポリシーを制御します。Documentation/admin-guide/mm/transhuge.rst を参照してください。
mitigations=
[Multi‑arch] off を選択すると、カーネルおよびユーザー空間の一連の緩和策が無効になります。mitigations=off と同等の意味を持つリストに、既存のエントリー (Arm64 の kpti=0、gather_data_sampling=off、kvm.nx_huge_pages=off、l1tf=off、mds=off、および関連する X86 フラグなど) に加えて、X86 の indirect_target_selection=off が追加されました。
sysctl パラメーターの更新
timer_migration
ゼロ以外の値に設定すると、アイドル状態の CPU が低電力状態をより長時間維持できるように、カーネルがアイドル状態の CPU からタイマーを移行することを試みます。
デフォルト: 1 (有効)。
第5章 デバイスドライバー
5.1. 新しいドライバー
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| Intel NPU (Neural Processing Unit) 用ドライバー - 1.0.0 | intel_vpu | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| MediaTek デバイスの Bluetooth サポート (バージョン 0.1) | btmtk | AMD および Intel 64 ビットアーキテクチャー、64 ビット ARM アーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| SNP SVSM vTPM (virtual Trusted Platform Module) ドライバー | tpm_svsm | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| AMD AE4DMA ドライバー | ae4dma | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| AMD PassThru DMA ドライバー | ptdma | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| ファームウェア制御アクセスフレームワーク | fwctl | AMD および Intel 64 ビットアーキテクチャー、64 ビット ARM アーキテクチャー |
| mlx5 ConnectX ファームウェア制御ドライバー | mlx5_fwctl | AMD および Intel 64 ビットアーキテクチャー、64 ビット ARM アーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| Chrontel ch7006 TV エンコーダードライバー | ch7006 | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| QEMU によってエミュレートされたデバイス用の Cirrus ドライバー | cirrus-qemu | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| DRM GPUSVM | drm_gpusvm | AMD および Intel 64 ビットアーキテクチャー、64 ビット ARM アーキテクチャー |
| パネルバックライトのオーバーライドに関する特異な動作への対策 | drm_panel_backlight_quirks | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Silicon Image sil164 TMDS トランスミッタードライバー | sil164 | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| Corsair Void ヘッドセット用 HID ドライバー | hid-corsair-void | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Intel Touch Host Controller ドライバー | intel-thc | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Intel QuickI2C ドライバー | intel-quicki2c | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Intel QuickSPI ドライバー | intel-quickspi | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| Conexant cx231xx USB ビデオデバイスドライバー - 0.0.3 | cx231xx | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Conexant CX25840 オーディオ/ビデオデコーダードライバー | cx25840 | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| cx23415/6/8 ドライバー | cx2341x | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| 各種 TV および TV+FM ラジオチューナー用ドライバー | tuner | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Videobuf2 における DMA のスキャッター/ギャザー方式のメモリー処理 | videobuf2-dma-sg | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| I2C Hauppauge EEPROM デコーダードライバー | tveeprom | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| Aeonsemi AS21xxx PHY ドライバー | as21xxx | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Linux 用 Intel MLD ワイヤレスドライバー | iwlmld | AMD および Intel 64 ビットアーキテクチャー、64 ビット ARM アーキテクチャー |
| MaxLinear MXL86110 PHY ドライバー | mxl-86110 | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Microchip PHY RDS PTP ドライバー | microchip_rds_ptp | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Realtek PHY ドライバー | realtek | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Geschwister Schneider および candleLight USB CAN インターフェイス用ソケット CAN ドライバー | gs_usb | AMD および Intel 64 ビットアーキテクチャー、IBM Power Systems (ppc64le) |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| AMD 3D V-Cache Performance Optimizer ドライバー | amd_3d_vcache | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| Thunderbolt 3 USB Type-C Alternate Mode | typec_thunderbolt | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| ユーザー空間の vDPA デバイス | vduse | AMD および Intel 64 ビットアーキテクチャー、64 ビット ARM アーキテクチャー |
5.2. 更新されたドライバー
| 説明 | 名前 | 現行バージョン | 対象アーキテクチャー |
|---|---|---|---|
| Broadcom MegaRAID SAS ドライバー | megaraid_sas | 07.734.00.00-rc1 | AMD および Intel 64 ビットアーキテクチャー、64 ビット ARM アーキテクチャー、IBM Power Systems (ppc64le) |
| Cisco FCoE HBA ドライバー | fnic | 1.8.0.2 | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Driver for Microchip Smart Family Controller | smartpqi | 2.1.34-035 | AMD および Intel 64 ビットアーキテクチャー、64 ビット ARM アーキテクチャー、IBM Power Systems (ppc64le) |
| Emulex LightPulse ファイバーチャネル SCSI ドライバー | lpfc | 0:14.4.0.9 | AMD および Intel 64 ビットアーキテクチャー、64 ビット ARM アーキテクチャー、IBM Power Systems (ppc64le) |
| LSI MPT Fusion SAS 3.0 デバイスドライバー | mpt3sas | 52.100.00.00 | AMD および Intel 64 ビットアーキテクチャー、64 ビット ARM アーキテクチャー、IBM Power Systems (ppc64le) |
| MPI3 Storage Controller デバイスドライバー | mpi3mr | 8.15.0.5.50 | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
第6章 新機能および機能拡張
このバージョンでは、次の主要な新機能および機能拡張が追加されています。
6.1. インストーラーおよびイメージの作成
fips=1 用の新しいブートメニューエントリーが ISO インストールに追加されました
この更新により、DVD およびブート ISO イメージによるインストールにおいて、カーネルブートオプション fips=1 を設定するための新しいブートメニューエントリーが使用可能になりました。これにより、プロセスが簡素化されます。RHEL のインストール時に FIPS モードを有効にすると、システムが FIPS で承認されたアルゴリズムと継続的な監視テストを使用してすべての鍵を生成するようになるためです。このブートオプションを使用すると、fips=1 カーネルパラメーターを使用してインストールを開始し、Federal Information Processing Standards (FIPS) 140 の要件にシステムを準拠させることができます。
RHEL でソフトリブートが利用可能になりました
systemd が、完全なシステム停止を必要とせずにユーザー空間を再起動 (rebooting) できる機能であるソフトリブートを提供するようになりました。主な機能拡張は次のとおりです。
- ダウンタイムの短縮: 時間のかかるプロセスである完全な再起動を実行せずにソフトリブートを実行して、システムの状態を更新します。これにより、定期的なメンテナンスやトラブルシューティングが容易になります。
-
柔軟なパッチ適用: システム全体を再起動せずに、
openssl、glibc、dbus-brokerなどの特定のユーザー空間の更新を適用します。 - イメージモードの統合: イメージモードでは、ソフトリブートは、適用待ちの更新がない場合はユーザー空間を再起動し、適用待ちの更新がある場合は、カーネルの変更を除き、その更新へシームレスに切り替えます。
- イミュータブルなエクスペリエンスの向上: ソフトリブートにより、完全な再起動を頻繁に行う必要性が減り、イミュータブルなシステムにおける新しいイメージバージョンの導入が簡素化されます。
既知の制限
- カーネルモジュール: カーネルモジュールを変更すると、ソフトリブート後に実行中のカーネルとの不一致が発生する可能性があります。
- カーネルとファームウェアの更新: ソフトリブートでは、カーネル、kpatch、またはファームウェア初期化に関する変更は適用されません。
Jira:RHELDOCS-20453[1]
rpm コマンドがインストール環境で利用可能になりました
以前は、rpm コマンドがインストール環境に含まれていませんでした。この更新により、rpm コマンドが含まれるようになりました。ユーザーは、たとえば %post キックスタートスクリプトで RHEL をインストールするときにこのコマンドを使用できます。
Jira:RHEL-101695[1]
ブループリントファイルのカスタマイズで、外部ソースからのファイルを参照するための URI フィールドがサポートされるようになりました
この更新により、ブループリントファイルのカスタマイズ構造に URI フィールドのサポートが追加されます。その結果、ブループリントに直接含まれているファイルだけでなく、外部の場所にあるファイルを参照して取得できるようになりました。これにより、ビルドシステムのカスタマイズの柔軟性が向上し、より適応性の高いビルドエクスペリエンスが実現します。
Jira:RHELDOCS-21016[1]
RHEL Image Builder は、Vagrant 用の新しいイメージタイプ vagrant-libvirt をサポートするようになりました
この更新により、RHEL Image Builder が libvirt ハイパーバイザーをサポートするようになり、ユーザーが Vagrant を使用して RHEL 仮想マシンを簡単に実行できるようになりました。この機能拡張により、事前設定されたイメージが提供され、一貫性のある効率的なセットアップが実現します。また、Vagrant 環境内の vagrant ユーザーに sudo 特権が付与されるため、管理タスクの管理と実行が容易になります。これらの機能拡張により、Vagrant 環境で RHEL 仮想マシンを操作する際のエクスペリエンスが、より効率的かつシームレスなものになります。
Jira:RHELDOCS-21025[1]
RHEL Image Builder が WSL2 イメージをサポートするようになりました
RHEL Image Builder を使用して Windows Subsystem for Linux (WSL2) を作成できるようになりました。このイメージタイプは wsl 形式で使用できます。イメージを使用するには、生成されたファイルをダブルクリックしてデプロイします。
Jira:RHELDOCS-20633[1]
RHEL Image Builder GUI がモジュール化されたコンテンツの検出をサポートするようになりました
RHEL 9.7 以降の RHEL Image Builder のグラフィカルユーザーインターフェイス (GUI) では、モジュール化されたコンテンツの検出がサポートされています。この機能により、次の機能拡張が導入されます。
- RHEL OS イメージを作成するときに、RHEL Image Builder GUI を使用して、RHEL AppStream やサードパーティーのリポジトリー (たとえば、Extra Packages for Enterprise Linux (EPEL)) など、さまざまなリポジトリーからモジュール化されたコンテンツを検出して組み込むことができます。
-
RHEL のモジュール機能のサポートが強化されました。Application Streams は、DNF のモジュール機能と
modulemdメタデータを活用して、柔軟なパッケージ管理を実現します。モジュールでは、バージョンストリームとユースケースプロファイルを指定でき、デフォルトのストリームとプロファイルもサポートされています。 -
DNF モジュール実装の更新。RPM グループを指定する際に使用する
@文字構文で、モジュールストリームを有効化およびインストールできます。これにより、キックスタートファイルとの互換性が確保されます。
Jira:RHELDOCS-21026[1]
image-installer で fips=1 用の新しいブートメニューエントリーが使用可能になりました
この更新により、image-installer ISO イメージタイプで、インストール時にカーネルブートオプション fips=1 を設定するための新しいブートメニューエントリーが使用可能になりました。これによりプロセスが簡素化されます。RHEL 10 では、インストール済みのシステムを FIPS モードに切り替えることはできず、インストールを開始するときにカーネルコマンドラインに fips=1 を追加する必要があります。インストール時に fips=1 を設定すると、システムを Federal Information Processing Standards (FIPS) 140 要件に準拠させることができます。
/etc/fstab 内の論理ボリュームデバイスで、fs_spec フィールドに UUID が使用されるようになりました
インストール後、システムが論理ボリューム (LV) デバイスを /etc/fstab に書き込む際、fs_spec フィールドに UUID を使用するようになりました。この変更により、次の利点が得られます。
-
/etc/fstab内のデバイスエントリーすべての一貫性が確保されます。 -
/etc/fstabを変更せずに、LV またはボリュームグループ (VG) の名前を変更することが可能です。 -
LUKS を使用してデバイスを再暗号化した後も
/etc/fstabが有効なままになります。 - デバイスマッパーのパスが変更された場合でも、再プロビジョニングの前後で、ルート (/) とその他のマウントの正しいマッピングが維持されます。
- 予測可能かつ移植可能な設定が得られます。UUID は、ファイルシステムのスーパーブロックに保存されるグローバルに一意の識別子であるためです。
Jira:RHEL-87651[1]
6.2. セキュリティー
RHEL 10.1 の crypto-policies はデフォルトで PQC アルゴリズムを有効にします
RHEL 10.1 のシステム全体の暗号化ポリシーは、耐量子計算機暗号 (PQC) のサポートを拡張し、すべての事前定義済みポリシーでデフォルトで PQC アルゴリズムを有効にします。RHEL 10.0 のバージョンに対する主な機能拡張と修正は次のとおりです。
- ハイブリッド方式の Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM) および純粋な Module-Lattice-Based Digital Signature Standard (ML-DSA) 耐量子計算機暗号アルゴリズムが、LEGACY、DEFAULT、および FUTURE の各暗号化ポリシーにおいて、最も高い優先度で有効化されます。
- 新しい NO-PQ サブポリシーにより、PQC アルゴリズムの無効化が簡素化されます。
- TEST-PQ サブポリシーは、PQC アルゴリズムをテクノロジープレビューとして有効にしなくなりました。代わりに、このサブポリシーは、OpenSSL で純粋な ML-KEM を有効化するために使用できます。
- FIPS 暗号化ポリシーにより、ハイブリッド方式の ML-KEM および純粋な ML-DSA 耐量子計算機暗号アルゴリズムが有効化されます。
- OpenSSL の新しいグループ選択構文で、従来のグループよりも耐量子計算機グループが優先されます。以前のリリースの動作を実現するには、すべての PQ グループを無効にする必要があります。
- PQC アルゴリズムが、Sequoia PGP ツールで、すべてのポリシーにおいて有効化されます。
-
ML-DSA アルゴリズムは、GnuTLS TLS 接続でデフォルトで有効になり、
MLDSA44、MLDSA65、およびMLDSA87値を通じて制御できます。 - ML-DSA-44、ML-DSA-65、および ML-DSA-87 PQC アルゴリズムは、すべての暗号化ポリシーの NSS TLS 接続で有効になります。
-
mlkem768x25519、secp256r1mlkem768、およびsecp384r1mlkem1024ハイブリッド ML-KEM グループが、NSS TLS ネゴシエーションで有効になります。
Jira:RHEL-113008, Jira:RHEL-103962, Jira:RHEL-92148, Jira:RHEL-106868, Jira:RHEL-101123, Jira:RHEL-86059, Jira:RHEL-85078, Jira:RHEL-97763, Jira:RHEL-98732
AD-SUPPORT-LEGACY サブポリシーが crypto-policies に再度追加されました
AD-SUPPORT-LEGACY 暗号化サブポリシーが、RHEL に再度追加されました。このサブポリシーは、従来の RC4 暗号化をサポートし、古い Active Directory 実装との相互運用性を確保するために使用されます。
Jira:RHEL-93323[1]
OpenSSL が 3.5 にリベースされました
OpenSSL がアップストリームバージョン 3.5 にリベースされました。このバージョンでは、特に次の点を含む重要な修正と機能拡張が行われています。
- ML-KEM、ML-DSA、および SLH-DSA 耐量子計算機アルゴリズムのサポートが追加されました。
- ハイブリッド方式の ML-KEM アルゴリズムをデフォルトの TLS グループリストに追加しました。
- TLS 設定オプションが強化されました。
- IETF RFC 9000 ドラフトに従って QUIC トランスポートプロトコルのサポートが追加されました。
- EVP_SKEY データ構造の形式による、不透明な対称鍵オブジェクトのサポートが追加されました。
- SHA-224 ダイジェストが無効になりました。
-
SHAKE-128 および SHAKE-256 実装で、デフォルトのダイジェスト長がなくなりました。したがって、
xoflenパラメーターが設定されていない限り、これらのアルゴリズムはEVP_DigestFinal/_ex()関数では使用できません。 - TLS 1.3 接続でクライアントが複数の鍵共有を送信できる機能を追加しました。
NSS が 3.112 にリベースされました
NSS 暗号化ツールキットパッケージが、アップストリームのバージョン 3.112 にリベースされました。これにより、多くの改善と修正が提供されます。主なものは次のとおりです。
- 耐量子計算機暗号 (PQC) 標準である Module-Lattice-Based Digital Signature Algorithm (ML-DSA) のサポートが追加されました。
- MLKEM1024 鍵カプセル化メカニズムにおいて、SSL 向けのハイブリッドサポートが追加されました。
このバージョンには次の既知の問題があります。
- NSS データベースのパスワードを更新すると ML-DSA のシードが破損する詳細は、RHEL-114443 を参照してください。
libreswan が 5.3 にリベースされました
libreswan パッケージはアップストリームバージョン 5.3 にリベースされました。
Jira:RHEL-102733[1]
GnuTLS が 3.8.10 にリベースされました
gnutls パッケージが 3.8.10 アップストリームリリースにリベースされました。これには次の機能拡張が含まれています。
-
gnutls優先度ファイルのcert-compression-alg設定オプションを使用して、TLS 証明書の圧縮方法を設定できます。 -
draft-ietf-lamps-dilithium-certificates-12ドキュメントで定義されている ML-DSA 秘密鍵形式のすべてのバリアントを使用できます。 - TLS で、ML-DSA-44、ML-DSA-65、および ML-DSA-87 署名アルゴリズムを使用できます。
-
テクノロジープレビューとして、PKCS#11 モジュールを使用してデフォルトの暗号化バックエンドをオーバーライドすることができます。この機能は、システム全体の設定で
[provider]セクションを指定してモジュールへのパスとピンを設定することでテストできます。
Jira:RHEL-102557[1]
Sequoia PGP が OpenPGP v6 をサポートするように更新されました
この更新により、sequoia-sq および sequoia-sqv が、耐量子計算機暗号 (PQC) 鍵を処理できるようになります。rpm-sequoia パッケージが、新たに OpenPGP v6 署名の検証をサポートするようになりました。その結果、Commercial National Security Algorithm Suite (CNSA) 2.0 標準に準拠した耐量子計算機デジタル署名を使用できるようになりました。
Jira:RHEL-101952, Jira:RHEL-92148, Jira:RHEL-101905, Jira:RHEL-101906
selinux-policy が 42.1 にリベースされました
selinux-policy パッケージはアップストリームバージョン 42.1 にリベースされました。このバージョンには、パッケージの改善など、多くの修正と改善が含まれています。特に、systemd ジェネレーターに関連する SELinux タイプが SELinux ポリシーに追加されました。
OpenSSL が sslkeylogfile をサポートするようになりました
OpenSSL は TLS の sslkeylogfile 形式をサポートしています。そのため、SSLKEYLOGFILE 環境変数を設定することで、SSL 接続によって生成されたすべてのシークレットをログに記録できます。
SSLKEYLOGFILE 変数を有効にすると、明らかなセキュリティーリスクが生じます。SSL セッション中に交換された鍵を記録すると、ファイルへの読み取りアクセス権を持つすべてのユーザーが、そのセッションで送信されたアプリケーショントラフィックを復号できるようになります。この機能はテストおよびデバッグ環境でのみ使用してください。
NSS が ML-DSA 鍵をサポートするようになりました
この更新により、Network Security Services (NSS) データベースが、Module-Lattice-Based Digital Signature Algorithm (ML-DSA) 鍵の使用をサポートするようになりました。ML-DSA は、National Institute of Standards and Technology (NIST) により、Cryptographically Relevant Quantum Computer (CRQC) からの攻撃に耐性があると認められた新しい署名アルゴリズムです。
ハイブリッド方式の ML-KEM 暗号が FIPS モードに対応しました
このリリースでは、ハイブリッド方式の Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM) の耐量子計算機暗号アルゴリズムが RHEL の FIPS モードでサポートされています。システムが FIPS モードで動作している場合、OpenSSL は、新しいハイブリッド方式の耐量子計算機グループの Elliptic Curve Diffie-Hellman (ECDH) 部分を、FIPS プロバイダーから取得できます。その結果、OpenSSL ライブラリーは、ハイブリッド耐量子計算機鍵交換の ECDH 部分に、FIPS 準拠の暗号化を使用するようになりました。
OpenSSL 3.5 が ML-KEM と ML-DSA に標準形式を使用するようになりました
RHEL 10.0 では、oqsprovider ライブラリーが、Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM) および Module-Lattice-Based Digital Signature Algorithm (ML-DSA) の秘密鍵に、標準化前の形式を使用していました。OpenSSL 3.5 へのリベースに伴い、ユーザーは次のコマンドを使用して ML-KEM 鍵と ML-DSA 鍵を標準形式に変換する必要があります。
# openssl pkcs8 -in <old_private_key> -nocrypt -topk8 -out <standard_private_key>
<old_private_key> は、非標準の秘密鍵へのパスに置き換えます。<standard_private_key> は、標準形式の鍵を保存するパスに置き換えます。
SCAP Security Guide が 0.1.78 にリベースされました
詳細は、SCAP Security Guide release notes を参照してください。
EPEL パッケージに関連する SELinux ポリシーモジュールが、CRB リポジトリーの -extra サブパッケージに移動されました
RHEL 10.0 で、Extra Packages for Enterprise Linux (EPEL) リポジトリーに含まれるパッケージにのみ関連し、RHEL パッケージには関連しない SELinux ポリシーモジュールが、selinux-policy パッケージから selinux-policy-epel パッケージに移動されました。これにより、selinux-policy のサイズが縮小され、システムが SELinux ポリシーの再構築や読み込みなどの操作をより迅速に実行できるようになりました。
RHEL 10.1 では、selinux-policy-epel のモジュールが、RHEL CodeReady Linux Builder (CRB) リポジトリー内の次の -extra サブパッケージに移動されました。
-
selinux-policy-targeted-extra -
selinux-policy-mls-extra
この変更により、ユーザーが EPEL リポジトリーを有効にすると、-extra SELinux ポリシーモジュールが自動的にインストールされるようになりました。
setroubleshoot-server が initscripts を必要としなくなりました
この更新前は、setroubleshoot-server SELinux 診断ツールの %post および %postun スクリプトレットが、/sbin/service を呼び出していました。この更新により、スクリプトレットは、auditd サービスを再ロードするために auditctl を直接呼び出し、/sbin/service の使用を回避するようになりました。この機能拡張により、依存関係の構造が簡素化され、スクリプトレットの実行が効率化されます。
OpenSSH が known_hosts 内の無効な RSA ホストキーを無視するようになりました
この更新前は、known_hosts に不適切なホストキーしか含まれていない場合、サーバーに有効なホストキーがあっても、OpenSSH がサーバーのホストキーを受信したときに、bad hostkey: Invalid key length というメッセージが表示され、SSH 接続が失敗していました。この更新により、OpenSSH は、known_hosts ファイル内の短すぎて無効な RSA ホストキーを無視するようになりました。その結果、SSH 接続が失敗しなくなり、OpenSSH が新しいキーを受信して接続を確立できるようになりました。
Jira:RHEL-83644[1]
3 つの RHEL サービスが SELinux の permissive モードから削除されました
RHEL サービスの次の SELinux ドメインは、SELinux permissive モードから削除されました。
-
gnome_remote_desktop_t -
pcmsensor_t -
samba_bgqd_t
以前は、RHEL 10 に最近追加されたパッケージに含まれるこれらのサービスは、一時的に SELinux permissive モードに設定されていました。これにより、システムの他の部分が SELinux enforcing モードであるのに、追加の拒否に関する情報を収集することが可能でした。この一時的な設定は削除されました。その結果、これらのサービスは SELinux の enforcing モードで実行されるようになりました。
Jira:RHEL-82672[1]
GnuTLS が TLS 接続で ML-DSA 鍵をサポートするようになりました
この更新により、GnuTLS ライブラリーが、TLS 1.3 接続で、Module-Lattice-Based Digital Signature Algorithm (ML-DSA) 鍵を使用した X.509 証明書の使用をサポートするようになりました。量子コンピューターによる攻撃に耐えるには、証明書チェーンと TLS ハンドシェイクを ML-DSA などの耐量子計算機アルゴリズムで認証する必要があります。
OpenSSH サーバーが Kerberos 認証インジケーターをサポートするようになりました
Match 設定を使用する場合、OpenSSH サーバーは Kerberos チケットに含まれる認証インジケーターをサポートします。sshd 設定で GSSAPIIndicators オプションが定義されている場合、インジケーターを含んでいてもポリシーと一致しない Kerberos チケットは拒否されます。アクセス用または拒否用のインジケーターが少なくとも 1 つ設定されている場合、認証インジケーターのないチケットが明示的に拒否されます。詳細は、システム上の sshd_config(5) man ページを参照してください。
DNS over TLS が RHEL 10.1 で一般提供になりました
暗号化された DNS (eDNS) が、DNS-over-TLS (DoT) プロトコルを使用してすべての DNS 通信を保護するために、一般提供になりました。eDNS を使用すると、新しい RHEL インストール環境を起動時に保護できます。これにより、プレーンテキストの DNS トラフィックが一切送信されなくなります。既存の RHEL システムを eDNS を使用するように変換することもできます。
eDNS を使用して新規インストールを実行するには、カーネルコマンドラインを使用して DoT 対応 DNS サーバーを指定します。カスタム CA 証明書バンドルが必要な場合は、キックスタートファイルの %certificate セクションを使用してのみインストールできます。現在、カスタム CA バンドルはキックスタートインストールを通じてのみインストールできます。
既存のシステムでは、新しい DNS プラグインである dnsconfd を使用するように NetworkManager を設定してください。このプラグインは、eDNS のローカル DNS リゾルバー (unbound) を管理します。カーネル引数を追加して、初期ブートプロセス用に eDNS を設定し、必要に応じてカスタム CA バンドルをインストールします。
その結果、DoT プロトコルを使用してすべての RHEL DNS トラフィックをエンドツーエンドで暗号化し、セキュアでないプロトコルへのフォールバックを防ぐポリシーを設定できるようになりました。詳細は、暗号化された DNS を使用したシステム DNS トラフィックの保護 を参照してください。
Jira:RHELDOCS-21104[1]
新しいパッケージ: fips-provider-next
fips-provider-next パッケージは、次期バージョンの FIPS プロバイダーを提供します。このパッケージは、検証を受けるために National Institute of Standards and Technology (NIST) に提出されたものです。このパッケージはデフォルトではインストールされません。検証済みの OpenSSL FIPS プロバイダーである openssl-fips-provider パッケージが存在するためです。openssl-fips-provider から fips-provider-next に切り替えるには、以下を実行します。
# dnf swap openssl-fips-provider fips-provider-nextJira:RHEL-105014[1]
Rsyslog の imuxsock に新しい ratelimit.discarded カウンターが追加されました
この更新により、Rsyslog の imuxsock モジュールに新しいカウンター ratelimit.discarded が追加されました。このカウンターは、Unix ソケットでのレート制限によりドロップされたメッセージの数を追跡します。この機能拡張により、管理者はレート制限によるメッセージ損失を可視化できるため、レート制限設定を微調整し、重要なログが破棄されるのを防ぐことができます。
Jira:RHEL-96589[1]
SELinux ポリシーに qgs デーモン用のルールとタイプが追加されました
qgs デーモンが、TDX 機密仮想化をサポートする linux-sgx パッケージとともに RHEL に追加されました。qgs デーモンは、ゲスト OS が仮想マシン (VM) のアテステーションを要求すると、UNIX ドメインソケットを介して QEMU と通信します。これを可能にするために、SELinux ポリシーに、新しい qgs_t タイプ、アクセスルール、および権限が追加されます。
audit.cron を利用して時間ベースの auditd のログローテーションを設定できるようになりました
この更新により、audit パッケージに auditd.cron ファイルが追加されました。この機能拡張は、既存のツールを使用して時間ベースの auditd のログローテーションを設定する方法に関して、文書化された明確な例を提供するものです。その結果、管理者が時間ベースの auditd のログローテーションを設定する際に、シンプルな公式ガイドを利用できるようになりました。
Jira:RHEL-77141[1]
SELinux ポリシーに制限されている追加サービス
この更新により、次の systemd サービスを制限する追加のルールが SELinux ポリシーに追加されます。
-
switcheroo-control -
tuned-ppd
その結果、これらのサービスは、CIS Server Level 2 ベンチマークの "SELinux によって制限されていないデーモンがないことを確認する" ルールに違反する unconfined_service_t SELinux ラベルで実行されなくなり、SELinux enforcing モードで正常に実行されるようになりました。
Jira:RHEL-69450、Jira:RHEL-83267
Rsyslog の imfile に新しい deleteStateOnFileMove オプションが追加されました
この更新により、imfile モジュールに新しい deleteStateOnFileMove パラメーターが追加されました。このパラメーターは、モジュールレベルでも、操作ごとのオプションとしても利用できます。この機能拡張により、監視対象のログファイルがローテーションまたは移動されたときに、孤立した状態ファイルが spool/ ディレクトリーに蓄積される問題が解決されます。このパラメーターを有効にすると、ログファイルが移動されたときに、このような古いファイルを自動的にクリーンアップできるため、ディスク領域の浪費が防止され、管理が簡素化されます。
Jira:RHEL-92757[1]
6.3. ソフトウェア管理
RPM が spec ファイルローカルなファイル属性と依存関係ジェネレーターをサポートするようになりました
ファイル属性とその依存関係ジェネレーターは、通常、別々のパッケージに同梱されるため、これらの属性を使用するパッケージをビルドする前にインストールする必要があります。しかし、場合によっては、ファイル属性を同梱するパッケージのビルド中にこの属性を有効にする必要があります。また、パッケージをビルドするためだけにファイル属性が必要で、属性をパッケージに同梱せずに済ませたいという場合もあります。
この更新により、次の手順を実行することで、spec ファイルローカルなファイル属性とジェネレーターを登録できるようになりました。
-
%_local_file_attrsマクロを定義します。%_local_file_attrsは、specファイルに直接登録する新しい属性名のコロン区切りリストを受け入れます。 -
各属性に対して、
%__NAME_providesや%__NAME_pathなどの 1 つ以上の依存関係ジェネレーターマクロを定義します。NAMEはローカルファイル属性の名前です。
これにより、RPM が、spec ファイルのビルド時に、依存関係の生成にファイル属性を使用するようになります。その結果、必ずしもインストール用ではないビルド時のファイル属性を作成することが可能になります。
たとえば、次の spec ファイルスニペットは、パッケージのソースにバンドルされている foobar.sh スクリプトを使用して、パッケージ化される各ファイルの provides を生成します。
Source1: foobar.sh
[...]
%define _local_file_attrs foobar
%define __foobar_provides %{SOURCE1}
%define __foobar_path .*RPM がインストール中に元のパッケージのチェックサムを記録します
この更新により、RPM がインストール中に .rpm パッケージ全体の SHA256 および SHA512 ダイジェストを記録するようになりました。そのため、ユーザーは、RPM データベースからこれらのダイジェストを取得し、インストールされたパッケージが特定の .rpm ファイルに対応していることを確認できます。その結果、インストールされたパッケージセットが、DNF リポジトリーで使用可能なパッケージなど、既知の .rpm パッケージセットとビット単位で一致することを遡及的に検証することで、RHEL システムの整合性を向上させることができます。
インストールされたパッケージのパッケージダイジェストを出力するには、次のコマンドを使用します。
$ rpm -q --qf "[%{packagedigestalgos:hashalgo} %{packagedigests}\n]" <package_name>
新しい %_pkgverify_digests マクロを設定することで、データベースに記録されるダイジェストタイプをカスタマイズすることもできます。次に例を示します。
%_pkgverify_digests 8:10dnf トランザクション中にシステムクロックのずれが報告されるようになりました
システムとエンタイトルメントサーバー間のクロックが大幅にずれていると、システムが適切に登録されていても、コンテンツリポジトリーが利用できなくなる可能性があります。この問題は、特に、時刻が遅れていてエンタイトルメントがまだ開始していないように見える場合、解決が困難です。
この機能拡張により、subscription-manager が 2 秒を超えるクロックのずれを検出すると、dnf トランザクション中に次のメッセージが stdout に出力されるようになりました。
The system clock is skewed. There is a time difference of X.Y seconds with the entitlement server. Please check your clock settings to ensure access to all entitled content.
ずれが 2 秒を超えると、追加の DEBUG ロギングが /var/log/rhsm/rhsm.log ファイルに書き込まれます。ずれが 15 分を超えると、ロギングが WARNING に変わります。
RHEL 10 のシステムクロックを NTP サーバーと同期させる方法は、時刻同期の設定 を参照してください。
Jira:RHEL-13374[1]
6.4. シェルおよびコマンドラインツール
tog-pegasus に耐量子計算機暗号のサポートが追加されました
以前は、従来の証明書チェーンと ML-DSA 証明書を同時にサポートするメカニズムがありませんでした。
この更新により、tog-pegasus サーバーに 2 つの新しいファイル /etc/pki/Pegasus/server-fallback.pem と /etc/pki/Pegasus/file-fallback.pem が提供されます。これらのファイルは、ML-DSA 証明書と従来の証明書チェーンを同時に使用する必要がある場合に、従来の証明書と鍵の読み込みを有効にするために使用されます。詳細は、/usr/share/doc/tog-pegasus/README.RedHat.SSL を参照してください。
Jira:RHEL-93093[1]
sblim-sfcb に耐量子計算機暗号のサポートが追加されました
以前は、ピアが耐量子計算機鍵交換をサポートしている場合でも、パッケージはそれをデフォルトで使用していませんでした。また、従来の証明書チェーンと ML-DSA 証明書を同時にサポートするメカニズムがありませんでした。
この更新により、sblim-sfcb サーバー設定ファイルに 2 つの新しい設定オプション sslKeyFallbackFilePath と sslCertificateFallbackFilePath が導入されました。これらのオプションはデフォルトでは無効になっていますが、ML-DSA 証明書と従来の証明書チェーンを同時に使用する必要がある場合に、従来の証明書と鍵の読み込みを有効にするために使用できます。
耐量子計算機鍵交換をデフォルトで防止する ECDH 一時鍵生成が sblim-sfcb サーバーで無効になりました。
Jira:RHEL-93092[1]
openwsman に耐量子計算機暗号のサポートが追加されました
以前は、ピアが耐量子計算機鍵交換をサポートしている場合でも、パッケージはそれをデフォルトで使用していませんでした。また、従来の証明書チェーンと ML-DSA 証明書を同時にサポートするメカニズムがありませんでした。
この更新により、openwsman サーバー設定ファイルに 2 つの新しい設定オプション ssl_cert_fallback_file と ssl_key_fallback_file が導入されました。これらのオプションはデフォルトでは無効になっていますが、ML-DSA 証明書と従来の証明書チェーンを同時に使用する必要がある場合に、従来の証明書と鍵の読み込みを有効にするために使用できます。
耐量子計算機鍵交換をデフォルトで防止する古い SSL 初期化が openwsman サーバーから削除されました。
Jira:RHEL-93091[1]
openCryptoki がバージョン 3.25.0 で提供されます
openCryptoki パッケージはバージョン 3.25.0 で提供されます。以下のサポートが追加されました。
EP11:
- PKCS#11 v3.0 の SHA3 および SHA3-HMAC メカニズム
- PKCS#11 v3.0 の RSA-OAEP 用の SHA3 メカニズムおよび MGF
- PKCS#11 v3.0 の RSA-PKCS および ECDSA メカニズムの SHA3 バリアント
- C_CreateObject を使用した不透明なセキュア鍵 Blob のインポート
ICA/Soft:
- PKCS#11 v3.0 SHAKE 鍵導出
- CKM_AES_KEY_WRAP[_*] メカニズム
- CKM_ECDH_AES_KEY_WRAP メカニズム
- AES-GCM による鍵ラッピング
CCA:
- CCA AES CIPHER セキュア鍵タイプ
- CKM_ECDH1_DERIVE メカニズム
- s390x および非 s390x プラットフォーム上の新しい CCA バージョン
- シングルパート操作専用の CKM_AES_GCM
- CCA/Soft/ICA: CKM_RSA_AES_KEY_WRAP メカニズム
- P11KMIP: PKCS#11 鍵を KMIP サーバーにインポートおよびエクスポートするためのツールが追加されました。
- ICA: libica が FIPS モードであるかどうかに応じてメカニズムをレポートします。
Jira:RHEL-73343[1]
6.5. インフラストラクチャーサービス
RHEL に dyninst バージョン 13.0.0 が搭載されました
dyninst フレームワークがアップストリームバージョン 13.0.0 にリベースされました。このバージョンでは、次の機能拡張が提供されています。
- AMD GPU バイナリーのサポートが向上しました。
- x86 命令と C++ DWARF 構造の解析が改善されました。
詳細は、アップストリームのドキュメント を参照してください。
RHEL に SystemTap バージョン 5.3 が搭載されました
SystemTap がバージョン 5.3 にリベースされました。マルチスレッド解析機能により初期化時間が数秒短縮され、起動のパフォーマンスが向上しました。
elfutils がバージョン 0.193 にリベースされました
elfutils 0.193 が RHEL 10.1 で利用可能になりました。この更新の主な変更点は次のとおりです。
-
debuginfodが、Web API において CORS (Web アプリケーションからのアクセス) をサポートし、--corsオプションを提供するようになりました。新しい--listen-addressオプションを使用すると、HTTP リッスンソケットを特定の IPv4 または IPv6 アドレスにバインドできます。debuginfodクライアントは、ダウンロードしたファイルと一緒にx-debuginfod-*HTTP ヘッダーをキャッシュするようになりました。 -
libdwライブラリーに、dwarf_languageおよびdwarf_language_lower_bound関数が追加されました。また、DWARF6 言語メタデータのサポートが強化され、Nim、Dylan、Algol68、V、および Mojo の新しい言語定数も追加されました。dwarf_srclang関数は、DWARF6 言語定数と上位互換性があります。 -
実験的なインターフェイスである
libdwfl_stacktraceは、スタックサンプルをアンワインドしてコールチェーンに変換し、複数のプロセスの ELF データをキャッシュできます。このインターフェイスは、まずperf_eventsスタックのサンプルデータをサポートし、テクノロジープレビューとして提供されます。 -
libelfライブラリーで、64K を超えるセクションを持つ ELF ファイルに対応するために、elf_scnshndxの実装がより堅牢になりました。 -
readelfツールによる破損した ELF データの処理が改善されました。--section-headersオプションの出力に、セクションフラグの意味を説明するキーが含まれるようになりました。
valgrind がアップストリームバージョン 3.25.1 にアップグレードされました
バージョン 3.24.0 (RHEL 10.0) からアップストリームバージョン 3.25.1 (RHEL 10.1) へのアップグレードにより、次の主な機能拡張が提供されます。
- zstd によって圧縮されたデバッグセクションのサポートが追加されました。
- Linux システムコール (landlock*、io_pgetevents、open_tree、move_mount、fsopen、fsconfig、fsmount、fspick、userfaultfd) への拡張。
-
ファイル記述子のトラッキング強化:
--track-fds=yesおよび--track-fds=allが、継承されたファイル記述子に、標準入力、標準出力、および標準エラーと同じ動作を適用します。 -
新しいオプション
--modify-fds=high(--track-fds=yesとともに使用) は、最初に大きい番号の記述子を割り当てることで、記述子の再利用に関する問題の検出を支援します。 -
Helgrind の設定: ロックされていないミューテックスに対して
pthread_cond_signalおよびpthread_cond_broadcastを呼び出した場合の警告が、--check-cond-signal-mutex=yes|no(デフォルト: no) によって制御されるようになりました。
アーキテクチャー固有の機能拡張:
-
新しい IBM Z (
s390x) NNPA ハードウェアのサポート。
valgrind パッケージが柔軟なインストールのためにサブパッケージに分割されました
この更新前は、1 つの valgrind パッケージに、すべてのコア機能、後処理スクリプト、GDB 統合、ドキュメントが含まれていました。そのため、特定の機能だけが必要な場合でも、すべてのコンポーネントをインストールする必要がありました。
この更新により、valgrind パッケージは複数のサブパッケージに分割されました。valgrind のコア機能、後処理スクリプト、GDB 統合、ドキュメントなど、必要なコンポーネントのみをインストールできます。
Jira:RHEL-75470[1]
jemalloc 5.3.0 が Varnish に統合されました
この更新前は、一部のユーザーから、Red Hat Enterprise Linux の新しいバージョンにアップグレードした後、Varnish でメモリーが過剰に使用されるという報告がありました。明示的なメモリー制限 (-s malloc,1G など) を設定しても、メモリー消費量が時間の経過とともに増加し続けていました。
この機能拡張により、メモリーアロケーターライブラリーの jemalloc (バージョン 5.3.0) が Varnish パッケージ内に統合され、デフォルトの glibc malloc が置き換えられました。jemalloc 5.3.0 の統合により、特に高負荷環境や長期間稼働する環境において、Varnish デプロイメントのメモリー消費量が削減され、パフォーマンスが向上し、メモリーの安定性が向上します。
Jira:RHEL-45756[1]
BrowseOptionsUpdate ディレクティブが RHEL で利用可能になりました
BrowseOptionsUpdate ディレクティブは、デフォルトの印刷オプションのソースと更新頻度を決定します。このディレクティブは、システムがオプションをローカルシステムから取得するか、リモート印刷サーバーから取得するかを指定します。さらに、オプションをサービスの起動時に更新するか、一定の間隔で更新するか、まったく更新しないかを指定します。
必要な動作を実現するために、BrowseOptionsInterval ディレクティブとその値を /etc/cups/cups-browsed.conf ファイルに追加できるようになりました。このディレクティブには以下の値を指定できます。
-
None(デフォルト): 以前のセッションから作成されたローカルファイルが、デフォルトのオプションを読み込みます。 -
Static:cups-browsedサービスが、起動時にリモートサーバーからデフォルトのオプションを取得します。 -
Dynamic: システムが、/etc/cups/cups-browsed.confファイルで定義されているBrowseInterval値に従ってデフォルトオプションを更新します。
注記: BrowseOptionsInterval ディレクティブの値を変更した後は、サービスを再起動する必要があります。
Jira:RHEL-87180[1]
6.6. ネットワーク
NetworkManager と Nmstate がインターフェイスごとの IPv4 転送の設定をサポートするようになりました
この機能拡張により、NetworkManager がネットワークインターフェイスごとに IPv4 転送を有効化および無効化できるようになりました。これにより、NetworkManager 接続プロファイルできめ細かく直接制御することが可能になり、sysctl カーネル設定を更新する必要がなくなります。プロファイルで ipv4.forwarding パラメーターを有効にすると、対応するインターフェイスがルーターとして機能し、IPv4 パケットを転送するようになります。デフォルト値の auto では、NetworkManager は共有接続がアクティブな場合に IPv4 転送を有効にし、それ以外の場合にカーネルのデフォルト値を使用します。
この機能は Nmstate でも利用できます。
KTLS が TLS 1.3 の鍵再生成をサポートするようになりました
Kernel Transport Layer Security (KTLS) (RHEL のサポート対象外のテクノロジープレビュー機能) が、TLS 1.3 のカーネル内鍵再生成をサポートするようになりました。以前は、初期鍵で送信できるバイト数が限られていたため、大量のデータ転送を伴う長時間のセッションは不可能でした。この機能拡張により、アクティブなセッション中に更新がシームレスに行われるようになり、アプリケーションが接続を再開する必要なく、大量のデータを転送することが可能になりました。この機能を使用するには、OpenSSL や GnuTLS などのユーザー空間ライブラリーも KTLS 鍵再生成機能をサポートしている必要があることに注意してください。
この機能拡張では、TLS 1.3 の鍵再生成のみがサポートされており、TLS 1.2 での再ネゴシエーションはサポートされていません。
Jira:RHEL-86020[1]
Nmstate が mtu および quickack ルートオプションをサポートするようになりました
この機能拡張により、Nmstate を使用して mtu および quickack ルートオプションを設定できるようになりました。これらの設定は、最大転送単位がデフォルトと異なる際にネットワークパフォーマンスを最適化する場合や、TCP 確認応答の動作をチューニングする場合に重要です。これにより、ネットワークトラフィックの動作をより正確に制御できるようになりました。
Nmstate が、ネットワークインターフェイスの FEC の設定をサポートするようになりました
この機能拡張により、Nmstate を使用して、RS-FEC、Base-R、Disabled などの前方誤り訂正 (FEC) モードをインターフェイスに適用できるようになりました。これらの設定は、再送信せずにエラーを検出および修正することで、データ転送の信頼性を向上させるうえで重要です。これにより、手動で設定したり、プラットフォーム固有のツールを使用したりせずに、Nmstate を使用して FEC 設定を適用できるようになりました。
nm-initrd-generator に NBFT パーサーが追加されました
NVMe Boot Firmware Table (NBFT) は、ACPI テーブルを使用して、ファームウェアがプリブート環境からネットワークとストレージの設定を直接オペレーティングシステムに渡す標準的な方法です。nm-initrd-generator ユーティリティーは、このパーサーを使用してこの設定を自動的に検出して適用し、必要な接続を手動設定不要で作成します。この実装は、dracut の 95nvmf モジュールに代わるものであり、より効率的で堅牢なブートシーケンスを実現するために、systemd の自動化を利用します。
NetworkManager が、IPv6 プレフィックスの委譲を使用する場合に、ダウンストリームインターフェイスの固定サブネット ID をサポートするようになりました
この機能拡張により、IPv6 プレフィックスの委譲を使用するときに、NetworkManager でダウンストリームインターフェイスに固定のサブネット ID を指定できるようになりました。以前のリリースでは、システムを再起動すると、ダウンストリームインターフェイスのサブネット ID が変更される可能性がありました。サブネット ID が固定されている場合、RHEL ホストを再起動しても、ダウンストリームネットワーク内のデバイスに割り当てられた IPv6 アドレスは変更されません。
Nmstate は、インターフェイス名の代わりに MAC アドレスを使用してルートを設定することをサポートするようになりました
Nmstate を使用すると、インターフェイスの MAC アドレスにネットワーク接続を割り当てることで、その接続を作成できます。この機能拡張により、ルーティング設定の next-hop-interface パラメーターでインターフェイス名の代わりにプロファイル名を使用できるようになりました。この機能を使用すると、インターフェイス名を知らなくても静的ルートを作成できます。
Jira:RHEL-80547[1]
Nmstate が、PCI アドレスに基づいてネットワークインターフェイスに設定を割り当てることが可能になりました
この機能拡張により、Nmstate を使用して、デバイス名ではなく PCI アドレスに基づいてネットワークインターフェイスを設定できるようになりました。クラスター内のノード全体で一貫した設定を実現するには、この機能を使用してください。詳細は、デバイスパスを指定して nmstatectl を使用して動的 IP アドレスによるイーサネット接続を設定する および デバイスパスを指定した nmstatectl を使用して静的 IP アドレスによるイーサネット接続を設定する を参照してください。
Nmstate が、VLAN インターフェイスの Egress および Ingress 優先度マッピングをサポートするようになりました
NetworkManager は、VLAN インターフェイスのトラフィック優先度マッピングの設定を以前からサポートしていました。この機能拡張により、Nmstate ライブラリーが、Egress および Ingress 優先度の Quality of Service (QoS) マッピングルールも処理できるようになりました。その結果、Nmstate を使用して VLAN を作成し、双方向の優先度マッピングを定義できるようになり、トラフィックをより正確かつ効率的に管理できるようになりました。
Jira:RHEL-78334[1]
nmtui がループバックインターフェイスの設定をサポートするようになりました
NetworkManager は、nmcli ユーティリティーを使用したループバックインターフェイスの設定を以前からサポートしていました。この機能拡張により、nmtui アプリケーションに同じ機能が追加されました。その結果、ループバックインターフェイスで IP アドレスとルートを設定できるようになりました。
NetworkManager-libreswan プラグインが Libreswan のデフォルト値の使用をサポートするようになりました
この機能拡張により、Libreswan VPN 接続プロファイルの no-nm-default プロパティーを true に設定することで、NetworkManager のデフォルト値ではなく、Libreswan の値を使用できるようになりました。これにより、ネイティブ Libreswan 用に定義された設定との互換性が確保されます。その結果、たとえば、サブネット間のトンネルを設定できるようになりました。
Nmstate のボンディング設定が最適化設定をサポートするようになりました
この機能拡張により、Nmstate API が次のボンディングオプションをサポートするようになりました。
-
lacp_active: Linux カーネルが Link Aggregation Control Protocol Data Unit (LACPDU) フレームを定期的に送信するかどうかを定義します。この設定は 802.3ad ボンディングモードでのみ使用できます。 -
ns_ip6_target:arp_intervalパラメーターを 0 より大きい値に設定した場合に、IPv6 監視ピアとして使用する IPv6 アドレスをリストします。
その結果、管理者はこれらの設定を使用してネットワークボンディングを最適化し、安定した接続、効率的な帯域幅、および IPv6 との互換性を確保できます。
iproute がバージョン 6.14.0 にリベースされました
iproute パッケージがアップストリームバージョン 6.14.0 に更新されました。
主な機能拡張:
-
ip nexthopコマンドが 16 ビットのnexthop重み付けに対応しました。 -
ip link rmnetコマンドがフラグ処理に対応しました。 -
ip lwtunnelコマンドが 'tunsrc' 属性の設定と取得に対応しました。 -
ip monitorコマンドに、マルチキャストアドレスの監視 (ip monitor maddress) のサポートが追加されました。 -
ip ruleコマンドが 'dscp' セレクターに対応しました。 -
ip ruleコマンドがフローラベルに対応しました。 -
ip routeコマンドが IPv6 フローラベルに対応しました。 -
ip addressコマンドとip link showコマンドが、'down' フィルターに対応しました。 -
tc flowerフィルターがトンネルメタデータのマッチングに対応しました。 -
tc fqキューイング規則が、TCA_FQ_OFFLOAD_HORIZON属性に対応しました。 -
tcユーティリティーが、IEEE 802.1Q-2018 標準で指定されている Time-Sensitive Networking (TSN) のHold/Releaseメカニズムに対応しました。 -
rdma monitorコマンドに、Remote Direct Memory Access (RDMA) イベントの監視のサポートが追加されました。 -
vdpaユーティリティーが MAC アドレスの設定に対応しました。 - いくつかの man ページが改善されました。
主なバグ修正:
- いくつかのメモリーリークが修正されました。
-
不必要に厳しいエラーを防ぐために、
ip netconfコマンドのエラーチェックが修正されました。 -
/etc/iproute2/ディレクトリー内のカスタムiproute2設定が期待どおりに機能するようになりました。
新しいネットワークパケットドロップの理由と MIB カウンター
カーネルのネットワークスタックが、ネットワークパケットをドロップするときに、より詳細な理由を提供するようになりました。また、この機能拡張により、LINUX_MIB_PAWS_TW_REJECTED と LINUX_MIB_PAWS_OLD_ACK という 2 つの新しい管理情報ベース (MIB) カウンターが追加されます。その結果、ネットワークの問題のデバッグと診断が容易になりました。
Jira:RHEL-88891[1]
nft monitor trace コマンドが接続追跡に関する情報を表示するようになりました
nft monitor trace コマンドを使用して、接続追跡に関する詳細情報を表示できるようになりました。この機能により、接続のデバッグが簡素化され、接続の状態をよりよく把握できるようになります。
Jira:RHEL-87758[1]
fwctl サブシステムがカーネルに追加されました
カーネルロックダウン機能が有効な場合、セキュリティー上の理由から、カーネルは /sys/ ディレクトリー内の resource0 ファイルや PCI 設定空間へのアクセスを許可しません。fwctl カーネルサブシステムは、mlx5 ネットワークインターフェイスコントローラーなど、ソフトウェア定義デバイスのファームウェアとの通信を管理します。このサブシステムは、標準化されたセキュアなリモートプロシージャーコール (RPC) インターフェイスを確立します。このインターフェイスにより、ユーザー空間アプリケーションが、診断、設定、更新のためにデバイスファームウェアとやり取りできるようになります。新しいサブシステムの導入に加えて、mstflint ユーティリティーも fwctl サブシステムを使用するようになりました。このユーティリティーは、これらのセキュアな環境で完全に機能します。
Jira:RHEL-86015[1]
ice ドライバーが、関連付けられた VF のためにベクトルを解放する目的で、PF の MSI-X ベクトル使用量を削減することをサポートするようになりました
この機能拡張により、Physical Function (PF) に割り当てられた Message Signaled Interrupts eXtended (MSI-X) ベクトルを削減し、関連付けられた Virtual Function (VF) のために十分な数のベクトルを確保できるようになりました。詳細は、Reducing the MSI-X vector usage for a physical function to free vectors for associated virtual functions を参照してください。
Jira:RHEL-80554[1]
named および dnssec ユーティリティーが、ハードウェアトークン用の OpenSSL プロバイダーをサポートするようになりました
この更新前は、OpenSSL ENGINE が削除されたため、ハードウェアセキュリティートークンを使用して DNSSEC ゾーン署名の秘密鍵を保存する機能のサポートを利用できませんでした。この機能は、named サービスでハードウェアトークンを直接使用する場合と、ipa-server-dns パッケージの DNSSEC 機能に必要でした。
この更新により、named および dnssec コマンドラインユーティリティーが更新され、OpenSSL プロバイダーをサポートするようになりました。
その結果、OpenSSL プロバイダーを使用して、ハードウェアトークンとソフトウェアトークンの両方にアクセスし、秘密鍵を保存できるようになりました。これにより、named サービスでハードウェアトークンを直接使用する機能が復元され、ipa-server-dns パッケージの DNSSEC ゾーン署名機能が有効になりました。
NetworkManager と Nmstate がインターフェイスごとの IPv4 転送の設定をサポートするようになりました
この機能拡張により、NetworkManager がネットワークインターフェイスごとに IPv4 転送を有効化および無効化できるようになりました。これにより、NetworkManager 接続プロファイルできめ細かく直接制御することが可能になり、sysctl カーネル設定を更新する必要がなくなります。プロファイルで ipv4.forwarding パラメーターを有効にすると、対応するインターフェイスがルーターとして機能し、IPv4 パケットを転送するようになります。デフォルト値の auto では、NetworkManager は共有接続がアクティブな場合に IPv4 転送を有効にし、それ以外の場合にカーネルのデフォルト値を使用します。
この機能は Nmstate でも利用できます。
6.7. カーネル
RHEL 10.1 のカーネルバージョン
Red Hat Enterprise Linux 10.1 には、カーネルバージョン 6.12.0-124.8.1 が同梱されています。
Perf コアカウンターが Intel Panther Lake CPU でサポートされるようになりました
以前は、ユーザーは Intel Panther Lake CPU 上の perf コアカウンターを使用してハードウェアイベントを監視できませんでした。perf パッケージに Panther Lake サポートが追加されたため、ユーザーはこのマイクロアーキテクチャー上のハードウェアイベント監視にアクセスできるようになります。
Jira:RHEL-47451[1]
問題となるレイテンシーをより良く追跡するために、rteval のデフォルトの測定モジュールが rtla timerlat になりました
この機能拡張により、問題となる遅延の原因を簡単に特定できるようになりました。目的の cyclictest 測定モジュールは、rteval.config ファイルを使用して選択できます。
Jira:RHEL-97541[1]
kpatch-dnf プラグインが更新され、カーネル管理が改善されました
この更新前は、kpatch-dnf プラグインで、カーネルのアップグレードと kpatch のサポート状況の整合性が取れていませんでした。その結果、管理者は kpatch でサポートされていないカーネルをインストールまたはアップグレードするおそれがありました。これにより、サポートされていないカーネルを実行し、システムの安定性が低下するリスクが高まっていました。
この更新により、kpatch-dnf プラグインが更新され、管理者が kpatch でサポートされているカーネル更新に集中できるようになりました。その結果、システムのアップグレードの信頼性が向上し、全体的な安定性が向上します。
Jira:RHEL-85686[1]
perf ツールがアップストリーム v6.14 にリベースされました
perf ツールとそのカーネルバックエンドが、アップストリームバージョン v6.14 に合わせてリベースされました。この更新では、いくつかの機能拡張とバグ修正が導入されています。主なものは次のとおりです。
- RAPL コードのメモリーリークの問題を修正しました。
- AMD のコアごとのエネルギー追跡サポートを追加しました。
-
perf traceのメモリーリークを修正しました。 -
perfツールに Processor Trace Trigger Tracing (PTTT) のサポートが追加されました。 - クリアモードで RDPMC メトリクスがサポートされるようになりました。
-
perfツールに、ARL-U プラットフォーム向けの RAPL エネルギーイベントのサポートが追加されました。
これらの変更により、パフォーマンス分析が改善され、perf ツールの既知の問題が解決されます。
Jira:RHEL-77936[1]
virtio デバイスのサポートが追加されました
この更新前は、KVM ゲスト内の virtio デバイスが、すべて generic-ccw タイプとしてリスト表示されていました。この機能拡張により、lszdev コマンドを使用して、どのデバイスタイプがどのデバイス番号に接続されているかを簡単に特定できるようになりました。
# lszdev
TYPE ID ON PERS NAMES
virtio-balloon 0.0.0007 yes no
virtio-blk 0.0.0000 yes no vda
virtio-console 0.0.0004 yes no
virtio-gpu 0.0.0002 yes no
virtio-input 0.0.0005 yes no
virtio-input 0.0.0006 yes no
virtio-net 0.0.0001 yes no enc1
virtio-scsi 0.0.0003 yes no
virtio-vsock 0.0.0008 yes no
また、この機能拡張により、Red Hat Enterprise Linux 10.0.z を対象とした chpstat に関する追加の修正も導入されます。これにより、レポート (s390utils および s390-tools) の DPU 使用率のスケーリングが改善されます。
Jira:RHEL-73341[1]
kernel での Intel Arrow Lake U RAPL エネルギーイベントのサポート
kernel パッケージが、Intel Arrow Lake U マイクロアーキテクチャーの RAPL (Running Average Power Limit) エネルギーパフォーマンスカウンターをサポートするようになりました。この機能拡張により、perf ツールが Arrow Lake U プラットフォームの電力消費イベントを識別し、CPU コア、GPU、パッケージ、およびシステムドメインのエネルギー使用量を監視できるようになりました。
Jira:RHEL-53584[1]
アダプティブ PEBS により、Intel Panther Lake 上の perf でカウンタースナップショットのサポートが有効になりました
この更新前は、Linux カーネルの perf ツールは、パフォーマンスイベントデータを収集するために、ソフトウェアベースのサンプル読み取りに依存していました。この方法では、イベントがオーバーフローした後にカウンターを読み取ると、わずかなタイミングのずれと追加のオーバーヘッドが発生していました。この更新により、Intel Panther Lake CPU で、アダプティブ PEBS によるカウンタースナップショットが利用できるようになります。この機能により、カーネルは、PEBS フォーマットバージョン 6 を使用して、プログラマブルカウンター、固定機能カウンター、およびパフォーマンスメトリクスを PEBS レコードに直接記録します。
その結果、カウンタースナップショットは、ソフトウェアサンプル読み取りに代わる、より正確かつ低オーバーヘッドな手法となりました。これにより、パフォーマンスの監視および分析能力が向上します。
Jira:RHEL-47443[1]
Intel Trace Hub が Intel Panther Lake をサポートするようになりました
この更新前は、kernel パッケージが Intel Trace Hub の Intel Panther Lake (P、H、U バリアント) をサポートしていませんでした。この更新により、Panther Lake プラットフォームのデバイス ID が kernel パッケージの Intel Trace Hub に追加されました。
その結果、Panther Lake ベースのシステムで、Intel Trace Hub 機能を使用してデバッグおよびトレース機能を強化できます。
Jira:RHEL-47423[1]
Intel Clearwater Forest の Perf uncore イベントのサポート
perf パッケージに、Clearwater Forest マイクロアーキテクチャー上での uncore イベント監視機能が追加されました。この機能拡張により、perf パッケージは Clearwater Forest システム上での uncore イベント監視をサポートするようになりました。その結果、ユーザーはサポートされているハードウェア上で詳細なパフォーマンス分析とデバッグを実行できるようになりました。
Jira:RHEL-45094[1]
Intel Clearwater Forest の Perf core イベントのサポート
perf パッケージに、Clearwater Forest マイクロアーキテクチャー上での core イベント監視機能が追加されました。その結果、ユーザーは perf を使用して Intel Clearwater Forest システム上の core レベルのパフォーマンスイベントを監視および分析できるようになりました。
Jira:RHEL-45092[1]
AMD Milan CPU が、RAPL perf イベントによるコアごとのエネルギー追跡をサポートするようになりました
この更新前は、AMD システムのエネルギー監視がパッケージレベルの測定に限定されていました。この更新により、kernel パッケージが、AMD Milan CPU 上で Running Average Power Limit (RAPL) パフォーマンスイベントを通じて、コアごとのエネルギー追跡をサポートするようになりました。その結果、個々のコアレベルでエネルギー消費を測定および分析し、よりきめ細かなパフォーマンスと電力管理が可能になります。
Jira:RHEL-24184[1]
Intel Arrow Lake H マイクロアーキテクチャーのサポートが intel_th に追加されました
この更新前は、Intel Trace Hub が Arrow Lake H NPK デバイス ID を認識していませんでした。そのため、このハードウェアを使用するシステムのトレースおよびデバッグ機能が制限されていました。この更新により、intel_th パッケージが Intel Trace Hub において Intel Arrow Lake H マイクロアーキテクチャーをサポートするようになりました。この新しいサポートにより、ユーザーは Arrow Lake H プラットフォーム上で強化されたトレース機能とデバッグ機能を利用できます。
Jira:RHEL-20109[1]
kernel で Intel Arrow Lake H の PerfMon サポートが有効になりました
この更新により、kernel パッケージは、Intel Arrow Lake H マイクロアーキテクチャー上で、Core、Uncore、Cstate、および MSR 機能に対する PerfMon サポートを提供するようになりました。その結果、perf ツールを使用して、Arrow Lake H システムに固有のパフォーマンスメトリクスを監視および分析できるようになりました。
Jira:RHEL-20093[1]
KVM モジュールがリアルタイムカーネルパッケージに統合されました
この更新により、Realtime Kernel をベース RHEL のデプロイメントオプションにするという決定に合わせて、RHEL の Realtime Kernel 用 KVM モジュールパッケージの生成が削除されます。この変更により、KVM モジュールが Realtime Kernel パッケージに直接統合され、個別の kernel-rt-kvm パッケージが不要になるため、デプロイメントプロセスが合理化されます。その結果、RHEL に Realtime Kernel をデプロイする際のセットアップ作業がよりシームレスで効率的になり、全体的なユーザーエクスペリエンスが向上します。
Jira:RHEL-62687[1]
perf ツールに Processor Trace Trigger Tracing (PTTT) のサポートが追加されました
この更新により、Processor Trace (PT) Trigger Tracing が導入され、パフォーマンス分析が向上します。これにより、ソフトウェアが、トレースアクティビティーを一時停止および再開するためのトリガーポイントとして、特定のイベントを選択できるようになり、パフォーマンス監視の効率と精度が向上します。これにより、より効率的で的を絞ったトレースが可能になり、最終的にはアプリケーションのパフォーマンスをより明確に把握できるようになります。
Jira:RHEL-45090[1]
python-drgn がバージョン 0.0.31 にリベースされました
python-drgn がバージョン 0.0.31 にリベースされました。この更新では、いくつかの機能拡張と新機能が導入されています。
-
debuginfodのサポートが追加されました。これにより、debuginfod サーバーからデバッグ情報を自動的に取得できるようになりました。 - 拡張性と統合機能が向上した新しいモジュール API。
- デバッグシンボルなしでのカーネルスタックのアンワインド。これにより、デバッグシンボルが利用できない場合でも、スタックトレースを生成できます。
変更の完全なリストは、アップストリームの変更ログを参照してください。
eBPF サブシステムがバージョン 6.14 にリベースされました
eBPF サブシステムが、Linux カーネルのアップストリームバージョン v6.14 にリベースされました。このバージョンには、次の変更と機能拡張が含まれています。
-
uprobeセッションプローブのサポート。 -
eBPF ヘルパーおよびカーネル関数 (
kfuncs) の特別なアノテーションであるbpf_fastcallのサポート。これにより、eBPF ヘルパーとカーネル関数の実行を最適化できます。 -
新しい
kmem_cacheeBPF イテレーターにより、eBPF プログラムが/proc/slabinfoまたは/sys/kernel/slab内のエントリーを反復処理できます。 - 条件を満たす eBPF プログラムでのプライベートスタックのサポート。これにより、ネストされた eBPF プログラムでのカーネルスタックオーバーフローを防ぐことができます。
- eBPF 検証の改善。これにより、静的に既知のマップ検索キーに対する NULL チェックをプログラムが省略できるようになりました。
-
bpf_probe_write_userの使用時に表示される"helper that may corrupt user memory!"という警告メッセージを削除しました。 -
末尾呼び出しと
freplaceを組み合わせて使用した際に発生する無限ループを防止します。 - NULL 引数を持つ raw トレースポイントに eBPF プログラムをアタッチする際に発生する可能性があるカーネルクラッシュを回避します。
-
bpf_timerの破棄手順により問題が発生していましたが、リベースによって修正されました。 -
bpf_local_storageがkmallocの使用を防止する問題があり、リアルタイムカーネルで eBPF を使用する際に"sleeping function called from invalid context"という問題を引き起こしていました。
Jira:RHEL-78201[1]
perf ツールがアップストリーム v6.15 にリベースされました
perf ツールとそのカーネルバックエンドが、アップストリームバージョン v6.15 に合わせてリベースされました。この更新では、いくつかの機能拡張とバグ修正が導入されています。主なものは次のとおりです。
-
perf annotateに--code-with-typeオプションが追加され、ポインターからのデータ構造のデコードが可能になりました。 -
s390
cpum_sfおよびcpum_cfコンポーネントをリファクタリングしました。 -
perf traceのメモリーリークを修正しました。 - RISCV CPU のハードウェアイベントのサポートを導入しました。
-
python-perfモジュールの機能を拡張しました。 -
親プロセスと子プロセスごとのワークロードを表示するように
perf reportを強化しました。 - さまざまな Intel CPU の PMU イベントとメトリクスを更新しました。
- Intel プラットフォームで Processor Trace (PT) Trigger Tracing を有効にしました。
これらの変更により、パフォーマンス分析が改善され、ハードウェアのサポートが拡張され、perf ツールの既知の問題が解決されます。
Jira:RHEL-78197[1]
crash が 9.0.0 にリベースされました
ライブシステムおよび各種のダンプファイル用のカーネル分析ユーティリティーを提供する crash パッケージが、アップストリームバージョン 9.0.0 にリベースされました。このバージョンでは、いくつかの修正と機能拡張が行われています。主なものは次のとおりです。
-
内部の
gdbデータベースがバージョン 16.2 に更新されました。 -
crashユーティリティーがクロスコンパイルをサポートするようになりました。
デフォルト設定で rng-tools のジッターエントロピーソースが無効になります
rng-tools のジッターエントロピーソースがデフォルトで無効になりました。最新の CPU はハードウェアのエントロピーソースを備えています。また、ほとんどの仮想マシンは、仮想ホストから提供されるエントロピーソースとして /dev/hwrng デバイスを利用できます。このような環境では、ジッターエントロピーソースにより、CPU サイクルが無駄に消費されます。ハードウェアエントロピーソースのない古いハードウェアの場合は、/etc/sysconfig/rngd でジッターエントロピーソースを明示的に有効にできます。
その結果、rngd デーモンが、ハードウェアエントロピーソースを持つシステム上で CPU サイクルを無駄に消費しなくなりました。
stalld が dl-server の動作と競合しなくなりました
このリリースでは、stalld 機能がホストカーネル内の dl-server を検出し、dl-server が実行できなかったタスクのみをブーストします。現在、dl-server は FIFO タスクをブーストしません。システムをアップグレードする際には、stalld を引き続き使用し、dl-server を無効にしても構いません。dl-server は、処理が滞っているタスクを実行する唯一のエンティティーです。
6.8. ブートローダー
x86_64 および aarch64 上の RHEL 10 におけるセキュアブート用 shim の署名
RHEL 10 では、AMD および Intel 64 ビットアーキテクチャーと 64 ビット ARM アーキテクチャーでセキュアブートを有効にするために、署名済みの shim バイナリーが必要です。署名済みの信頼できる shim がない場合、セキュアブートが強制されているシステムは起動できませんでした。これは、エンタープライズとクラウドの両方のデプロイ環境に影響を及ぼしていました。
このリリースでは、x86_64 および aarch64 用に shim パッケージが署名および更新されました。x86_64 では、shim は Microsoft Windows UEFI Driver Publisher によって署名されており、ベンダーデータベース内に Red Hat Secure Boot CA 5 および CA 8 が含まれています。aarch64 では、shim は Microsoft UEFI CA 2023 によって署名されており、Red Hat Secure Boot CA 8 が含まれています。SBAT エントリーが最新レベルに更新されました。
その結果、RHEL はセキュアブート機能が有効な状態で起動するようになります。さらに、フォールバックが適切に機能し、他のすべてのブートローダーコンポーネントが正しく署名されています。
6.9. ファイルシステムおよびストレージ
multipathd がファイルベースのソケットをサポートするようになりました
この更新により、multipathd デーモンは、抽象名前空間ソケットに加えて、ファイルベースソケット /run/multipathd.socket でもコマンドを待ち受けるようになりました。ユーザーは、新しいソケットファイルのバインドマウントを使用することで、コンテナー内からホストの multipathd デーモンと通信できます。
Jira:RHEL-82180[1]
複数のデバイスが同時に故障した後でも LVM RAID がボリュームを修復します
この機能拡張により、lvconvert --repair /dev/VG-name/LV-name コマンドを使用して、失われた RAID デバイスをストライプ化 RAID (raid4、raid5、raid6) に再統合できるようになりました。この修復プロセスは、一時的に失われたデバイスの数が RAID レベルのフォールトトレランスを超えた場合でも機能します。そのため、デバイスが再認識され次第、回復が可能になります。修復する前に、ボリュームとその上のファイルシステムをアンマウントして非アクティブ化する必要があることに注意してください。
6.10. 高可用性およびクラスター
IPaddr2 リソースエージェントがネットワークリンクの障害を検出するようになりました
この更新前は、IPaddr2 リソースエージェントはネットワークインターフェイスのリンク状態を監視していませんでした。その結果、基盤となるインターフェイスが DOWN または LOWERLAYERDOWN 状態であっても、IPaddr2 リソースはノード上で成功と報告し続けていました。これにより、クラスターが別のノードでそのリソースを回復することが妨げられていました。
このリリースでは、IPaddr2 エージェントが強化され、インターフェイスのリンクステータスを確認できるようになりました。
その結果、ネットワークインターフェイスがダウンした場合に IPaddr2 リソースが正しく失敗し、適切なフェイルオーバーが可能になります。この新しいデフォルトの動作は、リソースの設定で check_link_status=false パラメーターを設定することで無効にできます。
Jira:RHEL-85014[1]
AWS リソースエージェントが、信頼性を向上させるために IMDS トークンを再利用するようになりました
この更新前は、AWS リソースエージェントは操作ごとに新しいインスタンスメタデータサービス (IMDS) トークンを要求していました。これにより、単一のノードで多数の API 呼び出しが発生する可能性があり、特に AWS リソースが多数存在する環境では、リソース障害のリスクが増大していました。
この更新により、AWS リソースエージェントは IMDS トークンをキャッシュして、有効期限が切れるまで再利用するようになりました。
その結果、AWS メタデータサービスへの API 呼び出しの量が大幅に削減されます。これにより、高可用性クラスター内の AWS リソースのパフォーマンスと信頼性が向上します。
Jira:RHEL-81237[1]
awsvip リソースエージェントでネットワークインターフェイスを指定できるようになりました
この更新前は、awsvip リソースエージェントは、仮想 IP アドレスを EC2 インスタンスのプライマリーネットワークインターフェイスに常に割り当てていました。リソースにセカンダリーネットワークインターフェイスを使用することはできませんでした。
この機能拡張により、awsvip エージェントに interface パラメーターが追加されました。
このパラメーターを使用すると、エージェントが仮想 IP を割り当てるネットワークインターフェイスを指定できます。そのため、AWS でより柔軟なネットワーク設定が可能になります。
Jira:RHEL-81236[1]
fence_sbd エージェントが SBD デバイスを自動的に検出できるようになりました
この更新前は、fence_sbd リソースを設定するときに、devices パラメーターを使用して SBD デバイスパスを明示的に指定する必要がありました。
この更新により、fence_sbd エージェントがシステムからデバイス設定を取得できるようになりました。
そのため、fence_sbd リソースの作成時に devices パラメーターを設定しなかった場合、エージェントが /etc/sysconfig/sbd ファイル内の SBD_DEVICE 変数で指定されたデバイスを自動的に使用します。
Jira:RHEL-79799[1]
ウォッチドッグデバイスのリストで提供される情報がより詳細なものになりました
この更新前は、利用可能なウォッチドッグデバイスをリスト表示する場合、出力に /dev/watchdog0 などのデバイスパスしか表示されませんでした。そのため、管理者が同じシステム上の複数のデバイスを区別することが困難でした。
この更新により、出力に各ウォッチドッグのデバイスパス、ID、およびドライバーが含まれるようになりました。これにより、正しいデバイスを簡単に特定して選択できます。
Nutanix AHV 仮想化用の新しいフェンスエージェントが利用可能になりました
以前は、Red Hat High Availability Add-On が Nutanix Acropolis Hypervisor (AHV) 環境専用のフェンスエージェントを提供していませんでした。
この機能拡張により、fence_nutanix エージェントが追加されます。
その結果、Nutanix AHV プラットフォーム上で稼働するクラスターノードに対して STONITH を設定できるようになり、完全にサポートされた高可用性デプロイメントが可能になります。
Jira:RHEL-68322[1]
最後のフェンシングデバイスを削除する前に pcs がユーザーに警告します
この更新前は、ユーザーがクラスターから最後のフェンシングデバイスを無効化または削除することを、pcs が警告なしで許可していました。これにより、意図せずクラスターが STONITH も SBD フェンシングも設定されていないサポート対象外の状態になることがありました。
この機能拡張により、すべてのフェンスメカニズムが誤って削除されるのを防ぐために、安全チェックが pcs に組み込まれました。
その結果、クラスターからフェンシングがなくなる操作を実行しようとすると、pcs がデフォルトでエラーを表示し、変更をブロックするようになりました。たとえば、SBD が無効なときに最後の STONITH リソースを削除しようとすると、この問題が発生します。必要に応じて、この安全チェックを無効にして強制的に変更することができます。
pcs が提供する CIB 更新の失敗に関するエラーメッセージがより詳細なものになりました
以前は、pcs cluster edit コマンドまたは pcs cluster cib-push コマンドの使用時に CIB 更新が失敗すると、Pacemaker によって一般的なエラーメッセージが表示されていました。失敗の具体的な理由は説明されていなかったため、無効な設定のトラブルシューティングが困難でした。
この機能拡張により、pcs は、CIB プッシュが失敗したときに Pacemaker から詳細な検証チェックを要求するように更新されました。
その結果、CIB 更新が拒否されたときに、pcs は設定の問題点を説明する具体的なエラーメッセージを表示するようになりました。
pcs alert config コマンドが複数の出力形式をサポートするようになりました
以前は、pcs alert config コマンドは、人間が判読できるプレーンテキスト形式でのみ出力を表示していました。この形式は、機械による解析や設定の簡単な複製には適していませんでした。
この機能拡張により、pcs alert config コマンドに新しい --output-format オプションが追加されました。
その結果、設定済みのアラートを、以下に示す 3 つの形式のいずれかで表示できるようになりました。
-
text: 出力をプレーンテキストで表示します。これがデフォルトの形式です。 -
json: 出力を機械可読な JSON 形式で表示します。これはスクリプト作成や自動化に役立ちます。 -
cmd: 出力を一連のpcsコマンドとして表示します。これを使用すると、別のシステムで同じアラート設定を再現できます。
pcs resource meta コマンドがバンドルをサポートするようになり、ゲストノードの誤設定を防ぐように改善されました
以前は、pcs resource meta コマンドはバンドルリソースのメタ属性の管理をサポートしていませんでした。さらに、このコマンドでは、ユーザーがゲストノードの接続パラメーターを誤って変更するのを防ぐことができず、リソースの設定ミスが発生する可能性がありました。
この機能拡張により、pcs resource meta コマンドが書き換えられました。
その結果、pcs resource meta を使用してバンドルリソースのメタ属性を更新できるようになりました。これに加えて、このコマンドをゲストノードで使用する際に、接続パラメーターの意図しない変更を防ぎ、設定ミスの可能性を回避できるようになりました。
クラスターの名前を変更するための新しい pcs コマンドが利用可能になりました
以前は、pcs コマンドを使用して既存のクラスターの名前を変更できませんでした。管理者は一連の手動手順を実行する必要がありましたが、これは複雑でエラーが発生する可能性がありました。
この機能拡張により、pcs cluster rename コマンドが導入されました。
その結果、既存のクラスターの名前を簡単に変更できるようになりました。クラスターの名前を変更するには、次のコマンドを実行します。
pcs cluster rename <new-name>pcs node attribute および pcs node utilization コマンドが、複数の出力形式をサポートするようになりました
以前は、pcs node attribute コマンドと pcs node utilization コマンドの出力は、人間が判読できるプレーンテキスト形式でのみ表示されていました。この形式は、機械による解析や設定の簡単な複製には適していませんでした。
この機能拡張により、pcs node attribute コマンドと pcs node utilization コマンドに新しい --output-format オプションが追加されました。
その結果、設定済みのノードの属性と使用率を、以下に示す 3 つの形式のいずれかで表示できるようになりました。
-
text: 出力をプレーンテキストで表示します。これがデフォルトの形式です。 -
json: 出力を機械可読な JSON 形式で表示します。これはスクリプト作成や自動化に役立ちます。 -
cmd: 出力を一連のpcsコマンドとして表示します。これを使用して、別のシステムで同じ設定を再現できます。
pcs が CIB の潜在的な問題を自動的に検証するようになりました
以前は、pcs ユーティリティーは Cluster Information Base (CIB) に対して高度な検証チェックを自動的に実行していませんでした。そのため、日常的な操作中に特定のクラスターの誤った設定が検出されないことがありました。
この機能拡張により、pcs が更新され、Pacemaker の CIB 検証ツールがワークフローに統合されました。
その結果、pcs status、pcs cluster edit、または pcs cluster cib-push コマンドを実行すると、pcs が自動的に検証チェックを実行し、結果を表示するようになりました。
暗号化されたボリュームを管理するための新しい crypt リソースエージェント
以前は、Red Hat High Availability Add-On は暗号化されたデバイスを管理するためのリソースエージェントを提供していませんでした。このため、cryptsetup で暗号化されたボリュームを Pacemaker クラスター内の高可用性リソースとして設定することが困難でした。
この更新により、新しい crypt リソースエージェントが導入されました。
その結果、暗号化されたローカルボリュームまたはネットワークボリュームをクラスターリソースとして設定できるようになりました。crypt エージェントは、これらのデバイスを cryptsetup を使用して管理します。また、標準の key_file を使用したボリュームのロック解除と、tang/clevis を使用したネットワークバウンドなロック解除をサポートしています。
Jira:RHEL-13089[1]
6.11. 動的プログラミング言語、Web サーバー、およびデータベースサーバー
PostGIS 拡張機能が PostgreSQL で利用可能になりました
この機能拡張により、PostgreSQL に PostGIS 拡張機能が追加されました。この拡張機能により、PostgreSQL が地理オブジェクトをサポートするようになりました。その結果、リレーショナルデータベース内でのマッピング、地理位置情報、距離計算などの地理情報システム (GIS) アプリケーションの空間クエリーと分析が可能になりました。
Jira:RHEL-81633[1]
6.12. コンパイラーおよび開発ツール
glibc が、高度なスケジューラーオプションとして sched_setattr と sched_getattr をサポートするようになりました
以前の glibc では、<sched.h> で定義された関数を通じて、限られた Linux スケジューラーオプションしか利用できませんでした。この制限により、アプリケーションが高度なスケジューリング機能にアクセスするには、直接のシステムコールまたは Linux カーネルヘッダーを使用する必要がありました。
この機能拡張により、sched_setattr および sched_getattr の拡張可能なスケジューラー設定メカニズムが、glibc の <sched.h> ヘッダーファイルを通じて利用可能になりました。この変更には、SCHED_DEADLINE などの追加のスケジューリングポリシーのサポートも含まれます。
その結果、アプリケーションは、直接のシステムコールやカーネル固有のヘッダーに依存することなく、より幅広いスケジューリングオプションを選択できるようになりました。これにより、開発者の移植性と柔軟性が向上します。
grafana-pcp の PCP Valkey データソースにジオマップのサポートが追加されました
以前は、PCP Valkey データソースがジオマップパネルに必要な経度と緯度のラベルを提供していなかったため、ユーザーは Grafana のマップ上で PCP メトリクスを視覚化できませんでした。この制限により、別々の場所にある監視対象システムのパフォーマンスを比較することが困難でした。
Grafana で PCP メトリクスのジオマップ視覚化を作成するには、次の手順を実行します。
- 新しいパネルを作成します。
- ジオマップパネルタイプを選択します。
- 他の PCP 視覚化の場合と同様に、クエリーウィンドウに視覚化するメトリクスを入力します。
- クエリーウィンドウの下にある Format ドロップダウンメニューで、Geomap を選択します。
- Grafana によって経度と緯度のラベルが自動的に検出され、データが地図上に配置されます。
- 追加のオプションとカスタマイズは、Grafana のドキュメント を参照してください。
この機能拡張により、grafana-pcp の PCP Valkey データソースに PCP メトリクスからの経度と緯度のラベルが含まれるようになり、インスタンスをジオマップ上に正確に配置できるようになりました。ユーザーは Grafana でジオマップの視覚化を作成し、システムのパフォーマンスを地理的に比較できます。
Jira:RHEL-77946[1]
llvm-toolset が LLVM 20 にリベースされました
llvm-toolset が LLVM 20 に更新されました。これにより、C、C++、および Rust のワークフロー全体にわたり、コード生成の改善、パフォーマンスの最適化、言語フロントエンドとライブラリーサポートの拡張が提供されます。このリベースに伴い、RHEL 内の依存コンポーネントとの整合性も確保されています。これには、rust、annobin、bcc、bpftrace、qt5-qttools、および mesa のリビルドが含まれます。ビルドは llvm-20.1.8-1.el10 で検証済みです。
主な変更点は次のとおりです。
-
ppc64leの修正を含むバックエンドの改善 - 全般的なパフォーマンスと信頼性を向上させるために、Clang および LLVM パスの最適化と診断機能を強化
- LLVM 20 との互換性を確保するために、関係各所が連携してパッケージを再ビルドすることにより、ツールチェーンエコシステムを更新
- このストリームの ARM および MIPS に関するアップストリームの方針に従って、古いターゲットの非推奨化を継続
GDB が IBM の z17 CPU アーキテクチャーをサポートするようになりました
gdb パッケージが強化され、IBM の z17 CPU アーキテクチャーで導入された新しいハードウェア命令を使用するバイナリーをサポートするようになりました。この更新により、開発者およびシステム管理者は、RHEL 10.1 上で、最新の IBM Z ハードウェア用にコンパイルされたアプリケーションをデバッグできるようになります。
Jira:RHEL-56897[1]
GCC Toolset15 が利用可能になりました
この更新により、gcc-toolset-15 が RHEL 10.1 で利用できるようになりました。このツールセットには、サポートされている最新バージョンの GCC と関連ユーティリティーが含まれています。そのため、開発者は最新のコンパイラーテクノロジーを使用して、アプリケーションをビルド、テスト、デプロイできます。
Jira:RHEL-81745[1]
glibc が x86_64 上で GLIBC_ABI_GNU2_TLS シンボルを提供するようになりました
x86_64 システム上の glibc には、GLIBC_ABI_GNU2_TLS シンボルが含まれています。gnu2 のスレッドローカルストレージアクセス規約を使用するプログラムは、起動するためにこのシンボルを必要とする場合があります。この更新前は、glibc がこのシンボルを提供していなかったため、関連するプログラムが起動に失敗していました。この更新により、GLIBC_ABI_GNU2_TLS に依存するプログラムが期待どおりに起動して実行されるようになりました。
glibc に x86_64 用の GLIBC_ABI_DT_X86_64_PLT シンボルのサポートが追加されました
この更新前は、GLIBC_ABI_DT_X86_64_PLT シンボルが glibc で利用できないため、これを必要とするプログラムが起動に失敗していました。この機能拡張により、glibc に x86_64 システム用の GLIBC_ABI_DT_X86_64_PLT シンボルが追加されました。この機能拡張により、起動するためにこのシンボルを必要とするプログラムが期待どおりに動作するようになりました。
glibc ヘッダーファイルが Linux 6.12 UAPI に合わせて更新されました
Red Hat Enterprise Linux 10 の glibc ヘッダーファイルが更新され、MAP_*、PIDFD_*、SCHED_*、および SYS_* に関連する、Linux カーネルバージョン 6.12 の最新の Linux User-space API (UAPI) 定数が組み込まれました。その結果、開発者がアプリケーションの構築時に新規および改訂された UAPI 定数にアクセスできるようになりました。これにより、最新のカーネル機能との一貫性と互換性が確保されます。
gdb がバージョン 16.3 にリベースされました
RHEL 10.1 における gdb バージョン 16.3 への更新により、次の主な機能拡張が提供されます。
- Intel MPX のサポートが削除されました。
- Intel の Linear Address Masking (LAM) や aarch64 の Memory Tagging Extension (MTE) など、タグ付きデータポインターのサポートが追加されました。
- パフォーマンス向上のために、バックグラウンド DWARF 読み取りが有効になりました。
Intel Process Trace (
record btrace) の強化:-
set record btrace pt event-tracingによって非同期イベント出力が有効になりました -
Ptwrite ペイロードが、
RecordAuxiliaryオブジェクトとして Python でアクセスできるようになりました。
-
Python 統合の強化:
-
停止イベントに、MI の "*stopped" イベントを反映した
details属性が含まれるようになりました。 -
gdb.Progspace()がオブジェクトを直接作成しなくなりました。オブジェクトは他の API を使用して取得する必要があります。 -
gdb.Inferiorおよびgdb.InferiorThreadオブジェクトにユーザー定義属性を追加できます。 -
新しいイベントソース
gdb.tui_enabledが導入されました。 -
現在の記録のトレースデータをクリアする
gdb.record.clearが追加されました。 - 見つからない objfiles とデバッグ情報を処理するためのモジュールが追加されました。
-
新しいクラス
gdb.missing_debug.MissingDebugInfoをサブクラス化して、不足しているデバッグ情報を処理できます。 -
新しい属性
gdb.Symbol.is_artificial。 - 複数のドメインにわたるシンボル検索用の新しい定数。
-
新しい関数
gdb.notify_mi(NAME, DATA)により、カスタムの非同期通知が発行されます。 -
値の内容を読み書きするための新しい属性
gdb.Value.bytes。 -
CTRL-C 割り込みをシミュレートするための
gdb.interruptが追加されました。 -
新しい属性
gdb.InferiorThread.ptid_stringにより、ターゲット ID が提供されます。
-
停止イベントに、MI の "*stopped" イベントを反映した
Debug Adapter Protocol (DAP) の変更:
- "scopes" リクエストが更新され、グローバル変数と最後の戻り値が含まれるようになりました。
- "launch" および "attach" リクエストはいつでも使用でき、"configurationDone" 後に有効になります。
- "variables" リクエストが人工的なシンボルを返さなくなりました。
- "process" イベントと "cancel" リクエストのサポートが追加されました。
- "attach" リクエストでプログラムの指定がサポートされるようになりました。
- スタイル設定、言語フレームの不一致に関する警告、見つからない objfile のハンドラー、および関数呼び出しのタイムアウト用の新しいコマンドが導入されました。
-
いくつかのコマンドが強化され、名前が変更されました。これには、
disassembleのエラー処理の改善や、set unwindonsignalからset unwind-on-signalへの名前変更が含まれます。 -
リモートパケットのサポートが拡張されました。これには、ファイルステータスおよびメモリーフェッチ用の新しいパケット、および
cloneなどの新しいストップ停止理由が含まれます。 - スレッドごとのイベントレポートオプションと、アドレスタギングのチェック機能が導入されました。
IBM z16 の GCC チューニングが s390x でデフォルトになりました
RHEL 10.1 の s390x アーキテクチャーにおいて、gcc コンパイラーによって生成されるコードのデフォルトチューニングが、IBM z16 に準拠したものになりました。
この更新前は、gcc の s390x コード生成のデフォルトチューニングが、古い IBM アーキテクチャー用に設定されていました。
この更新により、s390x 上の RHEL 10.1 で gcc を使用してコンパイルされたコードが、デフォルトで IBM z16 用にチューニングされるようになりました。別のアーキテクチャー向けに最適化する必要がある場合は、gcc の呼び出し時に -mtune フラグを使用して目的のアーキテクチャーを指定することにより、この設定をオーバーライドできます。
Jira:RHEL-86679[1]
glibc に IBM Z z17 の初期サポートが追加されました
glibc の動的ローダーが強化され、IBM z17 CPU またはその固有機能の検出がサポートされるようになりました。その結果、IBM z17 向けに最適化されたライブラリーが /usr/lib64/glibc-hwcap/z17/ ディレクトリーにインストールされている場合、z17 システムに自動的にロードされるようになりました。この更新により、IBM Z z17 プラットフォームのハードウェア互換性とパフォーマンスが向上します。
Jira:RHEL-72564[1]
Rust Toolset がバージョン 1.88.0 にリベースされました
RHEL 10.1 には、Rust Toolset バージョン 1.88.0 が同梱されています。この更新には、次の主な機能拡張が含まれています。
- Rust 2024 Edition が安定版になりました。これは、大幅な言語変更を可能にするメジャーオプトインリリースであり、これまでにリリースされた最大のエディションです。
-
2024 エディションでは
letチェーンを活用できます。これにより、if条件とwhile条件内でletステートメントを&&を使用してスムーズに連鎖させることができるため、ネストを減らし、可読性を向上できます。 -
ハイパフォーマンスコンピューティング向けに、ターゲット機能を有効にすると、safe Rust から複数の
std::arch組み込み関数を直接呼び出すことができます。これにより、特定の CPU 機能に直接アクセスできます。 -
asyncクロージャーがサポートされ、非同期プログラミング用のファーストクラスのソリューションが提供されるようになりました。これらのクロージャーにより、キャプチャーからの借用が可能になり、AsyncFn トレイトを使用して高階関数シグネチャーを適切に表現できるようになります。 -
トレイトのアップキャストにより、トレイトオブジェクトへの参照をそのスーパートレイトへの参照に変換できるようになりました、これにより、特に
Anyトレイトを使用する一般的なパターンが簡素化されます。 - Cargo がキャッシュを自動的に消去し、1 - 3 カ月間アクセスされていない古いダウンロードファイルを削除するようになりました。これにより、ディスク領域の管理が容易になります。
Rust Toolset は Rolling Application Stream であり、Red Hat は最新バージョンのみをサポートします。詳細は、Red Hat Enterprise Linux Application Streams ライフサイクル ドキュメントを参照してください。
tzdata に NEWS ファイルが含まれるようになりました
この更新により、タイムゾーンデータの変更に関する正確な記述を提供するために、tzdata パッケージに、リリースごとに NEWS ファイルが含まれるようになりました。その結果、何が変更されたかを詳細に確認できるようになります。ユーザーは、含まれている NEWS ファイルを確認して、更新の変更内容を把握できます。
Jira:RHEL-105042[1]
Red Hat build of OpenJDK 25 が利用可能になりました
Red Hat は、Java Platform, Standard Edition (Java SE) の無償かつオープンソースの実装である Red Hat build of OpenJDK (Open Java Development Kit) 25 の最新の長期サポート (LTS) リリースを発表しました。Red Hat build of OpenJDK 25 は、RHEL 10.1 以降で利用できます。OpenJDK ライフサイクル、サポートポリシー、およびサポートされているすべての構成の詳細は、OpenJDK のライフサイクルおよびサポートポリシー を参照してください。
OpenJDK 25 には、Java 仕様に対する多数の拡張と追加、複数のバグと安定化に関する修正、および次のような全般的なパフォーマンスの向上と新機能が含まれています。
- Java Flight Recorder の機能拡張 (協調的なサンプリング、メソッドのタイミング計測、およびトレース)
- 世代別 Shenandoah ガベージコレクター
- G1 ガベージコレクターのバリア遅延展開およびリージョンピニング
- 事前 (Ahead-Of-Time) クラスローディングおよびリンク
- コンパクトなオブジェクトヘッダー
- ピニングなしの仮想スレッドの同期
- コンパクトなソースファイルとインスタンスの main メソッド
- 無名変数および無名パターン
- スコープ付き値
- Stream Gatherers
- 複数ファイルのソースコードプログラムの起動
前回の LTS リリース以降に提供された新機能の完全なリストは、JEPs in JDK 25 integrated since JDK 21 を参照してください。
Jira:RHEL-100678[1]
6.13. Identity Management
ipa-healthcheck が証明書の有効期限切れについて警告するようになりました
この更新により、ipa-healthcheck ツールは、ユーザーが提供した HTTP、DS、および PKINIT 証明書の有効期限を評価し、有効期限の 28 日前に警告を発するようになりました。これは、証明書の有効期限が見落とされ、ダウンタイムが発生する可能性を防ぐためです。
Jira:RHELDOCS-20303[1]
ansible-freeipa が 1.15.1 にリベースされました
Red Hat Identity Management (IdM) 環境を管理するためのモジュールとロールを提供する ansible-freeipa パッケージが、バージョン 1.13.2 から 1.15.1 にリベースされました。この更新には、次の機能拡張が含まれています。
-
ansible-freeipaRPM パッケージによって提供されるfreeipa.ansible_freeipaコレクションが、Red Hat Ansible Automation Hub (RH AAH) によって提供されるredhat.rhel_idmコレクションの名前空間および名前と互換性を持つようになりました。RPM パッケージをインストールした場合、AAH のロールとモジュールを参照する Playbook を実行できるようになりました。内部的には、RPM パッケージの名前空間と名前が使用されることに注意してください。
Jira:RHELDOCS-20257[1]
krbLastSuccessfulAuth が有効な場合、Healthcheck が警告を表示します
ipaConfigString 属性で krbLastSuccessfulAuth 設定を有効にすると、多数のユーザーが同時に認証する場合にパフォーマンスの問題が発生する可能性があります。したがって、この設定はデフォルトでは無効になっています。この更新により、krbLastSuccessfulAuth が有効になっている場合、パフォーマンスの問題が発生する可能性があることを警告するメッセージを Healthcheck が表示するようになりました。
Jira:RHEL-84771[1]
レガシーシステムとの互換性を保つために、IdM が Linux の UID 上限までの UID をサポートするようになりました
この更新により、最大 4,294,967,293 (2^32-1) までのユーザー ID とグループ ID を使用できるようになりました。これにより、IdM の最大値が Linux の UID 上限値と一致するようになりました。これは、標準の IdM の範囲 (2,147,483,647 まで) では不十分となるまれなケースで役立ちます。具体的には、完全な 32 ビット POSIX ID 空間を必要とするレガシーシステムと並行して IdM をデプロできるようになります。
標準的なデプロイメントでは、IdM は subID 用に 2,147,483,648 - 4,294,836,223 の範囲を予約します。2^31 から 2^32-1 までの UID 範囲を使用するには、subID 機能を無効にする必要があるため、最新の Linux 機能と競合します。
2^32-1 までの UID を有効にするには、以下を実行します。
subID 機能を無効にします。
$ ipa config-mod --addattr ipaconfigstring=SubID:Disable既存の subID 範囲を削除します。
$ ipa idrange-del <id_range>IdM サーバーで、内部 DNA プラグイン設定が正しく削除されていることを確認します。
# ipa-server-upgrade- 2^31 から 2^32-1 までの空間を含む新しいローカル ID 範囲を追加します。IdM がユーザーとグループの SID を適切に生成できるように、この新しい範囲の RID ベースを定義してください。
subID 機能を無効にできるのは、subID がまだ割り当てられていない場合だけです。
Jira:RHEL-67686[1]
samba がバージョン 4.22.4 にリベースされました
samba パッケージがアップストリームバージョン 4.22.4 に更新されました。このバージョンでは、バグ修正および機能拡張が行われていますが、特に注目すべき点は次のとおりです。
- Samba が、サーバーメッセージブロックバージョン 3 (SMB3) ディレクトリーリースに対応しました。この機能拡張により、クライアントがディレクトリーリストをキャッシュできるようになり、ネットワークトラフィックが削減され、パフォーマンスが向上します。
-
Samba が、従来のポート 389 UDP メソッドの代わりに、TCP ベースの LDAP または LDAPS を使用してドメインコントローラー (DC) 情報を問い合わせる機能に対応しました。この機能拡張により、ファイアウォールで制限された環境との互換性が向上します。
client netlogon ping protocolパラメーター (デフォルト値:CLADP) を使用してプロトコルを設定できます。 次の設定パラメーターが削除されました。
-
nmbd_proxy_logon: この設定は、Samba が独自の NetBIOS over TCP/IP (NBT) サーバーを導入する前に、NetLogon 認証要求を Windows NT4 プライマリードメインコントローラー (PDC) に転送するために使用されていました。 -
cldap port: Connectionless Lightweight Directory Access Protocol (CLDAP) は常に UDP ポート 389 を使用します。また、Samba コードではこのパラメーターが一貫して使用されていなかったため、動作に一貫性がありませんでした。 -
fruit:posix_rename:vfs_fruitモジュールのこのオプションは、Windows クライアントで問題を引き起こす可能性があるため削除されました。MacOS では、ネットワークマウント上での.DS_Storeファイルの作成を防ぐための回避策として、defaults write com.apple.desktopservices DSDontWriteNetworkStores trueコマンドを使用してください。
-
Samba 4.11 以降はサーバーメッセージブロックバージョン 1 (SMB1) プロトコルが非推奨となり、今後のリリースで削除されることに注意してください。
Samba を起動する前に、データベースファイルをバックアップしてください。Samba は、smbd、nmbd、または winbind サービスが起動すると、tdb データベースファイルを自動的に更新します。Red Hat は、tdb データベースファイルのダウングレードをサポートしていません。
Samba を更新した後、testparm ユーティリティーを使用して /etc/samba/smb.conf ファイルを確認します。
Identity Management Upgrade Helper
Identity Management Upgrade Helper は、IdM 環境を新しい RHEL バージョンにアップグレードする作業を簡素化する新しいアプリケーションです。お客様のアップグレードパスに特化したステップバイステップの手順を含むアップグレードプランを提供します。そのため、このアプリケーションを使用すると、明確な指示に従ってデプロイメントを準備し、新しいレプリカを設定し、古いサーバーを廃止することができます。
このアプリケーションを使用するには、Red Hat カスタマーポータルの Identity Management Upgrade Helper を参照してください。
Jira:RHELDOCS-21103[1]
dsconf または Web コンソールを使用して、属性の一意性の検証からサブツリーを除外できるようになりました
この更新により、dsconf ユーティリティーおよび Web コンソールから直接、Attribute Uniqueness プラグインの uniqueness-exclude-subtrees パラメーターを設定できるようになりました。この更新前は、uniqueness-exclude-subtrees を設定するには、ldapmodify ユーティリティーを使用する必要がありました。
プラグインによる属性値の一意性検証の除外対象とする識別名 (DN) を設定するには、dsconf plugin attr-uniq set コマンドの --exclude-subtree オプションを使用してください。または、Web コンソールの Plugins メニューに移動し、Attribute Uniqueness プラグインの設定を追加または編集して、Excluded Subtrees フィールドを設定してください。
389-ds-base がバージョン 3.1.3 にリベースされました
389-ds-base パッケージがバージョン 3.1.3 に更新されました。このバージョンでは、さまざまなバグ修正と機能拡張が行われています。主なものは次のとおりです。
- Session Tracking Control インターネットドラフトのサポート
-
PBKDF2-* プラグインの
nsslapd-pwdPBKDF2NumIterations設定属性 - エラーログのログバッファリング
-
パスワードストレージスキームとして
CRYPT-YESCRYPTをサポート - JSON 形式のアクセスログとエラーログ
dsidmのさまざまなバグ修正:-
dsidmがargument must be a string or a numberで失敗しなくなりました。 -
dsidm get_dnが、組織単位、サービス、および POSIX グループに対して失敗しなくなりました。 -
dsidm uniquegroup membersが一意のグループメンバーを正しく表示するようになりました。 -
dsidm role rename-by-dnがロールの名前を正しく変更するようになりました。 -
dsidm -j account get-by-dnとdsidm -j role get-by-dnが、JSON 形式で出力を返すようになりました。 -
dsidm role subtree-statusがサブツリーのステータスを正しく表示するようになりました。 -
dsidm role create-nestedおよびdsidm role create-filteredが、ネストされたロールとフィルタリングされたロールを作成するようになりました。 -
dsidm role deleteがロールを適切に削除するようになりました。 -
dsidm user renameがユーザーの名前を正しく変更するようになりました。 -
dsidm account unlockが、非アクティブ期間の制限に達したユーザーアカウントを正しく再有効化するようになりました。
-
属性の一意性を検索するための Attribute Uniqueness プラグインのカスタムマッチングルール
この更新により、Attribute Uniqueness プラグインの設定で、一意性を強制する属性のマッチングルールを指定できるようになりました。これは、属性の構文を case exact や case ignore からオーバーライドする場合などに使用できます。
プラグイン設定で、属性とそのマッチングルールを次のように指定してください。
uniqueness-attribute-name: <attribute>:<Matching rule OID>:
この更新前は、case exact 構文で属性 cn を使用した場合、比較する 2 つの値の大文字と小文字が異なると、Attribute Uniqueness プラグインは一致する値を検出できませんでした。現在は、管理者がマッチングルールを設定して case ignore に設定できるため、プラグインによって値が一致すると認識されます。
uniqueness-attribute-name: cn:caseIgnoreMatch:Jira:RHEL-109018[1]
389-ds-base のアクセスログとエラーログで JSON 形式が利用可能になりました
この更新により、次のコマンドを使用して、アクセスログファイルとエラーログファイルを JSON 形式に設定できるようになりました。
# dsconf <instance_name> logging access set log-format json
# dsconf <instance_name> logging error set log-format json
これらのコマンドにより、nsslapd-accesslog-log-format または nsslapd-errorlog-json-format 設定属性が json に設定されます。その結果、アクセスロギングとエラーロギングを標準の解析ツールで利用しやすくなります。
形式の設定を変更すると、Directory Server により、現在のログファイルがローテーションされることに注意してください。
新しい list --full-dn オプションが dsidm ユーティリティーで利用可能になりました
この更新により、list --full-dn オプションを使用して、同じタイプのエントリーの完全な識別名 (DN) のリストを取得できるようになりました。たとえば、ロールの DN を表示するには、次のコマンドを使用します。
# dsidm <instance_name> -b dc=example,dc=com role list --full-dn
この更新前は、dsidm ツールを使用してこれらのエントリーの DN を特定する手段がありませんでした。既存の list オプションでは、相対識別名 (RDN) の値しか表示されなかったためです。
389-ds-base ログファイルに、バインドまたは変更操作のセッション識別子が含まれるようになりました。
この機能拡張により、レプリケーションプラグインが、セッション追跡機能と連携して、レプリカ合意アクティビティーと 389-ds-base のコンシューマー操作を関連付けるようになりました。
サプライヤー側では、レプリケーションデバッグレベルが有効な場合、サプライヤーエラーログに次のメッセージが含まれます。
[time_stamp] - DEBUG - NSMMReplicationPlugin - repl5_inc_run - "EWBpte8J8Wx 2" - agmt="cn=004" (localhost:39004): State: wait_for_changes -> ready_to_acquire_replicaコンシューマー側では、デバッグログレベルを設定しなくても、アクセスログに次のようなメッセージが含まれます。
[time_stamp] conn=2 op=7 SRCH base="dc=example,dc=com" scope=2 filter="(objectClass=\*)" attrs="distinguishedName"
[time_stamp]] conn=2 op=7 RESULT err=0 tag=101 nentries=1 wtime=0.000189515 optime=0.000171470 etime=0.000358345 notes=U,P details="Partially Unindexed Filter,Paged Search" pr_idx=0 pr_cookie=-1 sid="EWBpte8J8Wx 2"その結果、接続や操作の発生元をより効率的に追跡できるようになりました。これにより、接続や操作が行われる環境において、全体的な効率とトラブルシューティング能力が向上します。
Jira:RHEL-31959[1]
ACME サーバーに ES256 署名アルゴリズムのサポートが追加されました
以前は、Automatic Certificate Management Environment (ACME) サーバーは、JSON Web Key (JWK) 検証用の ES256 署名アルゴリズムをサポートしていませんでした。このアルゴリズムのサポートが欠けていたため、Caddy Web サーバーなどの特定のクライアントが、証明書を正常に取得できませんでした。
この更新により、ACME サーバーが強化され、JWK 検証用の ES256 署名アルゴリズムがサポートされるようになりました。
その結果、サーバーは Caddy Web サーバーなどの ES256 を使用するクライアントと相互運用できるようになりました。これにより、クライアントが証明書を正常に取得して、セキュアな HTTPS 通信を確立できるようになりました。
Jira:RHEL-98721[1]
IdM 間の移行が利用可能になりました
以前はテクノロジープレビューとして提供されていた IdM 間の移行が、このリリースで完全にサポートされるようになりました。ipa-migrate コマンドを使用すると、SUDO ルール、HBAC、DNA 範囲、ホスト、サービスなど、すべての IdM 固有のデータを、ある IdM サーバーから別の IdM サーバーに移行できます。これは、たとえば、IdM を開発環境またはステージング環境から実稼働環境に移行する場合に役立ちます。
Jira:RHELDOCS-19500[1]
HSM は IdM で完全にサポートされるようになる
Hardware Security Modules (HSM) が、Identity Management (IdM) で完全にサポートされるようになりました。IdM 認証局 (CA) および Key Recovery Authority (KRA) のキーペアと証明書を HSM に保存できます。これにより、秘密鍵マテリアルに物理的なセキュリティーが追加されます。
IdM は、HSM のネットワーク機能を利用してマシン間で鍵を共有し、レプリカを作成します。HSM は、ほとんどの IdM 操作に目に見える影響を与えることなく、追加のセキュリティーを提供します。低レベルのツールを使用する場合、証明書とキーの処理方法は異なりますが、ほとんどのユーザーはシームレスに使用できます。
既存の CA または KRA を HSM ベースのセットアップに移行することはサポートされていません。HSM 上のキーを使用して CA または KRA を再インストールする必要があります。
以下が必要です。
- サポートされている HSM。
- HSM Public-Key Cryptography Standard (PKCS) #11 ライブラリー。
- 利用可能なスロット、トークン、トークンのパスワード。
HSM にキーが保存されている CA または KRA をインストールするには、トークン名と PKCS #11 ライブラリーへのパスを指定する必要があります。以下に例を示します。
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kraJira:RHELDOCS-17465[1]
6.14. SSSD
複数の PKCS#11 トークンがある環境でのスマートカード認証が改善されました
SSSD のスマートカード認証が強化され、複数の PKCS#11 トークンが同時に挿入される環境で認証を処理できるようになりました。これにより、特に複数のユーザーアカウントが必要で、それぞれが異なる特権を持ち、多くの場合個別の PKI トークンに関連付けられている STIG 準拠の環境での認証が改善されます。
以前は、最初にチェックされたトークンに適合する証明書が含まれていない場合、SSSD が認証に失敗することがありました。これは、SSSD が他の利用可能なトークンにある適切な証明書を続けて検索していなかったためです。この更新により、SSSD は挿入されたすべての PKCS#11 トークンをスキャンして適合する認証証明書を探すようになりました。その結果、ユーザーが正常に認証できるようになりました。
RootDSE の読み取りを制御する新しい SSSD オプション ldap_read_rootdse
この更新により、SSSD が新しいオプションである ldap_read_rootdse を提供するようになりました。これは、SSSD が LDAP サーバーから Root Directory Service Entry (RootDSE) を読み取る方法を制御するためのオプションです。デフォルトでは、SSSD はユーザーが認証する前に RootDSE を匿名で読み取ろうとします。しかし、このデフォルトの動作は、厳格なセキュリティーポリシーと競合する場合があります。厳格なセキュリティーポリシーは、通常、LDAP サーバーへのすべての匿名バインドを制限します。
この動作を管理するには、ldap_read_rootdse オプションを authenticated に設定して、ユーザー認証が成功した後にのみ SSSD が RootDSE を読み取るように指示するか、このオプションを never に設定して、SSSD による読み取りを完全に防止してください。
Jira:RHEL-13086[1]
6.15. デスクトップ
UBI ベースの Toolbx コンテナーで OpenGL と Vulkan がデフォルトでサポートされています
この更新前は、OpenGL および Vulkan のサポートを有効にするには、Mesa 関連のパッケージを手動でインストールする必要がありました。これは直感的ではなく、ドキュメント化もされていませんでした。
この機能拡張により、OpenGL と Vulkan は、更新された UBI ベースのツールボックスイメージから作成された Toolbx コンテナー内でデフォルトで動作するようになりました。これは Red Hat Enterprise Linux Workstation ホストでの動作と同じです。これには、Mesa が提供する無料のソフトウェアドライバーのみが含まれ、NVIDIA などのプロプライエタリーなドライバーは含まれません。
その結果、OpenGL および Vulkan アプリケーションが、追加の設定なしで Toolbx コンテナー内で動作できるようになり、使いやすさとホストシステムとの一貫性が向上します。
6.16. Web コンソール
cockpit がバージョン 344 にリベースされました
cockpit パッケージがバージョン 344 にリベースされました。RHEL 10.0 のバージョン 334 と比較して、次のような多くの改善と修正が行われています。
- UI を改善し、PatternFly 6 デザインシステムに基づく新しいスタイルに変更しました。
- ストレージコンポーネントに、SMART (Self-Monitoring, Analysis and Reporting Technology) 標準と Stratis 3.8 以降のプール形式のサポートを追加しました。
- 仮想マシンコンポーネントのグラフィカル VNC、コントロール VNC、およびシリアルコンソールを改善しました。
- ネットワークコンポーネントに WireGuard VPN の IPv6 アドレスのサポートを追加しました。
-
すべての Web コンソールページを、
branding.cssスタイルシートファイルを通じて、自社ブランドのデザインにカスタマイズできます。
新しいサブパッケージ: cockpit-ws-selinux
cockpit_ws プロセスの SELinux ポリシーは、別のサブパッケージ cockpit-ws-selinux で提供されます。これにより、SELinux がインストールされていないシステムで RHEL Web コンソールを実行した場合に、コンソールが失敗することがなくなります。この変更が必要だった理由は、パッケージマネージャーが selinux_policy パッケージを依存関係としてインストールしてしまうためです。詳細は、システム上の cockpit_ws_selinux(8) man ページを参照してください。
6.17. Red Hat Enterprise Linux システムロール
最大保持期間パラメーターを設定するための変数 MaxRetention を導入しました
この更新により、ユーザーは journald の最大保持期間パラメーターを設定し、時間に基づいてジャーナルファイルを削除できるようになりました。この機能拡張により、特定のデータ保持ポリシーに従ってログデータを柔軟に管理できるようになりました。その結果、時間ベースのログ削除とサイズベースのログ削除の両方が可能になります。これは、データ保持要件への準拠に役立ち、過剰なログの保存を防ぐことでシステム全体のパフォーマンスを向上させます。
metrics ロールが追加の PCP PMDA の有効化をサポートするようになりました
この更新により、rhel-system-roles パッケージで、metrics システムロールに metrics_optional_domains 変数が追加されました。ドメインとは、データベース、特殊なハードウェア、アプリケーションなど、Performance Metrics Domain Agent (PMDA) によって管理されるメトリクスのセットです。追加の PMDA を有効にするには、この変数を使用します。このロールは、これらの PMDA を、デフォルトのセット (カーネルなど) と、ロールが明示的に管理する PMDA (SQL Server データベースなど) に追加します。その結果、ユーザーは特定のユースケースに必要なドメインを有効にできるようになり、データの収集と監視の柔軟性が向上します。
rhel-system-roles でデフォルトのカーネルを設定する機能
以前は、ユーザーはシステムの起動時にどのカーネルをデフォルトとして設定するかを指定できませんでした。この制限により、管理者は自動化を通じてデフォルトのカーネル選択を管理することができませんでした。
この更新により、新しい default オプションを使用してデフォルトのブートローダーカーネルを設定する機能が、rhel-system-roles パッケージに導入されました。ユーザーは、カーネル設定で default ブールパラメーターを設定することで、単一のカーネルをデフォルトとして指定できます。システムは、デフォルトとしてマークできるカーネルが 1 つだけであることを検証し、必要に応じて grubby --set-default を使用して選択を適用します。
この機能拡張により、RHEL でカーネルバージョンを管理する際の柔軟性が向上し、自動化が簡素化されます。
Jira:RHEL-101671[1]
ad_integration RHEL システムロールが、SSSD ドメインセクションの命名を制御し、重複を統合できるようになりました
この更新により、ユーザーは、ad_dyndns_update および ad_integration_sssd_custom_settings パラメーターによって管理される、ドメインまたはレルム固有の設定用の SSSD 設定ファイルで使用するセクションの名前を制御できるようになりました。デフォルトでは、ad_integration ロールは ad_integration_realm 変数の小文字版を使用します。しかし、ユーザーが ad_integration_realm の実際の大文字/小文字をそのまま使用する必要がある場合は、新しいオプション ad_integration_sssd_realm_preserve_case = true を使用すると、レルムの大文字/小文字の区別を保持できます。これにより、SSSD 設定ファイル内に、そのレルムのセクションが複数存在することになる可能性があります。複数のセクションのすべての設定を、選択したセクションに統合するには、新しい ad_integration_sssd_remove_duplicate_sections 設定を使用します。これにより、ad_integration システムロールが、SSSD 設定ファイル内のドメインおよびレルムセクションを正しく管理できるようになります。
journald RHEL システムロールがディスク領域を監視できるようになりました
この更新により、journald.conf ジャーナルサービスで SystemKeepFree オプションを設定して、システムジャーナルの最大サイズを設定できるようになりました。これにより、システム全体の安定性とパフォーマンスが向上します。その結果、journald_system_keep_free 変数を使用してサイズ制限を設定できるようになりました。値はメガバイト単位で指定します。デフォルト値はありません。デフォルトでは、journald のデフォルト値が使用されます。
ad_integration ロールでパッケージのインストールを柔軟に行えるようになりました
以前は、ad_integration ロールは、realmd、sssd-ad、adcli など、__ad_integration_packages にリストされている多数の必須パッケージのインストールを常に試行していました。このロールの外部にある設定の管理、事前に作成されたイメージ、イミュータブルなシステムなどにより、外部システムがパッケージ管理を行っている環境では、このステップは冗長であり、望ましくないものでした。
この更新により、ユーザーは他の手段でパッケージのインストールを管理でき、このロールをドメインに参加させるだけで済むようになりました。これにより、柔軟性が向上します。主な機能拡張は次のとおりです。
-
新しい変数: ロールによってパッケージをインストールするかどうかを制御する新しいブール変数
ad_integration_manage_packagesが導入されました。 -
デフォルト値: 下位互換性を確保するために、デフォルト値は
defaults/main.ymlでtrueに設定されています。このロールを使用する既存の Playbook は、変更なしでこれまでどおり機能し続けます。 -
条件付きタスク:
tasks/main.ymlの "Ensure required packages are installed" タスクにwhen: ad_integration_manage_packages | bool条件が追加されました。フラグがtrue(デフォルト) の場合にのみタスクが実行されるようになりました。 -
ドキュメント:
README.mdを更新して、新しいad_integration_manage_packages変数を追加し、その目的とデフォルト値の説明を記載しました。
firewall RHEL システムロールが、他のサービスもサポートするようになりました
この機能拡張により、firewall RHEL システムロールを使用して firewalld サービス定義を作成するときに、他のサービスを含めることができるようになりました。たとえば、http サービスと https サービスを含むサービス webserver を作成できます。その後、webserver サービスを有効にすると、firewalld が http および https サービスで定義されたポートを開きます。詳細は、firewalld RHEL システムロールを使用したカスタム firewalld サービスの作成 を参照してください。
Jira:RHEL-84953[1]
podman ロールがあらゆる TOML 準拠の設定ファイルを生成するようになりました
この更新前は、現在の Jinja ベースのフォーマッターが、podman のあらゆる側面を設定するために必要なテーブルやインラインテーブルなど、多くの TOML 機能をサポートしていませんでした。この機能拡張により、単純な Jinja テンプレートではなく、正式な TOML フォーマッターを使用することで、TOML のすべての機能がサポートされるようになりました。その結果、podman ロールは、podman が使用できるあらゆる TOML 準拠の設定ファイルを生成できるようになりました。
podman ロールは、古いフォーマッターのいくつかの機能を維持する必要があります。そのため、TOML フォーマッターはデフォルトで無効になっています。古いフォーマッターを使用する必要があるユースケースや、新しく改良されたフォーマッターを使用するためにインベントリーデータを変換する方法については、README ファイルを参照してください。
すべての場合に新しい TOML フォーマッターを使用するには、podman_use_new_toml_formatter を true に設定します。
podman_use_new_toml_formatter: trueJira:RHEL-84932[1]
メトリクスロールが Apache Spark メトリクスの収集とエクスポートをサポートするようになりました
以前は、ユーザーはメトリクスロールを使用して Apache Spark メトリクスを直接収集またはエクスポートすることはできませんでした。この更新により、rhel-system-roles パッケージに、Apache Spark からメトリクスを収集および更新するためのサポートが追加されました。次の 2 つの新しいブールパラメーターが導入されました。
-
metrics_into_spark: false これにより、Spark へのメトリクス値のエクスポートが有効になります。 -
metrics_from_spark: false これにより、Spark からのメトリクスの収集が有効になります。
Spark からメトリクスを取得し、メトリクス情報を Spark に送信できるようになり、Spark ワークロードの統合および監視機能が向上しました。
Jira:RHEL-78262[1]
rhel-system-roles.timesync ロールの使用時に、chronyd サービスを IPv4 のみで動作させることが可能になりました
この更新により、ノード上で IPv6 が無効な場合に、ユーザーが RHEL 10.1 上の chronyd 設定をカスタマイズできるようになりました。この機能拡張により、2 つの選択肢が提供されます。1 つは timesync ロールに設定を追加して IPv6 を無効にする方法、もう 1 つは chronyd の OPTIONS 値を設定するためのパラメーターを渡す方法です。これらの方法により、rhel-system-roles.timesync ロールの使用時に、chronyd サービスを IPv4 のみで動作させることが可能になりました。これにより、IPv6 が無効な環境で時刻同期の正確性と安定性が向上します。
Jira:RHEL-85689[1]
ha_cluster RHEL システムロールがリソース定義をエクスポートできるようになりました
以前は、プリミティブ、グループ、クローンなどのクラスターリソースに関連する変数は、ha_cluster RHEL システムロールのエクスポート機能の対象外でした。そのため、このロールを使用して、既存のクラスターの設定の完全かつ再利用可能な定義を取得することが困難でした。
この機能拡張により、ha_cluster RHEL システムロールのエクスポート機能が更新され、クラスターリソース定義を収集およびエクスポートできるようになりました。
その結果、ha_cluster RHEL システムロールを使用して、ロールの入力形式と互換性のある完全なクラスター設定をエクスポートできるようになりました。エクスポートされたデータに、次の変数が含まれるようになりました。
-
ha_cluster_resource_primitives -
ha_cluster_resource_groups -
ha_cluster_resource_clones -
ha_cluster_resource_bundles
ha_cluster RHEL システムロールが、OS と pcsd の設定をエクスポートできるようになりました
以前は、ha_cluster RHEL システムロールを使用して既存のクラスターの設定をエクスポートすると、リポジトリー、ファイアウォール、SELinux 設定などの重要な OS レベルの設定がエクスポートに含まれていませんでした。その結果、定義が不完全なものになり、エクスポートされたデータからクラスターを完全に再作成することが困難でした。
この機能拡張により、ha_cluster ロールのエクスポート機能が、クラスターノードから OS レベルおよび pcsd デーモンの設定を収集してエクスポートできるようになりました。
その結果、既存の環境からより完全なクラスター定義を生成できるようになりました。これは、クラスターを再作成する場合や、ha_cluster ロールで作成しなかったクラスターを管理下に置く場合に便利です。エクスポートされたデータに、次の変数が含まれるようになりました。
-
ha_cluster_enable_repos -
ha_cluster_enable_repos_resilient_storage -
ha_cluster_manage_firewall -
ha_cluster_manage_selinux -
ha_cluster_install_cloud_agents -
ha_cluster_pcs_permission_list
6.18. 仮想化
virtio-mem が IBM Z で利用可能になりました
この更新により、準仮想化メモリーデバイスである virtio-mem を IBM Z ハードウェアで使用できるようになりました。virtio-mem を使用すると、仮想マシンのホストメモリーを動的に追加または削除できます。
Jira:RHEL-72994[1]
IBM Z ホスト用の新しいコマンド: virsh hypervisor-cpu-models
この更新により、virsh hypervisor-cpu-models コマンドが導入されました。IBM Z アーキテクチャーでこのコマンドを使用すると、ハイパーバイザーが認識する CPU モデルを表示できます。
Jira:RHEL-58151[1]
virt-v2v が NVMe ディスクを使用する VMware 仮想マシンを変換できるようになりました
この更新により、libvirt ツールセットが、VMware ハイパーバイザー上に作成された仮想マシン (VM) の設定を分析するときに、Non-volatile Memory Express (NVMe) ディスクを正しく検出できるようになりました。その結果、このような仮想マシンを、virt-v2v ユーティリティーを使用して KVM ハイパーバイザー用に変換できるようになりました。
NetKVM の高速初期化パラメーター
この更新により、NetKVM ドライバーに高速初期化 (FastInit) パラメーターが追加されます。このパラメーターを有効にすると、ドライバーが必要なメモリーブロックの一部だけを仮想キューに割り当てた後、カーネルに準備完了を通知するようになります。残りのメモリーブロックはバックグラウンドで初期化されます。
これにより、特にネットワークバックエンドが多数の仮想キューを使用する場合に、Windows 仮想マシンでのネットワークの起動または再起動が大幅に高速化します。ただし、バックグラウンドメモリーの割り当てが完了する前に、パフォーマンスへの悪影響が発生する可能性があります。
FastInit はデフォルトで有効になりますが、Windows ゲストオペレーティングシステムのデバイスマネージャーアプリケーションを使用して無効にできます。
virtio-mem が Windows 仮想マシンで使用可能になりました
この更新により、RHEL 10 ホスト上で実行されている Windows 仮想マシン (VM) で、準仮想化メモリーデバイスである virtio-mem が使用できるようになりました。virtio-mem デバイスを使用すると、仮想マシンのホストメモリーを動的に追加または削除できます。
サポートされている Windows のバージョンのリストは、Certified Guest Operating Systems を参照してください。
Jira:RHELDOCS-18640[1]
IBM Z ゲスト向けのパフォーマンスが強化された PCI 変換
この更新により、IBM Z ホスト上の仮想マシン (VM) が、PCI デバイスに対して ID-mapped 型のダイレクトメモリーアクセス (DMA) を使用できるようになりました。この機能により、PCI デバイスパススルーのパフォーマンスが大幅に向上します。この機能を使用するには、システムを次のように設定する必要があることに注意してください。
-
仮想マシンのカーネルコマンドラインで
iommu.passthrough=1パラメーターを設定する必要があります。 - 仮想マシンのメモリーが NUMA ノードに完全にピニングされている必要があります。
- RHEL ホストシステムで論理パーティション (LPAR) を使用しないでください。
Jira:RHEL-52964[1]
virtio ベースのキーボードドライバーの改善
この更新により、新しい virtio ベースのキーボードドライバーが導入され、特にファームウェアセットアップ画面と GRUB ブートローダーで、仮想マシン内での早期キーボード入力の捕捉が可能になりました。
Jira:RHEL-50[1]
仮想マシンライブマイグレーション用の新しいオプション: --available-switchover-bandwidth
virsh migrate --live コマンドを使用して仮想マシン (VM) をライブマイグレーションする場合、--available-switchover-bandwidth オプションを追加できるようになりました。これにより、プリコピープロセスにおいて、マイグレーションが宛先ホストに切り替わる際の帯域幅を指定できます。デフォルトでは、ハイパーバイザーが利用可能な帯域幅を自動的に測定します。しかし、この自動測定では、ライブマイグレーションの正常な完了を確実に保証できない場合があります。そのような場合、--available-switchover-bandwidth を使用すると、問題を解決できます。
仮想マシンが MSDM ACPI テーブルを使用できるようになりました
一部の Windows ゲストオペレーティングシステムでは、ライセンスをアクティブ化するために、ゲストを Microsoft Data Management (MSDM) Advanced Configuration and Power Interface (ACPI) テーブルで設定する必要があります。この目的のために、RHEL でホストされている仮想マシン (VM) に MSDM ACPI テーブルを設定できるようになりました。これを行うには、仮想マシンの XML 設定で次の行を使用します。
<acpi>
<table type="msdm">/path/to/table</table>
</acpi>UEFI 仮想マシンのファームウェア設定画面を無効にする機能のサポート
この更新により、UEFI 仮想マシン (VM) のファームウェア設定画面をブロックする新しい機能が QEMU に追加されました。ファームウェア設定画面をブロックすると、ファームウェア設定アプリケーションへの不正アクセスを防ぎ、許可されたデバイスからのみ仮想マシンを起動できます。
QEMU コマンドラインに次の行を追加することで、ファームウェア設定画面をブロックできます。
-fw_cfg name=opt/<hostname>/FirmwareSetupSupport,string=no<hostname> はホストの ID に置き換えます。
Jira:RHEL-63645[1]
ホストシャットダウン時の仮想マシンアクションのきめ細かな設定
この更新により、ホストのシャットダウン時に仮想マシン (VM) を処理する方法について、libvirt ドライバーを設定できるようになりました。たとえば、ホストのシャットダウン時に仮想マシンメモリーを保存するように設定し、ホストの起動時に保存されたメモリーから仮想マシンが自動的に起動するように設定できます。具体的な設定オプションは、/etc/libvirt/virtqemud.conf ファイルの auto_shutdown パラメーターを参照してください。
なお、この機能は、/etc/sysconfig/libvirt-guests ファイルで設定される libvirt-guests サービスが提供する機能と同じ機能を実装します。そのため、virtqemud.conf の auto_shutdown 設定を libvirt-guests.service と同時に使用することはできません。
新しいデプロイメントでは、libvirt-guests.service の代わりに、virtqemud.conf の auto_shutdown を使用することを推奨します。libvirt-guests.service は、今後の RHEL メジャーリリースで完全に置き換えられる予定です。
新しい QEMU 設定パラメーター: migrate_tls_priority
この更新により、/etc/libvirt/qemu.conf ファイルで migrate_tls_priority パラメーターを設定できるようになりました。このパラメーターを使用すると、仮想マシンのライブマイグレーション時に TLS に関する QEMU の問題を回避できます。ご使用の環境でデフォルト設定が機能しない場合は、設定すべき推奨値を入手するために、Red Hat カスタマーサポートにお問い合わせください。
64 ビット ARM ホスト上の仮想マシンの新機能
64 ビット ARM アーキテクチャー (aarch64) を使用する RHEL ホスト上の仮想マシンでは、次の機能がサポートされるようになりました。
- ライブスナップショット
次のオプションを使用したプリコピーマイグレーション:
- TLS 暗号化および XBZRLE 圧縮
- ダーティー率の監視
- 自動収束
次のオプションを使用したマルチ FD マイグレーション:
- TLS 暗号化および XBZRLE 圧縮
- 自動収束
- ゼロコピー
次のオプションを使用したポストコピーマイグレーション:
- TLS 暗号化および XBZRLE 圧縮
- 復元
- プリエンプション
-
virtiofsを使用したライブマイグレーション
Jira:RHELDOCS-20674[1]
ダイレクトカーネルブートが SecureBoot 仮想マシンでサポートされるようになりました
この更新により、SecureBoot 機能が設定された仮想マシン (VM) で、ダイレクトカーネルブートを設定できるようになりました。これを行うには、次のように、仮想マシンの XML 設定で <shim> パラメーターを使用します。
<os firmware="efi">
...
<shim>/var/lib/libvirt/images/BOOTX64.EFI</shim>
</os>virtio-scsi デバイスにおける複数の I/O スレッドのサポート
この更新により、単一の virtio-scsi デバイスに対して複数の I/O スレッドを設定できるようになりました。これを行うには、デバイスが割り当てられている仮想マシンの XML 設定で <iothreads> パラメーターを使用します。これにより、仮想 SCSI デバイスのパフォーマンスとスケーラビリティーを微調整するための追加の選択肢が提供されます。
6.19. クラウド環境の RHEL
対象となる RHEL イメージの自動登録の強化
この更新により、対象マーケットプレイスの対象イメージに基づいて作成された RHEL インスタンスが、Red Hat Update Infrastructure (RHUI) ではなく、Red Hat コンテンツ配信ネットワーク (CDN) からコンテンツと更新を自動的に受信するようになりました。RHUI リポジトリーはデフォルトでオフになっています。
これにより、サブスクライブ済み RHEL インスタンスのユーザーが、最新の更新内容に自動的にアクセスできるようになります。
詳細は、自動登録について を参照してください。
Jira:RHELDOCS-21241[1]
Azure 機密仮想マシンで RHEL が利用可能になりました
RHEL 機密仮想マシン (CVM) イメージを使用して、Microsoft Azure 上で RHEL CVM を作成して実行できます。このイメージは、Azure の Confidential OS ディスク暗号化機能により、完全なディスク暗号化をサポートしています。
Jira:RHELDOCS-21373[1]
新しいパッケージ: azure-vm-utils
この更新により、Microsoft Azure 上のゲストオペレーティングシステムとして RHEL 10 を使用するエクスペリエンスを最適化するためのユーティリティー群と udev ルール集を提供する azure-vm-utils パッケージが追加されました。
Jira:RHEL-73904[1]
6.20. サポート性
sos が、サポート診断の改善のために Satellite メトリクスファイルを収集するようになりました
sos の foreman-installer プラグインが、/var/lib/foreman-maintain/ ディレクトリーにある satellite_metrics.yml ファイルを収集するようになりました。これにより、Satellite のどの機能がどの程度使用されているかを把握できます。
6.21. コンテナー
新しい rhel10/valkey-8 コンテナーイメージが RHEL で一般提供になりました
新しく利用可能になった rhel10/valkey-8 コンテナーイメージでは、アトミック操作が可能であり、文字列、ハッシュ、リスト、セット、ソート済みセットなどのさまざまなデータ型がサポートされています。このイメージは、インメモリーのデータセットを使用するため、高いパフォーマンスを実現します。このデータセットは、ディスクに保存することも、ログにコマンドを付加することで保存することもできます。
Jira:RHELDOCS-20640[1]
再現可能なコンテナービルドのサポートが向上しました
再現可能なビルドにより、特定の入力セットから一貫して同じ出力が生成されるようになります。この機能拡張は、これまでコンテナーイメージビルドの再現性を複雑にしていたいくつかの要因に対処するものです。-source-date-epoch と -rewrite-timestamp を使用すると、ビルドの再現性が向上し、$SOURCE_DATE_EPOCH の設定や検索などの一般的なプラクティスとの整合性が向上します。ただし、完全な再現性を保証することはできません。
Podman RESTFUL API の新しいアーティファクトエンドポイント
Podman RESTFUL API に新しいアーティファクトエンドポイントが追加され、OCI アーティファクトをプログラムによって管理できるようになりました。この機能拡張により、OCI アーティファクトの操作を既存のシステムやスクリプトに統合することが容易になります。
Container Tools パッケージが更新されました
Podman、Buildah、Skopeo、crun、runc ツールを含む、更新された Container Tools RPM メタパッケージを利用できます。Buildah パッケージはバージョン v1.41.0 に更新され、Skopeo はバージョン 1.20.0 に更新されました。
Podman リリース v5.6 には、以前のバージョンに対する次の主なバグ修正と機能拡張が含まれています。
-
Quadlet を管理するための新しいコマンドセットとして、
podman quadlet install(現在のユーザーに新しい Quadlet をインストールする)、podman quadlet list(インストールされている Quadlet をリスト表示する)、podman quadlet print(Quadlet ファイルの内容を出力する)、およびpodman quadlet rm(Quadlet を削除する) が追加されました。 -
podman kube playコマンドは、io.podman.annotations.cpuset/$ctrnameおよびio.podman.annotations.memory-nodes/$ctrnameアノテーションを使用して、コンテナーの実行を特定の CPU コアと特定のメモリーノードに制限できます。 -
podman kube playコマンドは、Pod YAML のlifecycle.stopSignalフィールドをサポートしており、コンテナーを停止するために使用するシグナルを指定できます。 -
podman volume importコマンドとpodman volume exportコマンドは、リモート Podman クライアントで使用できます。 -
podman volume createコマンドは、ボリュームの作成に使用する UID と GID を設定するための 2 つの新しいオプション--uidと--gidを受け入れます。 -
podman secret createコマンドに新しいオプション--ignoreが追加されました。これにより、指定した名前のシークレットがすでに存在する場合でもコマンドが成功するようになりました。 -
podman pullコマンドに、プルポリシーを設定するための新しいオプション--policyが追加されました。 -
podman updateコマンドに、特定のコンテナーを指定する代わりに最新のコンテナーを更新するための新しいオプション--latestが追加されました。 -
アーティファクトを操作するための API エンドポイント一式が追加されました。これには、アーティファクトの検査 (
GET /libpod/artifacts/{name}/json)、すべてのアーティファクトのリスト表示 (GET /libpod/artifacts/json)、アーティファクトのプル (POST /libpod/artifacts/pull)、アーティファクトの削除 (DELETE /libpod/artifacts/{name})、リクエストボディーに含まれる tar ファイルからのアーティファクトの追加 (または既存のアーティファクトへの追加) (POST /libpod/artifacts/add)、レジストリーへのアーティファクトのプッシュ (/libpod/artifacts/{name}/push)、およびアーティファクトの内容の取得 (GET /libpod/artifacts/{name}/extract) が含まれます。 -
OCI アーティファクトの内容の一部またはすべてをディスク上の場所にコピーするための新しいコマンド
podman artifact extractが追加されました。 -
podman create、podman run、podman pod createの--mountオプションは、OCI アーティファクトをコンテナーにマウントするための新しいマウントタイプ--mount type=artifactをサポートしています。 -
podman artifact addコマンドは、既存のアーティファクトに新しいファイルを追加する--appendと、アーティファクトに追加するファイルの MIME タイプを指定する--file-typeという 2 つの新しいオプションを備えています。 -
podman artifact rmコマンドに、ローカルストア内のすべてのアーティファクトを削除する新しいオプション--allが追加されました。 -
podman kube generateコマンドとpodman kube playコマンドは、新しいアノテーションio.podman.annotation.pids-limit/$containernameをサポートしています。これにより、kube generateとkube playを実行しても、コンテナーの PID 制限が保持されます。 -
Quadlet の
.containerユニットは、Memory=(作成されたコンテナーの最大メモリーを設定する)、ReloadCmd(systemdExecReloadを介してコマンドを実行する)、およびReloadSignal(systemdExecReloadを介して指定されたシグナルでコンテナーを強制終了する) の 3 つの新しいキーをサポートしています。 -
Quadlet の
.container、.image、および.buildユニットは、Retry(失敗時にイメージのプルを再試行する回数) とRetryDelay(再試行間の遅延) という 2 つの新しいキーをサポートしています。 -
Quadlet の
.podユニットは、Pod のホスト名を設定するための新しいキーHostName=をサポートしています。 -
Quadlet ファイルは、
Installセクションで新しいオプションUpheldByをサポートするようになりました。これは systemd のUpholdsオプションに相当するものです。 -
systemd 依存関係として指定された Quadlet ユニットの名前が自動的に変換されます。たとえば、
Wants=my.containerは有効です。
主な変更点の詳細は、アップストリームのリリースノート を参照してください。
ADD および COPY 命令が、--link オプションをサポートするようになりました
Buildah と Podman が、Containerfiles 内の ADD および COPY 命令の --link フラグをサポートするようになりました。このフラグを使用すると、ビルドされるイメージに新しいコンテンツが独立したレイヤーとして追加されます。
StrictForwardPorts が firewalld で利用可能になりました
/etc/firewalld/firewalld.conf 設定ファイルの StrictForwardPorts オプションが yes に設定されている場合、Podman からのポート転送ができなくなり、-p または -P オプションを使用してコンテナーまたは Pod を起動しようとするとエラーが返されます。ポート転送はすべて firewalld を使用して行う必要があります。これにより、コンテナーが管理者の介入なしにファイアウォールを通過するトラフィックを許可できなくなります。詳細は、netavark-firewalld man ページを参照してください。
新しい rhel10/nodejs-24 および rhel10/nodejs-24-minimal コンテナーイメージが利用可能になりました
リアルタイムの registry.redhat.io/rhel10/nodejs-24 および registry.redhat.io/rhel10/nodejs-24-minimal コンテナーイメージが、Red Hat Container Registry で利用可能になりました。
Node.js は、高速でスケーラブルなネットワークアプリケーションを簡単に構築できるように、Chrome の JavaScript ランタイム上に構築されたプラットフォームです。Node.js は、軽量かつ効率的なイベント駆動型のノンブロッキング I/O モデルを使用しています。そのため、分散システム全体で実行されるデータ集約型のリアルタイムアプリケーションに最適です。
Jira:RHELDOCS-20749[1]
RHEL Image Mode が、実行時のルートレベルのディレクトリーとシンボリックリンクの作成をサポートするようになりました
このリリースでは、RHEL Image Mode を使用して、システムのデプロイ後にルートレベルのディレクトリーとシンボリックリンクを作成してから、ファイルシステムを読み取り専用モードに戻すことができます。その結果、ファイルシステムの要件がそれぞれ異なる複数のデプロイメント環境で、単一のベースイメージを使用できるようになります。
Jira:RHELDOCS-21230[1]
bootc-image-builder がデフォルトでローカルコンテナーストレージを使用します
このリリースでは、bootc-image-builder ツールはデフォルトでローカルモードで動作するようになりました。つまり、リモートレジストリーからコンテナーイメージをプルしなくなりました。ディスクイメージをビルドするには、ディスクイメージをビルドする前に、システムのローカルコンテナーレジストリーにベース bootc コンテナーイメージを事前にロードする必要があります。自動イメージプルに依存する既存のワークフローがある場合は、そのワークフローを更新する必要があります。この変更により、ビルドプロセス中の外部ネットワークへの依存が減り、セキュリティーが向上します。
Jira:RHELDOCS-21218[1]
6.22. RHEL Lightspeed
コマンドラインアシスタントが Image Mode for RHEL をサポートするようになりました
この機能拡張により、Containerfile をカスタマイズして command-line-assistant パッケージを追加し、コンテナーイメージからディスクイメージを作成し、そのイメージを使用してシステムを起動できるようになりました。その結果、システムイメージにコマンドラインアシスタントがプリインストールされた状態になります。コマンドラインアシスタントは、subscription-manager でシステムを登録した後に使用できるようになります。
Jira:RHELDOCS-20546[1]
コマンドラインアシスタントの入力コンテキスト制限が 32KB に増加しました
この更新前は、コマンドラインアシスタントには 2 KB の入力コンテキスト制限があり、入力がこの制限を超えると機能しませんでした。その結果、ユーザーエクスペリエンスが制限され、2 KB の入力コンテキスト制限により十分なログ分析が不可能でした。このリリースでは、コマンドラインアシスタントの入力コンテキスト制限が 2 KB から 32 KB に増加されました。その結果、コマンドラインアシスタントがより大きな入力コンテキストをサポートするようになり、ログ分析と潜在的な問題の検出が向上しました。
Jira:RHELDOCS-20421[1]
RHEL Lightspeed コマンドラインアシスタントのエラー処理と終了コードが改善されました
この機能拡張により、コマンドラインアシスタントで、次のようなエラー処理と終了コードが改善されました。
- CLA 実行時に発生する可能性のあるさまざまな種類のエラーに応じた異なるエラーメッセージを出力します。
- 実際の原因に応じたエラーメッセージを出力し、ログに記録します。
- 問題の種類に応じた異なるコードを実装しました。
Jira:RHELDOCS-21313[1]
コマンドラインアシスタントの -w オプションで現在の出力が表示されます
この更新前は、現在の enable-capture モードを使用せずに -w オプションを使用しようとすると、コマンドラインアシスタントによって以前のセッションの出力が誤って表示されていました。この更新により、-w オプションから出力が行われる前に、ターミナルキャプチャーログファイルが能動的に検証されるようになりました。その結果、前述の問題が修正され、表示される出力が正確になりました。
Jira:RHELDOCS-21315[1]
6.23. AI アクセラレータードライバーの提供状況
アクセラレータードライバーを Red Hat から入手可能になりました
RHEL 10.1 では、NVIDIA の CUDA や AMD の ROCm など、サードパーティー製アクセラレータードライバーとコンピュートスタックを Red Hat から直接インストールできます。カーネルドライバーは Red Hat インフラストラクチャー内で構築および署名されており、セキュアブートに対応しています。さらに、新しい AppStream コンポーネント rhel-drivers により、これらのサードパーティー製ドライバーのインストールが容易になり、既存の dnf 更新プロセスを通じて定期的に更新されるようになります。
RHEL に AI アクセラレータードライバーをインストールする手順は、Red Hat ブログ記事 The new and simplified AI accelerator driver experience on Red Hat Enterprise Linux を参照してください。
Jira:RHELDOCS-21377[1]
rhel-drivers により、サードパーティー製ドライバーのインストールが簡素化されました
RHEL 10.1 では、rhel-drivers インストーラーが導入されています。これは AppStream リポジトリーで利用可能です。このツールを使用すると、統一されたコマンドラインインターフェイスを使用して、GPU および AI アクセラレーター用のサードパーティー製ハードウェアドライバーをより簡単にインストールできます。rhel-drivers ツールは、RHEL Extensions および Supplementary チャネルから直接パッケージを取得することで、NVIDIA カーネルモジュールや CUDA ライブラリーなどの複雑なドライバースタックのインストールを管理します。
このリリースの前は、RHEL に特殊なハードウェアドライバーをインストールすることは、一貫性のない手動のプロセスでした。さまざまなベンダーの Web サイトからドライバーのインストールを検索、ダウンロード、管理する必要がありました。この方法では、ハイパフォーマンスコンピューティングや AI および機械学習のワークロード向けのシステムをセットアップする際に、大きな手間がかかっていました。rhel-drivers を使用すると、RHEL が配布するパートナー製ドライバーを、より簡単に、一貫して、確実にインストールおよび管理できます。これにより、システムのプロビジョニングが効率化され、サポートされている最新のドライバーバージョンを Red Hat リポジトリーから直接取得できるようになり、手動でダウンロードする必要がなくなります。
たとえば、次の 2 つのコマンドだけで必要なすべてのドライバーをインストールできます。
# dnf install rhel-drivers
# rhel-drivers install --auto-detectJira:RHEL-113198[1]
第7章 テクノロジープレビュー機能
ここでは、Red Hat Enterprise Linux 10 で利用可能なテクノロジープレビューのリストを提示します。
テクノロジープレビュー機能に対する Red Hat のサポート範囲の詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
7.1. インストーラーおよびイメージの作成
osbuild-composer および composer-cli に代わる image-builder-cli (テクノロジープレビュー)
このリリースでは、新しい image-builder-cli パッケージをインストールして使用し、1 回のコマンドでイメージをビルドできます。この新しいツールはコンテナーをサポートしており、他のイメージのビルドに使用できるコンテナーイメージを作成する際のユーザーエクスペリエンスを強化します。この機能はテクノロジープレビュー機能です。詳細は、RHEL Image Builder のインストール を参照してください。
Jira:RHELDOCS-20354[1]
7.2. ソフトウェア管理
Sequoia PGP によるパッケージの署名のサポートがテクノロジープレビューとして利用可能になる
パッケージの署名に GnuPG ではなく Sequoia PGP を使用するように RPM を設定する macros.rpmsign-sequoia マクロファイルが、テクノロジープレビューとして利用できるようになりました。使用を有効にするには、次の手順を実行します。
以下のパッケージをインストールします。
# dnf install rpm-sign sequoia-sqmacros.rpmsign-sequoiaファイルを/etc/rpm/ディレクトリーにコピーします。$ cp /usr/share/doc/rpm/macros.rpmsign-sequoia /etc/rpm/
Jira:RHEL-56363[1]
7.3. シェルおよびコマンドラインツール
RHEL 10.1 では、aarch64 上の ReaR をテクノロジープレビューとして利用できます
RHEL 10.1 では、64 ビット ARM アーキテクチャー (aarch64) 用の Relax and Recover (ReaR) パッケージがテクノロジープレビューとして導入されています。ReaR は、バックアップからシステムを復元するために使用できる起動可能なイメージを生成する障害復旧ツールです。現在、aarch64 上の ReaR では、ISO、USB、PXE の各出力方式を使用できます。
ReaR の詳細は、記事 What is Relax and Recover(ReaR) and how to use it for disaster recovery? を参照してください。
Jira:RHEL-84286[1]
7.4. カーネル
ARM64 上の Red Hat Enterprise Linux for Real Time がテクノロジープレビューとして利用可能になる
このテクノロジープレビューにより、Red Hat Enterprise Linux for Real Time が ARM64 に対応しました。ARM64 は、4k および 64k ARM カーネルの両方で ARM (AARCH64) 上で有効化されます。
Jira:RHELDOCS-19635[1]
7.5. ファイルシステムおよびストレージ
ublk_drv ドライバーがテクノロジープレビューとして利用可能になる
ublk_drv カーネルモジュールがテクノロジープレビューとして有効になりました。これは、ユーザー空間から高性能なブロックデバイスを作成および構築できる ublk フレームワークを提供します。現在、ublk が効果的に機能するには、Userspace Block Driver (ublksrv) または Rust ベースの ublk (rublk) などのユーザー空間実装が必要です。
Jira:RHELDOCS-19891[1]
TLS を使用した NVMe/TCP がテクノロジープレビューとして利用可能になる
事前共有キー (PSK) で設定された TLS を使用した、TCP (NVMe/TCP) 経由の Non-volatile Memory Express (NVMe) ネットワークトラフィックの暗号化が、RHEL 10.0 でテクノロジープレビューとして追加されました。手順については、事前共有キーによる TLS を使用した NVMe/TCP ホストの設定 を参照してください。
Jira:RHELDOCS-19968[1]
xfs_scrub ユーティリティーがテクノロジープレビューとして利用可能になる
テクノロジープレビューとして xfs_scrub ユーティリティーを使用すると、マウントされた XFS ファイルシステム上のすべてのメタデータを確認できます。これは、マウントされていない XFS ファイルシステムの xfs_repair -n コマンドと同様に機能します。詳細は、システムの xfs_scrub(8) man ページを参照してください。現在、RHEL 10 カーネルではスクラブ機能のみが使用可能であり、オンライン修復は有効になっていないことに注意してください。
Jira:RHELDOCS-20041[1]
XFS ファイルシステムの限定的な縮小がテクノロジープレビューとして利用可能になる
テクノロジープレビューとして xfs_growfs ユーティリティーを使用すると、XFS ファイルシステムのサイズを縮小できます。次の条件がすべて満たされている場合は、xfs_growfs を使用して、ファイルシステムの末尾からブロックを削除できます。
- 削除される範囲内にメタデータまたはデータが割り当てられていない。
- 要求されたサイズが最後の割り当てグループ内にある。
Jira:RHELDOCS-20042[1]
システムページより大きいブロックを持つ XFS ファイルシステムのマウントが、テクノロジープレビューとして利用可能になる
システムページサイズよりも大きいブロックサイズで作成された XFS ファイルシステムをテクノロジープレビューとしてマウントできるようになりました。たとえば、16 KB ブロックのファイルシステムを、x86_64 などの 4 KB ページサイズのシステムにマウントできるようになりました。
Jira:RHELDOCS-20043[1]
io-uring インターフェイスがテクノロジープレビューとして利用可能になる
非同期 I/O インターフェイスである io_uring は、テクノロジープレビューとして利用できます。デフォルトでは、この機能は RHEL 10 では無効になっています。kernel/io_uring_disabled 変数を設定することで、このインターフェイスを有効化できます。
- すべてのユーザーの場合:
# echo 0 > /proc/sys/kernel/io_uring_disabled- ルートのみの場合:
# echo 1 > /proc/sys/kernel/io_uring_disabled
すべてのプロセスに対して io_uring を無効にすることもできます。
# echo 2 > /proc/sys/kernel/io_uring_disabled7.6. 動的プログラミング言語、Web サーバー、およびデータベースサーバー
Node.js 24 がテクノロジープレビューとして利用可能になりました
新しい nodejs24 コンポーネントが、Red Hat Enterprise Linux 10.1 のテクノロジープレビューとして利用可能です。今回の更新で導入される Node.js 24 には、RHEL 10.0 の Node.js 22 と比較して、新機能、バグ修正、セキュリティー更新、パフォーマンス向上が含まれています。
現在、nodejs24 パッケージは、バージョン管理されたバイナリー (/usr/bin/node-24、/usr/bin/npm-24、および /usr/bin/npx-24) を提供しています。これらのバイナリーを使用するには、スクリプト内のハッシュバン行を、バージョン固有のパスを参照するように更新してください。今後の更新で、ベースバイナリー (/usr/bin/node および関連ファイル) を提供する nodejs24 の機能が追加される可能性があります。
nodejs24 パッケージをインストールするには、次のように入力します。
# dnf install nodejs24
nodejs Application Streams のサポート期間の詳細は、Red Hat Enterprise Linux Application Streams のライフサイクル を参照してください。
7.7. コンパイラーおよび開発ツール
eu-stacktrace がテクノロジープレビューとして利用可能になる
バージョン 0.192 以降、elfutils パッケージを通じて配布されている eu-stacktrace ユーティリティーは、テクノロジープレビュー機能として利用できます。eu-stacktrace は、elfutils ツールキットのアンワインドライブラリーを使用して、フレームポインターのないスタックサンプルデータをアンワインドするサンプリングプロファイラーをサポートするプロトタイプユーティリティーです。
Jira:RHELDOCS-19072[1]
7.8. Identity Management
IdM デプロイメントにおける DNS over TLS (DoT) がテクノロジープレビューとして利用可能になる
DNS over TLS (DoT) を使用した暗号化された DNS が、Identity Management (IdM) デプロイメントのテクノロジープレビューとして利用できるようになりました。DNS クライアントと IdM DNS サーバー間のすべての DNS クエリーと応答を暗号化できるようになりました。
この機能を使い始めるには、IdM サーバーとレプリカに ipa-server-encrypted-dns パッケージをインストールし、IdM クライアントに ipa-client-encrypted-dns パッケージをインストールします。管理者は、インストール中に --dns-over-tls オプションを使用して DoT を有効にできます。
IdM は、Unbound をローカルキャッシュリゾルバーとして設定し、BIND を DoT 要求を受信するように設定します。この機能は、コマンドラインインターフェイス (CLI) および IdM の非対話型インストールを通じて利用できます。
IdM サーバー、レプリカ、クライアント、および統合 DNS サービスのインストールユーティリティーに次のオプションが追加されました。
-
--dot-forwarderは、アップストリーム DoT 対応 DNS サーバーを指定します。 -
--dns-over-tls-keyと--dns-over-tls-certは、DoT 証明書を設定します。 -
--dns-policyは、暗号化されていない DNS へのフォールバックを許可するか、厳密な DoT の使用を強制するかのどちらかを行う DNS セキュリティーポリシーを設定します。
デフォルトでは、IdM は、暗号化されていない DNS へのフォールバックを許可する、relaxed DNS ポリシーを使用します。新しい --dns-policy オプションを enforced 設定で使用することで、暗号化のみの通信を強制できます。
また、新しい DoT オプションを指定した ipa-dns-install を使用して統合 DNS サービスを再設定することにより、既存の IdM デプロイメントで DoT を有効にすることもできます。
詳細は、IdM における DoT による DNS の保護 を参照してください。
DNSSEC が IdM でテクノロジープレビューとして利用可能になる
統合 DNS のある Identity Management (IdM) サーバーは、DNS プロトコルのセキュリティーを強化する DNS に対する拡張セットである DNS Security Extensions (DNSSEC) を実装するようになりました。IdM サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。
DNSSEC で DNS ゾーンを保護する場合は、以下のドキュメントを参照することが推奨されます。
統合 DNS のある IdM サーバーは、DNSSEC を使用して、他の DNS サーバーから取得した DNS 回答を検証することに注意してください。これが、推奨される命名方法に従って設定されていない DNS ゾーンの可用性に影響を与える可能性があります。
Jira:RHELDOCS-20690[1]
DoT による暗号化された DNS が、IdM の ansible-freeipa インストールでテクノロジープレビューとして利用可能になりました
Ansible を使用して、DNS クライアントと Identity Management (IdM) DNS サーバー間のすべての DNS クエリーと応答を暗号化できるようになりました。DNS over TLS (DoT) による暗号化された DNS は、RHEL 10 から IdM 環境でテクノロジープレビューとして利用可能になりました。RHEL 10.1 では、この機能は freeipa.ansible_freeipa コレクションのテクノロジープレビューとして利用できます。
ansible-freeipa を使用して IdM のデプロイ時に DoT を有効にするには、次のオプションを使用します。
-
新しいサーバー場合は、
freeipa.ansible_freeipa.ipaserverロールとともにipaserver_dns_over_tlsを使用します。 -
レプリカの場合は、
freeipa.ansible_freeipa.ipareplicaロールとともにipareplica_dns_over_tlsを使用します。 -
アップストリームの DoT 対応 DNS サーバーを指定するには、
dot_forwarderを使用します。 -
DoT の証明書を設定するには、
dns_over_tls_keyとdns_over_tls_certを使用します。
さらに、dns_policy 変数を設定して DoT のみの通信を強制し、暗号化されていない DNS へのフォールバックを許可するデフォルトの動作をオーバーライドすることもできます。
Jira:RHELDOCS-20258[1]
7.9. 仮想化
RHEL ホストで TDX がテクノロジープレビューとして利用可能になりました
テクノロジープレビューとして、RHEL ホストで Trust Domain Extensions (TDX) を有効にできます。TDX はハードウェアベースのセキュリティー機能です。仮想マシンに強力なメモリー暗号化および整合性保護機能を提供し、仮想マシンをハイパーバイザーやその他のシステムソフトウェアから分離します。
TDX は Intel CPU でのみ利用可能です。
Jira:RHEL-111863[1]
VDUSE が RHEL のネットワーク向けにテクノロジープレビューとして利用可能になりました
virtio Data Path Acceleration (vDPA) デバイスをユーザー空間で実現する機能 (VDUSE) が、RHEL のネットワーク向けにテクノロジープレビューとして利用可能になりました。VDUSE は、vDPA デバイス専用のユーザー空間を割り当てる Linux カーネルメカニズムです。このメカニズムにより、ユーザー空間のプロセスが、NIC やブロックデバイスなどの virtio-class デバイスを、管理された方法でカーネルに登録できるようになります。その結果、標準の vDPA または virtio インターフェイスを介して、仮想マシンまたはホスト上でデバイスを使用できるようになりました。
Jira:RHEL-76477[1]
KVM 仮想マシン用の AMD SEV、SEV-ES、SEV-SNP がテクノロジープレビューとして利用可能になる
テクノロジープレビューとして、RHEL は、KVM ハイパーバイザーを使用する AMD EPYC ホストマシンに Secure Encrypted Virtualization (SEV) 機能を提供します。仮想マシンで有効になっている場合は、SEV が仮想マシンのメモリーを暗号化して、ホストから仮想マシンへのアクセスを防ぎます。これにより、仮想マシンのセキュリティーが強化されます。
さらに、強化された SEV (Encrypted State) バージョンの SEV (SEV-ES) もテクノロジープレビューとして提供されます。SEV-ES は、仮想マシンの実行が停止すると、すべての CPU レジスターの内容を暗号化します。これにより、ホストが仮想マシンの CPU レジスターを変更したり、そこから情報を読み取ったりできなくなります。
RHEL は、テクノロジープレビューとして、Secure Nested Paging (SEV-SNP) 機能も提供します。SNP は、メモリー整合性保護を改善することで SEV と SEV-ES を強化し、データ再生やメモリー再マッピングなどのハイパーバイザーベースの攻撃を防ぐのに役立ちます。
以下の点に留意してください。
- SEV および SEV-ES は、第 2 世代 AMD EPYC CPU (コード名 Rome) 以降でのみ動作します。
- SEV-SNP は、第 3 世代 AMD EPYC CPU (コード名 Milan) 以降でのみ動作します。
また、RHEL には SEV、SEV-ES、SEV-SNP 暗号化が含まれていますが、SEV、SEV-ES、SEV-SNP のセキュリティーアテステーションとライブマイグレーションは含まれていない点に注意してください。
Jira:RHELDOCS-16800[1]
ネストされた仮想マシンの作成
ネストされた KVM 仮想化が、RHEL 10 を搭載した Intel、AMD64、および IBM Z ホスト上で稼働する KVM 仮想マシン (VM) 用のテクノロジープレビューとして提供されています。この機能を使用すると、物理 RHEL 10 ホスト上で稼働する RHEL 7、RHEL 8、または RHEL 9 仮想マシンをハイパーバイザーとして機能させ、独自の仮想マシンをホストできます。
Jira:RHELDOCS-20080[1]
新しいパッケージ: trustee-guest-components
この更新により、テクノロジープレビューとして trustee-guest-components パッケージが追加されました。これにより、機密仮想マシンが自身を証明し、Trustee サーバーから機密リソースを取得できるようになります。
Jira:RHEL-73770[1]
仮想ソケットから TCP へのブリッジがテクノロジープレビューとして利用可能になりました
テクノロジープレビューとして、仮想ソケット (vsock) から TCP へのブリッジを使用できます。このブリッジを使用すると、IP ネットワークを設定することなく、SSH などの仮想マシン (VM) サービスをホストマシンにセキュアに公開できます。
ハイパーバイザーのプライベート vsock チャネルを介して、ホストの接続を仮想マシン内の SSH サービスに直接橋渡しするには、socat などの中継ツールを使用できます。
RHEL ホストで SEV-SNP がテクノロジープレビューとして利用可能になりました
テクノロジープレビューとして、RHEL ホストで Secure Encrypted Virtualization‑Secure Nested Paging (SEV‑SNP) を有効にできます。SEV‑SNP はハードウェアベースのセキュリティー機能です。仮想マシンに強力なメモリー暗号化および整合性保護機能を提供し、仮想マシンをハイパーバイザーやその他のシステムソフトウェアから分離します。
SEV-SNP は AMD CPU でのみ利用可能です。この機能をホスト上で設定するには、snphost パッケージを使用する必要があります。
Jira:RHELDOCS-19757[1]
ARM 仮想マシンの CCA がテクノロジープレビューとして利用可能になりました
RHEL 10.1 仮想マシン (VM) では、テクノロジープレビューとして Confidential Compute Architecture (CCA) を有効にできます。Realm Management Extension (RME) を基盤として構築された CCA は、仮想マシン内でデータが使用されている間、そのデータのプライバシーを維持するのに役立ちます。
現在、CCA はテクノロジープレビューとして ARM 仮想マシンでのみ有効にできます。RHEL ホストでは有効にできません。
7.10. コンテナー
zstd:chunked の部分プルがテクノロジープレビューとして利用可能になる
zstd:chunked 形式で圧縮されたコンテナーイメージの変更された部分のみをプルできるため、ネットワークトラフィックと必要なストレージが削減されます。/etc/containers/storage.conf ファイルに enable_partial_images = "true" 設定を追加することで、部分的なプルを有効にすることができます。この機能はテクノロジープレビューとして利用できます。
podman artifact コマンドがテクノロジープレビューとして利用可能になる
コマンドラインレベルで OCI アーティファクトを使用するために使用できる podman artifact コマンドが、テクノロジープレビューとして利用できます。さらに詳しい情報については、man ページを参照してください。
podman network create の vrf オプションがテクノロジープレビューとして利用可能になる
podman network create コマンドは、テクノロジープレビューとして、--opt オプションの vrf 値を提供するようになりました。vrf 値は、ブリッジインターフェイスに Virtual Routing and Forwarding (VRF) インスタンスを割り当てます。VRF の名前を受け入れ、デフォルトは none になります。
このオプションは、Netavark ネットワークバックエンドでのみ使用できます。
Podman と Docker API の互換性がテクノロジープレビューとして利用可能になりました
Podman は、テクノロジープレビューとして次の Docker API バージョンをサポートしています。
- Docker API 1.41
- Docker API 1.43
7.11. 以前のリリースで特定されたテクノロジープレビュー機能
ここでは、Red Hat Enterprise Linux 10 で利用可能なすべてのテクノロジープレビューのリストを提示します。
テクノロジープレビュー機能に対する Red Hat のサポート範囲の詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。
7.11.1. ネットワーク
WireGuard VPN はテクノロジープレビューとして利用可能になる
Red Hat がサポートしていないテクノロジープレビューとして提供している WireGuard は、Linux カーネルで実行する高パフォーマンスの VPN ソリューションです。最新の暗号を使用し、その他の VPN ソリューションよりも簡単に設定できます。さらに、WireGuard のコードベースが小さくなり、攻撃の影響が減るため、セキュリティーが向上します。
詳細は、WireGuard VPN のセットアップ を参照してください。
Jira:RHELDOCS-20056[1]
KTLS がテクノロジープレビューとして利用可能になる
RHEL では、Kernel Transport Layer Security (KTLS) がテクノロジープレビューとして提供されます。KTLS は、AES-GCM 暗号化のカーネルで対称暗号化アルゴリズムまたは複号アルゴリズムを使用して TLS レコードを処理します。KTLS には、この機能を提供するネットワークインターフェイスコントローラー (NIC) に TLS レコード暗号化をオフロードするインターフェイスも含まれています。
カーネル TLS オフロードの特定のユースケースについては、より高いサポートステータスが適用される場合があることに注意してください。
Jira:RHELDOCS-20440[1]
PRP および HSR プロトコルがテクノロジープレビューとして利用可能になる
この更新では、次のプロトコルを提供する hsr カーネルモジュールが追加されます。
- Parallel Redundancy Protocol (PRP)
- 高可用性 Seamless Redundancy (HSR)
これらのプロトコルは IEC 62439-3 規格で定義されており、この機能を使用することで、イーサネットネットワークにおいてゼロタイムリカバリーの冗長性を設定できます。
Jira:RHELDOCS-20472[1]
NetworkManager で HSR および PRP インターフェイスを設定できる
高可用性 Seamless Redundancy (HSR) と Parallel Redundancy Protocol (PRP) は、単一のネットワークコンポーネントの障害に対してシームレスなフェイルオーバーを提供するネットワークプロトコルです。どちらのプロトコルもアプリケーション層に対して透過的です。すなわち、メインパスと冗長パス間の切り替えはユーザーが認識することなく非常に迅速に行われるため、ユーザーが通信の中断やデータの損失を経験することはありません。NetworkManager サービスで nmcli ユーティリティーと DBus メッセージシステムを使用して、HSR および PRP インターフェイスの有効化および設定を行うことができます。
第8章 削除された機能
削除された機能はすべて以前のリリースで非推奨となり、サポートされなくなりました。RHEL 9 には存在するが RHEL 10 では 削除 された機能の詳細は、RHEL 10 を導入する際の考慮事項 を参照してください。
8.1. インストーラーおよびイメージの作成
cockpit-composer パッケージが削除されました
cockpit-composer パッケージが削除され、サポートされなくなりました。今後は cockpit-image-builder を使用してください。
Jira:RHELDOCS-20167[1]
RHEL 10 の boot.iso から gdisk が削除されました
gdisk パーティションユーティリティーは、RHEL 10 の boot.iso イメージタイプから削除されました。キックスタートでは引き続き gdisk を使用できます。boot.iso イメージタイプの場合、parted ユーティリティーなど、GPT ディスクを処理するための他のツールを利用できます。
Jira:RHELDOCS-18904[1]
8.2. ネットワーク
ネットワークチームドライバーが削除される
teamd サービスと libteam ライブラリーは Red Hat Enterprise Linux 10 で削除されました。ネットワークチームの代わりにボンディングを設定してください。
Red Hat は、機能が類似するボンディングとチームの機能を 2 つ管理しなくてもいいように、カーネルベースのボンディングに注力しています。ボンディングコードは、顧客の採用率が高く、堅牢で、活発なコミュニティー開発が行われています。その結果、ボンディングコードは拡張、更新されます。
RHEL 9 でネットワークチームを使用しており、RHEL 10 にアップグレードする予定の場合は、アップグレードする前に ネットワークチームの設定をネットワークボンディングに移行 してください。
Jira:RHELDOCS-20862[1]
8.3. コンパイラーおよび開発ツール
32 ビット ARM および MIPS バックエンドが llvm から削除されました 
RHEL 10.1 の llvm パッケージで、32 ビット ARM および MIPS バックエンドが削除されました。この変更により、ツールチェーンのビルド時間とメンテナンスの手間が削減されます。これらのバックエンドが必要な場合は、代替のビルドターゲットまたは以前のパッケージバージョンを使用する必要があります。
8.4. Identity Management
389-ds-base からリファラルモードが削除されました
この更新前は、Directory Server がリファラルモードでのサーバーの起動をサポートしていました。しかし、安定性の問題により、この機能はサポートされなくなり、削除されました。
なお、nsslapd-referralmode 属性と nsslapd-referral 属性は引き続き使用できます。Directory Server は、要求された識別名 (DN) が、サーバーが保持するどの接尾辞にも含まれていない場合でも、リファラルを返すことができます。
nsslapd-subtree-rename-switch が 389-ds-base から削除されました
この更新前は、データベース内のサブツリー間でエントリーを移動できないように Directory Server を設定できました。安定性の問題のため、この機能は削除されました。したがって、nsslapd-subtree-rename-switch パラメーターは存在しなくなりました。
その結果、サブツリー間でのエントリーの移動を無効にできなくなりました。代替策として、アクセス制御命令 (ACI) を作成することにより、エントリーの移動を無効にできます。
Jira:RHEL-77490[1]
8.5. Red Hat Enterprise Linux システムロール
mssql_accept_microsoft_odbc_driver_17_for_sql_server_eula 変数が非推奨となる
RHEL の今後のメジャー更新では、ロールが mssql_tools バージョン 17 および 18 の odbc ドライバーをインストールできるようになるため、mssql_accept_microsoft_odbc_driver_17_for_sql_server_eula 変数は mssql システムロールでサポートされなくなります。したがって、代わりにバージョン番号なしの mssql_accept_microsoft_odbc_driver_for_sql_server_eula 変数を使用する必要があります。
重要: バージョン番号 mssql_accept_microsoft_odbc_driver_17_for_sql_server_eula の非推奨の変数を使用する場合、ロールによって、新しい変数 mssql_accept_microsoft_odbc_driver_for_sql_server_eula を使用するように通知されます。ただし、非推奨の変数は引き続き機能します。
8.6. 仮想化
ライブ仮想マシンダンプがサポートされなくなりました
この更新により、virsh dump コマンドの -- live オプションがサポートされなくなりました。--live オプションを指定した virsh dump を使用して仮想マシンダンプを作成しようとすると、コマンドが失敗します。
Jira:RHELDOCS-21349[1]
第9章 非推奨の機能
非推奨の機能は完全にサポートされています。つまり、テストおよびメンテナンスが行われており、Red Hat Enterprise Linux 10 内でのサポートステータスは変更されません。ただし、今後のメジャーバージョンリリースではサポートされない可能性が高く、Red Hat Enterprise Linux の最新または今後のメジャーバージョンの新規のデプロイメントには推奨されません。
メジャーバージョンのリリースサイクル中に、機能が非推奨となることがあります。
非推奨機能は、削除されるまで、今後のすべてのリリースノートに記載されます。非推奨機能の完全なリストは、最新のマイナーバージョンのリリースノートを参照してください。サポート期間の詳細は、Red Hat Enterprise Linux のライフサイクル および Red Hat Enterprise Linux Application Streams のライフサイクル を参照してください。
9.1. インストーラーおよびイメージの作成
squashfs パッケージが非推奨となる
squashfs パッケージは非推奨となり、今後の RHEL のメジャーリリースで削除される予定です。代わりに、dracut が erofs のマウントをサポートしています。
Jira:RHELDOCS-18903[1]
module のキックスタートコマンドが非推奨となる
Anaconda は DNF モジュール性のサポートを非推奨とし、その結果、module キックスタートコマンドも非推奨となりました。キックスタートファイルの %packages セクションまたは module キックスタートコマンドでモジュールを使用している場合は、この影響を受ける可能性があります。この変更は、インストールプロセスを簡素化し、今後より一貫したエクスペリエンスを確保するために実装されています。
inst.gpt ブートオプションが非推奨となる
inst.gpt ブートオプションは非推奨となり、今後のリリースでは削除される予定です。優先するディスクラベルタイプを指定するには、inst.disklabel ブートオプションを使用します。GPT または MBR ディスクラベルを作成するには、gpt または mbr を指定します。
Jira:RHELDOCS-18491[1]
9.2. セキュリティー
oqsprovider と liboqs が非推奨となりました
OpenSSL 3.0 用に耐量子計算機暗号 (PQC) を提供していた oqsprovider および liboqs パッケージが非推奨となりました。これらは今後のメジャーリリースで削除される可能性があります。代わりに、OpenSSL 3.5 が提供する PQC 機能を使用してください。
Jira:RHEL-97489[1]
crypto-policies の X25519-MLKEM768 が非推奨となり、MLKEM768-X25519 という値へのエイリアスになりました
システム全体の暗号化ポリシーの X25519-MLKEM768 値が非推奨となり、MLKEM768-X25519 という値へのエイリアスになりました。これにより、結合順序が統一され、どちらの表記も機能するようになりました。
OpenSSL の ENGINE API が非推奨となる
RHEL 10 では、ENGINE API は非推奨となり、今後のメジャーリリースで削除される予定です。ENGINE API を使用して新しいアプリケーションを構築しないでください。アプリケーションバイナリーインターフェイス (ABI) と既存のアプリケーションの動作を維持するために、OpenSSL は引き続き ENGINE シンボルをエクスポートします。新しいアプリケーションが ENGINE API を使用しないようにするために、OpenSSL はシステム全体で OPENSSL_NO_ENGINE フラグを設定し、ENGINE API を公開するヘッダー engine.h が削除されました。
GnuTLS の crypto-policies で allow-rsa-pkcs1-encrypt = false が設定されるようになる
RHEL 10 では、GnuTLS ライブラリーがデフォルトで RSA PKCS #1 v1.5 パディングによる暗号化と復号化をブロックします。LEGACY ポリシーを除き、すべてのシステム全体の暗号化ポリシー (DEFAULT、FUTURE、および FIPS) で allow-rsa-pkcs1-encrypt = false オプションが指定されます。
FIPS モードの HMAC-SHA-1 が非推奨となる
HMAC-SHA-1 暗号化アルゴリズムは FIPS モードでは非推奨となり、今後のリリースで削除される可能性があります。FIPS モード外では、HMAC-SHA-1 のサポートが維持されます。
9.3. ソフトウェア管理
モジュール機能が非推奨となりました
RHEL 10 では、モジュール機能は非推奨となり、今後のメジャーリリースで削除される予定です。そのため、DNF module コマンドで非推奨の警告が表示されます。
以前の RHEL メジャーバージョンでは、一部の Application Streams が、RPM 形式の拡張として、モジュールとして使用できました。RHEL 10 では、Red Hat はパッケージ化技術としてモジュール機能を使用する Application Streams を提供する予定はありません。したがって、RHEL 10 ではモジュールコンテンツは配布されません。
Jira:RHELDOCS-20138[1]
9.4. インフラストラクチャーサービス
FTP クライアントおよびサーバーソフトウェアが非推奨になる
以下の FTP クライアントおよびサーバーソフトウェアは非推奨であり、RHEL の将来のメジャーバージョンで削除される予定です。
-
ftp -
lftp -
vsftpd
これらの FTP プロトコルの実装は、現在、積極的に開発されていません。お客様には、FTP ベースのワークフローを次のいずれかに移行することを推奨します。
-
OpenSSH と
sftpコマンドは、SSH プロトコルを介したセキュアなファイル転送のための対話型インターフェイスを備えています。 - Apache httpd ベースの WebDAV - さまざまなクライアント実装が利用可能です。
Jira:RHELDOCS-20610[1]
9.5. ネットワーク
ipset がメンテナンス対象外に
RHEL 10 では、ipset ユーティリティーがメンテナンス対象外となり、今後のメジャーリリースで削除される予定です。現行のリリースライフサイクルにおいて、Red Hat は重大なバグ修正のみ提供します。ipset の代わりに、nftables セット機能を使用できます。
Jira:RHELDOCS-20147[1]
BIND auto-dnssec パラメーターが非推奨となりました
RHEL 9.7 以降、BIND auto-dnssec パラメーターは非推奨となりました。これは今後のリリースで削除される予定です。代わりに、dnssec-policy パラメーターを使用して、完全な Key and Signing Policy (KASP) を指定してください。これにより、関連するすべての設定を単一の直感的なブロックにまとめることができます。
dnssec-policy への移行に関する詳細は、BIND 9 アップストリームドキュメントの DNSSEC Key and Signing Policy を参照してください。
Jira:RHELDOCS-21532[1]
9.6. ファイルシステムおよびストレージ
squashfs パッケージが非推奨となる
SquashFS は非推奨となり、次のメジャーリリースで削除される予定です。今後は機能拡張が行われず、Red Hat 内部の特定のユースケース向けに RHEL 10 に含まれています。代替ソリューションとして EROFS の使用を検討してください。
Jira:RHELDOCS-18450[1]
9.7. 高可用性およびクラスター
High Availability Add-On 機能が非推奨となる
以下の機能は、Red Hat Enterprise Linux 10 で非推奨となり、次のメジャーリリースで削除される予定です。
- 複数の引数としてルールを指定します。代わりに単一の文字列引数を使用します。
-
pcs constraint location addおよびpcs constraint colocation adのスタンドアロン値としてscoreを指定します。代わりにscore=valueを使用します。 pcs resource restart | moveを除くリソースコマンド、およびpcs cluster node add-guest | add-remoteコマンドで--waitオプションを指定します。代わりに次のコマンドを使用します。-
pcs status waitは、クラスターが安定した状態に落ち着くまで待機します。 -
pcs status query resourceコマンドは、待機後にリソースが期待どおりの状態にあることを確認します。
-
-
--forceフラグを使用して、pcs cluster destroy、pcs quorum unblock、pcs stonith confirm、pcs stonith sbd device setup、pcs stonith sbd watchdog testコマンドなどの潜在的に破壊的なアクションを確認します。今後は、潜在的に破壊的なアクションを確認するには--yesフラグを使用し、検証エラーをオーバーライドするには--forceフラグを使用する必要があります。 -
--forceフラグを使用して、pcs cluster report内のファイルの上書きを確認します。代わりに--overwriteフラグを使用してください。 -
userまたはgroupのキーワードを指定せずに、ACL ロールを割り当てたり割り当て解除したりします。 -
順序の制約における score パラメーターの設定
pcsコマンドラインインターフェイスは、ユーザーが順序制約でスコアパラメーターを設定しようとすると、警告を生成するようになりました。
Jira:RHELDOCS-19607[1]
9.8. コンパイラーおよび開発ツール
GCC Toolset 15 環境スクリプトが Software Collections (scl-enable) に置き換わりました
以前は、Red Hat Enterprise Linux 上の GCC Toolset 15 の開発環境を管理するために、scl enable gcc-toolset-15 <command> コマンドが使用されていました。RHEL 10 では、Software Collections はこの目的で使用されなくなりました。その結果、scl enable オプションは gcc-toolset-15 で機能しなくなりました。
新しい gcc-toolset-15-env スクリプトを使用してください。このスクリプトは、GCC ツールセット環境で、指定されたコマンドを実行します。
gcc-toolset-15-env <command>
コマンドが指定されていない場合、スクリプトは GCC ツールセット環境でデフォルトのシェル (sh) を開きます。
そのため、ユーザーが RHEL 10 で GCC Toolset 15 にアクセスするには、scl enable ではなく gcc-toolset-15-env を使用する必要があります。
Jira:RHEL-88743[1]
glibc の utmp および utmpx インターフェイスが非推奨となる
glibc ライブラリーによって提供される utmp および utmpx インターフェイスには、Unix エポックからの時間をカウントするカウンターが含まれています。このカウンターは 2106 年 2 月 7 日にオーバーフローする予定です。したがって、utmp と utmpx は、RHEL 10 では非推奨となり、RHEL 11 では削除される予定です。
Jira:RHELDOCS-18080[1]
9.9. Web コンソール
RHEL Web コンソールのホストスイッチャーが非推奨となる
単一の RHEL Web コンソールセッションから SSH を介して複数のマシンへの接続を提供するホストスイッチャーは非推奨となり、デフォルトで無効になっています。Web テクノロジーの制限により、この機能はセキュアではありません。
短期的には、シナリオのリスクを評価した後、cockpit.conf ファイルの AllowMultiHost オプションを使用して、ホストスイッチャーを有効化できます。
[WebService]
AllowMultiHost=yesよりセキュアな代替手段として、以下を使用できます。
- Web コンソールのログインページ (Web ブラウザーセッションで一度に 1 つのホストのみというセキュアな制限付き)
- Cockpit Client flatpak
Jira:RHEL-4032[1]
9.10. Red Hat Enterprise Linux システムロール
sshd 変数は非推奨となり、sshd_config に置き換わる
RHEL システムロール全体でコーディング標準を統一するために、sshd 変数が sshd_config 変数に置き換えられました。sshd 変数は非推奨となり、RHEL の今後のメジャーバージョンで sshd Ansible ロールから削除される可能性があります。
Jira:RHEL-73440[1]
9.11. 仮想化
特定の IBM z16 CPU 機能が非推奨になりました
この更新により、IBM z16 KVM 仮想マシン用の te および cte CPU 機能が非推奨になりました。なお、CPU モデルが host-model である仮想マシンを IBM z16 ホストから IBM z17 ホストに移行する場合、CPU 機能の設定を調整する必要はありません。
Jira:RHEL-89426[1]
rtl8139 NIC が仮想マシンで非推奨となりました
この更新により、rtl8139 ネットワークインターフェイスコントローラータイプが非推奨となりました。今後の RHEL メジャーリリースでは、仮想マシンでこのタイプを使用することがサポートされなくなる予定です。ホストで virtio 以外の NIC タイプを使用する必要がある場合は、代わりに e1000 または e1000e NIC を使用してください。
libslirp が非推奨となる
RHEL 10 では、libslirp ネットワークバックエンドは非推奨となり、今後のメジャーバージョンリリースで削除される予定です。
i440fx 仮想マシンタイプが非推奨となる
RHEL 10 では、仮想マシン (VM) の i440fx マシンタイプは非推奨となり、RHEL の今後のメジャーバージョンでは削除される予定です。
さらに、i440fx-rhel7.6 マシンタイプは i440fx-rhel10.0 に置き換えられました。その結果、i440fx-rhel7.6 マシンタイプの仮想マシンは、RHEL 10 ホストへのライブマイグレーション後に正しく起動しなくなります。回避策: ライブマイグレーション後に仮想マシンを再起動します。
Jira:RHELDOCS-18672[1]
レガシー仮想 CPU モデルが非推奨に
いくつかの仮想 CPU モデルが非推奨になり、RHEL の将来のメジャーリリースで仮想マシンでの使用がサポートされなくなります。非推奨モデルには以下が含まれます。
- Intel Xeon 55xx および 75xx プロセッサーファミリー (別名 Nehalem)
- Intel Xeon v2 (別名 Ivy Bridge)
- AMD Opteron G4 および G5
非推奨となった CPU モデルの完全なリストを表示するには、次のコマンドを使用します。
# /usr/libexec/qemu-kvm -cpu help | grep depre | grep -v - -v
実行中の仮想マシンが非推奨の CPU モデルを使用しているかどうかを確認するには、virsh dominfo ユーティリティーを使用し、Messages セクションで次のような行を探します。
tainted: use of deprecated configuration settings
deprecated configuration: CPU model 'Nehalem'Jira:RHEL-28971[1]
virt-manager が非推奨になる
Virtual Machine Manager アプリケーション (virt-manager) は非推奨になりました。RHEL Web コンソール (Cockpit) は、後続のリリースで置き換えられる予定です。したがって、GUI で仮想化を管理する場合は、Web コンソールを使用することが推奨されます。ただし、virt-manager で利用可能な機能によっては、RHEL Web コンソールで利用できない場合があります。
Jira:RHELDOCS-20688[1]
libvirtd が非推奨になる
モノリシック libvirt デーモン libvirtd は、RHEL 9 で非推奨になり、RHEL の将来のメジャーリリースで削除される予定です。ハイパーバイザーで仮想化を管理するために libvirtd を引き続き使用できることに注意してください。ただし、Red Hat では、新しく導入されたモジュラー libvirt デーモンに切り替えることを推奨します。手順と詳細は、RHEL 9 の仮想化の設定と管理 に関するドキュメントを参照してください。
Jira:RHELDOCS-20689[1]
SHA1 ベースの署名を使用した SecureBoot イメージ検証が非推奨になる
UEFI (PE/COFF) 実行ファイルでの SHA1 ベースの署名を使用した SecureBoot イメージ検証の実行は非推奨になりました。代わりに、Red Hat は、SHA-2 アルゴリズムまたはそれ以降に基づく署名を使用することを推奨します。
Jira:RHELDOCS-20691[1]
仮想フロッピードライバーが非推奨になりました
仮想フロッピーディスクデバイスを制御する isa-fdc ドライバーが非推奨になり、今後の RHEL ではサポートされなくなります。そのため、移行した仮想マシン (VM) との前方互換性を確保するために、Red Hat では、RHEL 10.1 でホストされている仮想マシンでフロッピーディスクデバイスを使用しないことを推奨しています。
Jira:RHELDOCS-20692[1]
qcow2-v2 イメージ形式が非推奨になりました
RHEL 10.1 で、仮想ディスクイメージの qcow2-v2 形式が非推奨になりました。この形式は、今後の RHEL メジャーリリースでサポートされなくなります。また、RHEL 10.1 の Image Builder では、qcow2-v2 形式のディスクイメージを作成できません。
Red Hat では、qcow2-v2 の代わりに、qcow2-v3 の使用を推奨しています。qcow2-v2 イメージを、それ以降の形式に変換する場合は、qemu-img amend コマンドを使用します。
Jira:RHELDOCS-20693[1]
9.12. コンテナー
tzdata パッケージが最小コンテナーイメージではデフォルトでインストールされなくなる
tzdata パッケージは、registry.access.redhat.com/ubi10-minimal コンテナーイメージにインストールされなくなりました。その結果、以前の RHEL リリースから RHEL 10.0 に最小限のコンテナービルドを移行し、tzdata パッケージを再インストールするために microdnf reinstall tzdata コマンドを入力すると、tzdata パッケージがデフォルトでインストールされなくなったため、エラーメッセージが表示されます。この場合は、microdnf install tzdata コマンドを入力して tzdata をインストールします。
Jira:RHELDOCS-18700[1]
Podman v5.0 の非推奨化
RHEL 10.0 では、Podman v5.0 で以下が非推奨となりました。
-
containers.confファイルに保存されているシステム接続とファームの情報が読み取り専用になりました。システム接続とファームの情報は、Podman のみが管理するpodman.connections.jsonファイルに保存されます。Podman は、[engine.service_destinations]や[farms]セクションなどの古い設定オプションを引き続きサポートします。必要に応じて手動で接続またはファームを追加できますが、podman system connection rmコマンドを使用してcontainers.confファイルから接続を削除することはできません。 -
slirp4netnsネットワークモードが非推奨となり、RHEL の今後のメジャーリリースで削除される予定です。pastaネットワークモードが、ルートレスコンテナーのデフォルトのネットワークモードです。 containernetworking-pluginsパッケージと CNI ネットワークスタックはサポートされなくなりました。-
以前の RHEL バージョンから RHEL 10.0 にアップグレードする場合、または RHEL 10.0 を新規インストールした場合、CNI は使用できなくなります。そのため、
podman rmi --all --forceコマンドを実行して、イメージおよびそれらのイメージを使用しているコンテナーをすべて削除する必要があります。 -
存在する場合、
network_backendオプションの containers.conf ファイルのcni値をnetavarkに変更するか、設定解除する必要があります。
-
以前の RHEL バージョンから RHEL 10.0 にアップグレードする場合、または RHEL 10.0 を新規インストールした場合、CNI は使用できなくなります。そのため、
podman-tests パッケージが非推奨となる
podman-tests パッケージは、AppStream リポジトリーで非推奨となりました。このパッケージは、CodeReady Linux Builder (CRB) で利用できるようになりました。CRB リポジトリーの詳細は、https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/9/html/package_manifest/repositories#CodeReadyLinuxBuilder-repository を参照してください。
nodejs-18 と nodejs-18-minimal が非推奨に
nodejs-18 および nodejs-18-minimal コンテナーイメージは非推奨となり、今後は機能は更新されません。代わりに nodejs-22 と nodejs-22-minimal を使用してください。
Jira:RHELDOCS-20283[1]
9.13. 以前のリリースで特定された非推奨機能
ここでは、Red Hat Enterprise Linux 10 で 非推奨 となった機能の概要を説明します。
9.13.1. SSSD
Samba で SMB1 プロトコルが非推奨となる
Samba 4.11 以降、セキュアでない Server Message Block バージョン 1 (SMB1) プロトコルは非推奨となり、今後のリリースでは削除される予定です。
セキュリティーを向上させるために、デフォルトでは、Samba サーバーおよびクライアントユーティリティーで SMB1 が無効になっています。
Jira:RHELDOCS-16612[1]
9.14. 非推奨のパッケージ
このセクションでは、非推奨となり、将来バージョンの Red Hat Enterprise Linux には含まれない可能性があるパッケージのリストを示します。
非推奨パッケージのサポートステータスは、RHEL 10 内でも変更されません。
次のパッケージは RHEL 10 で非推奨となりました。
- daxio
- ftp
- gvisor-tap-vsock-gvforwarder
- lftp
- libpmem
- libpmem2
- libpmemblk
- libpmemlog
- libpmemobj
- libpmemobj-cpp
- libpmempool
- libslirp
- nvml
- pmempool
- pmreorder
- sdl2-compat
- vsftpd
- wget
第10章 既知の問題
このバージョンの Red Hat Enterprise Linux 10.1 は、新たに特定された以下の問題と以前から知られている問題の影響を受けます。既知の問題は、解決されるまで今後のリリースノートに記載され、解決された時点で修正済みの問題として公開されます。このセクションに記載されていない問題が発生した場合は、このページの右上隅にあるボタンを使用して報告してください。
10.1. インストーラーおよびイメージの作成
クラッシュダンプがデフォルトで実行されない
RHEL Image Mode を使用したデフォルトのインストール方法では、クラッシュダンプがデフォルトで実行されません。これは、crashkernel= カーネル引数が設定されていないためです。この問題を回避するには、ビルド時またはインストール時に crashkernel= カーネル引数を設定します。
Podman と bootc は同じレジストリーログインプロセスを共有しない
Podman と bootc は、イメージをプルするときに異なるレジストリーログインプロセスを使用します。その結果、Podman を使用してイメージにログインすると、そのイメージでは bootc のレジストリーへのログインが機能しなくなります。Image Mode for RHEL システムをインストールし、次のコマンドを使用して registry.redhat.io にログインします。
# podman login registry.redhat.io <username_password>
次に、次のコマンドを使用して、registry.redhat.io/rhel9/rhel-bootc イメージに切り替えようとします。
# bootc switch registry.redhat.io/rhel9/rhel-bootc:9.4次のメッセージが表示されるはずです。
Queued for next boot: registry.redhat.io/rhel9/rhel-bootc:9.4ただし、エラーが表示されます。
ERROR Switching: Pulling: Creating importer: Failed to invoke skopeo proxy method OpenImage: remote error: unable to retrieve auth token: invalid username/password: unauthorized: Please login to the Red Hat Registry using your Customer Portal credentials. Further instructions can be found here: https://access.redhat.com/RegistryAuthentication
回避策: bootc で認証されたレジストリーを使用するように コンテナープルシークレットを設定する の手順に従います。
Jira:RHELDOCS-18471[1]
cloud-init の growpart は、composefs が有効な場合にスキップされる
composefs が有効な場合に汎用ベースイメージからイメージを生成すると、rootfs がファイルシステムを拡張せず、次のようなエラーが表示されます。
2024-04-30 17:27:53,543 - cc_growpart.py[DEBUG]: '/' SKIPPED: stat of 'overlay' failed: [Errno 2] No such file or directory: 'overlay'
回避策: インスタンス作成時に 100G を動的に選択してコンテナーにパーティショニング config を書き込むのではなく、コンテナーに rootfs のデフォルトサイズを指定して、カスタム growpart を追加できます。
署名されたコンテナーから ISO を構築できません
GPG または単純な署名付きコンテナーから ISO ディスクイメージをビルドしようとすると、次のようなエラーが発生します。
manifest - failed
Failed
Error: cannot run osbuild: running osbuild failed: exit status 1
2024/04/23 10:56:48 error: cannot run osbuild: running osbuild failed: exit status 1これは、システムがイメージソース署名を取得できないために発生します。
回避策: コンテナーイメージから署名を削除するか、派生コンテナーイメージをビルドします。たとえば、署名を削除するには、次のコマンドを実行します。
$ sudo skopeo copy --remove-signatures containers-storage:registry.redhat.io/rhel9/rhel-bootc:9.4 containers-storage:registry.redhat.io/rhel9/rhel-bootc:9.4
$ sudo podman run \
--rm \
-it \
--privileged \
--pull=newer \
--security-opt label=type:unconfined_t \
-v /var/lib/containers/storage:/var/lib/containers/storage \
-v ~/images/iso:/output \
quay.io/centos-bootc/bootc-image-builder \
--type iso --local \
registry.redhat.io/rhel9/rhel-bootc:9.4派生コンテナーイメージを構築し、それに単純な GPG 署名を追加しないようにするには、コンテナーイメージの署名 の製品ドキュメントを参照してください。
暗号化された DNS とブートオプションのカスタム CA でホスト名の解決が失敗する
カーネルコマンドラインで inst.repo= または inst.stage2= ブートオプションを使用し、キックスタートファイルでリモートインストール URL、暗号化された DNS、カスタム CA 証明書を指定すると、インストールプログラムがキックスタートファイルを処理する前に install.img ステージ 2 イメージのダウンロードを試行します。その結果、ホスト名の解決が失敗し、ステージ 2 イメージを正常に取得する前にいくつかのエラーが表示されます。回避策: カーネルコマンドラインではなく、キックスタートファイルでインストールソースを定義します。
インストールプログラムが RPM インストールの最終段階で応答しなくなる
RPM インストールプロセスの最終段階で、インストールプログラムが応答しなくなる場合があります。問題が発生する前に、Configuring rootfiles.noarch メッセージが繰り返し表示される場合があります。回避策: インストールプロセスを再起動します。
Jira:RHEL-67865[1]
インストール中にショートカットを使用してキーボードレイアウトの切り替えを無効化する
動作しないキーボードショートカットが原因でキーボードレイアウトが変更される混乱を防ぐため、この機能は Anaconda で無効化されました。インストール中にショートカットを使用したキーボードレイアウトの変更はできません。回避策: レイアウトを切り替えるには、上部バーのキーボードレイアウトアイコンを使用します。
LACP を使用したボンディングデバイスは動作可能になるまでに時間がかかり、サブスクリプション障害が発生する
カーネルのコマンドラインブートオプションとキックスタートファイルの両方を使用して LACP でボンディングデバイスを設定すると、initramfs ステージで接続が作成されますが、Anaconda で再アクティブ化されます。その結果、一時的な中断が発生し、rhsm キックスタートコマンドによるシステムサブスクリプションの失敗につながります。
回避策: ネットワークを稼働状態に保つために、キックスタートネットワーク設定に --no-activate を追加します。その結果、システムサブスクリプションは正常に完了します。
Jira:RHELDOCS-19853[1]
services キックスタートコマンドで firewalld サービスを無効にできない
Anaconda のバグにより、services --disabled=firewalld コマンドを実行しても、キックスタートで firewalld サービスを無効にできません。回避策: 代わりに、firewall --disabled コマンドを使用します。これにより、firewalld サービスが適切に無効化されます。
ostreecontainer の使用時に /boot パーティションが作成されていない場合、インストールプログラムが失敗する
ostreecontainer キックスタートコマンドを使用して起動可能なコンテナーをインストールする場合、/boot パーティションが作成されていないとインストールは失敗します。この問題は、インストールプログラムがコンテナーのデプロイを続行するために専用の /boot パーティションを必要とするために発生します。
回避策: /boot パーティションがキックスタートファイルで定義されているか、インストールプロセス中に手動で作成されていることを確認します。
ignoredisk コマンドが iscsi コマンドの前にある場合、キックスタートのインストールが unknown disk エラーで失敗する
ignoredisk コマンドが iscsi コマンドの前に配置されている場合、キックスタート方式を使用して RHEL をインストールすると失敗します。この問題は、iscsi コマンドがコマンド解析中に指定の iSCSI デバイスを接続する間、ignoredisk コマンドが同時にデバイスの仕様を解決するために発生します。iscsi コマンドによって iSCSI デバイス名が割り当てられる前に ignoredisk コマンドが iSCSI デバイス名を参照すると、インストールが "unknown disk" エラーで失敗します。
回避策: iSCSI ディスクを参照してインストールを正常に実行できるように、キックスタートファイルで iscsi コマンドを ignoredisk コマンドの前に配置してください。
USB CD-ROM ドライブが Anaconda のインストールソースとして利用できない
USB CD-ROM ドライブがインストールソースである場合に、キックスタートコマンド ignoredisk --only-use= を指定すると、インストールが失敗します。このような場合、Anaconda がこのソースディスクを検出できず、使用できません。
回避策: USB CD-ROM ドライブからインストールするには、harddrive --partition=sdX --dir=/ コマンドを使用します。その結果、インストールは失敗しなくなりました。
ドライバーディスクメニューがコンソールでユーザー入力を表示できない
ドライバーディスクを使用して、カーネルコマンドラインで inst.dd オプションを使用して RHEL インストールを開始すると、コンソールにユーザー入力が表示されません。そのため、アプリケーションがユーザー入力に応答せず、応答を停止しているようですが、出力は表示されます。これはユーザーにはわかりにくい動作です。ただし、この動作は機能に影響を与えず、Enter を押すとユーザー入力が登録されます。
回避策: 予想される結果を確認するには、コンソールでユーザー入力が存在しないことを無視し、入力の追加が終了したら Enter を押します。
ディスク容量が不足すると、デプロイメントに失敗する可能性がある
十分な空きディスク容量がないパッケージモードシステムに bootc コンテナーイメージをデプロイすると、インストールエラーが発生し、システムが起動しなくなる可能性があります。デプロイ前に、イメージをインストールするための十分なディスク容量が利用可能であることを確認し、プロビジョニングする論理ボリュームを調整してください。
Jira:RHELDOCS-19948[1]
Anaconda は s390x および ppc64le アーキテクチャーでは正しく動作しない可能性がある
Image Mode for RHEL は、すでにサポートされている x86_64 および ARM アーキテクチャーに加えて、pp64le および s390x アーキテクチャーもサポートします。ただし、Anaconda は s390x および ppc64le アーキテクチャーでは正しく機能しない可能性があります。
Jira:RHELDOCS-19496[1]
LVM としてマークされた Azure 上の RHEL イメージでは、デフォルトのレイアウトのサイズ変更が必要
Azure で system-reinstall-bootc または bootc install を使用する場合、LVM としてマークされた RHEL イメージでは、デフォルトのレイアウトのサイズを変更する必要があります。
回避策: RAW というラベルの付いた RHEL イメージを使用します。この場合、デフォルトのレイアウトのサイズを変更する必要はありません。
Jira:RHELDOCS-19945[1]
10.2. セキュリティー
sq が FIPS モードで鍵を生成できない
Sequoia PGP ツールセットの sq ユーティリティーは、鍵の生成に非推奨の OpenSSL API を使用します。したがって、FIPS モードで実行されているシステムでは、sq を使用して鍵を生成することはできません。
GnuTLS が ML-DSA 秘密鍵を公開鍵に変換できない
GnuTLS には、拡張形式の ML-DSA 秘密鍵を ML-DSA 公開鍵に変換するアルゴリズムがありません。そのため、拡張された秘密鍵しか提供されていない場合、両方の鍵を必要とする操作が失敗します。
回避策: openssl コマンド (openssl dsa -in <private_key> -pubout -out <public_key>) を使用して、このような秘密鍵を公開鍵に変換します。これにより、公開鍵を他の操作で使用できるようになります。
NSS データベースのパスワードを更新すると ML-DSA のシードが破損する
ML-DSA 鍵の生成は、鍵を導出するのに十分なシードから始まります。ただし、後続の操作を高速化するために、鍵を拡張することもできます。NSS データベースに ML-DSA 鍵 (生成またはインポートしたもの) がある場合、拡張形式とシードの両方が保存されている可能性があります。NSS がデータベースの再暗号化を処理する方法にバグがあるため、データベースのパスワードを変更すると、シード属性が新しいパスワードに合わせて更新されません。その結果、以前のパスワードを知っていたとしても、シードの値は永久に失われます。
この問題を回避するには、パスワードを更新する前に鍵をエクスポートし、更新後に再度インポートします。
rpm-sequoia の PQC が crypto-policies で常に有効になる
RHEL 10.1 では、署名に使用されたアルゴリズムの 1 つがシステム全体の暗号化ポリシーで無効化されている場合、rpm-sequoia はデュアル署名された RPM パッケージの検証に失敗します。この問題は、耐量子計算機 (PQ) アルゴリズムが無効になっており、従来の暗号化と PQ 暗号化の両方で署名されたパッケージをインストールできないシステムでよく発生します。
システムの破損を防ぐために、rpm-sequoia の PQ アルゴリズムの有効化は、crypto-policies レベルでハードコードされています。その結果、crypto-policies の設定に関係なく、rpm-sequoia の PQ アルゴリズムが有効になります。
4 つの libvirt サービスの SELinux ポリシールールが一時的に permissive モードに変更される
以前は、SELinux ポリシーは、従来のモノリシック libvirtd デーモンを新しいモジュラーデーモンセットに置き換えたことを反映して変更されていました。この変更には多くのシナリオのテストが必要になるため、次のサービスは一時的に SELinux の permissive モードに変更されていました。
-
virtqemud -
virtvboxd -
virtstoraged -
virtsecretd
無害な AVC 拒否を防ぐために、これらのサービスの SELinux ポリシーに dontaudit ルールが追加されました。
Jira:RHEL-77808[1]
pkcs11-provider を使用した FIPS モードで暗号化トークンが動作しない
システムが FIPS モードで実行されている場合、pkcs11-provider OpenSSL プロバイダーは正しく動作せず、OpenSSL TLS ツールキットはデフォルトのプロバイダーにフォールバックします。その結果、OpenSSL は PKCS #11 キーをロードできず、このシナリオでは暗号化トークンは機能しません。
回避策: openssl.cnf ファイルの PKCS #11 セクションで pkcs11-module-assume-fips = true パラメーターを設定します。詳細は、システムの pkcs11-provider(7) man ページを参照してください。この設定変更により、pkcs11-provider は FIPS モードで動作するようになります。
10.3. シェルおよびコマンドラインツール
uname コマンドで不明な出力が生成される
uname コマンドを --hardware-platform および --processor フラグを付けて実行すると、不明な出力が表示されます。以前の RHEL バージョンでは、uname -i と uname -p は uname -m のエイリアスでしたが、これらは GNU/Linux ディストリビューション間であっても移植性がありません。
回避策として、-i および -p フラグの代わりに -m フラグを使用できます。
10.4. インフラストラクチャーサービス
IBM Z 上で実行されている仮想マシンで、ホットプラグされたメモリーをデフォルトで利用できない
RHEL には、virtio-mem を使用して仮想マシン (VM) にメモリーをホットプラグするときにメモリーのオンライン化を自動的に設定する、デフォルトの udev ルールが用意されています。しかし、現在の udev ルールは、IBM Z 上で実行される仮想マシンを対象としていません。そのため、virtio-mem を使用して、IBM Z 上で実行されている仮想マシンにメモリーをホットプラグしても、そのメモリーを仮想マシンですぐに使用できません。
この問題を回避するには、仮想マシンで memhp_default_state=online カーネルパラメーターを設定し、仮想マシンを再起動します。以下に例を示します。
# grubby --update-kernel=ALL --args=memhp_default_state=onlineこれにより、ホットプラグされたメモリーが仮想マシンで使用できるようになります。
Nginx が PKCS #11 と TPM をサポートしない
OpenSSL Engines API は RHEL 9 で非推奨となり、RHEL 10 では Nginx から削除されました。現在の OpenSSL プロバイダー API を使用した対応する機能はまだ利用できません。その結果、Nginx HTTP サーバーは、PKCS #11 および Trusted Platform Module (TPM) デバイスを介したハードウェアセキュリティーモジュール (HSM) では動作しません。
MariaDB および MySQL に不適切な Perl データベースドライバーを使用すると、予期しない結果が生じる可能性がある
MariaDB データベースは MySQL のフォークです。時間が経つにつれて、これらのサービスは独立して開発され、完全な互換性がなくなりました。これらの違いは Perl データベースドライバーにも影響します。したがって、Perl アプリケーションで DBD::mysql ドライバーを使用して MariaDB データベースに接続したり、DBD::MariaDB ドライバーを使用して MySQL データベースに接続したりすると、操作によって予期しない結果が生じる可能性があります。たとえば、ドライバーは読み取り操作から誤ったデータを返す可能性があります。このような問題を回避するには、データベースサービスに一致する Perl ドライバーをアプリケーションで使用します。
Red Hat は次のシナリオのみをサポートします。
-
MariaDB データベースと Perl
DBD::MariaDBドライバー -
MySQL データベースと Perl
DBD::mysqlドライバー
RHEL 8 には DBD::mysql ドライバーのみが含まれていることに注意してください。RHEL 9 にアップグレードしてから RHEL 10 にアップグレードする予定があり、アプリケーションで MariaDB データベースを使用している場合は、アップグレード後に perl-DBD-MariaDB パッケージをインストールし、DBD::MariaDB ドライバーを使用するようにアプリケーションを変更します。
詳細は、Red Hat ナレッジベースのソリューション記事 Support of MariaDB/MySQL cross-database connection from Perl db drivers を参照してください。
Jira:RHELDOCS-19770[1]
10.5. ファイルシステムおよびストレージ
再起動後に NVMe デバイス名が一致しない
RHEL 10 では、NVMe ディスクの検出を高速化するために、非同期 NVMe 名前空間スキャンを可能にする新しいカーネル機能が導入されました。非同期スキャンの結果として、/dev/nvmeXnY デバイスファイルは、再起動のたびに異なる名前空間を指す可能性があります。これにより、デバイス名の不一致が発生する可能性があります。現時点では、この問題に対する既知の回避策はありません。
Jira:RHEL-85845[1]
iSCSI 上の論理ボリュームが再起動後にアクティブ化に失敗する
インストール時に、ローカルディスクと iSCSI デバイスにまたがる論理ボリュームが、インストールされるシステムで iSCSI デバイスをアクティブ化できない場合があります。これは、非ルートファイルシステム用の LVM 論理ボリュームが、ローカルディスクと iSCSI デバイスの両方に配置されている場合に発生します。これにより、インストールプログラムによって iSCSI デバイスが node.startup=onboot で設定されなくなります。その結果、ボリュームが起動時に自動的にアクティブ化されないため、システムが再起動後にボリュームにアクセスできなくなります。
回避策: インストール後に論理ボリュームを手動で作成します。または、/var/lib/iscsi/nodes/ ディレクトリー内の関連ファイルで node.startup=automatic を設定して iSCSI ノード設定を更新します。
10.6. 高可用性およびクラスター
ACL ロールは 2 つのルールを持つロケーション制約を参照できない
Red Hat Enterprise Linux 10 では、ロケーション制約において複数のトップレベルルールはサポートされていません。RHEL 9 から RHEL 10 にアップグレードする場合は、設定した ACL ロールが 2 つのルールを含むロケーションの制約を参照しておらず、引き続き有効であることを確認します。
10.7. コンパイラーおよび開発ツール
TBB の新しいバージョンは互換性がない
RHEL 10 には、Threading Building Blocks (TBB) ライブラリーバージョン 2021.11.0 が含まれていますが、これは RHEL の以前のリリースに含まれるバージョンとは互換性がありません。TBB を使用するアプリケーションを RHEL 10 で実行するには、再構築する必要があります。
10.8. Identity Management
BDB から LMDB への移行中にエラーメッセージが表示される
dsctl dblib bdb2mdb コマンドを実行して Berkeley Database (BDB) から Lightning Memory-Mapped Database Manager (LMDB) に移行する際に、レプリケーションを有効にしていないと、出力に次のエラーメッセージが表示されます。
Error: 97 - 1 - 53 - Server is unwilling to perform - [] - Unauthenticated binds are not allowed
エラーメッセージは無視できる点に留意してください。このエラーは、レプリケーションが無効になっているときに、Directory Server が必須ではない replication_changelog.db ファイルを見つけようとするため発生します。このエラーは、BDB から LMDB への移行を阻止するものではありません。
現在、この問題に対する回避策はありません。
Jira:RHELDOCS-19016[1]
FIPS モードの IdM は、双方向のフォレスト間信頼を確立するための NTLMSSP プロトコルの使用をサポートしない
FIPS モードが有効な Active Directory (AD) と Identity Management (IdM) との間で双方向のフォレスト間の信頼を確立すると、New Technology LAN Manager Security Support Provider (NTLMSSP) 認証が FIPS に準拠していないため、失敗します。FIPS モードの IdM は、認証の試行時に AD ドメインコントローラーが使用する RC4 NTLM ハッシュを受け入れません。
Jira:RHEL-12154[1]
EMS 強制により、FIPS モードで RHEL 10 IdM サーバーを使用した RHEL 7 IdM クライアントのインストールが失敗する
FIPS 対応の RHEL 10 システムでは、TLS 1.2 接続に TLS Extended Master Secret (EMS) エクステンション (RFC 7627) が必須になりました。これは FIPS-140-3 要件に準拠しています。ただし、RHEL 7.9 以前で利用可能な openssl バージョンは EMS をサポートしていません。その結果、RHEL 10 で実行されている FIPS 対応の Identity Management (IdM) サーバーを使用して RHEL 7 IdM クライアントをインストールすると失敗します。
回避策: IdM クライアントをインストールする前に、ホストを RHEL 8 以降にアップグレードします。
Jira:RHELDOCS-19015[1]
SSSD が実行する adcli 経由のホストキータブの自動更新が失敗する
SSSD-AD の直接統合では、SSSD はマシンアカウントのパスワードが設定された有効期間を経過しているかを毎日確認し、必要に応じて更新を試みます。設定された有効期間は ad_maximum_machine_account_password_age 値によって決まり、デフォルトは 30 日です。値が 0 の場合、更新を試行しません。
しかし、現在問題が発生しており、マシンアカウントパスワードの自動更新が失敗します。パスワードの有効期限が切れると、ホストは AD ドメインにアクセスできなくなる可能性があります。
回避策: パスワードを手動で、または別の方法で更新します。SSSD の自動更新に依存しないでください。
Jira:RHELDOCS-19172[1]
ldapmodify は cn=config 内のどの属性からも特定の値を 1 つも削除しない
現在、cn=config 内の任意の属性から値を削除しようとすると、その値は属性内に残り、完全に削除するにはサーバーの再起動が必要になる場合があります。
回避策: 値を指定せずに変更操作を実行して、すべての値を含む属性全体を削除します。次に、必要な値を再度追加します。または、次の dsconf コマンドを使用して、サーバーを再起動せずに特定の値を削除します。
# dsconf <instance_name> config delete <attribute_name>=<undesired_value>10.9. SSSD
グループのサイズが 1500 人を超えると、SSSD が取得するメンバーリストが不完全なものになる
SSSD と Active Directory の統合時に、グループサイズが 1500 メンバーを超えると、SSSD が取得するメンバーリストが不完全なものになります。この問題は、1 回のクエリーで取得できるメンバーの数を制限する Active Directory の MaxValRange ポリシーが、デフォルトで 1500 に設定されているために発生します。
回避策: より大きなグループサイズに対応するには、Active Directory の MaxValRange 設定を変更します。
Jira:RHELDOCS-19603[1]
10.10. デスクトップ
Plymouth がカーネルログのリングバッファーのログエントリーを重複して出力する
Red Hat Enterprise Linux のグラフィカルなブートエクスペリエンスを提供するアプリケーションである Plymouth には、ブート中に設定されたすべてのコンソールにログメッセージを出力する "コンソールシンジケーション" 機能があります。カーネルは、最後に設定されたコンソールにのみログメッセージをネイティブに出力できます。デフォルト設定では、カーネルはミュートされています。しかし、カーネルコマンドラインから quiet 引数を削除すると、カーネルのミュートが解除され、Plymouth とカーネルの両方がブートログメッセージを最後に設定されたコンソールに送信するようになります。その結果、最後に設定されたコンソール (たとえば ttyS0) でログメッセージが重複する可能性があります。さらに、Plymouth は、起動時およびシャットダウン時に、カーネルログのリングバッファーの全内容を再生します。これにより、これらのログエントリーがさらに重複します。この問題を回避するには、Plymouth を無効にしてください。
Jira:RHEL-60198[1]
Mutter を使用すると、仮想マシン内で標準マウスカーソルがオフセットされる
Mutter 合成ウィンドウマネージャーの仮想マシン設定内で標準マウスを使用すると、物理マウスカーソルと仮想環境内のポインターとの間にオフセットが生じることがあります。実際のポインターは仮想環境では表示されない場合もあります。
回避策: 正確な入力が必要な場合は、仮想マシン設定でタブレットを入力デバイスとして使用します。
10.11. グラフィックインフラストラクチャー
Mutter を使用すると、仮想マシン内で標準マウスカーソルがオフセットされる
Mutter 合成ウィンドウマネージャーの仮想マシン設定内で標準マウスを使用すると、物理マウスカーソルと仮想環境内のポインターとの間にオフセットが生じることがあります。実際のポインターは仮想環境では表示されない場合もあります。
回避策: 正確な入力が必要な場合は、仮想マシン設定でタブレットを入力デバイスとして使用します。
10.12. Web コンソール
RHEL Web コンソールの VNC コンソールが ARM64 で正しく動作しない
現在、ARM64 アーキテクチャー上の RHEL Web コンソールに仮想マシン (VM) をインポートし、VNC コンソールでその仮想マシンと対話しようとすると、コンソールが入力に反応しません。
さらに、ARM64 アーキテクチャーの Web コンソールで仮想マシンを作成すると、VNC コンソールに入力の最後の行が表示されません。
Jira:RHEL-31993[1]
10.13. Red Hat Enterprise Linux システムロール
Ansible rpm_key モジュールが OpenPGP v6 RPM-GPG-KEY-redhat-release 鍵に対して正常に動作しない
RHEL 10.1 が使用する Red Hat RPM 署名鍵は、耐量子計算機公開鍵で拡張されており、OpenPGP v6 形式で /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release ファイルに保存されています。Ansible rpm_key モジュールは、耐量子計算機鍵と OpenPGP v6 を処理できない GnuPG ツールを使用します。そのため、このモジュールはこの鍵に対して正常に動作しません。
PostgreSQL、MariaDB、MySQL がイメージモードの RHEL で動作しない
PostgreSQL、MariaDB、および MySQL の各データベース管理システムは、ユーザーと作業ディレクトリーの生成に sysusers.d ディレクトリーを使用しません。MariaDB と MySQL は、tmpfiles.d ディレクトリーも使用しません。その結果、作業ディレクトリーが見つからないため、データベースユーザーが見つからなくなり、データベースシステムを初期化できなくなる可能性があります。現在、この問題に対する回避策はありません。
Jira:RHELDOCS-21374[1]
ansible-core は依存関係として sshpass をインストールしない
ansible-core パッケージは、依存関係として sshpass パッケージをインストールしません。したがって、Ansible を使用して SSH パスワードで SSH 経由でシステムを管理できません。
回避策: コントロールノードで、ansible-core をインストールした後、sshpass を手動でインストールします。その結果、上記のシナリオで Ansible を使用できるようになります。
Jira:RHEL-86829[1]
10.14. 仮想化
ストレージエラーが原因で Windows 仮想マシンが応答しなくなる可能性がある
Windows ゲストオペレーティングシステムを使用する仮想マシン (VM) では、I/O 負荷が高いときにシステムが応答しなくなることがあります。このような場合、システムは viostor Reset to device, \Device\RaidPort3, was issued エラーをログに記録します。現在、この問題に対する回避策はありません。
Jira:RHEL-1609[1]
特定の PCI デバイスを搭載した Windows 10 仮想マシンが起動時に応答しなくなることがある
現在、Windows 10 ゲストオペレーティングシステムを使用する仮想マシン (VM) は、ローカルディスクバックエンドを備えた virtio-win-scsi PCI デバイスが仮想マシンにアタッチされている場合、起動中に応答しなくなる可能性があります。
回避策: multi_queue オプションを有効にして仮想マシンを起動します。
Jira:RHEL-1084[1]
virtiofs を rsync および du コマンドで使用すると、too many open files というエラーが発生することがある
virtiofsd デーモンは、ゲストがキャッシュを無効にするまでファイル記述子を開いたままにします。多数のファイルを追跡する場合、ホスト上の virtiofsd がオープンファイル数の上限を超える可能性があります。
そのため、virtiofs を使用してゲストと大量のファイルを共有する場合、共有ディレクトリーで rsync コマンドと du コマンドを使用すると、too many open files エラーが発生する可能性があります。
この問題を回避するには、ゲストの XML 設定で virtiofsd のオープンファイル数の上限を引き上げます。以下に例を示します。
<filesystem type='mount' accessmode='passthrough'>
...
<binary path='/usr/libexec/virtiofsd' xattr='on'>
<openfiles max='2000000'/>
</binary>
...
</filesystem>
この例では、<openfiles max> 属性は 200 万ファイルに設定されています。
詳細は、KCS ソリューション Virtiofs 'too many open files' errors with rsync and du commands を参照してください。
Jira:RHEL-99895[1]
SEV-SNP が有効な仮想マシンで arch-capabilities=on を使用すると起動が失敗する
SEV-SNP が有効な仮想マシン (VM) で CPU フラグ arch-capabilities=on を使用すると、起動が失敗します。
この問題を回避するには、仮想マシン設定の CPU セクションで arch-capabilities 機能を無効にします。
<cpu mode='host-passthrough' check='none'>
<feature name='arch-capabilities' policy='disable'/>
</cpu>Jira:RHEL-100313[1]
VirtIO-Win バンドルのインストールはキャンセルできない
現在、Windows ゲストオペレーティングシステムで VirtIO-Win インストーラーバンドルから virtio-win ドライバーのインストールを開始すると、インストール中に Cancel ボタンをクリックしてもインストールが正しく停止されません。インストーラーウィザードインターフェイスに "Setup Failed" という画面が表示されますが、ドライバーはインストールされ、ゲストの IP アドレスはリセットされます。
Jira:RHEL-53962、Jira:RHEL-53965
大量の起動可能なデータディスクを持つ仮想マシンは起動に失敗する可能性がある
大量の起動可能なデータディスクを持つ仮想マシン (VM) を起動しようとすると、仮想マシンは Something has gone seriously wrong: import_mok_state() failed: Volume Full エラーを表示して、起動に失敗する可能性があります。
回避策: 起動可能なデータディスクの数を減らし、システムディスクを 1 つ使用します。システムディスクがブート順序の最初になるようにするには、XML 設定でシステムディスクのデバイス定義に boot order=1 を追加します。以下に例を示します。
<disk type='file' device='disk'>
<driver name='qemu' type='qcow2'/>
<source file='/path/to/disk.qcow2'/>
<target dev='vda' bus='virtio'/>
<boot order='1'/>
</disk>システムディスクのみに起動順序を設定します。
大容量メモリーを搭載した仮想マシンは、AMD Genoa CPU を搭載した SEV-SNP ホストでは起動できない
現在、第 4 世代 AMD EPYC プロセッサー (Genoa とも呼ばれる) を使用し、AMD Secure Encrypted Virtualization with Secure Nested Paging (SEV-SNP) 機能が有効になっているホストでは、仮想マシン (VM) を起動できません。起動する代わりに、仮想マシンでカーネルパニックが発生します。
Jira:RHEL-32892[1]
virtio バルーンドライバーは、Windows 10 および Windows 11 仮想マシンでは動作しないことがある
特定の状況下では、Windows 10 または Windows 11 ゲストオペレーティングシステムを使用する仮想マシン (VM) 上で virtio-balloon ドライバーが正しく動作しません。その結果、そのような仮想マシンは割り当てられたメモリーを効率的に使用できない可能性があります。
メモリーバルーンデバイスが設定された Windows 11 仮想マシンが再起動中に予期せず終了することがある
現在、Windows 11 ゲストオペレーティングシステムとメモリーバルーンデバイスを使用する仮想マシン (VM) の再起動が、DRIVER POWER STAT FAILURE ブルースクリーンエラーで失敗する場合があります。
Jira:RHEL-935[1]
VBS と IOMMU デバイスを搭載した Windows 仮想マシンが起動に失敗する
Virtualization Based Security (VBS) が有効で、Input-Output Memory Management Unit (IOMMU) デバイスが qemu-kvm ユーティリティーを使用して Windows 仮想マシンを起動すると、起動シーケンスで起動画面のみが表示され、起動プロセスが不完全になります。
回避策: 仮想マシンドメイン XML が以下のように設定されていることを確認します。
<features>
<ioapic driver='qemu'/>
</features>
<devices>
<iommu model='intel'>
<driver intremap='on' eim='off' aw_bits='48'/>
<alias name='iommu0'/>
</iommu>
<memballoon model='virtio'>
<alias name='balloon0'/>
<address type='pci' domain='0x0000' bus='0x03' slot='0x00' function='0x0'/>
<driver iommu='on' ats='on'/>
</memballoon>
</devices>そうしないと、Windows 仮想マシンは起動できません。
Jira:RHEL-45585[1]
ハイパーバイザーの起動タイプが auto に設定されている Sapphire Rapids CPU 上で実行されている Windows 仮想マシンは、再起動時に起動に失敗する可能性がある
Sapphire Rapids CPU 上で実行されている Windows 仮想マシン (VM) でハイパーバイザーの起動タイプを auto に設定すると、仮想マシンの再起動時に起動に失敗する可能性があります。たとえば、bcdedit /set hypervisorlaunchtype Auto コマンドを使用して、ハイパーバイザーの起動タイプを auto に設定できます。
回避策: Windows 仮想マシンでハイパーバイザーの起動タイプを auto に設定しないでください。
Jira:RHEL-67699[1]
VBS を使用して Windows ゲストに仮想 CPU とメモリーをホットプラグできない
現在、Windows Virtualization-based Security (VBS) は、ホットプラグ CPU およびメモリーリソースと互換性がありません。その結果、VBS が有効になっている実行中の Windows 仮想マシン (VM) にメモリーまたは仮想 CPU をアタッチしようとしても、これらのリソースはゲストシステムを再起動した後にのみ仮想マシンに追加されます。
Jira:RHEL-66229、Jira:RHELDOCS-19066
5 レベルページマージングを使用し、かつ大量のメモリーを搭載した仮想マシンが起動に失敗することがある
host-phys-bits-limit パラメーターを 49 以上に設定すると、次の構成の仮想マシンが起動に失敗します。
- 仮想マシンに割り当てられたメモリーが 1TB 以上ある
- 仮想マシンが 5 レベルページマージング機能を使用している
- ホストが自身のファームウェアで System Management Mode (SMM) を使用している
仮想マシンを起動しようとすると、ERROR: Out of aligned pages というエラーが表示されて失敗します。
回避策: host-phys-bits-limit パラメーターを 48 以下に設定します。
Nutanix AHV で LVM を使用する RHEL 9 仮想マシンのクローンを作成または復元すると、ルート以外のパーティションが表示されなくなる
Nutanix AHV ハイパーバイザーをホストとする仮想マシン (VM) で RHEL 9 ゲストオペレーティングシステムを実行する場合、スナップショットから VM を復元するか VM をクローンすると、ゲストが論理ボリューム管理 (LVM) を使用している場合は VM 内の非ルートパーティションを消失させることがあります。これにより、以下の問題が発生します。
- スナップショットから仮想マシンを復元すると、仮想マシンは起動できず、緊急モードに入ります。
- クローンを作成して作成した仮想マシンは起動できず、緊急モードに入ります。
これらの問題を回避するには、仮想マシンの緊急モードで以下を行います。
LVM システムデバイスファイルを削除します。
# rm /etc/lvm/devices/system.devicesLVM デバイス設定を再作成します。
# vgimportdevices -a- 仮想マシンを再起動します。
これにより、クローン化または復元された VM を正しく起動できます。
または、問題が発生しないようにするには、VM のクローンを作成する前、または VM のスナップショットを作成する前に、次の手順を実行します。
-
/etc/lvm/lvm.confファイル内のuse_devicesfile = 0行のコメントを解除します。 initramfs を再生成します。これを行うには、仮想マシンで次の手順を実行します。
<kernelVersion>は、再構築するカーネルの完全なバージョンに置き換えます。現在の
initramfs設定をバックアップします。# cp /boot/initramfs-<kernelVersion>.img /boot/initramfs-<kernelVersion>.img.bakinitramfsをビルドします。# dracut -f /boot/initramfs-<kernelVersion>.img <kernelVersion>
- 仮想マシンを再起動して、正常に起動したことを確認します。
Jira:RHELPLAN-114103[1]
10.15. クラウド環境の RHEL
RDMA デバイスは現在 vSphere では動作しない
VMware vSphere プラットフォームで RHEL 10 インスタンスを使用する場合、vmw_pvrdma モジュールは現在正しくインストールされません。その結果、VMware Paravirtual Remote Direct Memory Access (PVRDMA) デバイスは、影響を受けるインスタンスでは動作しなくなります。
Jira:RHEL-41133[1]
cloud-init ネットワーク設定で RHEL 9.6 から RHEL 10.0 にアップグレードすると leapp アップグレードが失敗する
cloud-init のデフォルト設定を使用し、sysconfig をデフォルトのネットワーク設定ディレクトリーとして RHEL 9.6 をデプロイする場合、sysconfig 設定ファイルは RHEL 10.0 の ifcfg レガシー形式をサポートしません。そのため、ifcfg-<enp1s0> などの従来のネットワーク設定ファイルの場合、RHEL 9.6 から RHEL 10.0 にアップグレードすると leapp アップグレードが失敗します。
回避策: sysconfig 設定ファイルを NetworkManager ネイティブの keyfile 形式に変換します。
接続を変更します。
# nmcli connection modify "System <enp1s0>" connection.id "cloud-init <enp1s0>"接続を移行します。
# nmcli connection migrate /etc/sysconfig/network-scripts/ifcfg-<enp1s0>接続プロファイルを移動します。
# sudo mv /etc/NetworkManager/system-connections/"cloud-init <enp1s0>.nmconnection" /etc/NetworkManager/system-connections/cloud-init-<enp1s0>.nmconnectionネットワーク接続設定をリロードします。
# nmcli conn reload
RHEL 9.6 から RHEL 10.0 への leapp アップグレードは、更新された設定で機能するようになります。
Jira:RHEL-82209[1]
VMware ESXi 上の RHEL 9.6 ゲストを RHEL 10.0 にアップグレードすると、cloud-init がネットワーク設定を書き換える
現在、VMware ESXi ハイパーバイザー上の RHEL ゲストを RHEL 9.6 から RHEL 10.0 にアップグレードすると、cloud-init ツールは VMware データソースを検出できず、その設定をキャッシュから復元できません。その結果、cloud-init は None データソースに戻り、ゲストのネットワーク設定を書き換えます。
回避策: アップグレードプロセス中にゲストを再起動する前に、/etc/cloud/cloud.cfg ファイルから disable_vmware_customization フラグを削除します。そうすることで、アップグレードされたゲストは以前のネットワーク設定を保持します。
Jira:RHEL-82210[1]
Azure Confidential 仮想マシンで kdump の完了に失敗する
Azure Confidential VM インスタンスの Red Hat Enterprise Linux 仮想マシンでカーネルクラッシュが発生した場合 (この場合は DCv5 と ECv5 シリーズ)、kdump プロセスが完了せず、仮想マシンが応答しなくなることがあります。その結果、強制的な再起動後に、vmcore-incomplete ファイルが作成されます。
Jira:RHEL-75576[1]
BIOS または UEFI でサポートされている Hyper-V Windows Server 2016 仮想マシンは、ホストが AMD EPYC CPU プロセッサーを使用している場合、起動に失敗する
Hyper-V が有効化されている設定では、Hyper-V Windows Server 2016 仮想マシンは AMD EPYC CPU ホスト上で起動できません。
回避策: 次のログメッセージを確認します。
kvm: Booting SMP Windows KVM VM with !XSAVES && XSAVEC.
If it fails to boot try disabling XSAVEC in the VM config.
また、Hyper-V Windows Server 2016 仮想マシンを起動するために、xsavec=off の -cpu cmdline への追加を試みます。
Jira:RHEL-38957[1]
10.16. コンテナー
FIPS 対応ホストで FIPS bootc イメージの作成が失敗する
FIPS モードを有効にした Podman を使用してホスト上にディスクイメージを構築すると、update-crypto-policies パッケージが原因で終了コード 3 で失敗します。
# Enable the FIPS crypto policy
# crypto-policies-scripts is not installed by default in RHEL-10
RUN dnf install -y crypto-policies-scripts && update-crypto-policies --no-reload --set FIPS回避策: FIPS モードを無効にして bootc イメージをビルドします。
10.17. RHEL Lightspeed
コマンドラインアシスタントが Satellite サーバーの証明書を検証できない
コマンドラインアシスタントが、Red Hat Satellite サーバーの Satellite 認証局 (CA) 証明書を認識しません。Satellite CA 証明書は、Satellite に登録済みの、Satellite によって管理されるホストの証明書を発行および署名するために使用されます。そのため、コマンドラインアシスタントは Satellite サーバーへのセキュアな接続を確立できず、正しく機能しません。
回避策: Satellite CA 証明書をシステムのトラストストアにコピーし、CA 信頼データベースを更新します。
$ sudo cp /etc/rhsm/ca/katello /etc/pki/ca-trust/source/anchors/*
$ sudo update-ca-trustJira:RHELDOCS-21325[1]
コマンドラインアシスタントの設定ファイルの変更がすぐに適用されない
etc/xdg/command-line-assistant/config.toml 設定ファイルに変更を加えても、変更がすぐに適用されず、コマンドラインアシスタントデーモンが変更を認識するまでに約 30 - 60 秒かかります。コマンドラインアシスタントには、reload 機能もありません。
回避策: 次の手順に従ってください。
-
config.toml設定ファイルに必要な変更を加えます。 - 以下のコマンドを実行します。
# systemctl restart cladJira:RHELDOCS-19734[1]
10.18. 以前のリリースで確認された既知の問題
ここでは、Red Hat Enterprise Linux 10.1 の既知の問題を説明します。
10.18.1. ネットワーク
セッションキーの更新に失敗すると、接続が切断される
Kernel Transport Layer Security (kTLS) プロトコルは、対称暗号で使用されるセッションキーの更新をサポートしていません。その結果、ユーザーはキーを更新することができず、接続が切断されてしまいます。
回避策: kTLS を無効にします。その結果、この回避策により、セッションキーを正常に更新できます。
Jira:RHELDOCS-20686[1]
kTLS は、TLS 1.3 の NIC へのオフロードをサポートしない
Kernel Transport Layer Security (kTLS) は、TLS 1.3 の NIC へのオフロードをサポートしていません。そのため、NIC が TLS オフロードをサポートしていても、TLS 1.3 によるソフトウェア暗号化が使用されます。
回避策: オフロードが必要な場合は TLS 1.3 を無効にします。その結果、TLS 1.2 のみをオフロードすることができます。TLS 1.3 が使用されている場合、TLS 1.3 をオフロードすることができないため、パフォーマンスが低下します。
Jira:RHELDOCS-20687[1]
10.18.2. 仮想化
Extended Master Secret TLS エクステンションが FIPS 対応システムに適用されるようになりました。
RHSA-2023:3722 アドバイザリーのリリースにより、FIPS 対応 RHEL 9 システム上の TLS 1.2 接続に、TLS Extended Master Secret (EMS) エクステンション (RFC 7627) エクステンションが必須になりました。これは FIPS-140-3 要件に準拠しています。TLS 1.3 は影響を受けません。
EMS または TLS 1.3 をサポートしていないレガシークライアントは、RHEL 9 および 10 で稼働する FIPS サーバーに接続できなくなりました。同様に、FIPS モードの RHEL 9 および 10 クライアントは、EMS なしでは TLS 1.2 のみをサポートするサーバーに接続できません。これは実際には、これらのクライアントが RHEL 6、RHEL 7、および RHEL 以外のレガシーオペレーティングシステム上のサーバーに接続できないことを意味します。これは、OpenSSL のレガシー 1.0.x バージョンが EMS または TLS 1.3 をサポートしていないためです。
さらに、ハイパーバイザーが EMS なしで TLS 1.2 を使用する場合は、FIPS 対応 RHEL クライアントから VMWare ESX などのハイパーバイザーへの接続が Provider routines::ems not enabled エラーで失敗するようになりました。この問題を回避するには、EMS 拡張で TLS 1.3 または TLS 1.2 をサポートするようにハイパーバイザーを更新します。VMWare vSphere の場合、これはバージョン 8.0 以降を意味します。
詳細は、TLS Extension "Extended Master Secret" enforced with Red Hat Enterprise Linux 9.2 and later を参照してください。
Jira:RHEL-13340[1]
第11章 修正された問題
このバージョンでは、重大な影響を与える以下の問題とその他の問題が修正されています。
11.1. インストーラーおよびイメージの作成
VDO 論理ボリュームが存在する場合にインストールが失敗しなくなりました
この更新前は、ユーザーが dm_vdo カーネルモジュールのないシステムで既存の Logical Volume Manager Virtual Data Optimizer (LVM VDO) ボリュームを削除しようとすると、RHEL のインストールが失敗していました。この更新により、VDO がサポートされていないシステムで LVM VDO ボリュームを削除しても、インストールが成功するようになりました。
Jira:RHEL-84685[1]
インストールプログラムが強化され、s390x 上でコンテナーベースのデプロイが可能になりました
RHEL インストールプログラムが、ostreecontainer キックスタートコマンドを使用して、s390x アーキテクチャー上でイメージモードのブート可能なコンテナーをデプロイできるようになりました。この機能拡張により、以前の制限が解消され、サポートされているアーキテクチャー間で一貫したデプロイ方法が確保されます。ユーザーは、コンテナーベースのワークフローを使用して、s390x システムへのインストールを自動化できるようになりました。
インストールプログラムが BOOTIF ブート引数を適用するようになりました
以前は、RHEL インストールプログラムは BOOTIF=<MAC> ブート引数を無視し、使用可能なすべてのネットワークインターフェイスをアクティブ化していました。この修正により、インストールプログラムは BOOTIF 引数を適切に処理し、インストールプロセス中に指定されたネットワークデバイスだけをアクティブ化するようになりました。
Jira:RHEL-69400[1]
11.2. セキュリティー
RPM データベースを繰り返し更新しても、fapolicyd が原因でデータベースがクラッシュしなくなりました
この更新前は、fapolicyd が enforcing モードのときに RPM データベースを繰り返し更新すると、バスエラー (SIGBUS) が発生し、RPM データベースが予期せず終了していました。このリリースでは、RPM データベースの更新に対する fapolicyd の SIGBUS の保護が強化されました。その結果、fapolicyd を有効にして RPM データベースを繰り返し更新しても、データベースがクラッシュしなくなりました。
Jira:RHEL-94540[1]
SSH 接続の失敗時に詳細なヘルプメッセージが表示されなくなりました
この更新前は、SSH 接続が失敗すると、一般的な SSH エラーと Red Hat ヘルプへのリンクを含むメッセージが表示されていました。その結果、エラー出力のヘルプメッセージにより、ユーザースクリプトや自動化が動作しなくなっていました。この更新により、SSH がログレベル debug1 以上で実行された場合にのみ、ヘルプメッセージが表示されるようになりました。その結果、エラー出力にデフォルトで予期しないメッセージが含まれなくなりました。
fapolicyd-cli --file add が、通常以外のファイルの処理時に失敗しなくなりました
この更新前は、fapolicyd-cli --file add コマンドを実行しても、ソケットなどの通常以外のファイルを含むディレクトリーを、信頼データベースに追加できませんでした。この更新により、問題が解決され、前述の状況で fapolicyd-cli --file add が失敗しなくなりました。
GnuTLS が標準の ML-DSA 形式をサポートするようになりました
RHEL 10.0 では、GnuTLS ツールは ML-DSA 秘密鍵に非標準のシリアライゼーション形式を使用していました。その結果、certtool -p コマンドにより、IETF 準拠の実装と互換性のない ML-DSA 秘密鍵がエクスポートされていました。同様に、他のソフトウェアによってエクスポートされた鍵が GnuTLS では機能しませんでした。この更新により、GnuTLS は標準の ML-DSA 形式をサポートし、相互運用可能な秘密鍵を生成するようになりました。
OpenSSL が ML-KEM および ML-DSA の秘密鍵を標準形式で保存するようになりました
RHEL 10.0 では、OpenSSL 向けの Open Quantum Safe プロバイダー (oqsprovider) が、IETF LAMPS ワークグループによって提案されたどのファイル形式にも準拠しない形式で秘密鍵を生成していました。その結果、IETF 標準に準拠する他のアプリケーションで鍵ファイルを読み取れず、インポートのためにシード形式で鍵を提供する必要があるアプリケーションで鍵ファイルを処理できませんでした。この更新により、OpenSSL が oqsprovider を使用しなくなり、耐量子計算機暗号 (PQC) 実装によって標準形式の鍵が生成されるようになりました。その結果、シークレットの長期保存に OpenSSL ML-KEM 鍵と ML-DSA 鍵を使用できるようになりました。
11.3. ソフトウェア管理
DNF Automatic が、EPEL リポジトリーが有効な場合に正しい RHEL マイナーバージョンを使用するようになりました
この更新前は、Extra Packages for Enterprise Linux (EPEL) リポジトリーを有効にした状態で DNF Automatic ツールを使用すると、ツールによって EPEL の metalink URL が間違ったアドレスに展開されていました。このため、ツールは最後にリリースされたマイナーバージョンではなく、まだ開発中の RHEL 10 のマイナーバージョンのパッケージをダウンロードしていました。この更新により、dnf.cli.cli.Cli._read_conf_file() メソッドでの releasever_major および releasever_minor 変数の更新が修正されました。その結果、DNF Automatic がマイナーリリース番号を正しく検出し、RHEL メジャーおよびマイナーリリースバージョンに一致する EPEL リポジトリーをダウンロードするようになりました。
11.4. シェルおよびコマンドラインツール
イメージモードのデプロイ環境で、/var/lib/tftpboot ディレクトリーがデフォルトで作成されます
以前は、イメージモードのデプロイ環境で、tftp-server パッケージをインストールしても /var/lib/tftpboot ディレクトリーが作成されませんでした。これは、既存のイメージモードのデプロイ環境にパッケージを追加した際に、/var ディレクトリーへの変更が適用されないために発生していました。
この更新により、すべてのイメージモードのデプロイ環境で /var/lib/tftpboot ディレクトリーが自動的に作成されるようになりました。
Jira:RHEL-79983[1]
IBM Z 上の ReaR の IPL 出力方式が、RHEL 9 のファイル命名規則に従うようになりました
この更新前は、Relax-and-Recover (ReaR) の非推奨の IPL 出力方式を IBM Z で使用すると、生成されるリカバリーカーネルの名前が kernel-$RAMDISK_SUFFIX になり、ramdisk イメージの名前が initramfs-$RAMDISK_SUFFIX.img になっていました。この命名規則は、それぞれ vmlinuz-$kernel_version と initrd.cgz を使用する RHEL 9 とは異なります。その結果、RHEL 9 から RHEL 10 にアップグレードした後、ファイル名が変更されるため、これらのリカバリーイメージの処理に使用するカスタムスクリプトを手動で調整する必要がありました。
この更新により、IBM Z 上の非推奨の IPL 出力方式で、RHEL 9 のファイル命名動作が復元されました。これにより、以前の RHEL メジャーリリースとの下位互換性が維持されます。カーネルイメージの名前は vmlinuz-$kernel_version になり、ramdisk イメージの名前は initrd.cgz になります。
その結果、カーネルイメージと initramfs イメージの命名規則が、RHEL 9 と一貫したものになりました。これにより、RHEL 9 から RHEL 10.1 にアップグレードするときにスクリプトを調整する必要がなくなりました。これは、RHEL 10.0 からの動作の変更です。非推奨の IPL 方式の代わりに、RAMDISK 出力方式を使用してください。RAMDISK は、kernel-$RAMDISK_SUFFIX および initramfs-$RAMDISK_SUFFIX.img という命名規則を使用しており、サポートされているすべてのアーキテクチャーで統一されているためです。
Jira:RHEL-102563[1]
11.5. インフラストラクチャーサービス
chronyc reload sources コマンドが、ホスト名で指定されたソースを正しく処理できるようになりました
以前は、chronyd の chronyc reload sources コマンドが、chrony.conf ファイルで指定された sourcedir ディレクトリーからソースを誤って再ロードしていました。この動作は、1 つのホスト名が複数の IP アドレスに解決される場合に chronyd が重複したソースを登録する原因となっていました。その結果、ソースの数が予期せず増加していました。
この更新により、chronyc reload sources コマンドがホスト名で指定されたソースを正しく処理するようになりました。その結果、ソースを再ロードしても、使用されるソースの数が変わらなくなりました。
11.6. ネットワーク
/etc/iproute2/ 内のカスタム iproute2 設定が期待どおりに動作します
以前は、RHEL 10.0 に更新すると、iproute2 パッケージによってデフォルトの設定が /usr/share/iproute2/ ディレクトリーに保存されていました。また、/etc/iproute2/ にカスタム設定がある場合、更新時に関連するファイルの名前が変更され、.rpmsave 接尾辞が追加されていました。その結果、カスタム設定が適用されていませんでした。RHEL 10.1 バージョンの iproute2 パッケージに更新すると、パッケージ内のインストールスクリプトがカスタム設定ファイルの名前を変更しなくなります。また、/etc/iproute2/ に .rpmsave 接尾辞を持つファイルが検出された場合、スクリプトがこの接尾辞を削除します。その結果、カスタム設定が期待どおりに再び機能するようになりました。
iproute2 のデフォルト設定は /usr/share/iproute2/ に残ることに注意してください。
Jira:RHEL-99163[1]
実行時に SR-IOV VF の数を減らしてもカーネルがパニックを起こさなくなりました
以前のリリースでは、次の条件がすべて当てはまる場合、Linux カーネルがパニックを起こすことがありました。
- ホストの Input-Output Memory Management Unit (IOMMU) が有効化されている。
- ネットワークドライバーがページプールを使用している。
- このドライバーを使用するネットワークインターフェイスの Single Root I/O Virtualization (SR-IOV) Virtual Function (VF) の数を減らした。
この更新により、カーネルが、ページプールに属している DMA マッピングされたメモリーページを追跡するようになりました。VF の削除などによりページプールが破棄されると、メモリーページの DMA マッピングが解除されます。これにより、VF が削除された後にメモリーページをアンマップしようとする試みが防止されます。その結果、実行時に SR-IOV VF の数を減らしてもカーネルがパニックを起こさなくなりました。
Jira:RHEL-68401[1]
NAT エンジンが戻り方向のアドレス競合をチェックするようになりました
この更新前は、ネットワークアドレス変換 (NAT) エンジンが戻り方向のアドレス競合をチェックしていませんでした。これにより、新しい着信接続が既存の接続と同じ送信元アドレスと送信元ポートを使用する場合に、接続障害が発生していました。このリリースでは、NAT エンジンが戻り方向をチェックして競合を検出し、新しい接続の送信元ポートが新しい使用可能なポート番号に内部的に再マッピングされます。そのため、接続が期待どおりに処理されます。
Jira:RHEL-99656[1]
nft_fib 式が、VRF ドメインの IPv4 と IPv6 の両方に対して一貫した結果を返すようになりました
この更新前は、デバイスが Virtual Routing and Forwarding (VRF) ドメインに含まれている場合、Netfilter の "nft_fib" 式が local ではなく unicast を返していました。さらに、fib daddr . iif 式が、VRF インターフェイスに到達する IPv4 パケットと IPv6 パケットに対して異なる動作をしました。着信 IPv6 パケットの場合は、基盤となる物理インターフェイスの名前が誤って返されていました。一方、IPv4 パケットの場合は、VRF デバイス自体の名前が正しく返されていました。この更新により、デバイスが VRF ドメインに含まれている場合に、nft_fib 式が IPv4 と IPv6 の両方に対して一貫した結果を提供するようになりました。
Jira:RHEL-88574[1]
wpa_supplicant の PKCS #11 を使用したネットワーク認証方式が修正されました
RHEL 10 で、OpenSSL エンジン API など、Federal Information Processing Standards (FIPS) と互換性のないエンジンが削除されました。その結果、削除されたエンジンに依存していた wpa_supplicant サービスが、PKCS #11 URI 形式で保存された X.509 証明書と鍵をロードできなくなりました。これにより、EAP-TLS 認証方法がすべて阻止され、PKCS #11 を使用するバリアントが適切なネットワークに接続できなくなりました。この問題を解決するために、wpa_supplicant が pkcs11-provider パッケージに依存するようになり、これと同じ名前のライブラリーを使用して PKCS #11 ストレージから X.509 証明書と鍵をロードするようになりました。そのため、PKCS #11 を使用したネットワーク認証方法が期待どおりに機能します。
VMware vCenter が、実行中の RHEL 仮想マシンから SATA ディスクを正しく削除するようになりました
VMware vCenter インターフェイスを使用して、VMware ESXi ハイパーバイザー上で実行中の RHEL 10 ゲストから SATA ディスクを削除しても、以前はディスクが完全に削除されませんでした。ディスクは機能しなくなり、vCenter インターフェイスではディスクがゲストから消えましたが、SCSI インターフェイスではディスクがゲストに接続されていることが引き続き検出されていました。 この更新により、問題が修正され、前述の状況で SATA ディスクが完全に削除されるようになりました。
Jira:RHEL-79913[1]
11.7. カーネル
パフォーマンスの低下を防ぐために、stalld スケジューリングポリシーのリグレッションを修正しました
この更新前は、stalld スケジューリングポリシーの変更が原因で、Node Tuning Operator の CI が正常に動作していませんでした。この変更により、サービスは起動後に SCHED_FIFO ではなく SCHED_OTHER に戻るようになっていました。その結果、リアルタイムワークロードのパフォーマンスが低下し、PR をマージできないことがありました。この更新により、systemd ユニットファイルで stalld の優先度が 10 に設定され、stalld が SCHED_FIFO で確実に動作するようになりました。これにより、期待される動作が復元され、リアルタイムワークロードのパフォーマンスが向上します。
osnoise/cpus に、コンマ区切りの長い CPU のリストを設定できるようになりました
この更新前は、無効な引数エラーが発生するため、osnoise/cpus にコンマ区切りの長い CPU リストを設定することができませんでした。この制限は、レイテンシーのデバッグとトラブルシューティングに影響を与えていました。このリリースでは、RTLA レイテンシーのデバッグとトラブルシューティングを強化するために、osnoise/cpus にコンマ区切りの長い CPU リストを入力できるようになりました。
Jira:RHEL-86520[1]
rtla timerlat が、100 個以上の CPU を搭載したシステムで高頻度サンプリングを処理できるようになりました
この更新前は、tracefs のバッファー処理が不十分だったため、100 個を超える CPU を搭載したシステムで、rtla timerlat が 100 us 周期以上の timerlat サンプルを処理できませんでした。その結果、サンプルがドロップされ、timerlat の測定値が不正確になり、リアルタイムのパフォーマンス分析に影響が及んでいました。このリリースでは、timerlat のサンプルが測定 CPU 上で直接収集され、バッファーオーバーフローの問題が解消されます。その結果、rtla timerlat はコア数の多いシステムで正確な測定値を提供し、信頼性の高いリアルタイムパフォーマンス分析を可能にします。
Jira:RHEL-77357[1]
rtla timerlat が起動時に osnoise 停止トレーシングのしきい値をリセットしない
この更新前は、stop_tracing フラグをクリアせずに rtla timerlat を複数回使用すると、RTLA が不整合な状態のままになっていました。その結果、-a、-T、または -i オプションでトレーシングの停止が要求されないと、トレースが正しく停止しませんでした。これにより、RTLA が終了すべきでないときに終了していたため、不正確なデータが報告されていました。この更新により、rtla-timerlat が停止トレーシング用の変数をリセットし、早期終了を防止するようになりました。その結果、プログラムの安定性が向上しました。
Jira:RHEL-73865[1]
11.8. ブートローダー
GRUB2 の net_del_dns コマンドは DNS サーバーを正しく削除する
この更新前は、net_del_dns コマンドを使用して DNS サーバーを削除しようとすると、実装が誤っていたために、DNS サーバーが誤って再度追加され、エラーが返されていました。この修正により、net_del_dns 実装では add コマンドが remove コマンドに置き換えられました。その結果、net_del_dns コマンドを使用して DNS サーバーを削除できます。
11.9. ファイルシステムおよびストレージ
パスがオフライン状態のデバイスを multipathd が監視できるようになりました
この更新前は、一部のデバイスへのパスがオフライン状態のときにユーザーがマルチパスデバイスを作成すると、multipathd デーモンがデバイスまたはそのパスを監視しませんでした。その結果、パスが機能しなくなると、再び使用可能になってもパスは復元しませんでした。この更新により、multipathd デーモンがマルチパスデバイスとそのオフラインパスを監視するようになりました。また、multipathd は、マルチパスデバイスがオンラインになると、そのパスをマルチパスデバイスに追加します。
Jira:RHEL-82535[1]
RHEL インストールプログラムが破損した LVM シンボリュームを削除します
以前は、破損した LVM シンボリュームが存在するとストレージ設定エラーが発生し、インストールプロセスがブロックされていました。この修正により、RHEL インストールプログラムが破損したシンボリュームを検出して削除するようになりました。その結果、ユーザーがインストールプロセスに手動で介入する必要がなくなります。
11.10. 高可用性およびクラスター
target-role 値が大文字でないことが原因で pcs コマンドが失敗しなくなりました
この更新前は、リソースの target-role メタ属性が、Stopped ではなく stopped のように大文字でない値に設定されていた場合、pcs がクラスターのステータスを解析できませんでした。この解析エラーにより、pcs status query resource コマンドと、pcs resource delete などのリソースを削除するコマンドが失敗していました。
この更新により、pcs のクラスターステータス解析ロジックがより柔軟になりました。
その結果、リソースに大文字の値が不適切に設定された target-role メタ属性がある場合でも、pcs コマンドは正しく機能します。
fence_ibm_powervs がプレーンテキストのトークンファイルをサポートするようになりました
この更新前は、fence_ibm_powervs エージェントは JSON 形式のファイルからのみ認証トークンを読み取ることができました。プレーンテキストファイルからトークンを読み取ることはできませんでした。
この更新により、エージェント内のファイル読み取りロジックが修正されました。
その結果、fence_ibm_powervs エージェントは、JSON またはプレーンテキスト形式のトークンファイルを使用できるようになりました。
Jira:RHEL-88569[1]
クォーラムが失われたときに、Pacemaker Remote ノードが不必要にフェンスされなくなりました
この更新前は、特定のクラスター設定において、Pacemaker Remote ノードのパーティションがクォーラムを失ったときに、ノードがフェンスされることがありました。これは、そのノードを管理しているリソースが、クォーラムを持つ別のノード上で安全に再起動できる場合でも発生していました。この動作により、Pacemaker Remote ノードで実行されているサービスに不要なダウンタイムが発生していました。
この更新により、この動作を制御するための新しいクラスタープロパティー fence-remote-without-quorum が導入されました。
その結果、デフォルト設定である fence-remote-without-quorum=false では、リモートノードを管理しているリソースがクォーラムを持つノード上で回復できる場合に、Pacemaker がそのノードをフェンスしなくなりました。これにより、サービスの可用性が向上します。
Jira:RHEL-86146[1]
Pacemaker が、大規模なクラスターの IPC バッファーの手動チューニングを必要としなくなりました
この更新前は、多数のノードまたはリソースを持つクラスターで、Pacemaker の内部通信がデフォルトのバッファーサイズを超えることがありました。これにより、エラーがログに記録され、コマンドラインツールの速度が低下したり、ツールが応答しなくなったりすることがありました。場合によっては、これらの問題を解決するために、ユーザーが PCMK_ipc_buffer 設定を手動で引き上げる必要がありました。
この更新により、Pacemaker のプロセス間通信 (IPC) コードが強化され、固定のバッファー制限なしで大きなメッセージを処理できるようになりました。
その結果、PCMK_ipc_buffer 設定が不要になり、非推奨となりました。複雑なクラスターで、コマンドラインツールの応答性が向上し、バッファーサイズエラーがログに記録されなくなりました。
Jira:RHEL-86144[1]
起動または停止時間が長い systemd リソースが正しく処理されるようになりました
この更新前は、Pacemaker は systemd リソースの起動および停止アクションの結果を、一定のタイムアウトを使用してポーリングしていました。リソースの起動または停止にこのタイムアウトよりも長い時間がかかった場合、Pacemaker は誤ってリソースを失敗とマークしていました。
この更新により、Pacemaker は systemd からの DBus メッセージを待ち受け、起動または停止アクションが完了したときに通知を受け取るようになりました。
その結果、Pacemaker は長時間実行される systemd サービスのステータスを正しく検出するようになり、タイムアウトによってリソースが失敗とマークされなくなりました。
Jira:RHEL-71181[1]
11.11. コンパイラーおよび開発ツール
glibc パッケージが更新され、アップストリームの 2.39 リリースからのバグ修正と機能拡張が追加されました
アップストリームの開発により、glibc 2.39 に対する複数のバグ修正と機能拡張が提供されました。その結果、RHEL 10 の glibc がアップストリームのリリースに比べて古くなり、機能のギャップとバグが未解決の状態が発生していました。この問題を解決するために、アップストリームの glibc 2.39 リリースブランチからの修正と機能拡張が、RHEL 10 にバックポートされました。その結果、RHEL 10 の glibc が、2025 年 8 月 20 日時点で、アップストリームの glibc 2.39 リリースブランチと同等の機能とバグを提供するようになりました。
glibc の動的リンカーを監査モードで実行しても、特定のプログラムがクラッシュしなくなりました
以前は、LD_AUDIT モードの glibc 動的リンカーは、リンカーがメインの malloc サブシステムを初期化する前に、メインの calloc 関数を使用して内部データ構造を割り当てることがありました。その結果、特定のプログラムが起動時に calloc 関数で予期せず終了していました。この更新により、プロセスの起動シーケンスが再調整され、起動時に内部の malloc 実装を使用して、メインの malloc 関数に切り替える前に calloc のメモリー割り当てが行われるようになりました。その結果、動的リンカーが監査モードの場合、プログラムが起動中に calloc 関数内でクラッシュしなくなりました。
Jira:RHEL-109703[1]
glibc の監査モジュールにおける再帰的な dlopen の呼び出しのサポートが強化されました
以前は、監査モジュールからの再帰的な dlopen の呼び出しにより、glibc の dl-open.c で、r_state == RT_CONSISTENT アサーションエラーが発生することがありました。その結果、監査モジュールがアクティブなときにアプリケーションが予期せず終了していました。この更新により、dlopen 呼び出しの実行中に、動的リンカーがその内部データ構造の整合性を、より早い段階で報告するようになりました。その結果、監査モジュールの再帰的な dlopen 操作が、より多くのケースでサポートされるようになりました。
glibc: ctype.h マクロが、複数の libc.so を持つマルチスレッドプログラムで、セグメンテーション違反を引き起こしていました
以前は、audit または dlmopen によって作成されたセカンダリー C ライブラリーコピー内の <ctype.h> の内部状態が、pthread_create で作成されたスレッドの初期化に失敗していました。その結果、セカンダリースレッドおよび名前空間で <ctype.h> の機能を直接的または間接的に使用すると、プログラムがクラッシュしていました。
この更新により、セカンダリースレッドおよび名前空間の C ロケールを参照するように、<ctype.h> の内部状態が初期化されるようになりました。その結果、上記のような状況で <ctype.h> 由来の機能を使用しても、クラッシュが発生しなくなりました。
glibc の NSS マージ処理で ERANGE が発生した場合でも、getent group コマンドが完全なメンバーリストを返すようになりました
この更新前は、Name Service Switch (NSS) が 2 つ以上のソースからのグループをマージするシステムで、内部バッファーが小さすぎるために、2 つのグループエントリー間のマージが失敗することがありました。このような場合、glibc は、より大きなバッファーを使用して再試行せずに、誤ってマージをスキップしていました。そのため、複数のグループデータベースがある環境でグループメンバーシップを照会すると、不完全な結果や空の結果が生成される場合がありました。
この更新により、glibc はマージの失敗を正しく処理し、適切なサイズのバッファーを使用して再試行するようになり、結果をスキップすることがなくなりました。そのため、グループが 2 つ以上のサービスからマージされた場合でも、グループメンバーシップの照会時にメンバーの完全なセットが確実に返されます。
Jira:RHEL-114264[1]
glibc の監査ロギングが、完全なオブジェクトライフサイクルの追跡を提供するようになりました
この更新前は、glibc の動的リンカーが、セカンダリー名前空間において、先に la_objopen を呼び出さずに、プロキシー ld.so リンクマップに対して la_objclose を呼び出していました。そのため、共有オブジェクトを追跡するために la_objopen に依存しているツールにとって、オブジェクトのライフサイクルに関する報告が不完全なものになっていました。
その結果、追跡を確立するために la_objopen に依存している監査ツールは、プロキシーリンクマップを確実に監視できませんでした。そのため、監視能力に不足が生じ、アンロードイベントが誤って解釈される可能性がありました。
このリリースでは、glibc の動的リンカーは、セカンダリー名前空間内のプロキシー ld.so を含め、該当するすべてのリンクマップに対して la_objopen イベントを生成します。これにより、監査インターフェイスのシーケンスの一貫性が確保されます。
その結果、監査ツールが、一貫した la_objopen および la_objclose イベントのペアを使用して、プロキシーリンクマップをそのライフサイクル全体にわたって追跡できるようになりました。これにより、監査ツールと診断の信頼性が向上します。
11.12. Identity Management
ipa-cacert-manage install で重複した CA サブジェクトが許可されるようになりました
以前は、IdM がサブジェクトの重複を禁止していたため、ipa-cacert-manage install を使用して、サブジェクトは同一だが秘密鍵が異なる CA 証明書を追加しようとすると、subject public key info mismatch というメッセージが表示されて失敗していました。
この更新により、その制限が緩和され、ipa-cacert-manage install が重複した CA サブジェクトを受け入れるようになりました。ただし、次の制限が残っています。
- 信頼フラグが異なる証明書を追加することはできません。
- CA が同じニックネームを共有している必要があります。
- すべての CA に Authority Key Identifier (AKI) 拡張が必要です。これが存在しないと、信頼チェーンの予期しない動作が発生します。
Jira:RHEL-84648[1]
dsconf replication get-ruv がエラーを返さなくなりました
この更新前は、レプリケーション関数の 1 つが必要な関数を呼び出していませんでした。その結果、dsconf <instance_name> replication get-ruv --suffix dc=example,dc=com を実行すると、エラーが表示されていました。この更新により、このコマンドが Replica Update Vector (RUV) 値を期待どおりに返すようになりました。
新しく作成されたユーザーパスワードポリシーが正しく表示されます
この更新前は、Class of Service (CoS) テンプレートの cosAttribute 属性に、operational-default 修飾子ではなく operational 修飾子が設定されていました。その結果、サブツリーパスワードポリシーとユーザーパスワードポリシーの両方が存在する場合に、pwdpolicysubentry 属性が、ユーザーパスワードポリシーではなくサブツリーパスワードポリシーを参照していました。このリリースでは、CoS テンプレートは operational-default 修飾子を使用します。そのため、ユーザーポリシーが正しく表示されます。
この問題は、実際のパスワードポリシーロジックではなく、ポリシーの表示にのみ影響していました。
ipa-healthcheck が replica busy 状態を無視するようになりました
この更新前は、サプライヤーが 2 つ以上あるトポロジーで、サプライヤーが別のノードから更新を受信しているときに、ipa-healthcheck ツールによってレプリカ合意ステータスに関するエラーが報告されていました。これは通常のレプリケーション状況です。このリリースでは、レプリカがビジー状態のときに ipa-healthcheck がエラーを報告しなくなりました。
Jira:RHEL-89774[1]
LMDB を使用したインスタンスのシャットダウン時のクリーンアップ中に Directory Server が失敗しなくなりました
この更新前は、Lightning Memory-Mapped Database Manager (LMDB) を使用したインスタンスのシャットダウン時のクリーンアップ中に競合状態が発生していました。この更新により、データベース環境が閉じられているときに、Directory Server が lmdb を呼び出さなくなりました。
LMDB の監視統計情報が正しく表示されるようになりました
この更新前は、Lightning Memory-Mapped Database Manager (LMDB) データベースタイプを使用してインスタンスの監視統計情報を取得しようとすると、キーエラーが発生していました。この更新により、バックエンドキーとモニターキーが設定済みのデータベース実装と一致することを、Directory Server が確認するようになりました。その結果、グローバルの監視統計情報が正しく表示されるようになりました。
389-ds-base が LMDB のオフラインインポート中に失敗しなくなりました
この更新前は、ワーカースレッドが、別のプロセスによるエントリーへの書き込みが完了する前にそのエントリーを読み取ると、競合状態が発生していました。その結果、Lightning Memory-Mapped Database Manager (LMDB) バックエンドを使用するインスタンスでオフラインインポートを実行すると、セグメンテーション違反が発生していました。
この更新により、Directory Server が、エントリーを書き込む前にワーカーキューをロックすることで、スレッドセーフなアクセスを保証するようになり、LMDB オフラインインポート中にサーバーが失敗しなくなりました。
Directory Server の Web コンソールにサーバーのバージョンが表示されるようになりました
この更新前は、Web コンソールの Server Settings>General Settings に、サーバーバージョンが表示されませんでした。この更新により、サーバーのバージョンが正しく表示されるようになりました。
Jira:RHEL-101783[1]
Directory Server が、特定のノード配下にある子エントリーの数を正しく表示するようになりました
この更新前は、numSubordinates 属性と numTombstoneSubordinates 属性がインポート中に誤って計算されていました。その結果、特定のノード配下にある子エントリーの数を比較すると、間違った値が表示されていました。
この更新により、Directory Server は numSubordinates と numTombstoneSubordinates を正しく計算するようになりました。
NDN キャッシュの操作中に Directory Server が失敗しなくなりました
この更新前は、389-ds-base の Rust 依存関係で使用されていた arc-swap ライブラリーにより、NDN キャッシュの操作中に Directory Server で障害が発生することがありました。このリリースでは、Directory Server は、arc-swap ライブラリーを含まない更新版の Rust 依存関係 (concread) 0.5.7 を使用します。その結果、Directory Server で障害が発生しなくなりました。
Directory Server が、ネストされたグループのメンバーシップを正しく表示するようになりました
この更新前は、次の条件が揃うと、Directory Server が特定エントリーの memberOf 属性の値を誤って表示していました。
- エントリーが複数のネストされたレベルを持つグループのメンバーである
- グループが、メンバーシップ関係において、複数のパスを持つ他の異なるグループに含まれている
この更新により、memberOf 識別名 (DN) 値が体系的に追加され、グループ内のエントリーメンバーシップが正しく表示されるようになりました。
nsslapd-referral を追加しても Directory Server が失敗しなくなりました
この更新前は、リファラルを使用するように Directory Server を設定しようとすると、ページ化された検索結果の処理が不適切であったために、サーバーが失敗していました。
この更新により、検索結果コードが LDAP_REFERRAL の場合、ページ化された検索結果が正しい値を返すようになり、サーバーが失敗しなくなりました。
IP アドレスにワイルドカードを使用する RootDN Access Control プラグインが失敗しなくなりました
この更新前は、RootDN Access Control プラグインの設定で、ワイルドカードを使用した IP アドレスを設定しようとすると、Invalid IP address エラーが発生して設定が失敗していました。このリリースでは、検証機能が更新されました。その結果、ワイルドカードを使用した値の設定が失敗しなくなりました。
NDN キャッシュが無効な場合でも Directory Server の監視情報を期待どおりに利用できます
この更新前は、Normalized DN (NDN) キャッシュが無効な場合、バックエンドの get-tree コマンドの失敗が適切に処理されないため、dsconf <instance_name> monitor dbmon コマンドがエラーで失敗していました。このリリースでは、バックエンドの作成中にツリーの作成が失敗した場合に孤立したバックエンドの発生を防ぐために、ロールバック機能が追加されました。その結果、Directory Server の監視情報が期待どおりに返されるようになりました。
Directory Server の Web コンソールで Databases メニューが期待どおりに開きます
この更新前は、作成したデータベース名に間違った接尾辞構文が含まれている (たとえば、名前に dc= が含まれている) 場合、Directory Server Web コンソールで Databases メニューを開くことができませんでした。この更新により、Directory Server は、バックエンドの作成中にマッピングツリーの作成が失敗した場合でも、孤立したバックエンドの発生を防ぐために、ロールバック機能を使用するようになりました。その結果、Databases メニューが期待どおりに開くようになりました。
Jira:RHEL-76832[1]
NDN キャッシュにより、Directory Server のメモリー消費量が増加しなくなりました
この更新前は、389-ds-base の Rust 依存関係である concread により、削除されたエントリーのメモリーが Normalized DN (NDN) キャッシュに保持され続けていました。その結果、NDN キャッシュによってメモリー消費量が増加することがありました。
この更新により、Directory Server が更新版の Rust 依存関係 (concread) を使用するようになり、NDN キャッシュがサーバーのパフォーマンスに影響を与えることなく期待どおりに動作するようになりました。
パスワード変更拡張操作が、ルート DN およびパスワード管理者のパスワードポリシーチェックを正しくスキップします
この更新前は、ルート DN またはパスワード管理者がパスワード変更拡張操作を使用してパスワードを変更する際に、Directory Server のパスワードポリシー制限を回避できませんでした。そのため、パスワードポリシーの要件に準拠していないパスワードを更新できませんでした。
このリリースでは、バインド DN がルート DN またはパスワード管理者である場合に、パスワードポリシーが正しくチェックされます。そのため、ルート DN とパスワード管理者は、ポリシーの制限を受けることなく、パスワードを正常に更新できます。
dsconf がレプリケーション監視情報を正しく返します
この更新前は、0 で始まるレプリカ (010 や 020 など) を使用してサプライヤーが設定されている場合、dsconf <instance_name> replication monitor コマンドで、遅延時間またはレプリケーションステータスに関する情報を取得できませんでした。
この更新により、Replica Update Vector (RUV) 内でレプリカ ID を処理する際に、レプリカ ID の先頭にある重要でないゼロ (0) が無視されるようになりました。その結果、dsconf <instance_name> replication monitor が期待どおりの情報を提供します。
389-ds-base のエラーログにレプリケーションに関する完全なメッセージが含まれるようになりました
この更新前は、レプリケーションを設定した際に、エラーログファイルに含まれるレプリケーション関連のメッセージが不完全なものになっていました。このリリースでは、エラーログに実際の値を含む完全なメッセージが含まれるようになりました。
LMDB を使用するインスタンスで、dsctl healthcheck が誤ったデータベースタイプを報告しなくなりました
この更新により、正しい設定パラメーターがチェックされるようになり、dsctl healthcheck が誤ったデータベースタイプを報告しなくなりました。
Jira:RHELDOCS-19014[1]
11.13. SSSD
非特権プロセスがホストキータブを更新できるようになりました
この更新前は、非特権プロセスはホストキータブを更新できませんでした。キータブファイルにアクセスできるのは、root ユーザーのみであったためです。この問題により、非特権プロセスはホストキータブを更新できませんでした。RHBA-2025:21019 アドバイザリーのリリースに伴い、realmd が適切なポリシーキット設定を使用することで、非特権プロセスによるホストキータブの更新がサポートされるようになりました。その結果、非特権プロセスおよびユーザーが、ホストのキータブを簡単に更新できるようになりました。
11.14. Red Hat Enterprise Linux システムロール
複数のユーザーを指定しても、リソースが間違ったユーザーに関連付けられることがなくなりました
以前は、2 つの異なるユーザーのリソースを管理する場合、__podman_user 変数と __podman_user_home_dir 変数を設定するために、vars と set_fact の両方が使用されていました。これにより、最初のユーザーの古い値が、2 番目のユーザーに対して使用されていました。そのため、予期しない未定義の動作が発生し、2 番目のユーザーの設定が最初のユーザーのデータを誤って参照していました。
この修正により、ロールが set_fact のみを使用して podman_user 変数を設定し、vars のみを使用して __podman_user_home_dir 変数を設定するようになりました。また、ロールが vars を使用できる場合は、__podman_user ではなく __podman_handle_user を使用するようにコードがリファクタリングされました。その結果、複数のユーザーのデータが個別に保持され、設定の一貫性が確保されます。
postfix RHEL システムロールが、IPv6 インターフェイスが無効かどうかを自動検出します
デフォルトの postfix 設定は、inet_interfaces = localhost 設定を使用します。この設定は、IPv4 と IPv6 の両方のインターフェイスを含む、localhost に解決されるすべてのインターフェイスを待ち受けるよう postfix に指示します。この更新前は、ホスト上で IPv6 が無効になっていると問題が発生していました。その場合、postfix ロールと、postconf などのコマンドラインツールがエラーを返していました。また、ロール全体が失敗していました。このリリースでは、ロールによって IPv6 が無効かどうかが確認されます。無効な場合は、postfix が IPv4 インターフェイスのみを使用するように、ロールによって inet_protocols = ipv4 が設定されます。その結果、IPv6 が無効な場合でも postfix ロールが機能するようになりました。
selinux ロールが、Ansible チェックモードの未定義の tempdir パスに起因するエラーを生成しなくなりました
この更新前は、Ansible チェックモードで tempdir パスが定義されておらず、__selinux_item.path が未定義になることがありました。その結果、チェックモードの実行中、selinux RHEL システムロールで、さまざまな変数が未定義であるというエラーが発生していました。この更新により、tempdir.path を定義する必要があるタスクをロールがスキップするようになり、変数が未定義のケースを処理できるようになりました。その結果、ロールはチェックモードで正しく動作するようになりました。
rhel-system-roles の値を持つカーネルオプションの削除が改善されました
以前は、ユーザーがキーのみを指定した場合、key=value 形式で指定されたカーネルブートオプションを削除できず、不要なブートパラメーターが永続化され、カーネルオプションの名前による管理が一貫性を欠いた状態になっていました。この更新により、mod_boot_args 関数の正規表現が更新され、カーネルオプションと値を正しくマッチさせて削除するようになりました。また、正しい動作を確認するための自動テストが追加されました。
その結果、カーネルオプションは、key=value 形式で設定されている場合でも、名前によって確実に削除できるようになりました。これにより、正確な設定が確保され、システム管理が向上します。
ha_cluster RHEL システムロールが必要とする際に、/var/lib/pcsd ディレクトリーが利用可能であることが確認されます
この更新前は、pcs のインストール中に /var/lib/pcsd ディレクトリーが作成されていました。しかし、最近のバージョンでは、pcsd サービスの起動時に systemd サービスによってこのディレクトリーが作成されます。そのため、ロールがディレクトリーにアクセスしようとしたときにディレクトリーが存在しない場合があり、実行時にエラーが発生したり失敗したりすることがありました。
この更新により、ロールが /var/lib/pcsd ディレクトリーを使用する前に、そのディレクトリーが存在することを明示的に確認するようになりました。その結果、ディレクトリーの欠落による実行時の問題が防止され、ロール実行の信頼性が向上します。
Jira:RHEL-100819[1]
LVM RAID が暗号化されたデバイスとパーティションが設定されたデバイスをサポートするようになりました
この更新前は、LVM RAID のコードで、raid_disks に指定されたディスクがすべての LVM RAID 構成において PV の親デバイスであると想定されていました。この想定は、暗号化されたデバイスやパーティションが設定されたデバイスには当てはまりませんでした。その結果、暗号化された LUKS レイヤーによって追加のストレージレイヤーが追加されたとき、または親デバイスなしで直接パーティションが使用されたときにエラーが発生していました。このリリースでは、LVM RAID の PV の解決処理が改善され、暗号化されたデバイスとパーティションが設定されたデバイスがサポートされるようになりました。その結果、基礎となるディスクの代わりに PV パーティションを指定できるようになりました。
また、この修正により、見つからない、または無効な RAID ディスクエントリーに対するエラー処理も追加され、安定性を確保するための関連するテストも導入されています。
RAID が無効な設定やサポートされていない設定に対して明確なエラーを報告するようになりました
この更新前は、無効な RAID レベルや不十分なディスクを指定しても、明確なエラーが発生しませんでした。そのため、アレイの作成が失敗するか、作成の一貫性が失われていました。その結果、エラーメッセージが不明瞭になり、RAID セットアップの信頼性が低下していました。このリリースでは、アレイの作成前に RAID パラメーターが検証され、最小ディスク数が適用されます。その結果、明確なエラーが発生し、不十分なディスクで RAID を作成しようとすると、作成がブロックされます。
この修正により、非推奨の process_device_numbers ヘルパーも削除され、代わりに unify_raid_level が使用されるようになりました。さらに、RAID レベルが無効な場合やディスクが不十分な場合に対する障害テストも追加されました。
encryption_key がマスクされなくなりました
この更新前は、encryption_key パラメーターが誤って no_log とマークされていました。これにより、鍵ファイルのパスがプレースホルダー文字列に置き換えられ、ディスクの暗号化が機能しなくなっていました。この更新により、encryption_key パラメーターに no_log フラグが付かなくなり、鍵ファイルを使用してディスク暗号化を正常に実行できるようになりました。
selinux ロールがカーネルの SELinux パラメーターを永続的に設定します
この更新前は、selinux RHEL システムロールが、SELinux の状態を無効に、または無効から変更するときに、カーネル SELinux パラメーターを設定していませんでした。その結果、SELinux の状態の変更が再起動後も保持されませんでした。この更新により、ロールが SELinux の状態を無効に、または無効から変更するときに、カーネル SELinux パラメーターが正しく設定されるようになりました。そのため、SELinux の状態を無効に、または無効から変更した場合に、変更が再起動後も維持されます。
systemd ロールが宛先へのパスを作成する際にファイルのベース名を使用します
この更新前は、ユーザーがネストされたディレクトリー内のファイルまたはテンプレートソースを指定すると、systemd RHEL システムロールが、宛先ファイルのベース名ではなく、パス全体を使用していました。その結果、ファイルとテンプレートが同じディレクトリー構造で宛先に配置されていました。しかし、この配置方法は systemd によってサポートされていません。このリリースでは、ロールはネストされたディレクトリー内の宛先ファイルにベース名を使用します。その結果、ユーザーはロールを使用してネストされたディレクトリーを使用できるようになりました。
Jira:RHEL-88774[1]
timesync RHEL システムロールが、/etc/sysconfig/chronyd からデフォルト設定 OPTIONS="-F 2" を削除しなくなりました
この更新前は、timesync システムロールによって、chronyd サービスのデフォルトの OPTIONS= 設定が "" に置き換えられていました。その結果、デフォルトの OPTIONS="-F 2" 設定が削除され、chronyd のセキュリティーが低下していました。このリリースでは、OPTIONS のデフォルト設定として -F 2 が追加され、ユーザーがこの設定をオーバーライドまたは拡張できるようになりました。その結果、timesync ロールは、ユーザーによるカスタマイズを許可しながら、正しいセキュリティー設定を適用するようになりました。
network RHEL システムロールのルーティングルールの検証が正しくないことによるエラーが表示されなくなりました
この更新前は、network RHEL システムロールの検証部分で、NM.IPRoutingRule クラスではなく、最上位の NM モジュールでルーティングルール属性が誤ってチェックされていました。これにより検証が失敗し、ロールにエラーが表示されていました。この更新により、ロールが API を正しく使用するようになり、誤った検証エラーが表示されなくなりました。
Jira:RHEL-88286[1]
network RHEL システムロールが、より堅牢なインターフェイス識別方法を使用するようになりました
この更新前は、ネットワークインターフェイスにインターフェイス名と MAC アドレスの両方が指定されている場合、検証プロセスでインターフェイス名を使用した検索と MAC アドレスを使用した検索の 2 つの個別の検索が実行されていました。そのため、検証が失敗することがありました。MAC アドレスによる検索は、永続的なハードウェア MAC アドレスではなく、インターフェイスの現在の MAC アドレスとマッチする可能性があるためです。
この更新により、検証ロジックが改善されました。network ロールは、ネットワークデバイスを検索する際に、インターフェイス名だけを識別子として使用します。その後、そのインターフェイスに関連付けられた MAC アドレスを取得し、検証のためにユーザーが指定した MAC アドレスと比較します。この方式により、信頼性が向上します。インターフェイス名は一意のカーネル識別子であり、一時的な MAC アドレスの変更による不一致を防ぐことができるためです。
Jira:RHEL-88263[1]
証明書の変更後、qdevice デーモンが自動的に再起動するようになりました
以前は、クォーラムデバイスデーモン (qnetd) とクラスターノード (qdevice) 間の通信に使用される TLS 証明書を更新した後、qdevice デーモンが自動的に再起動しませんでした。デーモンは古い証明書を引き続き使用するため、クォーラムデバイスとの通信が失敗していました。
この更新により、証明書が変更された後、クラスターノード上の qdevice デーモンが自動的に再起動するようになりました。これにより、新しい証明書がすぐに読み込まれ、クォーラムデバイスとの通信が維持されます。
ブール値が TOML ファイルで正しくレンダリングされます
この更新前は、TOML ファイル内のブール値の形式が間違っていたため、ブールオプションが適切に処理されませんでした。その結果、設定上の問題がユーザーに発生していました。このリリースでは、TOML ファイル内のブールオプションの形式が修正されました。その結果、エンドユーザーが TOML ファイルでブールオプションを正しく設定できるようになりました。
Jira:RHEL-85704[1]
ブール値が TOML ファイルで正しくレンダリングされます
この更新前は、Jinja2 テンプレートのブール値変換が正しくなかったため、True が "True" と書き込まれていました。その結果、設定ファイルの形式が正しくないことによるエラーがユーザーに表示され、コンテナーサービスの障害が発生していました。このリリースでは、Jinja2 テンプレートでの不適切なブール値変換が修正されました。その結果、Podman 設定が Jinja2 テンプレート内のブール値を正しく変換するようになりました。
Jira:RHEL-84942[1]
podman RHEL システムロールが、リソースを削除するときに UNREACHABLE エラーで失敗しなくなりました
この更新前は、非 root ユーザーの linger を無効にすると、ユーザーの状態が closing に遷移するまで、システムが十分に待機していませんでした。その結果、systemd-logind サービスが早期に再起動され、linger 状態が強制的にキャンセルされていました。一部のシステムでは、これによりタイマーがトリガーされ、アクティブな sshd 接続を含む root セッションが終了していました。このため、Ansible Playbook が UNREACHABLE エラーで失敗していました。このリリースでは、linger が適切にキャンセルされるまでシステムが待機する時間が大幅に長くなり、systemd-logind は絶対に必要な場合にのみ再起動されます。その結果、リソースを削除するときにロールが UNREACHABLE エラーで失敗することはなくなりました。
Jira:RHEL-84912[1]
ha_cluster RHEL システムロールが、システム全体の HTTP プロキシーが設定されている場合に機能するようになりました
以前は、システム全体の HTTP プロキシーが設定されている場合、ha_cluster RHEL システムロールは、unix ソケットを介した pcsd デーモンとのローカル通信にプロキシーを誤って使用しようとしていました。これにより、ロールが失敗していました。
このリリースでは、pcsd とのローカル通信でプロキシーの使用を明示的に無効にするようにロールが変更されました。
その結果、システム全体の HTTP プロキシーが定義されているシステムで、ha_cluster RHEL システムロールが期待どおりに動作するようになりました。
GSSAPIIndicators が sshd ロールに追加されました
Generic Security Services Application Programming Interface (GSS-API) を設定するための新しい設定オプション GSSAPIIndicators が RHEL 10 に追加されました。この更新により、GSSAPIIndicators 設定オプションが sshd RHEL システムロールに追加されます。その結果、RHEL システムロールを使用して RHEL 10 システムで GSSAPIIndicators を設定できるようになりました。
bootloader ロールがブール型または null 型の値を拒否します
この更新前は、ユーザーは value: on や value: yes などの値が文字列 "on" または "yes" に変換されることを想定して、値を指定することができました。しかし、YAML はこれらを YAML ブール型 として扱い、文字列 "True" として書き込みます。そのため、YAML ブール型の処理を知らないユーザーは、"on" や "off" などの値を設定できませんでした。この更新により、bootloader RHEL システムロールが、ブール型または null 型の値を拒否するようになりました。そのため、ユーザーは、このような YAML ブール型の値を、引用符で囲んだ文字列の形で入力し、ブートローダー設定に書き込む必要があります。また、この情報で Readme が更新されました。
sudo ロールがエイリアス値を解析する際にハングしなくなりました
この更新前は、Cmnd_Alias などのエイリアス値では等号 = の両側にスペースを入れる必要がないことが、sudo RHEL システムロールの正規表現で考慮されていませんでした。その結果、正規表現の処理が終了しなくなり、ロールがハングしたように見えていました。この更新により、sudoers ファイルの仕様にあるフィールドの eBNF 定義に正規表現が準拠していることをロールが確認するようになりました。その結果、= の前後にスペースがあってもなくても、エイリアス値が正しく解析されるようになりました。
Jira:RHEL-106261[1]
podman RHEL システムロールが、認証ファイルや設定ファイルの管理時に changed: true を報告しません
この更新前は、podman RHEL システムロールは、認証ファイルと設定ファイルの両方を管理する場合、実行のたびに親パスのモードを変更していました。これは、さまざまな設定ファイルと認証ファイルの共通の親パスに、2 つの異なるモードを使用していたためです。
この修正により、ロールは親パスに対して一貫したモードを使用するようになったため、不必要に changed: true を報告しなくなりました。
Jira:RHEL-84922[1]
systemd ロールが、1 回の実行でユニットをマスク解除して起動します
この更新前は、ユニットがマスクされている場合、systemd RHEL システムロールがサービスの有効化と起動に失敗していました。これは、ロールがユニットのマスクを先に解除できなかったためです。その結果、ユーザーはロールを 2 回実行する必要がありました。このリリースでは、systemd ロールがサービスを正しくマスク解除して起動するため、2 回実行する必要がなくなりました。
Jira:RHEL-88760[1]
ボリュームのわずかなサイズの不一致が、ロールによる誤った報告を引き起こすことがなくなりました
この更新前は、ボリュームを作成またはサイズ変更するときに、要求されたサイズと実際のサイズの間の差が最大 2% まで許容されていました。この調整は、ボリュームをプールの使用可能な空き領域に収めるためのものでした。その結果、ロールを再度実行したときにサイズが一致せず、ロールは何か変更があったと誤って想定していました。このリリースでは、サイズがわずかに違う場合に、変更があったと誤解されることがなくなりました。その結果、ロールが正しい状態を報告するようになりました。
Jira:RHEL-90216[1]
11.15. 仮想化
AMD SEV-SNP が有効な仮想マシンでローカル kdump が失敗しなくなりました
この更新前は、Secure Nested Paging (SNP) 機能が有効な AMD Secure Encrypted Virtualization (SEV) を使用する RHEL 10 仮想マシン (VM) で、ローカル kdump が失敗していました。その結果、AMD SEV-SNP が有効な仮想マシンでは、カーネルクラッシュダンプを取得できませんでした。
このリリースでは、基盤となるコードが修正されました。その結果、AMD SEV-SNP が有効な仮想マシンでローカル kdump が失敗しなくなりました。
Jira:RHEL-67539[1]
--migrate-disks-detect-zeroes オプションが仮想マシン移行で失敗しなくなりました
この更新前は、RHEL 10 で仮想マシン (VM) を移行するときに、--migrate-disks-detect-zeroes オプションが機能せず、指定されたディスクに対してゼロブロック検出が実行されないまま、移行が続行されることがありました。この問題は QEMU のバグによって発生していました。そのバグとは、ミラーリングジョブがパンチホール操作に依存していたために、宛先ファイルがスパースファイルになるというものでした。
このリリースでは、QEMU が修正されました。これにより、すべてゼロであると宛先システムが読み取った場合、かつイメージをさらにスパース化するための追加処理が行われていない場合に、スパース性が維持されるようになりました。その結果、仮想マシンの移行で --migrate-disks-detect-zeroes オプションが期待どおりに機能するようになりました。
不整合な破棄 I/O 要求を送信する仮想マシンが、discard_granularity が設定されていない場合でも一時停止しなくなりました
この更新前は、ホストカーネルが不整合な破棄 I/O 要求を失敗させていました。QEMU はそのような失敗に対応するために、werror= policy パラメーターを使用していました。werror が stop: werror=stop に設定されている場合、破棄要求が失敗し、仮想マシン (VM) が一時停止していました。その結果、この状況を修正して仮想マシンを再開することができませんでした。
このリリースでは、QEMU が更新され、不整合な破棄 I/O 要求をサイレントに無視するようになりました。これにより、正しい discard_granularity 値を持たないゲストが一時停止しなくなりました。その結果、discard_granularity が設定されていない場合でも、破棄 I/O 要求を送信する仮想マシンが一時停止しなくなりました。ただし、不整合が発生した際に、破棄要求を無視するのではなく、破棄要求が本来の効果を発揮できるように、discard_granularity の値を設定することを推奨します。
Jira:RHEL-87642[1]
開いているファイルが大量にある共有ディレクトリーにアクセスしても virtiofsd がクラッシュしなくなりました
この更新前は、開いているファイルが大量にある virtiofs 共有ディレクトリーに仮想マシン (VM) からアクセスすると、Too many open files エラーが発生して操作が失敗し、virtiofsd プロセスがクラッシュすることがありました。
このリリースでは、基盤となるコードが修正されました。その結果、仮想マシンから多数のファイルが開いている virtiofs 共有ディレクトリーにアクセスすると、仮想マシンでエラーが発生する可能性はありますが、virtiofsd プロセスはクラッシュしなくなり、仮想マシンで virtiofs 共有ディレクトリーにアクセスできる状態が維持されるようになりました。
Jira:RHEL-87161[1]
QEMU は SEV-SNP の使用を防止しない
以前は、AMD SEV-SNP が有効になっている仮想マシンを起動しようとすると、QEMU が KVM の誤った機能をチェックするため、ゲストの起動に失敗していました。その結果、RHEL10 では AMD SEV-SNP が設定された仮想マシンを実行することはできませんでした。この問題は修正され、SEV-SNP を使用した仮想マシンの実行が期待どおりに動作するようになりました。
Jira:RHEL-58928[1]
仮想マシンのネットワークブートが RNG デバイスなしでも正常に動作するようになる
以前は、仮想マシン (VM) に RNG デバイスが設定されておらず、その CPU モデルが RDRAND 機能をサポートしていない場合、ネットワークから仮想マシンを起動することはできませんでした。この更新により、この問題は修正され、RDRAND をサポートしていない仮想マシンは、RNG デバイスが設定されていなくてもネットワークから起動できるようになりました。
ただし、ネットワークからの起動時のセキュリティーを強化するために、RDRAND をサポートしていない CPU モデルを使用する仮想マシンには RNG デバイスを追加することが強く推奨される点に注意してください。
Google Cloud と Alibaba で RHEL 10 ゲストが再起動時にクラッシュしなくなりました
Google Cloud または Alibaba Cloud で RHEL 10.0 インスタンスを使用する場合、以前は virtio-net ドライバーが使用されていると、インスタンスの再起動時にゲストオペレーティングシステムでカーネルパニックが発生していました。この問題は修正され、前述の状況で RHEL 10 ゲストがクラッシュしなくなりました。
Jira:RHEL-56981[1]
Secure Execution 仮想マシンがファイルベースのメモリーバッキングを使用して起動できるようになりました
以前は、Secure Execution を有効にしてファイルベースのメモリーバッキングを使用するように仮想マシン (VM) を設定すると、仮想マシンが起動に失敗し、Protected boot has failed というエラーが表示されていました。現在は、仮想マシンが期待どおりに起動します。
3D サポートを有効にしても、ESXi に RHEL 10 ゲストをインストールできない問題が修正されました
この更新前は、RHEL 10 ゲストオペレーティングシステムをインストールするために、VMware ESXI で 3D サポートを有効にするオプションを選択すると、インストールが正しく開始されず、空白の画面が表示されていました。この問題は修正され、前述の状況で RHEL 10 ゲストをインストールできるようになりました。
Jira:RHEL-88668[1]
11.16. クラウド環境の RHEL
KVM 仮想化と OVMF を使用するネストされた仮想マシンが、AMD EPYC プロセッサーを使用する Azure または Hyper-V 環境で正常に起動するようになりました
以前は、AMD EPYC プロセッサーを使用する Microsoft Azure または Hyper-V 環境の KVM 仮想化が有効な RHEL 仮想マシンで、Open Virtual Machine Firmware (OVMF) を使用するネストされた仮想マシン (VM) を実行すると、起動に失敗していました。仮想マシンが起動に失敗し、次のログメッセージが出力されていました。
Code=qemu-kvm: ../hw/core/cpu-sysemu.c:76 Aborted (core dumped) .この更新により、問題が修正され、ネストされた仮想マシンが前述の状況で期待どおりに起動するようになりました。
Jira:RHEL-29919[1]
11.17. サポート性
coredump プラグインが、収集する coredump ファイルの数を正しく制限するようになりました
以前は、coredump プラグインが coredumpctl dump の出力を収集していました。これにより、不要かつ巨大なアーカイブが作成されることがありました。この更新により、プラグインはデフォルトで最新の 3 つの coredump ファイルを収集するようになりました。また、プラグインは引き続き coredumpctl info からのサマリー情報を提供し、収集されたダンプをそれぞれのメタデータエントリーにマッピングするのに役立つシンボリックリンクを含んでいます。
ユーザーは、executable オプションを使用して、収集されたダンプをさらにフィルタリングできます。このオプションは、coredumpctl list の EXE フィールドに適用された大文字と小文字を区別しない Python 正規表現を受け入れます。さらに、dumps オプションを使用して、直近のコアダンプの数を制限することもできます。
Jira:RHEL-62972[1]
sos report 内のプラグインオプションのオーバーライドによって、/etc/sos/sos.conf またはプリセットで設定された無関係のオプションが無効にならなくなりました
以前は、特定のプラグイン設定を指定する -k オプションを使用して sos report コマンドを実行すると、sos ユーティリティーが、/etc/sos/sos.conf またはプリセットで定義された他の有効なプラグインオプションを誤って無視していました。これにより、グローバル設定やユーザー定義のプリセットが、設定ファイルの [plugin_options] セクションまたはプリセットで正しく設定されているにもかかわらず、暗黙的に無効化されるという状況が発生していました。
この動作は、Red Hat ナレッジベースソリューション 1418303 に記載されているように、完全な System Activity Reporter (SAR) データを収集しようとしているお客様に影響していました。実行時に -k オプションが使用されると、sar.all_sar 設定が off に戻り、結果としてデータ収集が不完全になっていました。
この更新により、sos ツールが -k フラグで指定されたオプションと、設定ファイルで定義されたオプションを正しくマージするようになりました。これにより、無関係のプラグインオプションが保持され、期待どおりに適用されるようになりました。この修正により、一貫性が回復され、包括的な SAR データ収集を設定した場合に確実にデータが収集されます。
Jira:RHEL-67097[1]
sos-audit パッケージに必要な GPLv2 LICENSE ファイルが含まれるようになりました
以前は、sos-audit パッケージは、常に sos プロジェクトの一部であり、ライセンスを含む同じ SRPM からビルドされていました。一方、そこからビルドされた sos-audit RPM パッケージは、メインの sos RPM とは別にインストールできました。そのため、sos-audit サブパッケージのみをインストールするユーザーは、ライセンスを容易に利用できませんでした。このライセンスの欠如は、RHEL 8 および RHEL 9 の現行リリースに至るまでの全バージョンの sos-audit に影響していました。
この更新により、sos-audit パッケージに GPLv2 LICENSE ファイルが正しく含まれるようになりました。
iscsi プラグインが sosreport でプレーンテキストの CHAP 認証情報を収集しなくなりました
以前は、sos の iscsi プラグインは、レポート生成時に iscsi 設定ファイル内の機密性の高い CHAP 認証情報をプレーンテキストのまま収集しており、セキュリティーリスクを引き起こしていました。この更新により、iscsi プラグインが変更され、機密フィールドが隠されるようになりました。これにより、収集された出力から CHAP ユーザー名とパスワードが確実に削除または除外されるようになりました。
Jira:RHEL-81187[1]
THP プラグインが、Transparent Huge Page の状態を正確に反映するために完全な設定を収集するようになりました
以前は、sos のメモリープラグインが、Transparent Huge Page (THP) の状態を判断するために、/sys/kernel/mm/transparent_hugepage/ から enabled ファイルのみを収集していました。しかし、最近のカーネルの動作の変更により、この方法では不十分になりました。たとえば、shmem_enabled が [always] に設定されているのに enabled が [never] に設定されている場合、共有メモリーセグメントに対して THP が無効になっているように見えても、実際にはアクティブになる可能性があります。
この更新により、THP プラグインは /sys/kernel/mm/transparent_hugepage/ 配下にあるすべての関連ファイルを収集するようになり、THP がどのように、どこで有効化されているかを完全に正確に把握できるようになりました。
Jira:RHEL-81634[1]
ユーザーごとの SSH 設定がデフォルトで無効になりました
以前は、sos の ssh プラグインが、デフォルトですべてのローカルユーザーの .ssh ディレクトリーから詳細情報を収集していました。その結果、特にローカルユーザー数が多い環境では、実行時間が大幅に長くなっていました。この更新により、ssh プラグインはデフォルトでユーザーごとの .ssh 設定データを収集しなくなりました。ユーザー設定を収集するには、ssh.userconfs=on を設定して明示的に有効にしてください。
sos 4.10 バージョンの sos collect コマンドが xz/bz2 tar アーカイブを生成しなくなりました
この更新前は、sos collect コマンドは tar.xz や tar.bz2 などの圧縮された tar アーカイブを返していました。このリリースでは、sos collect は圧縮された tar アーカイブではなく、非圧縮の tar アーカイブを生成します。これにより、時間とリソースを節約できます。
Jira:RHELDOCS-21013[1]
11.18. コンテナー
podman events コマンドのイベントログが利用可能になりました
以前は、journald ドライバーのエラーによりネットワークイベント属性を保存できなかったため、ネットワークイベントはログに含まれませんでした。この更新により、podman events が network create イベントと network rm イベントを表示するようになりました
コンテナー内で /sys/fs/cgroup/io.max を設定できるようになりました
この更新前は、コンテナーランタイムとして runc を使用する場合、コンテナー内で /sys/fs/cgroup/io.max を設定できませんでした。この修正により、問題が解決され、/sys/fs/cgroup/io.max の値に podman update コマンドで設定した値が反映されるようになりました。
Jira:RHEL-81042[1]
モード 0755 のマウントターゲットに親ディレクトリーを作成できるようになりました
この更新前は、quay.io/buildah/stable:v1 v1.41.3 において --mount パラメーターの権限の処理が変更されたために、ビルドの失敗が発生していました。以前は、UID を引数として指定すると、シークレットに誤った権限が設定されていました。その結果、buildah の更新後に、権限が誤っていたため、ユーザーがビルドシークレットにアクセスできませんでした。
このリリースでは、Buildah は、mount の代わりに secret-permissions を使用して、Buildah v1.41.3 のシークレットの権限を更新します。その結果、Buildah は、--mount パラメーターで UID 引数を使用するときに、シークレットの期待される権限を正しく設定するようになりました。これにより、マウントの失敗が解決されました。
11.19. RHEL Lightspeed
存在しないチャット履歴を削除しようとすると、コマンドラインアシスタントにわかりやすいエラーメッセージが表示されます
この更新前は、存在しないチャット履歴をユーザーが削除しても、エラーメッセージが表示されませんでした。この機能拡張により、このような場合に表示されるエラーメッセージが実装されました。
Jira:RHELDOCS-21314[1]
名前のないチャットに説明を追加すると警告が表示されます
この更新前は、チャットの名前を指定せずにチャットに説明を追加しても、エラーメッセージが表示されず、カスタムの説明を含むチャットも表示されませんでした。この更新により、このような場合にコマンドラインアシスタントが警告を表示するようになりました。
Jira:RHELDOCS-21316[1]
c history がデフォルトで完全な履歴を表示します
この更新前は、オプションなしで c history コマンドを実行しても履歴が返されず、ユーザーの混乱を招いていました。この更新により、--all がデフォルトのオプションとして追加されました。その結果、c history コマンドだけで、すべての履歴を簡単に表示できるようになりました。
Jira:RHELDOCS-21317[1]
無効なクエリーに対してコマンドラインアシスタントがエラーを表示しなくなりました
この更新前は、応答のターミナル出力のデータ構造が正しくなかったため、処理不可能というエラーメッセージがユーザークエリーに対して表示されていました。この機能拡張により、チャットインターフェイスのターミナル出力構造に積極的な修正が加えられました。これにより、コマンドラインアシスタントが無効なクエリーリクエストに対してエラーを表示しなくなり、ユーザーエクスペリエンスが向上しました。
Jira:RHELDOCS-21318[1]
ターミナルの再起動後に対話型シェルが正しく起動します
この更新前は、ユーザーの .bashrc ファイルに .bashrc.d ディレクトリーへの参照が含まれていなかったため、source コマンドが CLA 統合スクリプトを検出できませんでした。その結果、ユーザーが対話型シェルにアクセスできませんでした。この更新により、シェル統合に必要なファイルを確実にロードするためのチェックが追加されました。その結果、ターミナルを再起動すると対話型シェルが起動するようになりました。
Jira:RHELDOCS-21319[1]
query.py のバックエンドのタイムアウトが正しく機能します
この更新前は、query.py スクリプトでバックエンドのタイムアウトを延長しても、正しく機能しませんでした。スクリプトは引き続き 30 秒ごとにタイムアウトメッセージを生成していました。これは、内部タイムアウトがデフォルトで 30 秒に設定されたままであったためです。この機能拡張により、/etc/xdg/command-line-assistant/config.toml ファイルでバックエンドのタイムアウトを設定することで、適切な値に延長できるようになりました。これにより、応答時間が改善されます。
Jira:RHELDOCS-21320[1]
cla chat を引数なしで実行するとヘルプが表示されます
この更新前は、追加の入力を行わずに cla chat を使用すると、対話型の AI アシスタンスを期待していても応答が得られなかったため、ユーザーにとって分かりにくい状況になっていました。この更新により、引数なしで cla chat を使用すると、コマンドラインアシスタントがヘルプを表示し、入力の追加が必要であることを示すようになりました。これにより、CLA の対話モードのユーザーエクスペリエンスが向上しました。
Jira:RHELDOCS-21322[1]
第12章 利用可能な BPF 機能
この章では、この Red Hat Enterprise Linux 10 マイナーバージョンのカーネルで利用可能な Berkeley Packet Filter (BPF) 機能の完全なリストを示します。表には次のリストが含まれています。
この章には、bpftool feature コマンドの自動生成された出力が含まれています。
| オプション | 値 |
|---|---|
| unprivileged_bpf_disabled | 2 (特権ユーザーに限定された bpf() syscall、管理者は変更可能) |
| JIT 有効化 | 1 (有効) |
| JIT 強化 | 1 (権限のないユーザーに対して有効) |
| JIT kallsyms | 1 (ルートで有効) |
| 非特権ユーザーの JIT のメモリー制限 | 69267617742848 |
| CONFIG_BPF | y |
| CONFIG_BPF_SYSCALL | y |
| CONFIG_HAVE_EBPF_JIT | y |
| CONFIG_BPF_JIT | y |
| CONFIG_BPF_JIT_ALWAYS_ON | y |
| CONFIG_DEBUG_INFO_BTF | y |
| CONFIG_DEBUG_INFO_BTF_MODULES | y |
| CONFIG_CGROUPS | y |
| CONFIG_CGROUP_BPF | y |
| CONFIG_CGROUP_NET_CLASSID | y |
| CONFIG_SOCK_CGROUP_DATA | y |
| CONFIG_BPF_EVENTS | y |
| CONFIG_KPROBE_EVENTS | y |
| CONFIG_UPROBE_EVENTS | y |
| CONFIG_TRACING | y |
| CONFIG_FTRACE_SYSCALLS | y |
| CONFIG_FUNCTION_ERROR_INJECTION | n |
| CONFIG_BPF_KPROBE_OVERRIDE | n |
| CONFIG_NET | y |
| CONFIG_XDP_SOCKETS | y |
| CONFIG_LWTUNNEL_BPF | y |
| CONFIG_NET_ACT_BPF | m |
| CONFIG_NET_CLS_BPF | m |
| CONFIG_NET_CLS_ACT | y |
| CONFIG_NET_SCH_INGRESS | m |
| CONFIG_XFRM | y |
| CONFIG_IP_ROUTE_CLASSID | y |
| CONFIG_IPV6_SEG6_BPF | y |
| CONFIG_BPF_LIRC_MODE2 | n |
| CONFIG_BPF_STREAM_PARSER | y |
| CONFIG_NETFILTER_XT_MATCH_BPF | m |
| CONFIG_BPFILTER | n |
| CONFIG_BPFILTER_UMH | n |
| CONFIG_TEST_BPF | m |
| CONFIG_HZ | 100 |
| bpf() syscall | available |
| 大きな insn サイズの制限 | available |
| 有界ループのサポート | available |
| ISA エクステンション v2 | available |
| ISA エクステンション v3 | available |
| プログラムの種類 | 利用可能なヘルパー |
|---|---|
| socket_filter | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_perf_event_output, bpf_skb_load_bytes, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_get_socket_uid, bpf_skb_load_bytes_relative, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| kprobe | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_perf_event_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_send_signal, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_get_ns_current_pid_tgid, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_get_task_stack, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_get_attach_cookie, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| sched_cls | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_skb_store_bytes, bpf_l3_csum_replace, bpf_l4_csum_replace, bpf_tail_call, bpf_clone_redirect, bpf_get_cgroup_classid, bpf_skb_vlan_push, bpf_skb_vlan_pop, bpf_skb_get_tunnel_key, bpf_skb_set_tunnel_key, bpf_redirect, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_get_tunnel_opt, bpf_skb_set_tunnel_opt, bpf_skb_change_proto, bpf_skb_change_type, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_change_tail, bpf_skb_pull_data, bpf_csum_update, bpf_set_hash_invalid, bpf_get_numa_node_id, bpf_skb_change_head, bpf_get_socket_cookie, bpf_get_socket_uid, bpf_set_hash, bpf_skb_adjust_room, bpf_skb_get_xfrm_state, bpf_skb_load_bytes_relative, bpf_fib_lookup, bpf_skb_cgroup_id, bpf_get_current_cgroup_id, bpf_skb_ancestor_cgroup_id, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_sk_fullsock, bpf_tcp_sock, bpf_skb_ecn_set_ce, bpf_get_listener_sock, bpf_skc_lookup_tcp, bpf_tcp_check_syncookie, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_tcp_gen_syncookie, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_sk_assign, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_csum_level, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_skb_cgroup_classid, bpf_redirect_neigh, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_redirect_peer, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_check_mtu, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_skb_set_tstamp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_tcp_raw_gen_syncookie_ipv4, bpf_tcp_raw_gen_syncookie_ipv6, bpf_tcp_raw_check_syncookie_ipv4, bpf_tcp_raw_check_syncookie_ipv6, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| sched_act | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_skb_store_bytes, bpf_l3_csum_replace, bpf_l4_csum_replace, bpf_tail_call, bpf_clone_redirect, bpf_get_cgroup_classid, bpf_skb_vlan_push, bpf_skb_vlan_pop, bpf_skb_get_tunnel_key, bpf_skb_set_tunnel_key, bpf_redirect, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_get_tunnel_opt, bpf_skb_set_tunnel_opt, bpf_skb_change_proto, bpf_skb_change_type, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_change_tail, bpf_skb_pull_data, bpf_csum_update, bpf_set_hash_invalid, bpf_get_numa_node_id, bpf_skb_change_head, bpf_get_socket_cookie, bpf_get_socket_uid, bpf_set_hash, bpf_skb_adjust_room, bpf_skb_get_xfrm_state, bpf_skb_load_bytes_relative, bpf_fib_lookup, bpf_skb_cgroup_id, bpf_get_current_cgroup_id, bpf_skb_ancestor_cgroup_id, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_sk_fullsock, bpf_tcp_sock, bpf_skb_ecn_set_ce, bpf_get_listener_sock, bpf_skc_lookup_tcp, bpf_tcp_check_syncookie, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_tcp_gen_syncookie, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_sk_assign, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_csum_level, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_skb_cgroup_classid, bpf_redirect_neigh, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_redirect_peer, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_check_mtu, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_skb_set_tstamp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_tcp_raw_gen_syncookie_ipv4, bpf_tcp_raw_gen_syncookie_ipv6, bpf_tcp_raw_check_syncookie_ipv4, bpf_tcp_raw_check_syncookie_ipv6, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| tracepoint | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_perf_event_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_send_signal, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_get_ns_current_pid_tgid, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_get_task_stack, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_get_attach_cookie, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| xdp | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_redirect, bpf_perf_event_output, bpf_csum_diff, bpf_get_current_task, bpf_get_numa_node_id, bpf_xdp_adjust_head, bpf_redirect_map, bpf_xdp_adjust_meta, bpf_xdp_adjust_tail, bpf_fib_lookup, bpf_get_current_cgroup_id, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_skc_lookup_tcp, bpf_tcp_check_syncookie, bpf_strtol, bpf_strtoul, bpf_tcp_gen_syncookie, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_check_mtu, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_xdp_get_buff_len, bpf_xdp_load_bytes, bpf_xdp_store_bytes, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_tcp_raw_gen_syncookie_ipv4, bpf_tcp_raw_gen_syncookie_ipv6, bpf_tcp_raw_check_syncookie_ipv4, bpf_tcp_raw_check_syncookie_ipv6, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| perf_event | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_perf_event_read_value, bpf_perf_prog_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_send_signal, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_read_branch_records, bpf_get_ns_current_pid_tgid, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_get_task_stack, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_get_attach_cookie, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_skb | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_perf_event_output, bpf_skb_load_bytes, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_get_socket_uid, bpf_skb_load_bytes_relative, bpf_skb_cgroup_id, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_skb_ancestor_cgroup_id, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_sk_fullsock, bpf_tcp_sock, bpf_skb_ecn_set_ce, bpf_get_listener_sock, bpf_skc_lookup_tcp, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_sk_cgroup_id, bpf_sk_ancestor_cgroup_id, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_sock | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_netns_cookie, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_get_retval, bpf_set_retval, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| lwt_in | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_cgroup_classid, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_pull_data, bpf_get_numa_node_id, bpf_lwt_push_encap, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| lwt_out | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_cgroup_classid, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_pull_data, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| lwt_xmit | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_skb_store_bytes, bpf_l3_csum_replace, bpf_l4_csum_replace, bpf_tail_call, bpf_clone_redirect, bpf_get_cgroup_classid, bpf_skb_get_tunnel_key, bpf_skb_set_tunnel_key, bpf_redirect, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_get_tunnel_opt, bpf_skb_set_tunnel_opt, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_change_tail, bpf_skb_pull_data, bpf_csum_update, bpf_set_hash_invalid, bpf_get_numa_node_id, bpf_skb_change_head, bpf_lwt_push_encap, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_csum_level, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| sock_ops | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_setsockopt, bpf_sock_map_update, bpf_getsockopt, bpf_sock_ops_cb_flags_set, bpf_sock_hash_update, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_tcp_sock, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_netns_cookie, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_load_hdr_opt, bpf_store_hdr_opt, bpf_reserve_hdr_opt, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| sk_skb | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_skb_store_bytes, bpf_tail_call, bpf_perf_event_output, bpf_skb_load_bytes, bpf_get_current_task, bpf_skb_change_tail, bpf_skb_pull_data, bpf_get_numa_node_id, bpf_skb_change_head, bpf_get_socket_cookie, bpf_get_socket_uid, bpf_skb_adjust_room, bpf_sk_redirect_map, bpf_sk_redirect_hash, bpf_get_current_cgroup_id, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_skc_lookup_tcp, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_device | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| sk_msg | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_msg_redirect_map, bpf_msg_apply_bytes, bpf_msg_cork_bytes, bpf_msg_pull_data, bpf_msg_redirect_hash, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_msg_push_data, bpf_msg_pop_data, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_netns_cookie, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| raw_tracepoint | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_perf_event_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_send_signal, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_get_ns_current_pid_tgid, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_get_task_stack, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_sock_addr | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_setsockopt, bpf_getsockopt, bpf_bind, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_skc_lookup_tcp, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_netns_cookie, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_get_retval, bpf_set_retval, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| lwt_seg6local | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_cgroup_classid, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_pull_data, bpf_get_numa_node_id, bpf_lwt_seg6_store_bytes, bpf_lwt_seg6_adjust_srh, bpf_lwt_seg6_action, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| lirc_mode2 | サポート対象外 |
| sk_reuseport | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_skb_load_bytes, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_skb_load_bytes_relative, bpf_get_current_cgroup_id, bpf_sk_select_reuseport, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| flow_dissector | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_skb_load_bytes, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_sysctl | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_sysctl_get_name, bpf_sysctl_get_current_value, bpf_sysctl_get_new_value, bpf_sysctl_set_new_value, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| raw_tracepoint_writable | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_perf_event_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_send_signal, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_get_ns_current_pid_tgid, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_get_task_stack, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_sockopt | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_tcp_sock, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_netns_cookie, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_get_retval, bpf_set_retval, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| tracing | |
| struct_ops | |
| ext | |
| lsm | |
| sk_lookup | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_sk_assign, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| syscall | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_get_socket_cookie, bpf_perf_event_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_send_signal, bpf_skb_output, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_get_ns_current_pid_tgid, bpf_xdp_output, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_get_task_stack, bpf_d_path, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_sock_from_file, bpf_for_each_map_elem, bpf_snprintf, bpf_sys_bpf, bpf_btf_find_by_name_kind, bpf_sys_close, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_skc_to_unix_sock, bpf_kallsyms_lookup_name, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_xdp_get_buff_len, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| netfilter | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| マップの種類 | Available |
|---|---|
| ハッシュ | はい |
| array | はい |
| prog_array | はい |
| perf_event_array | はい |
| percpu_hash | はい |
| percpu_array | はい |
| stack_trace | はい |
| cgroup_array | はい |
| lru_hash | はい |
| lru_percpu_hash | はい |
| lpm_trie | はい |
| array_of_maps | はい |
| hash_of_maps | はい |
| devmap | はい |
| sockmap | はい |
| cpumap | はい |
| xskmap | はい |
| sockhash | はい |
| cgroup_storage | はい |
| reuseport_sockarray | はい |
| percpu_cgroup_storage | はい |
| queue | はい |
| stack | はい |
| sk_storage | はい |
| devmap_hash | はい |
| struct_ops | はい |
| ringbuf | はい |
| inode_storage | はい |
| task_storage | はい |
| bloom_filter | はい |
| user_ringbuf | はい |
| cgrp_storage | はい |
| arena_map | はい |
付録A コンポーネント別のチケットリスト
参考のために、Bugzilla および JIRA チケットのリストをこのドキュメントに記載します。リンクをクリックすると、チケットを説明したこのドキュメントのリリースノートにアクセスできます。
付録B 改訂履歴
0.0-02025 年 11 月 12 日水曜日、Valentina Ashirova (vaashiro@redhat.com)
- Red Hat Enterprise Linux 10.1 リリースノートのリリース。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}