Red Hat Summit6.6. ネットワーク
NetworkManager と Nmstate がインターフェイスごとの IPv4 転送の設定をサポートするようになりました
この機能拡張により、NetworkManager がネットワークインターフェイスごとに IPv4 転送を有効化および無効化できるようになりました。これにより、NetworkManager 接続プロファイルできめ細かく直接制御することが可能になり、sysctl カーネル設定を更新する必要がなくなります。プロファイルで ipv4.forwarding パラメーターを有効にすると、対応するインターフェイスがルーターとして機能し、IPv4 パケットを転送するようになります。デフォルト値の auto では、NetworkManager は共有接続がアクティブな場合に IPv4 転送を有効にし、それ以外の場合にカーネルのデフォルト値を使用します。
この機能は Nmstate でも利用できます。
KTLS が TLS 1.3 の鍵再生成をサポートするようになりました
Kernel Transport Layer Security (KTLS) (RHEL のサポート対象外のテクノロジープレビュー機能) が、TLS 1.3 のカーネル内鍵再生成をサポートするようになりました。以前は、初期鍵で送信できるバイト数が限られていたため、大量のデータ転送を伴う長時間のセッションは不可能でした。この機能拡張により、アクティブなセッション中に更新がシームレスに行われるようになり、アプリケーションが接続を再開する必要なく、大量のデータを転送することが可能になりました。この機能を使用するには、OpenSSL や GnuTLS などのユーザー空間ライブラリーも KTLS 鍵再生成機能をサポートしている必要があることに注意してください。
この機能拡張では、TLS 1.3 の鍵再生成のみがサポートされており、TLS 1.2 での再ネゴシエーションはサポートされていません。
Jira:RHEL-86020[1]
Nmstate が mtu および quickack ルートオプションをサポートするようになりました
この機能拡張により、Nmstate を使用して mtu および quickack ルートオプションを設定できるようになりました。これらの設定は、最大転送単位がデフォルトと異なる際にネットワークパフォーマンスを最適化する場合や、TCP 確認応答の動作をチューニングする場合に重要です。これにより、ネットワークトラフィックの動作をより正確に制御できるようになりました。
Nmstate が、ネットワークインターフェイスの FEC の設定をサポートするようになりました
この機能拡張により、Nmstate を使用して、RS-FEC、Base-R、Disabled などの前方誤り訂正 (FEC) モードをインターフェイスに適用できるようになりました。これらの設定は、再送信せずにエラーを検出および修正することで、データ転送の信頼性を向上させるうえで重要です。これにより、手動で設定したり、プラットフォーム固有のツールを使用したりせずに、Nmstate を使用して FEC 設定を適用できるようになりました。
nm-initrd-generator に NBFT パーサーが追加されました
NVMe Boot Firmware Table (NBFT) は、ACPI テーブルを使用して、ファームウェアがプリブート環境からネットワークとストレージの設定を直接オペレーティングシステムに渡す標準的な方法です。nm-initrd-generator ユーティリティーは、このパーサーを使用してこの設定を自動的に検出して適用し、必要な接続を手動設定不要で作成します。この実装は、dracut の 95nvmf モジュールに代わるものであり、より効率的で堅牢なブートシーケンスを実現するために、systemd の自動化を利用します。
NetworkManager が、IPv6 プレフィックスの委譲を使用する場合に、ダウンストリームインターフェイスの固定サブネット ID をサポートするようになりました
この機能拡張により、IPv6 プレフィックスの委譲を使用するときに、NetworkManager でダウンストリームインターフェイスに固定のサブネット ID を指定できるようになりました。以前のリリースでは、システムを再起動すると、ダウンストリームインターフェイスのサブネット ID が変更される可能性がありました。サブネット ID が固定されている場合、RHEL ホストを再起動しても、ダウンストリームネットワーク内のデバイスに割り当てられた IPv6 アドレスは変更されません。
Nmstate は、インターフェイス名の代わりに MAC アドレスを使用してルートを設定することをサポートするようになりました
Nmstate を使用すると、インターフェイスの MAC アドレスにネットワーク接続を割り当てることで、その接続を作成できます。この機能拡張により、ルーティング設定の next-hop-interface パラメーターでインターフェイス名の代わりにプロファイル名を使用できるようになりました。この機能を使用すると、インターフェイス名を知らなくても静的ルートを作成できます。
Jira:RHEL-80547[1]
Nmstate が、PCI アドレスに基づいてネットワークインターフェイスに設定を割り当てることが可能になりました
この機能拡張により、Nmstate を使用して、デバイス名ではなく PCI アドレスに基づいてネットワークインターフェイスを設定できるようになりました。クラスター内のノード全体で一貫した設定を実現するには、この機能を使用してください。詳細は、デバイスパスを指定して nmstatectl を使用して動的 IP アドレスによるイーサネット接続を設定する および デバイスパスを指定した nmstatectl を使用して静的 IP アドレスによるイーサネット接続を設定する を参照してください。
Nmstate が、VLAN インターフェイスの Egress および Ingress 優先度マッピングをサポートするようになりました
NetworkManager は、VLAN インターフェイスのトラフィック優先度マッピングの設定を以前からサポートしていました。この機能拡張により、Nmstate ライブラリーが、Egress および Ingress 優先度の Quality of Service (QoS) マッピングルールも処理できるようになりました。その結果、Nmstate を使用して VLAN を作成し、双方向の優先度マッピングを定義できるようになり、トラフィックをより正確かつ効率的に管理できるようになりました。
Jira:RHEL-78334[1]
nmtui がループバックインターフェイスの設定をサポートするようになりました
NetworkManager は、nmcli ユーティリティーを使用したループバックインターフェイスの設定を以前からサポートしていました。この機能拡張により、nmtui アプリケーションに同じ機能が追加されました。その結果、ループバックインターフェイスで IP アドレスとルートを設定できるようになりました。
NetworkManager-libreswan プラグインが Libreswan のデフォルト値の使用をサポートするようになりました
この機能拡張により、Libreswan VPN 接続プロファイルの no-nm-default プロパティーを true に設定することで、NetworkManager のデフォルト値ではなく、Libreswan の値を使用できるようになりました。これにより、ネイティブ Libreswan 用に定義された設定との互換性が確保されます。その結果、たとえば、サブネット間のトンネルを設定できるようになりました。
Nmstate のボンディング設定が最適化設定をサポートするようになりました
この機能拡張により、Nmstate API が次のボンディングオプションをサポートするようになりました。
-
lacp_active: Linux カーネルが Link Aggregation Control Protocol Data Unit (LACPDU) フレームを定期的に送信するかどうかを定義します。この設定は 802.3ad ボンディングモードでのみ使用できます。 -
ns_ip6_target:arp_intervalパラメーターを 0 より大きい値に設定した場合に、IPv6 監視ピアとして使用する IPv6 アドレスをリストします。
その結果、管理者はこれらの設定を使用してネットワークボンディングを最適化し、安定した接続、効率的な帯域幅、および IPv6 との互換性を確保できます。
iproute がバージョン 6.14.0 にリベースされました
iproute パッケージがアップストリームバージョン 6.14.0 に更新されました。
主な機能拡張:
-
ip nexthopコマンドが 16 ビットのnexthop重み付けに対応しました。 -
ip link rmnetコマンドがフラグ処理に対応しました。 -
ip lwtunnelコマンドが 'tunsrc' 属性の設定と取得に対応しました。 -
ip monitorコマンドに、マルチキャストアドレスの監視 (ip monitor maddress) のサポートが追加されました。 -
ip ruleコマンドが 'dscp' セレクターに対応しました。 -
ip ruleコマンドがフローラベルに対応しました。 -
ip routeコマンドが IPv6 フローラベルに対応しました。 -
ip addressコマンドとip link showコマンドが、'down' フィルターに対応しました。 -
tc flowerフィルターがトンネルメタデータのマッチングに対応しました。 -
tc fqキューイング規則が、TCA_FQ_OFFLOAD_HORIZON属性に対応しました。 -
tcユーティリティーが、IEEE 802.1Q-2018 標準で指定されている Time-Sensitive Networking (TSN) のHold/Releaseメカニズムに対応しました。 -
rdma monitorコマンドに、Remote Direct Memory Access (RDMA) イベントの監視のサポートが追加されました。 -
vdpaユーティリティーが MAC アドレスの設定に対応しました。 - いくつかの man ページが改善されました。
主なバグ修正: * いくつかのメモリーリークが修正されました。* 不必要に厳しいエラーを防ぐために、ip netconf コマンドのエラーチェックが修正されました。* /etc/iproute2/ ディレクトリー内のカスタム iproute2 設定が期待どおりに機能するようになりました。
新しいネットワークパケットドロップの理由と MIB カウンター
カーネルのネットワークスタックが、ネットワークパケットをドロップするときに、より詳細な理由を提供するようになりました。また、この機能拡張により、LINUX_MIB_PAWS_TW_REJECTED と LINUX_MIB_PAWS_OLD_ACK という 2 つの新しい管理情報ベース (MIB) カウンターが追加されます。その結果、ネットワークの問題のデバッグと診断が容易になりました。
Jira:RHEL-88891[1]
nft monitor trace コマンドが接続追跡に関する情報を表示するようになりました
nft monitor trace コマンドを使用して、接続追跡に関する詳細情報を表示できるようになりました。この機能により、接続のデバッグが簡素化され、接続の状態をよりよく把握できるようになります。
Jira:RHEL-87758[1]
fwctl サブシステムがカーネルに追加されました
カーネルロックダウン機能が有効な場合、セキュリティー上の理由から、カーネルは /sys/ ディレクトリー内の resource0 ファイルや PCI 設定空間へのアクセスを許可しません。fwctl カーネルサブシステムは、mlx5 ネットワークインターフェイスコントローラーなど、ソフトウェア定義デバイスのファームウェアとの通信を管理します。このサブシステムは、標準化されたセキュアなリモートプロシージャーコール (RPC) インターフェイスを確立します。このインターフェイスにより、ユーザー空間アプリケーションが、診断、設定、更新のためにデバイスファームウェアとやり取りできるようになります。新しいサブシステムの導入に加えて、mstflint ユーティリティーも fwctl サブシステムを使用するようになりました。このユーティリティーは、これらのセキュアな環境で完全に機能します。
Jira:RHEL-86015[1]
ice ドライバーが、関連付けられた VF のためにベクトルを解放する目的で、PF の MSI-X ベクトル使用量を削減することをサポートするようになりました
この機能拡張により、Physical Function (PF) に割り当てられた Message Signaled Interrupts eXtended (MSI-X) ベクトルを削減し、関連付けられた Virtual Function (VF) のために十分な数のベクトルを確保できるようになりました。詳細は、Reducing the MSI-X vector usage for a physical function to free vectors for associated virtual functions を参照してください。
Jira:RHEL-80554[1]
named および dnssec ユーティリティーが、ハードウェアトークン用の OpenSSL プロバイダーをサポートするようになりました
この更新前は、OpenSSL ENGINE が削除されたため、ハードウェアセキュリティートークンを使用して DNSSEC ゾーン署名の秘密鍵を保存する機能のサポートを利用できませんでした。この機能は、named サービスでハードウェアトークンを直接使用する場合と、ipa-server-dns パッケージの DNSSEC 機能に必要でした。
この更新により、named および dnssec コマンドラインユーティリティーが更新され、OpenSSL プロバイダーをサポートするようになりました。
その結果、OpenSSL プロバイダーを使用して、ハードウェアトークンとソフトウェアトークンの両方にアクセスし、秘密鍵を保存できるようになりました。これにより、named サービスでハードウェアトークンを直接使用する機能が復元され、ipa-server-dns パッケージの DNSSEC ゾーン署名機能が有効になりました。
NetworkManager と Nmstate がインターフェイスごとの IPv4 転送の設定をサポートするようになりました
この機能拡張により、NetworkManager がネットワークインターフェイスごとに IPv4 転送を有効化および無効化できるようになりました。これにより、NetworkManager 接続プロファイルできめ細かく直接制御することが可能になり、sysctl カーネル設定を更新する必要がなくなります。プロファイルで ipv4.forwarding パラメーターを有効にすると、対応するインターフェイスがルーターとして機能し、IPv4 パケットを転送するようになります。デフォルト値の auto では、NetworkManager は共有接続がアクティブな場合に IPv4 転送を有効にし、それ以外の場合にカーネルのデフォルト値を使用します。
この機能は Nmstate でも利用できます。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}