4.8. カーネル
RHEL 8.8 のカーネルバージョン
Red Hat Enterprise Linux 8.8 は、カーネルバージョン 4.18.0-477.10 で配布されます。
顧客キーを使用した Secure Execution ゲストダンプ暗号化
この新機能により、Secure Execution ゲストは、kdump ユーティリティーが機能しない場合に、ハイパーバイザー開始ダンプを使用して、KVM からカーネルクラッシュ情報を収集できるようになります。Secure Execution のハイパーバイザー開始ダンプは、IBM Z シリーズ z16 および LinuxONE Empire 4 ハードウェア向けに設計されていることに注意してください。
Bugzilla:2043833
sfc ドライバーが sfc と sfc_siena に分割されました。
アップストリームドライバーの変更に伴い、sfc NIC ドライバーが sfc と sfc_siena の 2 つの異なるドライバーに分割されました。sfc_siena は、非推奨の Siena ファミリーデバイスをサポートします。
カーネルモジュールパラメーターのカスタム設定と sfc に適用される udev ルールは、独立したドライバーになった sfc_siena には影響しないことに注意してください。両方のドライバーをカスタマイズするには、sfc_siena の設定オプションを複製します。
Bugzilla:2136107
stmmac ドライバーが完全にサポートされるようになりました。
Red Hat は、Intel® Elkhart Lake システムオンチップ (SoC) の stmmac ドライバーを完全にサポートするようになりました。
Bugzilla:1905243
rtla メタツールに、トレーサー機能を向上させるために osnoise および timerlat トレーサーが追加されました。
Real-Time Linux Analysis (rtla) は、Linux のリアルタイムプロパティーを分析する一連のコマンドを含むメタツールです。rtla は、カーネルトレース機能を利用して、予期しないシステム結果のプロパティーと根本原因に関する正確な情報を提供します。rtla には現在、osnoise および timerlat トレーサーコマンドのサポートが追加されています。osnoise トレーサーは、CPU ごとのカーネルスレッドを報告します。timerlat トレーサーは、タイマー IRQ ハンドラーおよびスレッドハンドラーでのタイマーレイテンシーを定期的に出力します。
rtla の timerlat 機能を使用するには、sysctl -w kernel.sched_rt_runtime_us=-1 スクリプトを使用して、アドミッションコントロールを無効にする必要があることに注意してください。
Bugzilla:2075203
cgroups と irqs の出力形式が改善され、読みやすくなりました。
この機能強化により、cgroup ユーティリティーの tuna show_threads コマンド出力が端末のサイズに基づいて構造化されるようになりました。新しい -z または --spaced オプションを show_threads コマンドに追加することで、cgroups 出力に追加のスペースを設定することもできます。その結果、ターミナルのサイズに合わせて改善された読みやすい形式で cgroups 出力を表示できるようになりました。
rteval コマンドの出力には、プログラムのロードと測定スレッドの情報が含まれるようになりました。
rteval コマンドは、プログラムのロード数、測定スレッド、およびこれらのスレッドを実行した対応する CPU を含むレポートの概要を表示するようになりました。この情報は、特定のハードウェアプラットフォームの負荷下でのリアルタイムカーネルのパフォーマンスを評価するのに役立ちます。
rteval レポートは、システムのブートログとともに XML ファイルに書き込まれ、rteval-<date>-N-tar.bz2 圧縮ファイルに保存されます。date はレポート生成日を指定し、N は N 回目の実行のカウンターです。
rteval レポートを生成するには、次のコマンドを入力します。
# rteval --summarize rteval-<date>-N.tar.bz2
レイテンシーを測定するために、-W および --bucket-width オプションが oslat プログラムに追加されました。
この機能強化により、単一バケットのレイテンシー範囲をナノ秒の精度で指定できるようになりました。1000 ナノ秒の倍数ではない幅は、ナノ秒の精度を示します。新しいオプション -W または --bucket-width を使用すると、バケット間のレイテンシー間隔を変更して、マイクロ秒未満の遅延時間内のレイテンシーを測定できます。
たとえば、1 - 4 の CPU 範囲で実行するために 10 秒間にわたって 32 個のバケットのレイテンシーバケット幅を 100 ナノ秒に設定し、ゼロのバケットサイズを省略するには、次のコマンドを実行します。
# oslat -b 32 -D 10s -W 100 -z -c 1-4
このオプションを使用する前に、誤差測定に関してどのレベルの精度が重要であるかを判断する必要があることに注意してください。
Intel Ice ドライバーを使用した E810 で、Ethernet Port Configuration Tool (EPCT) ユーティリティーのサポートが有効になりました。
この機能強化により、devlink port Split コマンドが Intel Ice ドライバーをサポートするようになりました。Ethernet Port Configuration Tool (EPCT) は、デバイスのリンクタイプを変更できるコマンドラインユーティリティーです。デバイス情報とデバイスのリソースを表示する devlink ユーティリティーは EPCT に依存しています。この機能強化の結果、Ice ドライバーに EPCT のサポートが実装され、Intel Ice ドライバーを使用して設定可能なデバイスをリストおよび表示できるようになりました。
Bugzilla:2009705
Intel Ice ドライバーがバージョン 6.0.0 にリベースされました。
Intel ice ドライバーはアップストリームバージョン 6.0.0 にアップグレードされ、以前のバージョンに比べて多くの機能強化とバグ修正が行われました。注目すべき機能強化には次のものがあります。
-
Point-to-Point Protocol over Ethernet (
PPPoE) プロトコルのハードウェアオフロード -
Inter-Integrated Circuit (
I2C) プロトコル書き込みコマンド -
イーサネットスイッチデバイスドライバーモデル (
switchdev) の VLAN タグプロトコル識別子 (TPID) フィルター -
switchdevでの二重 VLAN タグ付け
Bugzilla:2103946
IBM zSystems のセキュアブート証明書のホスティング
IBM z16 A02/AGZ および LinuxONE Rockhopper 4 LA2/AGL 以降、ハードウェア管理コンソール (HMC) でセキュアブートを有効にしてシステムを起動するときに、Linux カーネルの検証に使用される証明書を管理できるようになりました。以下に例を示します。
- DPM およびクラシックモードで HMC を使用し、HMC からアクセスできる FTP サーバーからシステム証明書ストアに証明書をロードできます。HMC に接続された USB デバイスから証明書をロードすることもできます。
- 証明書ストアに保存されている証明書を LPAR パーティションに関連付けることができます。複数の証明書を 1 つのパーティションに関連付けたり、1 つの証明書を複数のパーティションに関連付けたりできます。
- HMC インターフェイスを使用して、証明書ストア内の証明書の関連付けをパーティションから解除できます。
- 証明書ストアから証明書を削除できます。
- 最大 20 個の証明書を 1 つのパーティションに関連付けることができます。
ビルトインのファームウェア証明書は引き続き使用できます。ユーザー管理の証明書ストアを使用するとすぐに、ビルトインの証明書は使用できなくなります。
証明書ストアにロードする証明書ファイルは、次の要件を満たしている必要があります。
-
PEMまたはDER-encoded X.509v3形式で、ファイル名拡張子が.pem、.cer、.crt、または.derのいずれかである。 - 有効期限が切れていない。
- キー使用属性が デジタル署名 である。
- 拡張キー使用属性に コード署名 が含まれている。
ファームウェアインターフェイスを使用すると、論理パーティションで実行されている Linux カーネルが、このパーティションに関連付けられた証明書をロードできるようになります。Linux on IBM Z は、これらの証明書を .platform キーリングに保存して、Linux カーネルが kexec カーネルを検証し、そのパーティションに関連付けられた証明書を使用してサードパーティーのカーネルモジュールを検証できるようにします。
検証済みの証明書のみをアップロードし、失効した証明書を削除するのは、オペレーターの責任です。
HMC に読み込む必要がある Red Hat Secureboot 302 証明書は、Product Signing Keys から入手できます。
Bugzilla:2183445
zipl が 64 ビット IBM Z でのセキュアブート IPL とダンプをサポート
この更新により、zipl ユーティリティーは、64 ビット IBM Z アーキテクチャー上の Extended Count Key Data (ECKD) Direct Access Storage Devices (DASD) からのList-Directed IPL および List-Directed ダンプをサポートします。その結果、IBM Z での RHEL のセキュアブートは、ECKD タイプの DASD でも動作します。
Bugzilla:2284394
