4.8. カーネル
RHEL 8.8 のカーネルバージョン
Red Hat Enterprise Linux 8.8 は、カーネルバージョン 4.18.0-477.10 で配布されます。
顧客キーを使用した Secure Execution ゲストダンプ暗号化
この新機能により、Secure Execution ゲストは、kdump
ユーティリティーが機能しない場合に、ハイパーバイザー開始ダンプを使用して、KVM からカーネルクラッシュ情報を収集できるようになります。Secure Execution のハイパーバイザー開始ダンプは、IBM Z シリーズ z16 および LinuxONE Empire 4 ハードウェア向けに設計されていることに注意してください。
Bugzilla:2043833
sfc
ドライバーが sfc
と sfc_siena
に分割されました。
アップストリームドライバーの変更に伴い、sfc
NIC ドライバーが sfc
と sfc_siena
の 2 つの異なるドライバーに分割されました。sfc_siena
は、非推奨の Siena ファミリーデバイスをサポートします。
カーネルモジュールパラメーターのカスタム設定と sfc
に適用される udev
ルールは、独立したドライバーになった sfc_siena
には影響しないことに注意してください。両方のドライバーをカスタマイズするには、sfc_siena
の設定オプションを複製します。
Bugzilla:2136107
stmmac
ドライバーが完全にサポートされるようになりました。
Red Hat は、Intel® Elkhart Lake システムオンチップ (SoC) の stmmac
ドライバーを完全にサポートするようになりました。
Bugzilla:1905243
rtla
メタツールに、トレーサー機能を向上させるために osnoise
および timerlat
トレーサーが追加されました。
Real-Time Linux Analysis (rtla
) は、Linux のリアルタイムプロパティーを分析する一連のコマンドを含むメタツールです。rtla
は、カーネルトレース機能を利用して、予期しないシステム結果のプロパティーと根本原因に関する正確な情報を提供します。rtla
には現在、osnoise
および timerlat
トレーサーコマンドのサポートが追加されています。osnoise
トレーサーは、CPU ごとのカーネルスレッドを報告します。timerlat
トレーサーは、タイマー IRQ ハンドラーおよびスレッドハンドラーでのタイマーレイテンシーを定期的に出力します。
rtla
の timerlat
機能を使用するには、sysctl -w kernel.sched_rt_runtime_us=-1
スクリプトを使用して、アドミッションコントロールを無効にする必要があることに注意してください。
Bugzilla:2075203
cgroups
と irqs
の出力形式が改善され、読みやすくなりました。
この機能強化により、cgroup
ユーティリティーの tuna show_threads
コマンド出力が端末のサイズに基づいて構造化されるようになりました。新しい -z
または --spaced
オプションを show_threads
コマンドに追加することで、cgroups
出力に追加のスペースを設定することもできます。その結果、ターミナルのサイズに合わせて改善された読みやすい形式で cgroups
出力を表示できるようになりました。
rteval
コマンドの出力には、プログラムのロードと測定スレッドの情報が含まれるようになりました。
rteval
コマンドは、プログラムのロード数、測定スレッド、およびこれらのスレッドを実行した対応する CPU を含むレポートの概要を表示するようになりました。この情報は、特定のハードウェアプラットフォームの負荷下でのリアルタイムカーネルのパフォーマンスを評価するのに役立ちます。
rteval
レポートは、システムのブートログとともに XML ファイルに書き込まれ、rteval-<date>-N-tar.bz2
圧縮ファイルに保存されます。date
はレポート生成日を指定し、N
は N 回目の実行のカウンターです。
rteval
レポートを生成するには、次のコマンドを入力します。
# rteval --summarize rteval-<date>-N.tar.bz2
レイテンシーを測定するために、-W
および --bucket-width
オプションが oslat
プログラムに追加されました。
この機能強化により、単一バケットのレイテンシー範囲をナノ秒の精度で指定できるようになりました。1000 ナノ秒の倍数ではない幅は、ナノ秒の精度を示します。新しいオプション -W
または --bucket-width
を使用すると、バケット間のレイテンシー間隔を変更して、マイクロ秒未満の遅延時間内のレイテンシーを測定できます。
たとえば、1 - 4 の CPU 範囲で実行するために 10 秒間にわたって 32 個のバケットのレイテンシーバケット幅を 100 ナノ秒に設定し、ゼロのバケットサイズを省略するには、次のコマンドを実行します。
# oslat -b 32 -D 10s -W 100 -z -c 1-4
このオプションを使用する前に、誤差測定に関してどのレベルの精度が重要であるかを判断する必要があることに注意してください。
Intel Ice ドライバーを使用した E810
で、Ethernet Port Configuration Tool (EPCT) ユーティリティーのサポートが有効になりました。
この機能強化により、devlink port Split
コマンドが Intel Ice ドライバーをサポートするようになりました。Ethernet Port Configuration Tool (EPCT) は、デバイスのリンクタイプを変更できるコマンドラインユーティリティーです。デバイス情報とデバイスのリソースを表示する devlink
ユーティリティーは EPCT に依存しています。この機能強化の結果、Ice ドライバーに EPCT のサポートが実装され、Intel Ice ドライバーを使用して設定可能なデバイスをリストおよび表示できるようになりました。
Bugzilla:2009705
Intel Ice
ドライバーがバージョン 6.0.0 にリベースされました。
Intel ice
ドライバーはアップストリームバージョン 6.0.0 にアップグレードされ、以前のバージョンに比べて多くの機能強化とバグ修正が行われました。注目すべき機能強化には次のものがあります。
-
Point-to-Point Protocol over Ethernet (
PPPoE
) プロトコルのハードウェアオフロード -
Inter-Integrated Circuit (
I2C
) プロトコル書き込みコマンド -
イーサネットスイッチデバイスドライバーモデル (
switchdev
) の VLAN タグプロトコル識別子 (TPID
) フィルター -
switchdev
での二重 VLAN タグ付け
Bugzilla:2103946
IBM zSystems のセキュアブート証明書のホスティング
IBM z16 A02/AGZ および LinuxONE Rockhopper 4 LA2/AGL 以降、ハードウェア管理コンソール (HMC) でセキュアブートを有効にしてシステムを起動するときに、Linux カーネルの検証に使用される証明書を管理できるようになりました。以下に例を示します。
- DPM およびクラシックモードで HMC を使用し、HMC からアクセスできる FTP サーバーからシステム証明書ストアに証明書をロードできます。HMC に接続された USB デバイスから証明書をロードすることもできます。
- 証明書ストアに保存されている証明書を LPAR パーティションに関連付けることができます。複数の証明書を 1 つのパーティションに関連付けたり、1 つの証明書を複数のパーティションに関連付けたりできます。
- HMC インターフェイスを使用して、証明書ストア内の証明書の関連付けをパーティションから解除できます。
- 証明書ストアから証明書を削除できます。
- 最大 20 個の証明書を 1 つのパーティションに関連付けることができます。
ビルトインのファームウェア証明書は引き続き使用できます。ユーザー管理の証明書ストアを使用するとすぐに、ビルトインの証明書は使用できなくなります。
証明書ストアにロードする証明書ファイルは、次の要件を満たしている必要があります。
-
PEM
またはDER-encoded X.509v3
形式で、ファイル名拡張子が.pem
、.cer
、.crt
、または.der
のいずれかである。 - 有効期限が切れていない。
- キー使用属性が デジタル署名 である。
- 拡張キー使用属性に コード署名 が含まれている。
ファームウェアインターフェイスを使用すると、論理パーティションで実行されている Linux カーネルが、このパーティションに関連付けられた証明書をロードできるようになります。Linux on IBM Z は、これらの証明書を .platform
キーリングに保存して、Linux カーネルが kexec
カーネルを検証し、そのパーティションに関連付けられた証明書を使用してサードパーティーのカーネルモジュールを検証できるようにします。
検証済みの証明書のみをアップロードし、失効した証明書を削除するのは、オペレーターの責任です。
HMC に読み込む必要がある Red Hat Secureboot 302
証明書は、Product Signing Keys から入手できます。
Bugzilla:2183445
zipl
が 64 ビット IBM Z でのセキュアブート IPL とダンプをサポート
この更新により、zipl
ユーティリティーは、64 ビット IBM Z アーキテクチャー上の Extended Count Key Data (ECKD) Direct Access Storage Devices (DASD) からのList-Directed IPL および List-Directed ダンプをサポートします。その結果、IBM Z での RHEL のセキュアブートは、ECKD タイプの DASD でも動作します。
Bugzilla:2284394