Red Hat Summit9.6 リリースノート
Red Hat Enterprise Linux 9.6 リリースノート
概要
Red Hat ドキュメントへのフィードバック (英語のみ)
Red Hat ドキュメントに関するご意見やご感想をお寄せください。また、改善点があればお知らせください。
Jira からのフィードバック送信 (アカウントが必要)
- Jira の Web サイトにログインします。
- 上部のナビゲーションバーで Create をクリックします。
- Summary フィールドにわかりやすいタイトルを入力します。
- Description フィールドに、ドキュメントの改善に関するご意見を記入してください。ドキュメントの該当部分へのリンクも追加してください。
- ダイアログの下部にある Create をクリックします。
第1章 概要
1.1. RHEL 9.6 における主な変更点
インストーラーおよびイメージの作成
RHEL Image Builder の主なハイライト:
- RHEL Image Builder を使用して、高度なパーティションでディスクイメージを作成できます。
- ブループリントをカスタマイズして、ISO イメージのビルド時にキックスタートファイルの注入を有効化できます。
-
AWS や KVM などのディスクイメージには、個別の
/bootパーティションはありません。
詳細は、新機能 - インストーラーおよびイメージの作成 を参照してください。
RHEL for Edge
RHEL for Edge の主なハイライト:
-
RHEL for Edge には、デフォルトで
dnsmasqパッケージが含まれなくなりました。 - 次のイメージタイプをビルドするときに、ブループリントにファイルシステムのカスタマイズを追加できるようになりました。
-
simplified-installer -
edge-raw-image -
edge-ami -
edge-vsphere - FIPS 準拠の RHEL for Edge イメージを作成できるようになりました。
- Sqlite または Postgresql データベースから Owner Vouchers を保存してクエリーすることにより、テクノロジープレビューとして利用可能な FDO オンボーディングプロセスを使用できるようになりました。
詳細は、新機能 - RHEL for Edge を参照してください。
セキュリティー
新しい sudo RHEL システムロール を使用すると、RHEL システム全体で sudo 設定を大規模に一貫して管理できます。
OpenSSL TLS ツールキットがバージョン 3.2.2 にアップグレードされました。OpenSSL は、証明書圧縮エクステンション (RFC 8879) をサポートするようになり、Brainpool 曲線が TLS 1.3 プロトコル (RFC 8734) に追加されました。
ca-certificates プログラムは、OpenSSL ディレクトリー形式で信頼できる CA ルートを提供するようになりました。
crypto-policies パッケージが更新され、Java でのアルゴリズム選択の制御が拡張されました。
SELinux ポリシーでは、QEMU ゲストエージェントが制限されたコマンドを実行できるようにするブール値が提供されるようになりました。
NSS 暗号化ツールキットパッケージがアップストリームバージョン 3.101 にリベースされました。
詳細は、新機能 - セキュリティー を参照してください。
カーネル
このリリースでは、カーネルの安定性、パフォーマンス、および機能に重要な更新が行われています。POSIX_FADV_NOREUSE に関連する MADV_RANDOM パフォーマンスに影響を与える最近の変更は、アプリケーションの期待される動作を維持するために元に戻されました。
eBPF 機能は、Linux カーネルバージョン 6.12 に合わせて更新され、TPM_TIS はアップストリーム 6.7 にリベースされ、Lenovo ハードウェアのサポートが強化されました。さらに、kdump がバージョン 6.10 にリベースされました。
NVMf-FC kdump は、kexec-tools を実行するために IBM Power システムをサポートするようになりました。
cgroup v2 では、/proc/cgroups ファイルは非推奨となり、cgroup サブシステムの情報は cgroup.stat ファイルが正式な情報源となります。
このリリースで導入された機能と既存の機能の変更の詳細は、新機能 - カーネル を参照してください。
動的プログラミング言語、Web サーバー、およびデータベースサーバー
次の Application Streams の新しいバージョンが利用可能になりました。
- Apache HTTP Server 2.4.62
- Node.js 22
詳細は、新機能 - 動的プログラミング言語、Web サーバー、およびデータベースサーバー、および テクノロジープレビュー - 動的プログラミング言語、Web サーバー、およびデータベースサーバー を参照してください。
コンパイラーおよび開発ツール
更新されたシステムツールチェーン
以下のシステムツールチェインコンポーネントが更新されました。
- GCC 11.5
- Annobin 12.92
パフォーマンスツールとデバッガーの更新
RHEL 9.6 では、以下のパフォーマンスツールおよびデバッガーが更新されました。
- GDB 14.2
- Valgrind 3.24.0
- SystemTap 5.2
- elfutils 0.192
- libabigail 2.6
更新されたパフォーマンスモニタリングツール
RHEL 9.6 では、以下のパフォーマンスモニタリングツールが更新されました。
- PCP 6.3.7
- Grafana 10.2.6
更新されたコンパイラーツールセット
次のコンパイラーツールセットが RHEL 9.6 で更新されました。
- GCC Toolset 14
- LLVM Toolset 19.1.7
- Rust Toolset 1.84.1
- Go Toolset 1.23
詳しい変更点は、新機能 - コンパイラーと開発ツール を参照してください。
Red Hat Enterprise Linux システムロール
9.6 RHEL システムロールの主な新機能:
-
新しい RHEL システムロール
aideを使用すると、ファイル、ディレクトリー、およびシステムバイナリーに対する不正な変更を検出できます。 -
systemdRHEL システムロールを使用すると、システムユニットに加えてユーザーユニットを管理できるようになりました。 -
ha_clusterRHEL システムロールを使用して、既存クラスターのcorosync設定をロールに戻して同じクラスターを作成できる形式でエクスポートできます。 -
podmanRHEL システムロールを使用して、Podタイプの quadlet ユニットを管理できます。 -
metricsRHEL システムロールは、Redis の代わりに Valkey をサポートするようになりました。
詳細は、新機能 - Red Hat Enterprise Linux システムロール を参照してください。
クラウド環境の RHEL
OpenTelemetry フレームワークを使用して、RHEL クラウドインスタンスからログ、メトリクス、トレースなどのテレメトリーデータを収集し、そのデータを AWS CloudWatch などの外部分析サービスに送信できるようになりました。
詳細は、新機能 - クラウド環境の RHEL を参照してください。
1.2. インプレースアップグレード
RHEL 8 から RHEL 9 へのインプレースアップグレード
現在サポートされているインプレースアップグレードパスは次のとおりです。
RHEL 8.10 から RHEL 9.4 および 9.6 の場合は、以下のアーキテクチャーを使用します。
- 64 ビット Intel、AMD、および ARM
- IBM POWER 9 (リトルエンディアン) 以降
- z13 を除く IBM Z アーキテクチャー
- SAP HANA を使用するシステムの RHEL 8.10 から RHEL 9.4 および 9.6 へのアップグレード。
詳細は、Supported in-place upgrade paths for Red Hat Enterprise Linux を参照してください。
インプレースアップグレードの実行方法は、RHEL 8 から RHEL 9 へのアップグレード を参照してください。
SAP 環境があるシステムでインプレースアップグレードを実行する手順は、SAP 環境を RHEL 8 から RHEL 9 にインプレースアップグレードする方法 を参照してください。
主な機能拡張は、次のとおりです。
- RHEL 9 カーネルでの起動に関する問題により、ARM マシンは RHEL 9.4 にのみアップグレードできます。この問題は修正され、ARM マシンはすべてのサポートされているアップグレードパス (具体的には RHEL 8.10 から RHEL 9.4 および RHEL 9.6 へのアップグレード) でアップグレードできるようになりました。
-
leappユーティリティーの実行時に、リソースの制限が自動的に調整され、leapp の実行中にさまざまなエラーが発生しないようにします。 - ストレージが Clevis TPM 2.0 トークンで設定された LUKS2 形式を使用している場合は、暗号化されたストレージを備えたシステムをアップグレードできます。
- カーネルコマンドラインで net.naming-scheme 引数を使用して、アップグレード中にネットワークインターフェイスカード (NIC) 名を保存する新しいソリューションを実装します。
- Red Hat Update Infrastructure (RHUI) を使用して、システム上でインプレースアップグレードを設定する方法を紹介します。詳細は、Using RHUI to configure an in-place upgrade を参照してください。
RHEL7 から RHEL 9 へのインプレースアップグレード
RHEL7 から RHEL 9 へのインプレースアップグレードを直接実行することはできません。ただし、RHEL 7 から RHEL 8 へのインプレースアップグレードを実行してから、RHEL 9 への 2 回目のインプレースアップグレードを実行することはできます。詳細は、In-place upgrades over multiple RHEL major versions by using Leapp を参照してください。
1.3. Red Hat Customer Portal Labs
Red Hat Customer Portal Labs は、カスタマーポータルのセクションにあるツールセットで、https://access.redhat.com/labs/ から入手できます。Red Hat Customer Portal Labs のアプリケーションは、パフォーマンスの向上、問題の迅速なトラブルシューティング、セキュリティー問題の特定、複雑なアプリケーションの迅速なデプロイメントおよび設定に役立ちます。最も一般的なアプリケーションには、以下のものがあります。
- Registration Assistant
- Kickstart Generator
- Red Hat Product Certificates
- Red Hat CVE Checker
- Kernel Oops Analyzer
- VNC Configurator
- Red Hat Satellite Upgrade Helper
- JVM Options Configuration Tool
- Load Balancer Configuration Tool
- Ceph Placement Groups (PGs) per Pool Calculator
- Yum Repository Configuration Helper
- Red Hat Out of Memory Analyzer
- Postfix Configuration Helper
- System Unit Generator
- Rsyslog Configuration Helper
1.4. 関連情報
他のバージョンと比較した Red Hat Enterprise Linux 9 の 機能および制限 は、Red Hat ナレッジベースの記事 Red Hat Enterprise Linux technology capabilities and limits を参照してください。
Red Hat Enterprise Linux の ライフサイクル に関する情報は Red Hat Enterprise Linux のライフサイクル を参照してください。
パッケージマニフェスト ドキュメントは、ライセンスとアプリケーションの互換性レベルを含む、RHEL 9 の パッケージリスト を提供します。
アプリケーションの互換性レベル は、Red Hat Enterprise Linux 9: アプリケーション互換性ガイド ドキュメントで説明されています。
削除された機能を含む主な RHEL 8 と RHEL 9 の相違点 は、RHEL 9 の導入における考慮事項 で説明されています。
RHEL 8 から RHEL 9 へのインプレースアップグレード を実行する方法は、Upgrading from RHEL 8 to RHEL 9 を参照してください。
すべての RHEL サブスクリプションで、既知の技術問題の特定、検証、および解決をプロアクティブに行う Red Hat Insights サービスが利用できます。Red Hat Insights クライアントをインストールし、システムをサービスに登録する方法は、Red Hat Insights を使い始める ページを参照してください。
公開リリースノートには、元の追跡チケットにアクセスするためのリンクが含まれていますが、非公開リリースノートは表示できないため、リンクは含まれていません。[1]
第2章 RHEL 9 のコンテンツの配布
2.1. インストール
Red Hat Enterprise Linux 9 は、ISO イメージを使用してインストールします。AMD64、Intel 64 ビット、64 ビット ARM、IBM Power Systems、IBM Z アーキテクチャーで、以下の 2 種類のインストールメディアが利用できます。
インストール ISO: BaseOS リポジトリーおよび AppStream リポジトリーが含まれ、リポジトリーを追加しなくてもインストールを完了できる完全インストールイメージです。Product Downloads ページでは、
Installation ISOはBinary DVDと呼ばれます。注記インストール用 ISO イメージのサイズは複数 GB であるため、光学メディア形式には適合しない場合があります。インストール ISO イメージを使用して起動可能なインストールメディアを作成する場合は、USB キーまたは USB ハードドライブを使用することが推奨されます。Image Builder ツールを使用すれば、RHEL イメージをカスタマイズできます。Image Builder の詳細は Composing a customized RHEL system image を参照してください。
- Boot ISO - インストールプログラムを起動するのに使用する最小限の ISO ブートイメージです。このオプションでは、ソフトウェアパッケージをインストールするのに、BaseOS リポジトリーおよび AppStream リポジトリーにアクセスする必要があります。リポジトリーは、Installation ISO イメージの一部です。インストール中に Red Hat CDN または Satellite に登録して、Red Hat CDN または Satellite から最新の BaseOS および AppStream コンテンツを使用することもできます。
ISO イメージのダウンロード、インストールメディアの作成、および RHEL インストールの完了の手順については、インストールメディアからの RHEL の対話型インストール ドキュメントを参照してください。自動キックスタートインストールやその他の高度なトピックについては、RHEL の自動インストール ドキュメントを参照してください。
2.2. リポジトリー
Red Hat Enterprise Linux 9 は、2 つのメインリポジトリーで配布されています。
- BaseOS
- AppStream
基本的な RHEL インストールにはどちらのリポジトリーも必要で、すべての RHEL サブスクリプションで利用できます。
BaseOS リポジトリーのコンテンツは、すべてのインストールのベースとなる、基本的なオペレーティングシステム機能のコアセットを提供します。このコンテンツは RPM 形式で提供されており、RHEL の以前のリリースと同様のサポート条件が適用されます。詳細は、対象範囲の詳細 を参照してください。
AppStream リポジトリーには、さまざまなワークロードとユースケースに対応するために、ユーザー空間アプリケーション、ランタイム言語、およびデータベースが同梱されます。
また、CodeReady Linux Builder リポジトリーは、すべての RHEL サブスクリプションで利用できます。このリポジトリーは、開発者向けの追加パッケージを提供します。CodeReady Linux Builder リポジトリーに含まれるパッケージは、サポート対象外です。
RHEL 9 リポジトリーとそれらが提供するパッケージの詳細は、パッケージマニフェスト を参照してください。
2.3. Application Streams
複数のバージョンのユーザー空間コンポーネントが Application Streams として配信され、オペレーティングシステムのコアパッケージよりも頻繁に更新されます。これにより、プラットフォームや特定のデプロイメントの基盤となる安定性に影響を及ぼさずに、RHEL をより柔軟にカスタマイズできます。
Application Streams は、通常の RPM 形式で、モジュールと呼ばれる RPM 形式への拡張として、Software Collections として、または Flatpak として利用できます。
各 Application Stream コンポーネントには、RHEL 9 と同じか、より短いライフサイクルが指定されています。RHEL のライフサイクル情報は、Red Hat Enterprise Linux のライフサイクル を参照してください。
RHEL 9 では、従来の dnf install コマンドを使用して RPM パッケージとしてインストールできる最初の Application Streams バージョンを提供することで、Application Streams エクスペリエンスを向上させています。
RPM 形式を使用する初期 Application Streams の中には、Red Hat Enterprise Linux 9 よりも短いライフサイクルのものがあります。
追加の Application Stream バージョンの中には、将来のマイナー RHEL 9 リリースで、ライフサイクルが短いモジュールとして配布されるものがあります。モジュールは、論理ユニット (アプリケーション、言語スタック、データベース、またはツールセット) を表すパッケージの集まりです。これらのパッケージはまとめてビルドされ、テストされ、そしてリリースされます。
Application Stream のどのバージョンをインストールするかを決めるには、まず Red Hat Enterprise Linux Application Stream ライフサイクル を確認してください。
代替コンパイラーやコンテナーツールなど、迅速な更新を必要とするコンテンツは、代替バージョンを並行して提供しないローリングストリームで利用できます。Rolling Streams は、RPM またはモジュールとしてパッケージ化される場合があります。
RHEL 9 で使用可能な Application Streams とそのアプリケーション互換性レベルは、パッケージマニフェスト を参照してください。アプリケーションの互換性レベルは、Red Hat Enterprise Linux 9: アプリケーション互換性ガイド ドキュメントで説明されています。
2.4. YUM/DNF を使用したパッケージ管理
Red Hat Enterprise Linux 9 では、ソフトウェアインストールは DNF により保証されます。Red Hat は、以前の RHEL のメジャーバージョンとの整合性を保つため、yum コマンドの使用を引き続きサポートします。yum の代わりに dnf と入力しても、どちらも互換性のためのエイリアスなので、コマンドは期待通りに動作します。
RHEL 8 と RHEL 9 は DNF をベースにしていますが、RHEL 7 で使用していた YUM との互換性があります。
詳細は、DNF ツールを使用したソフトウェアの管理 を参照してください。
第3章 新機能
ここでは、Red Hat Enterprise Linux 9.6 に追加された新機能および主要な機能拡張を説明します。
3.1. インストーラーおよびイメージの作成
インストール中に暗号化された DNS 設定を有効にするために CA 証明書のキックスタートサポートが追加される
キックスタートファイルの %certificate セクションのサポートが追加されました。これにより、インストールプログラム環境およびインストール済みのシステムに CA 証明書をインストールできるようになりました。これにより、セットアッププロセスが簡素化され、インストール後に暗号化された DNS が確実に機能するようになり、手動設定とセキュリティーのギャップが軽減されます。証明書は Base64 ASCII 形式でインライン化され、--dir および --filename オプションを通じてインポートされます。この機能拡張により、ゼロトラストアーキテクチャー 要件の一部として暗号化された DNS 設定が容易になります。インストール中に暗号化された DNS セットアップにより、最初から安全な DNS 解決が確保され、自動デプロイメントにおけるセキュリティーとコンプライアンスが向上します。
Jira:RHEL-61430[1]
RHEL Image Builder は、高度なパーティショニングによるディスクイメージの作成をサポートする
この機能拡張により、RHEL Image Builder では、パーティションをカスタマイズし、高度なパーティションレイアウトでディスクイメージを作成するためのオプションがさらに増えました。カスタムのマウントオプション、LVM ベースのパーティション、LVM ベースの SWAP など、カスタムマウントポイントを使用してディスクイメージを作成できます。たとえば、ブループリントファイルを使用して / および /boot ディレクトリーのサイズを変更できます。
Jira:RHELDOCS-19584[1]
bootc-image-builder が、高度なパーティション設定によるイメージモードのディスクイメージの作成をサポートするようになる
この機能拡張により、bootc-image-builder ツールには、パーティションをカスタマイズし、高度なパーティションレイアウトでディスクイメージを作成するためのオプションがさらに追加されました。bootc-image-builder ツールを使用して、カスタムマウントオプション、LVM ベースのパーティション、LVM ベースの SWAP などのカスタムマウントポイントを持つイメージモード RHEL のディスクイメージを作成し、たとえば、config.toml を使用して / および /boot ディレクトリーのサイズを変更できます。
Jira:RHELDOCS-19291[1]
RHEL で bootc image builder ツールが一般提供される
RHEL で bootc image builder ツールが一般提供され、bootc コンテナー入力から互換性のあるディスクイメージを簡単に作成およびデプロイできるコンテナーとして機能するようになりました。bootc image builder を使用してコンテナーイメージを実行した後、必要なアーキテクチャーのイメージを生成できます。その後、生成されたイメージを仮想マシン、クラウド、またはサーバーにデプロイできます。新しい更新が必要になるたびに bootc image builder を使用してコンテンツを再生成するのではなく、bootc を使用してイメージを簡単に更新できます。
Jira:RHELDOCS-17468[1]
3.2. セキュリティー
pcsd で --disable-polkit オプションが提供されるようになる
この更新により、--disable-polkit オプションを指定して pcsd サービスを起動し、PolicyKit 認可フレームワークのロードをオフにできるようになりました。polkit なしで pcsd を実行すると、初期 RAM ディスクなど、限られた環境で PKCS #11 デバイスにアクセスできます。これにより、Clevis 復号化クライアントは、起動時に LUKS 暗号化ボリュームの自動アンロックに PKCS #11 デバイスを使用できます。
ssh が SSH ログインエラーメッセージに関する追加の詳細へのリンクを提供するようになる
早期エラーが発生した場合、ssh コマンドラインツールは、一般的なエラーメッセージとその解決手順に関する追加の詳細が記載されている Red Hat カスタマーポータルページへのリンクを提供します。これは、対話型モードを使用するときに SSH ログインの問題をトラブルシューティングするのに役立ちます。
Jira:RHEL-33809[1]
pkcs-tool にオブジェクト URI が表示されるようになる
この更新により、pkcs11-tool -L コマンドおよび pkcs11-tool -O コマンドでは、出力に uri: フィールドが含まれるようになりました。PKCS #11 デバイスを使用して LUKS で暗号化したドライブを自動的にアンロックするために pkcs11 Clevis ピンを設定する場合は、URI 情報を使用できます。
CBC 暗号が crypto-policies でブロックできるようになる
この更新により、crypto-policies は openssl -CBC CipherString ディレクティブを使用します。その結果、crypto-policies で有効でない場合は、CBC 暗号スイートが OpenSSL で無効になります。
Jira:RHEL-76524[1]
nettle が 3.10.1 にリベース
nettle ライブラリーパッケージがアップストリームバージョン 3.10.1 にリベースされました。このバージョンでは、さまざまなバグ修正、最適化、機能拡張が行われていますが、特に注目すべき点は次のとおりです。
- 64 ビット PowerPC アーキテクチャー (SHA-256、AES 復号化、および AES-GCM) でのパフォーマンスが向上しました。
- 新しい決定論的乱数ビットジェネレーターである DRBG-CTR-AES256 が追加されました。
- 新しい OAEP パディングスキームを使用する RSA 暗号化/復号化である RSA-OAEP が追加されました。
- SHA-3 ファミリーの任意長ハッシュ関数である SHAKE-128 が追加されました。
- SHAKE-128 および SHAKE-256 のストリーミング API が追加されました。
- MD5 アセンブリーが削除されました。これは、わずかなパフォーマンスへの影響を伴う可能性があります。
Jira:RHEL-52740[1]
Rsyslog が 8.2412.0 にリベース
rsyslog パッケージが、RHEL 9.6 のアップストリームバージョン 8.2412.0 にリベースされました。他の修正や機能拡張に加えて、ルールセットを imjournal モジュールにバインドできるようになりました。この最適化により、ログメッセージを入力段階でフィルタリングして処理できるため、メインメッセージキューの負荷が軽減されます。これにより、リソースの使用率が最小限に抑えられ、大量のログの処理がスムーズになります。
OpenSCAP が 1.3.12 にリベース
OpenSCAP パッケージがアップストリームバージョン 1.3.12 にリベースされました。このバージョンでは、バグ修正とさまざまな機能拡張が提供されます。詳細は、OpenSCAP リリースノート を参照してください。
Clevis がバージョン 21 にリベースされ、PKCS #11 に対応する
clevis パッケージがバージョン 21 にアップグレードされました。このバージョンには、多くの機能拡張とバグ修正が含まれており、特に次の点が挙げられます。
-
PKCS #11 デバイス (スマートカード) を使用して LUKS で暗号化されたボリュームのロックを解除するための
pkcs11ピンを提供するclevis-pin-pkcs11サブパッケージを追加しました。 -
clevis-udisks2サブパッケージに 2 つのチェックを追加しました。 - "Address in use" エラーを防ぐ修正を追加しました。
新しい Keylime ポリシー管理ツール
新しい keylime-policy ツールは、Keylime ランタイムポリシーと測定ブートポリシーのすべての管理タスクを統合し、ポリシー生成のパフォーマンスを向上させます。
SELinux は特定のタイプを /dev/hfi1_0 に割り当てる
この更新により、SELinux ポリシーの /dev/hfi1_0 デバイスに hfi1_device_t タイプが割り当てられるようになりました。これにより、SELinux はデバイスへのアクセスを適切に制御できます。
Jira:RHEL-54996[1]
SELinux ポリシーに制限されている追加サービス
この更新により、次の systemd サービスを制限する追加のルールが SELinux ポリシーに追加されます。
-
iio-sensor-proxy -
power-profiles-daemon -
switcheroo-control -
samba-bgqd
その結果、これらのサービスは、CIS Server Level 2 ベンチマークの "SELinux によって制限されていないデーモンがないことを確認する" ルールに違反する unconfined_service_t SELinux ラベルで実行されなくなり、SELinux enforcing モードで正常に実行されるようになりました。
Jira:RHEL-17346、Jira:RHEL-53124、Jira:RHEL-61117、Jira:RHEL-24268
SCAP Security Guide が 0.1.76 にリベース
詳細は、SCAP Security Guide release notes を参照してください。
Keylime には失効通知に HTTPS が必要
Keylime コンポーネントでは、HTTP ではなく、失効通知 Webhook により安全な HTTPS プロトコルを使用する必要があります。その結果、Keylime verifier には失効通知 Webhook サーバー CA 証明書が必要になります。この証明書は、trusted_server_ca 設定オプションに追加することも、システムのトラストストアに追加することもできます。
3.3. RHEL for Edge
FDO を使用した RHEL システムのイメージモードのデプロイのサポート
今回の機能拡張により、テクノロジープレビューとして利用可能な FIDO Device Onboarding (FDO) プロセスを使用して、このシステムに設定を提供することで、RHEL システムのイメージモードをデプロイできるようになりました。ISO ビルドにキックスタートファイルを追加して、ベースイメージのデプロイメントを除くインストールプロセスの任意の部分を設定します。bootc コンテナーベースイメージで ISO を使用する場合、bootc-image-builder は自動的にコンテナーイメージをインストールするコマンドである ostreecontainer をインストールします。ostreecontainer コマンド以外は、引き続きすべてを設定できます。
Jira:RHELDOCS-19610[1]
RHEL で greenboot パッケージのバージョン 0.15.8 を提供
greenboot パッケージがバージョン 0.15.8 に更新され、バグ修正および機能拡張が提供されています。主な変更点は、以下のとおりです。
-
bootcがrpm-ostreeと並行して利用可能な場合のbootcのrpm-ostreeとの互換性を修正しました。 -
一般的なバグ修正:
bootcが利用できない場合は、rpm-ostreeを使用してロールバックします。
3.4. ソフトウェア管理
Image Mode for RHEL では、ユーザーが dnf --transient を使用して、再起動時にリセットされるパッケージトランザクションを実行できるようになる
以前は、Image Mode for RHEL では、bootc usr-overlay コマンドを実行してシステムのロックを解除し、DNF コマンドを実行して変更を加えることで、パッケージを一時的にインストール、削除、アップグレードできました。bootc usr-overlay を使用する場合にシステムを再起動すると、/usr ディレクトリーのオーバーレイが消え、そこに行われたすべての変更がリセットされます。/etc 内の設定や /var 内のプログラム状態など、他のディレクトリーへの変更は、再起動後も保持されます。
この更新により、bootc システムでのユーザーエクスペリエンスを向上させるために、新しい --transient フラグと新しい persistence 設定オプションが DNF に追加されました。次のいずれかのオプションを使用して、bootc usr-overlay ステップをスキップできるようになりました。
-
dnf --transientコマンドを使用します。 -
dnf.confファイルで、persistenceオプションをtransientに設定します。
bootc usr-overlay、--transient、および persistence=transient を使用することにより、トランザクションの前、最中、および後に、/usr ディレクトリーが他のプロセスに対して読み取り専用のままになります。
たとえば、make パッケージを一時的にインストールするには、次のように入力します。
# dnf install --transient makeロックされた OSTree または bootc システムで DNF を使用する際のエラーメッセージが改善される
OSTree および bootc システムは、デフォルトでは DNF によって管理できません。以前は、DNF エラーメッセージには、これが予期される動作であること、およびそれを変更する方法が示されていませんでした。この更新により、DNF は読み取り専用の OSTree または bootc システムで実行されているかどうかを検出し、DNF を使用してそのようなシステムを管理する方法の詳細を参照できる場所を通知します。
DNF Automatic が失敗した更新をユーザーに通知できるようになる
この更新により、/etc/dnf/automatic.conf 設定ファイルの [emitters] セクションに新しい send_error_messages ブール値オプションが追加されました。その結果、send_error_messages を yes に設定すると、DNF Automatic ツールは、emit_via オプションで設定されたエミッターを使用して、失敗した自動更新を通知します。
この機能はデフォルトで無効化されています。
3.5. シェルおよびコマンドラインツール
ignoreduplicates オプションが利用可能になる
この機能拡張により、logrotate 設定に ignoreduplicates オプションが追加されました。このオプションは、logrotate 設定内の重複したファイルパスを無視し、デフォルトでは有効化されていません。
Jira:RHEL-5711[1]
maven-openjdk21 パッケージが利用可能になる
RHEL は、複数の Java バージョンでの Maven の実行をサポートしており、ユーザーは好みの JDK を選択できます。この機能拡張により、OpenJDK 21 で Maven のシームレスな実行を可能にする新しい maven-openjdk21 パッケージが追加されました。主な変更点は次のとおりです。
- Maven ワークフローでサポートされる Java ランタイムのセットを拡張。
- 開発環境およびビルド環境の柔軟性の向上。
openCryptoki がバージョン 3.24.0 にリベース
openCryptoki パッケージがバージョン 3.24.0 にリベースされました。以下のサポートが追加されました。
- IBM Z 以外のプラットフォーム (x86_64、ppc64) 上の CCA トークン
- IBM Dilithium
- 暗号化または復号化時に SHA224、SHA384、および SHA512 を使用する RSA-OAEP
- PKCS#11 v3.0 SHA3 メカニズム
- SHA-2 メカニズム
- SHA ベースの鍵導出メカニズム
- トークン固有のユーザーグループによるトークンの保護
- z14 以降で KMA 命令を使用する新しい libica AES-GCM API
Jira:RHEL-50064[1]
libva が 2.22.0 にリベース
libva パッケージが 2.22.0 にリベースされました。主な機能拡張は次のとおりです。
- VVC デコード LibVA インターフェの追加
-
linux-dmabufへのサポートの追加
Jira:RHEL-59629[1]
新しいモジュールストリーム maven 3.9 が利用可能になる
maven 3.9 パッケージの新しい更新が利用可能になりました。バージョン 3.9 では、maven は maven 2 と互換性がありません。主な機能拡張は次のとおりです。
-
maven-openjdk21パッケージが利用可能となりました。OpenJDK 21パッケージを使用した Maven のシームレスな実行を可能にします。OpenJDK 21パッケージは、Maven ワークフローでサポートされる Java ランタイムのセットの拡張を提供し、開発環境およびビルド環境の柔軟性が向上します。
マルチパスパートナーデバイスがサポート対象となる
drmgr は、論理および物理的なホットプラグ対応のリソースを管理するためのユーティリティーです。この機能拡張により、drmgr が、マルチパスドライブのホットプラグの追加と削除をサポートするようになりました。
Jira:RHEL-30880[1]
3.6. インフラストラクチャーサービス
弱い暗号の無効化が CUPS 設定で可能になる
以前は、CUPS 設定で弱い暗号を無効にすると、設定の変更は有効になりませんでした。この機能拡張により、ユーザーがシステムポリシーを使用して特定の暗号化アルゴリズムを無効にしたい場合、CUPS 設定ファイルに SSLOptions NoSystem が含まれていなければ、CUPS はシステム設定を考慮し、システム全体で無効化されたアルゴリズムを提供しなくなります。
その結果、既存の設定が破損する可能性を防ぐために、SSLOptions NoSystem ディレクティブが、/etc/cups/cupsd.conf および /etc/cups/client.conf に設定されます。ユーザーが cupsd デーモンまたは libcups を使用するアプリケーションにシステム暗号化ポリシーを遵守させたい場合は、それぞれの設定ファイルから前述の SSLOptions ディレクティブを削除できます。
-
/etc/cups/cupsd.conf:cupsdデーモンがシステム暗号化ポリシーに従うことが期待される場合。 -
/etc/cups/client.conf:libcupsを使用するアプリケーションがシステムの暗号化ポリシーに従うことが期待される場合。
Jira:RHEL-68414[1]
3.7. ネットワーク
E825C インターフェイスのサポートが追加される
Intel Granite Rapids-D プラットフォームの E825C ネットワークインターフェイスのイーサネット機能のサポートが ice ドライバーに追加されました。
Jira:RHEL-57827[1]
i40e ドライバーが MDD イベントでの自動リセット動作をサポートする
Intel® Network Adapter Driver for PCIe* 40 Gigabit Ethernet は、Malicious Driver Detection (MDD) イベントを検出すると、問題のある Single Root I/O Virtualization (SR-IOV) Virtual Function (VF) をリセットできるようになりました。この自動リセット動作は、次の例のコマンドのように、新しい mdd-auto-reset-vf オプションを使用してアクティブ化できます。
ethtool --set-priv-flags _ethX_ *mdd-auto-reset-vf* on
VF が悪意があると分類された不正なパケットを送信すると、Tx キューがフリーズし、数分間使用できなくなる可能性があります。ただし、mdd-auto-reset-vf を有効にすると、MDD イベントが発生したときに、正常な VF リセットによって動作状態が自動的に復元されます。
Jira:RHEL-54223[1]
NetworkManager が NIC 上の FEC エンコーディングの設定をサポートするようになる
この機能拡張により、NetworkManager はネットワークインターフェイスコントローラー (NIC) での前方誤り訂正 (FEC) エンコーディングサポートをサポートします。NIC で FEC エンコーディングを無効にすると、冗長データ転送のオーバーヘッドが削減され、ネットワークトラフィックの遅延が短縮されます。次の手順に従って、NIC で FEC 設定を行います。
nmcliユーティリティーを使用して FEC 設定を行います。# nmcli con mod __<example_connection_name>__ ethtool.fec offインターフェイスをダウンさせて、ethtool FEC エンコーディング設定を適用します。
# nmcli con down __<example_connection_name>__インターフェイスを起動して、ethtool FEC エンコーディング設定を適用します。
# nmcli con up __<example_connection_name>__ethtoolユーティリティーを使用して、以下を実行します。# ethtool --show-fec __<example_device_name>__
NetworkManager は DNS サーバーにルートを自動的に追加できる
ipv4.routed-dns パラメーターを使用すると、ネームサーバーが正しいネットワークインターフェイス経由でのみアクセス可能になるように NetworkManager を設定できます。NetworkManager の systemd-resolved および dnsmasq バックエンド DNS サービスを除き、他のバックエンドサービスは、ネームサーバーを正しいネットワークインターフェイスにバインドすることをサポートしていません。そのため、関連するネットワークインターフェイスを経由するネームサーバーへの明示的なルートを追加するには、NetworkManager を使用してください。
NetworkManager はデフォルトで ipv4.dhcp-send-hostname`to `false を設定できる
この機能により、NetworkManager の ipv4.dhcp-send-hostname オプションをすべての IPv4 接続に対して false に設定できます。このオプションをデフォルトで無効にするには、次のようにして /etc/NetworkManager/conf.d/99-no-hostname.conf ファイルに設定スニペットを追加します。
[connection]
match-device=type:ethernet
ipv4.dhcp-send-hostname=0このオプションは IPv6 にも設定できます。
Jira:RHEL-32685[1]
NetworkManager は接続設定の ip-ping-addresses と ip-ping-timeout プロパティーをサポートする
この機能拡張により、ip-ping-addresses に IP アドレスを追加し、ip-ping-timeout 設定でタイムアウトを設定できるようになります。その結果、ネットワークファイルシステム (NFS) などのリモートサービスが、ターゲットネットワークに到達可能になった後にのみマウントされるようになります。
nmstate は Libreswan 設定の require-id-on-certificate 設定をサポートする
この機能拡張により、Internet Protocol Security (IPsec) 仕様の実装である libreswan は、NetworkManager を使用した VPN 設定の require-id-on-certificate 設定をサポートするようになりました。この機能により、require-id-on-certificate オプションを使用して、サブジェクト代替名 (SAN) 検証を設定できます。その結果、この実装では、指定された設定に基づいて SAN 検証が正しく適用されます。
-
noに設定すると、SAN 検証は実行されません -
yesに設定すると、SAN 検証されます
Jira:RHEL-58040[1]
NetworkManager DHCP クライアントは DHCPv4 の IPv6 のみの優先オプションをサポートする
この機能拡張により、サポートされている DHCP サーバーの NetworkManager クライアントで、DHCPv4 の IPv6 のみの優先オプションが利用できるようになります。このオプションは、グローバルとローカルの 2 つの方法で使用できます。このオプションがグローバルに有効になっている場合、IPv4 と IPv6 の両方をサポートするデュアルネットワークで、IPv6 アドレスのみが許可され、優先されます。ipv6.method disabled オプションを設定してローカルで有効にした場合、手動で割り当てられた IPv4 アドレスが DHCP アドレスよりも優先されます。
xdp-tools がバージョン 1.5.1 にリベース
xdp-tools パッケージがバージョン 1.5.1 にアップグレードされ、複数の機能拡張とバグ修正が提供されています。主な変更点は、以下のとおりです。
-
サポートされているネットワークデバイス間で XDP アクセラレーションパケット転送を可能にする
xdp-forwardユーティリティーを追加しました。 -
xdp-trafficgenユーティリティーを更新し、User Datagram Protocol (UDP) パケットサイズの指定をサポートするようになりました。 - XDP ソケット (XSK) およびユーザーメモリー (UMEM) オブジェクトを作成するための新しいオプションベースの API が追加されました。
wpa_supplicant がバージョン 2.11 にリベース
wpa_supplicant ユーティリティーがバージョン 2.11 にアップグレードされ、複数のバグ修正と機能拡張が提供されています。主な変更点は、以下のとおりです。
- 誤った Extensible Authentication Protocol (EAP) セッション ID の長さの制約を削除しました。
- OpenSSL 3.0 API の変更に対するサポートが追加されました。
- Extremely High Throughput (EHT) 操作用に有効になっている CONFIG_IEEE80211BE 設定オプション。
-
4 ウェイハンドシェイクでの明示的な Service Set Identifier (SSID) 保護のサポートは、デフォルトで無効になっています。
ssid_protection=1設定オプションを使用して、これを有効にできます。
詳細は、アップストリームの changelog を参照してください。
iproute2 がバージョン 6.11.0 にリベース
iproute2 パッケージがバージョン 6.11.0 にアップグレードされ、複数のバグ修正と機能拡張が提供されています。主な変更点は、以下のとおりです。
-
mst_enabledパラメーターへのサポートを追加 - VLAN の Multiple Spanning Tree Instance (MSTI) の設定へのサポートを追加
- Multiple Spanning Tree (MST) 状態へのサポートを追加
-
ENABLE_BPF_SKSTORAGE_SUPPORT 設定オプションの
libbpfバージョンチェックを修正 - Berkeley Packet Filter (BPF) ソケットローカルストレージへのサポートを追加
-
未使用および廃止されたキューイング規律 (
qdiscs) および分類子へのサポートを削除 - いくつかの NULL 逆参照の修正とコードの最適化
詳細は、アップストリームの記事 を参照してください。
ボンディングデバイスが ESN を使用した IPsec HW オフロードをサポートする
以前は、ボンディングデバイスは Extended Sequence Numbers (ESN) を使用した IPSec Hardware HW オフロード機能をサポートしていませんでした。その結果、HW オフロードと ESN を使用した IPsec のセットアップがボンディングデバイス上で失敗しました。この修正により、ボンドポートがすでにこの機能をサポートしていることを考慮すると、ボンディングデバイス上で IPsec HW オフロードと ESN をセットアップできます。その結果、ボンディングデバイスは IPsec トラフィックを正しくオフロードします。
Jira:RHEL-50630[1]
VXLAN 実装における新しい「ドロップ理由」
RHEL カーネルの今回の更新では、Virtual eXtensible Local Area Networking (VXLAN) 実装に新しい「ドロップ理由」を追加する可視性パッチが導入されました。可視性パッチは問題のトラブルシューティングに重要であり、これらの追加により、VXLAN でドロップされたパケットのほとんどに理由が添付され、追加のコンテキストが提供されるようになりました。
Jira:RHEL-68063[1]
RHEL のモデム用ネットワークドライバーが完全にサポートされるようになる
米国では、デバイスメーカーは連邦通信委員会 (FCC) ロックをデフォルト設定としてサポートしています。FCC は、モデムと通信するためのチャネルを WWAN ドライバーが提供する特定のシステムに、WWAN ドライバーをバインドするロックを提供します。
モデムの PCI ID に基づいて、メーカーは ModemManager のロックを解除するツールを提供することがありますが、それらはクローズドソースおよびプライベートバイナリーを含んでいるため、RHEL には統合されません。
WWAN ドライバーに互換性があり機能していても、以前にロックを解除していないとモデムは使用できません。
Red Hat Enterprise Linux は、以下のモデムのドライバーを完全にサポートして提供します。
- Intel IPC over Shared Memory (IOSM) - Intel XMM 7360 LTE Advanced
- Mediatek t7xx (WWAN) - Fibocom FM350GL
- Intel IPC over Shared Memory (IOSM) - Fibocom L860GL modem
- アップストリームでサポートされる Qualcomm デバイス
Jira:RHELDOCS-16760[1]
nmstate が IPvLAN の設定をサポートするようになる
nmstate API は、ネットワーク管理とコンテナーネットワークを強化する仮想ネットワークインターフェイスである IPvLAN の設定をサポートするようになりました。
IPvLAN は次のモードをサポートします。
-
l2: IPvLAN は ARP 要求を受信して応答します。これによりパフォーマンスは向上しますが、ネットワークトラフィックの制御は低下します。 -
l3: IPvLAN はレイヤー 3 以上のトラフィックのみを処理します。IPvLAN は ARP 要求に応答しないため、関連するデバイス上の IPvLAN IP アドレスの ARP テーブルエントリーを手動で設定する必要があります。 -
l3s: IPvLAN は l3 モードと同様の処理をしますが、関連するデバイスの Egress トラフィックと Ingress トラフィックの両方がデフォルトの namespace のnetfilterチェーンを通過する点が異なります。 -
Private:private設定は、IPvLAN インターフェイスとネットワーク上の他のデバイス間の分離を制御します。 -
Vepa: 有効にすると、IPvLAN はトラフィックを中央スイッチ経由で転送し、ブロードキャストトラフィックを削減してネットワーク管理を改善します。
次の例では、l3 モードの IPvLAN をセットアップできます。
---
interfaces:
- name: ipvlan0
type: ipvlan
state: up
ipvlan:
base-iface: eth0
mode: l3
private: false
vepa: false3.8. カーネル
RHEL 9.6 のカーネルバージョン
Red Hat Enterprise Linux 9.6 には、カーネルバージョン 5.14.0-570.12.1 が同梱されています。
eBPF 機能が Linux カーネルバージョン 6.12 にリベース
主な変更点と機能拡張は次のとおりです。
- BPF トークンは、特権のあるシステム全体のデーモンから信頼できる非特権アプリケーションへの BPF 機能のサブセットの委譲をサポートします。
- BPF アリーナは、BPF プログラムとユーザー空間の間で共有されるスパースなメモリー領域で、このアリーナ内のポインタがシームレスに機能するように設計されています。
-
may_goto命令は、verifier とプログラムとの間の contract です。verifier は、ほとんどの状況で (ループが正常に動作することを条件に) プログラムがループを実行することを許可しますが、それを停止する権限を保持します。 - スピンロックのクリティカルセクションでの静的サブプログラム呼び出しに対する BPF verifier のサポート。
-
プログラムが関数のエントリーとリターンの両方にアタッチされるセッションモードで
kprobeBPF プログラムをアタッチするためのサポート。エントリープログラムは、リターンプログラムが実行されるかどうかを決定でき、プログラムはu64Cookie 値を共有できます。 - 従来のトレースポイントから raw のトレースポイントへの移行を容易にするために、raw のトレースポイントプログラムの BPF Cookie を指定して取得する機能。
-
イベントの遅延処理を行うメカニズムを提供するために、新たに
bpf_wqAPI が導入されました。 -
暗号化 API の呼び出し、プリエンプションの有効化/無効化、汎用的なビットイテレーター、およびさまざまな VFS 操作のために、いくつかの新しい
kfuncs(BPF プログラムから呼び出し可能なカーネル関数) が追加されました。 -
BPF プログラムからの
kptr、bpf_rb_root、およびbpf_list_headの配列の宣言をサポートします。 -
実行中のカーネルの
kfuncsの検出とコンパイル可能なkfuncプロトタイプのダンプをサポートします。 - PowerPC 用の 64 ビット BPF v4 CPU 命令のサポート。
- モジュールからの BTF に関して、重複を削減し、可能な限りコンパクトにする復元力のある分割 BTF をサポートします。
Jira:RHEL-63880[1]
cgroup.stat から各 cgroup のインスタンス数を表示する
cgroup v2 の場合、cgroup.stat 制御ファイルが強化され、統一階層内の各 cgroup サブシステムのインスタンス数 (終了間際のものも含む) を表示できるようになりました。
各 cgroup サブシステムの cgroup 数を表示するために使用される /proc/cgroups ファイルは、cgroup v1 用に設計されています。cgroup v2 では、/proc/cgroups で提供される情報は適用されなくなりました。このファイルは cgroup v2 で非推奨となりました。
ルート cgroup の cgroup.stat ファイルを使用して、正しい数の cgroup サブシステムを取得します。これは、cgroup v2 の /proc/cgroups に代わるものです。
Jira:RHEL-36267[1]
rtla-timerlat テスト中に CPU でアイドル状態をローカルで無効にする新しいオプション: deepest-idle-state
-
deepest-idle-stateの引数は、許可される最も深いアイドル状態の番号です。引数の値が -1 の場合、すべての CPU でアイドル状態が無効になります。 -
rtla-timerlatでは、CPU をグローバルにアイドル状態にしないようにするために/dev/cpu_dma_latencyを使用する代わりに、測定を実行している CPU に対して許可される最も深いアイドル状態を設定するためのdeepest-idle-stateオプションが追加されました。
その結果、rtls-timerlat テスト中にリアルタイムのワークロードを反映しつつ電力を節約でき、CPU をグローバルに無効化する /dev/cpu_dma_latency の代わりに deepest-idle-state を使用できるようになりました。
Jira:RHEL-69522[1]
kpatch-dnf プラグインが更新され、カーネル管理が改善される
更新された kpatch-dnf プラグインにより、カーネルのアップグレードは kpatch サポートと緊密に連携するようになりました。管理者は、kpatch でサポートされているカーネル更新に重点を置く柔軟性を得ることができ、システムのアップグレードの信頼性と全体的な安定性が向上します。
Jira:RHEL-77113[1]
rteval ユーティリティーのコンテナー化
この更新により、Quay.io コンテナーレジストリーを通じて公開されているコンテナーイメージから、すべてのランタイム依存関係とともに rteval ユーティリティーを実行できるようになります。この機能により、たとえば次のことも可能になります。
-
古いバージョンの RHEL でも新しいバージョンの
rtevalを利用できるようにする、柔軟なデプロイメント手法を使用します。 -
同じホストまたは複数のホスト上で複数の
rtevalインスタンスを実行します。 -
特定のシステムリソースを
rtevalに割り当て、リソースの使用状況をきめ細かく制御できるようにします。
または、dockerfile テンプレートを使用して、rteval で独自のコンテナーイメージをビルドすることもできます。この dockerfile と詳細情報が記載された README ファイルは、アップストリームリポジトリー にあります。
Jira:RHEL-9909[1]
Lenovo ハードウェア用の TPM_TIS がアップストリーム 6.7 にリベース
このリリースでは、Trusted Platform Module (TPM) Integration Services (TPM_TIS) ファームウェアの更新バージョンがアップストリームバージョン 6.7 に導入されています。この更新は、RHEL 9.6 の安定性とセキュリティーの機能拡張に対応しています。
Jira:RHEL-52747[1]
kdump が 6.10 にリベース
この更新には、クラッシュダンプに関連する 6.10 カーネルの最新の改善、バグ修正、機能が組み込まれています。
新しい Linux Security Module (LSM) である Landlock がリリースされる
RHEL 9.6 では、コンテナーをより安全にする新しいセキュリティー機能である Landlock が導入されています。Landlock は、Podman などのプロセスに対してカーネル API を介したファイルシステムへのアクセスを制限するための厳格なルールを設定し、特権レベルに関係なくルールを定義して、ユーザーがプロセスのアクセス可能な範囲にハードリミットを作成できるようにします。
Landlock を使用すると、設定が間違っているか、悪意のあるプロセスに関連する潜在的なリスクを軽減するプログラムを構築できます。これにより、コンテナーとシステム全体のセキュリティーが向上します。
システム障害を防ぐために kdump 手順を検証する新しい統合テスト
この機能拡張により、ソフトウェアまたはハードウェアの更新後にログファイルで kdump 手順を確認し、システム障害を防ぐことができます。出力ログファイルの分析後、memory issues や blacklist of some drivers などの設定エントリーが修正され、kdump 手順が検証されて vmcore が生成されます。これにより、ソフトウェアまたはハードウェアの更新後にシステムがクラッシュする前に、kdump 手順が検証され、修正されます。
Jira:RHEL-32060[1]
新しい timerlat-interval INTV_US および cyclictest-interval INTV_US オプション
この機能拡張により、rteval コマンドの次の新しいオプションを使用して、timerlat または cyclictest スレッドの実行時に基本間隔オプションまたは定期間隔オプションを変更できるようになりました。
-
timerlat-interval INTV_US -
cyclictest-interval INTV_US
rteval でこれらのオプションのいずれも使用しない場合は、デフォルト値の 100 マイクロ秒が適用されることに注意してください。
Jira:RHEL-67423[1]
cyclictest によるレイテンシーテストでアイドル状態をローカルに無効にする新しいオプション
-
cyclictestツールは、アイドル状態から復帰するときにレイテンシーの増加を回避するために、デフォルトで/dev/cpu_dma_latencyを 0 に設定し、すべての CPU のアイドル状態を無効にします。 -
新しい
deepest-idle-stateオプションは、テスト用に選択された CPU のアイドル状態のみを無効にします。引数は、許容される最も深いアイドル状態を指定します。これを-1に設定すると、測定対象の CPU 上のすべてのアイドル状態が無効になります。 -
cyclictestを使用したチューニングは、リアルタイムワークロードテストを反映することになっているため、CPU アイドル状態を無効にするために/dev/cpu_dma_latencyを使用する代わりにdeepest-idle-stateを使用すると、リアルタイムワークロードが実行中の CPU のアイドル状態のみを無効にするというユースケースが反映されます。 -
その結果、すべてのユースケースに対応する
cyclictestの範囲が拡大し、消費電力が削減されます。
Jira:RHEL-65487[1]
NVMf-FC kdump が IBM Power でサポートされるようになる
NVMf-FC kdump は、kexec-tools を実行するために IBM Power システムをサポートするようになりました。これにより、NVMe ストレージデバイスを使用してファイバーチャネルネットワーク経由でシステムメモリーダンプをキャプチャーし、クラッシュダンプデータのストレージに高速かつ低遅延でアクセスできるようになります。
Jira:RHEL-11471[1]
3.9. ブートローダー
RHEL 9.6 で GRUB ブートローダーが強化される
この機能拡張には、GRUB2 コードの積極的な強化作業の一環として発見されたさまざまなセキュリティー上の不具合の修正が含まれています。GRUB ブートローダーに対するこの継続的かつ積極的なファジングの取り組みにより、いくつかの欠陥や脆弱性が発見されました。その中には、以下のように CVE として報告されるほど深刻なものも含まれていました。
-
CVE-2024-45774
grub2: reader/jpeg: Heap out-of-bounds (OOB) Write during JPEG parsing -
CVE-2024-45775
grub2: commands/extcmd: Missing check for failed allocation -
CVE-2024-45776
grub2: grub-core/gettext: Integer overflow leads to Heap OOB Write and Read. -
CVE-2024-45781
grub2: fs/ufs: OOB write in the heap -
CVE-2024-45783
grub2: fs/hfs+:refcountcan be decremented twice -
CVE-2025-0622
grub2: command/gpg: Use-after-free due to hooks not being removed on module unload -
CVE-2025-0624:
net: OOB write ingrub_net_search_config_file() -
CVE-2025-0677
grub2: UFS: シンボリックリンクの処理時に、整数オーバーフローによりヒープベースの境界外書き込みが発生することがある -
CVE-2025-0690
grub2: 読み取り: 整数オーバーフローにより境界外書き込みが発生することがある
これらの不具合の多くでは、GRUB が変数の整合性または長さをチェックしなかったためにバッファーオーバーフローまたは整数オーバーフローが発生し、ヒープ範囲外の書き込みが発生する可能性があります。これらは、さまざまなコンテキストの複数のファイルシステムで見つかりました。最も深刻な脆弱性である CVE-2025-0624 (CVSS v3 スコア 7.6) も、ネットワークの起動中にユーザーが制御する環境変数に関連する潜在的なバッファーオーバーフローです。これらの不具合により、機密データが上書きされ、悪意のあるコードが実行されて、セキュアブートがバイパスされる可能性があります。
これらの不具合と脆弱性はすべて RHEL 9.6 で修正されています。
Jira:RHELDOCS-20163[1]
3.10. ファイルシステムおよびストレージ
EROFS ファイルシステムがサポートされるようになる
EROFS は、組み込みデバイスやコンテナーなど、さまざまな読み取り専用ユースケースに適した軽量の汎用読み取り専用ファイルシステムです。必要に応じて、重複排除と透過的な圧縮を提供します。
詳細は、erofs のドキュメント を参照してください。
Jira:RHELDOCS-18451[1]
snapm が RHEL で利用可能になる
Snapshot Manager (snapm) は、システム状態のスナップショットの管理を支援するために設計された新しいコンポーネントです。これを使用して、更新や変更をロールバックし、以前のシステムスナップショットを起動できます。複数のボリュームにわたるスナップショットを管理し、スナップショットブートおよびスナップショットロールバックのブートエントリーを設定することは、多くの場合複雑で、エラーが発生しやすくなります。Snapshot Manager は、これらの一般的なタスクを自動化し、Boom Boot Manager とシームレスに統合して、プロセスを簡素化します。この更新により、システム状態のスナップショットを簡単に作成し、更新を適用して、必要に応じて以前のシステム状態に戻すことができます。
Jira:RHEL-59005[1]
TLS 対応の NFS が正式にサポートされる
RHEL 9.4 でテクノロジープレビューとして導入された、Transport Layer Security (TLS) を使用したネットワークファイルシステム (NFS) が、正式にサポートされるようになりました。この機能は、リモートプロシージャーコール (RPC) トラフィックに対して TLS を有効にして NFS セキュリティーを強化し、クライアントとサーバー間の暗号化された通信を確保します。詳細は、TLS 対応の NFS サーバーの設定 を参照してください。
TLS サポート付きの NFS は、カーネル TLS (kTLS) のサポートに依存していることに注意してください。一般用の kTLS 機能は、テクノロジープレビューとして提供されます。詳細は、テクノロジープレビュー の章のリリースノートを参照してください。
Jira:RHEL-59704[1]
VFS mnt_idmap コンパイル時チェックの変更がバックポートされる
この機能拡張により、後続の修正または機能のバックポート中に発生する可能性のある競合が最小限に抑えられます。その結果、後続のバックポートによるリグレッションのリスクが軽減されます。
Jira:RHEL-33888[1]
CIFS クライアントは、SMB 共有の下に特別なファイルを作成する機能を提供する
Common Internet File System (CIFS) クライアントには、ネイティブ Server Message Block (SMB)、ネットワークファイルシステム (NFS)、または Windows Subsystem for Linux (WSL) シンボリックリンクを作成する機能があります。新しい symlink=default|none|native|unix|mfsymlinks|sfu|nfs|wsl マウントオプションを使用して、シンボリックリンクの作成を完全に禁止するか、クライアントによって作成されるシンボリックリンクの種類を選択します。また、reparse=default|none|nfs|wsl マウントオプションを使用して、NFS または WSL 再解析ポイントを介して、キャラクターデバイス、ブロックデバイス、パイプ、ソケットなどの特別なファイルを作成することもできます。NT File System (NTFS) ボリューム上の Windows アプリケーションでサポートされているネイティブ Windows ソケットを作成するには、nativesocket マウントオプションを使用します。
Jira:RHEL-76046[1]
3.11. 高可用性およびクラスター
pcs コマンド 1 つで複数のリソースを削除する
この更新前は、pcs resource delete、pcs resource remove、pcs stonith delete、および pcs stonith remove コマンドは、一度に 1 つのリソースのみの削除をサポートしていました。この更新により、1 つのコマンドで複数のリソースを一度に削除できるようになりました。
クラスターリソースタグをテキスト、JSON、コマンド形式で表示するための新しい pcs tag コマンドオプション
pcs tag [config] コマンドは、次のユースケースで --output-format オプションをサポートするようになりました。
-
--output-format=textを指定して、設定されたテキストをプレーンテキスト形式で表示します。これはこのオプションのデフォルト値です。 -
--output-format=cmdを指定して、現在のクラスタータグ設定から作成されたコマンドを表示します。これらのコマンドを使用して、別のシステムで設定されたタグを再作成できます。 -
--output-format=jsonを指定して、設定されたタグを機械解析に適した JSON 形式で表示します。
Jira:RHEL-46284[1]
フェンシングレベル設定を JSON 形式および pcs コマンドとしてエクスポートすることをサポート
pcs stonith config コマンドと pcs stonith level config コマンドは、フェンシングレベル設定を JSON 形式と pcs コマンドとして表示するための --output-format= オプションをサポートするようになりました。
-
--output-format=cmdを指定すると、フェンシングレベルを設定する現在のクラスター設定から作成されたpcsコマンドが表示されます。これらのコマンドを使用して、別のシステムで設定されたフェンシングレベルを再作成できます。 -
--output-format=jsonを指定すると、マシン解析に適した JSON 形式でフェンシングレベル設定が表示されます。
Booth 設定から削除した後、CIB から Booth クラスターチケットを削除する
pcs booth ticket remove コマンドを使用して Booth クラスターチケットを削除した後も、Booth チケットの状態は Cluster Information Base (CIB) にロードされたままになります。これは、1 つのサイトの Booth 設定からチケットを削除し、pcs booth pull コマンドを使用して Booth 設定を別のサイトにプルした後も同様です。これは、チケット制約を設定する際に問題が発生する可能性があります。チケット制約は、チケットが削除された後でも付与される可能性があるためです。その結果、クラスターがノードをフリーズまたはフェンスする可能性があります。RHEL 9.6 以降では、pcs booth ticket cleanup コマンドを使用して CIB から Booth チケットを削除することで、これを防ぐことができます。
CIB から Booth チケットを削除する方法は、Booth チケットの削除 を参照してください。
3.12. 動的プログラミング言語、Web サーバー、およびデータベースサーバー
新しいモジュールストリーム: mysql:8.4
MySQL 8.4 が新しいモジュールストリーム mysql:8.4 として利用できるようになりました。以前のバージョン 8.0 からの主な機能拡張は次のとおりです。
- パスワード管理の機能拡張: 管理者は、パスワードの有効期限、長さ、強度、再利用ポリシー、その他のパスワード関連の設定を適用できるようになりました。
-
認証: セキュリティーを強化するために、
caching_sha2_passwordプラグインがデフォルトとなり、mysql_native_passwordプラグインに置き換わりました。 -
バックアップの互換性:
mysqldumpユーティリティーは、--output-as-versionオプションを提供するようになりました。これにより、論理バックアップが古い MySQL バージョンと互換性を持つようになります。 -
EXPLAIN: このステートメントは結果を JSON 形式で表示できるようになりました。 非推奨および削除: 以前に非推奨とされていた次の機能は削除されました。
-
mysqlpumpユーティリティー -
mysql_native_password認証プラグイン -
mysql_upgradeユーティリティー
-
MySQL 8.4 の変更点の詳細は、MySQL 8.0 と MySQL 8.4 の主な違い を参照してください。
MariaDB の詳細は、MariaDB の使用 を参照してください。
mysql:8.4 ストリームをインストールするには、以下を入力します。
# dnf module install mysql:8.4MySQL 8.0 からアップグレードする場合は、MySQL 8.0 から MySQL 8.4 へのアップグレード を参照してください。
mysql モジュールストリームのサポート期間の詳細は、Red Hat Enterprise Linux Application Streams のライフサイクル を参照してください。
Jira:RHEL-68305[1]
ARGON2 パスワードハッシュが PHP 8.3 でサポートされる
PHP 8.3 が php:8.3 モジュールストリームとして利用できるようになりました。この機能拡張により、openssl エクステンションによって提供される ARGON2I および ARGON2ID パスワードハッシュアルゴリズムのサポートが利用できるようになりました。
nginx 1.26 モジュールストリームが利用可能になる
nginx 1.26 モジュールストリームには、さまざまなバグ修正と機能拡張が含まれています。主な変更点は、以下のとおりです。
- HTTP/2 サポートがサーバーごとに利用できるようになる。
- ストリームモジュールで仮想サーバーを使用できるようになる。
- ストリーム接続が listen ソケットに渡されるようになる。
- 一部の複雑な設定で起動パフォーマンスが改善される。
インスタンス化されたサービスのサポートが利用可能になる。
nginx@.serviceユニットは、インスタンス化されたテンプレートサービスです。このユニットのインスタンスは、/etc/nginx/<INSTANCE>.conf設定ファイルを使用します。ここで、INSTANCE はインスタンス名に置き換えられます。nginxサーバーの複数のインスタンスを同時に実行できるようにするには、以下の設定を変更する必要があります。- pid
- access_log
- error_log は競合しないパスを選択し、listen は異なるポートを選択します。
このような変更を行う方法を理解するには、設定ファイル /usr/share/doc/nginx/instance.conf の例を確認します。
Jira:RHEL-73508[1]
新しい php:8.3 モジュールストリームが利用可能になる
RHEL 9.6 では、PHP 8.3 が新しい php:8.3 モジュールストリームとして追加されます。主な機能拡張は、次のとおりです。
- 型指定されたクラス定数
- 動的クラス定数の取得
-
新しい
#[\Override]属性 - readonly プロパティーのディープクローニング
php:8.3 モジュールストリームをインストールするには、次のコマンドを使用します。
# dnf module install php:8.3詳細は、以下の資料を参照してください。
php:8.2 ストリームからアップグレードする場合は、後のストリームへの切り替え を参照してください。
Jira:RHEL-21448[1]
3.13. コンパイラーおよび開発ツール
LLVM Toolset が 19.1.7 に更新される
LLVM Toolset がバージョン 19.1.7 に更新されました。
LLVM コンパイラーの主な変更点:
- LLVM は、デバッグ情報をより効率的に表現する デバッグレコード を使用するようになりました。
Clang の主な更新:
- C++14 サイズの割り当て解除がデフォルトで有効になりました。
- C++17 のサポートが完了しました。
- 特にモジュール、概念、Class Template Argument Deduction (CTAD) に関する C++20 へのサポートが改善されました。
- C++23、C++2c、C23、C2y のサポートが改善されました。
詳細は、LLVM リリースノート および Clang リリースノート を参照してください。
LLVM Toolset は Rolling Application Stream であり、最新バージョンのみがサポートされます。詳細は、Red Hat Enterprise Linux Application Streams ライフサイクル ドキュメントを参照してください。
llvm-doc パッケージにアップストリームドキュメントへの参照のみが含まれるようになる
以前のバージョンでは、llvm-doc パッケージには HTML 形式の LLVM ドキュメントが含まれていました。この更新により、パッケージはアップストリームドキュメントへの参照を含む /usr/share/doc/llvm/html/index.html ファイルのみを提供します。
Clang と LLVM はデバッグセクションの圧縮に zstd をサポートするようになりました
デフォルトでは、Clang および LLVM ツールはデバッグセクションの圧縮アルゴリズムとして Zlib を使用します。この機能拡張により、ユーザーは Zlib よりも高い圧縮率を達成できる Zstandard (zstd) アルゴリズムを代わりに使用できるようになります。
たとえば、Clang でプログラムをコンパイルするときに zstd 圧縮を使用する場合は、次のコマンドを使用します。
$ clang -Wa,-compress-debug-sections=zstd -Wl,--compress-debug-sections=zstd ...Rust Toolset がバージョン 1.84.1 にリベース
Rust Toolset がバージョン 1.84.1 に更新されました。以前提供されていたバージョン 1.79.0 以降の主な機能拡張は次のとおりです。
-
新しい
LazyCellおよびLazyLockタイプは、最初の使用時まで初期化を遅延します。これらは、各インスタンスに初期化関数が含まれた以前のOnceCellおよびOnceLockタイプを拡張します。 - 標準ライブラリーの新しいソート実装により、実行時のパフォーマンスとコンパイル時間が向上します。また、コンパレーターが完全な順序を生成していない場合を検出し、ソートされていないデータを返す代わりにパニックを発生させるようにしています。
-
不透明な戻り値の型の正確なキャプチャーが追加されました。新しい
use<..>構文は、impl Trait戻り値の型で使用されるジェネリックパラメーターと有効期間を指定します。 constコードに多くの新機能が追加されました。以下に例を示します。- 浮動小数点サポート
-
インラインアセンブリーの
constimmediate - 静的なものへの参照
- ミュータブルな参照とポインター
unsafeコードに対する多くの新機能が追加されました。次に例を示します。- 厳密な履歴管理 API
-
&rawポインター構文 - 静的なものを安全に処理する
-
安全でない
externブロック内で安全な項目を宣言する
-
Cargo 依存関係リゾルバーはバージョンを認識するようになりました。依存関係クレートがサポートされる最小 Rust バージョンを指定している場合、Cargo は依存関係グラフを解決するときに、最新の
semver互換のクレートバージョンを使用する代わりに、この情報を使用します。
互換性に関する注意事項:
-
WebAssembly System Interface (WASI) ターゲットが
rust-std-static-wasm32-wasiからrust-std-static-wasm32-wasip1に変更されました。コマンドラインで--target wasm32-wasip1パラメーターを使用して WASI ターゲットを選択することもできます。詳細は、アップストリームブログ投稿 Changes to Rust’s WASI targets を参照してください。 -
分割されたパニックフックとパニックハンドラー引数
core::panic::PanicInfoとstd::panic::PanicInfoは異なる型になりました。 -
キャッチされないパニックが発生すると、
extern "C"関数がプロセスを中止します。ABI 境界を越えてアンワインドできるようにするには、代わりにextern "C-unwind"を使用します。
Rust Toolset は Rolling Application Stream であり、Red Hat は最新バージョンのみをサポートします。詳細は、Red Hat Enterprise Linux Application Streams ライフサイクル ドキュメントを参照してください。
PCP がバージョン 6.3.2 にリベース
Performance Co-Pilot (PCP) がバージョン 6.3.2 に更新されました。利用可能であった以前のバージョン 6.2.2 からの主な変更点は、以下のとおりです。
-
pmdaopenmetrics: 仮想大規模言語モデル (vLLM) メトリクスがデフォルトで追加されるようになりました。 -
pmdalinux: Hyper-V バルーンメトリクスのサポートが追加されました。 -
pmdalinux: ネットワークとhugepagesカーネルメトリクスが更新されました。 -
pmdaamdgpu: この新しいエージェントは、libdrmおよびlibdrm-amdgpuライブラリーからメトリクスを収集します。 -
pmdabpftrace: 多数のまたは遅いbpftraceスクリプトでのこのエージェントの起動が修正されました。 -
pmdaproc: このエージェントは、Linuxfdinfoインターフェイスから AMD GPU の新しいメトリクスを収集するようになりました。 -
pmdahacluster: 新しい Pacemaker バージョンをサポートするためにメトリクスが更新されました。 -
pmdastatsd: 負荷がかかったときにクラッシュを回避するようにバグを修正しました。 -
pcp-htop: AMD GPU メトリクスのサポートが追加されました。 -
pcp-htop: プラットフォーム設定が修正され、画面タブが有効になりました。 -
pcp-xsos: このユーティリティーが追加されました。詳細は、pcp-xsosがシステムの迅速な概要を提供する を参照してください。 -
pmrep: 多数の設定ファイルメトリクスセットが更新されました。 -
pmlogconf: 多数の設定ファイルの自動レコードが更新されました。 -
libpcpおよびpmcd: セキュリティー強化のためのいくつかの改善が追加されました。 -
libpcpおよびpmlogger: アーカイブのオプションのzstd圧縮のサポートが追加されました。
glibc ライブラリーの IBM POWER10 の最適化が改善される
この機能拡張により、glibc ライブラリーにおける IBM POWER10 プラットフォームのハードウェアサポートが改善されました。その結果、このプラットフォームでは strcmp() および memchr() API のパフォーマンスが大幅に向上しました。
Jira:RHEL-24740[1]
valgrind がバージョン 3.24.0 にリベース
valgrind スイートがバージョン 3.24.0 に更新されました。主な機能拡張は、次のとおりです。
-
--track-fds=yesオプションは、不正なファイル記述子を使用しているときに抑制可能なエラーを表示し、エラーを XML 出力に書き込むようになりました。このオプションを使用しない場合に表示される警告は非推奨となり、今後のバージョンで削除される予定です。 - エラーメッセージが Ada の名前デマングルをサポートするようになりました。
-
deflate-conversion機能 (z15/arch13) は、IBM Z プラットフォームの Deflate 圧縮呼び出し (DFLTCC) 命令をサポートするようになりました。 -
IBM Z プラットフォームでは、
valgrindは、メッセージセキュリティーアシスト (MSA) 機能とその 1-9 エクステンションで提供される命令をサポートするようになりました。 Valgrindは、以下の新しい Linux システムコールをサポートするようになりました。-
open_tree -
move_mount -
fsopen -
fsconfig -
fsmount -
fspick -
landlock_create_ruleset -
landlock_add_rule -
landlock_restrict_self
-
libabigail がバージョン 2.6 にリベース
libabigail ライブラリーがバージョン 2.6 に更新されました。主な変更点は、以下のとおりです。
- BPF Type Format (BTF) と Common Trace Format (CTF) を使用することで、Linux カーネルモジュール分析のサポートが向上しました。
- ミドルエンドでの内部型比較アルゴリズムが改善されました。
-
abipkgdiff、abidw、abilintユーティリティーのログが改善されました。 - 多くのバグが修正されました。
さらなる変更は、アップストリームのリリースノート を参照してください。
SystemTap がバージョン 5.2 にリベース
SystemTap トレーシングおよびプローブツールがバージョン 5.2 に更新されました。
主な機能拡張は、elfutils 0.192 に基づく debuginfod-metadata ベースのプローブの完全な有効化です。この機能を使用すると、debuginfod サーバーで一致するすべての名前を検索することにより、特定のバイナリーまたはライブラリーの全範囲のバージョンをターゲットとする systemtap スクリプトを作成できます。
elfutils がバージョン 0.192 にリベース
elfutils パッケージがバージョン 0.192 に更新されました。以下は、主な改善点です。
-
debuginfodサービスは、RHEL の RPM Integrity Measurement Architecture (IMA) スキームを使用してファイルごとの署名検証を実行し、整合性をチェックできるようになりました。 -
ファイル名からビルド ID をクエリーするなど、サーバーのメタデータをクエリーするための新しい
debuginfodAPI が追加されました。 -
カーネル
debuginfoパッケージからのDebuginfodサーバー側ファイル抽出が大幅に高速化されました。 -
dwfl_set_sysroot、dwfl_frame_unwound_source、およびdwfl_unwound_source_str関数がlibdwライブラリーに追加されました。 -
eu-stacktraceユーティリティーはテクノロジープレビューとして利用できます。詳細は、eu-stacktraceがテクノロジープレビューとして利用可能になる を参照してください。
ld リンカーは、アプリケーションがメモリーリージョンに対して読み取り、書き込み、実行権限を使用しているかを検出するようになる
読み取り、書き込み、実行の権限を同時に持つメモリーリージョンは、バッファーオーバーフローによって実行可能コードがメモリーに注入され、実行される可能性があるため、潜在的な攻撃ポイントとなります。
この機能拡張により、ld リンカーは、アプリケーションがこれらの 3 つの権限を持つメモリーリージョンを使用しているかを検出し、アプリケーションに対して次のエラーを報告します。
ld: error: <file_name> has a LOAD segment with RWX permissions
ld を -no-error-rwx-segments オプションとともに使用して、エラーを抑制できます。ただし、リンカーがこのエラーを報告した場合にアプリケーションの潜在的なリスクを防ぐために、ソースコードを修正し、ビルド方法を変更して問題を解消してください。
Jira:RHEL-59802[1]
ld リンカーは、アプリケーションが実行可能スタックを使用しているかを検出するようになる
バッファーのオーバーランにより実行可能なコードが配置される場合、メモリーの実行可能領域に保持されるスタックは、潜在的な攻撃ポイントになります。
この機能拡張により、ld リンカーはアプリケーションが実行可能スタックを使用して作成されているかを検出し、次のようなエラーを報告します。
error: creating an executable stack because of -z execstack command line option
error: <file>: is triggering the generation of an executable stack (because it has an executable .note.GNU-stack section)
error: <file>: is triggering the generation of an executable stack because it does not have a .note.GNU-stack section
-no-error-execstack オプションを指定して ld を使用すると、エラーを抑制できます。ただし、ld がエラーを報告した場合にアプリケーションの潜在的なリスクを防ぐために、ソースコードを変更し、実行可能なスタックを使用しないようにビルドマシンを変更することが推奨されます。
Jira:RHEL-59801[1]
binutils が IBM Z 命令セットの arch15 エクステンションをサポートするようになる
この機能拡張により、binutils は IBM Z プラットフォーム上の CPU の arch15 エクステンションをサポートするようになりました。開発者は、アセンブラーのソースファイルで arch15 エクステンションの新機能を使用できるようになり、更新されたコンパイラーが利用可能な場合は、コンパイルされたプログラムでも使用できます。これにより、プログラムのサイズが小さくなり、速度も速くなります。
Jira:RHEL-50068[1]
boost-devel パッケージが BoostConfig.cmake とその他の公式 CMake スクリプトを提供する
この機能拡張により、BoostConfig.cmake およびその他の公式 CMake スクリプトが boost-devel パッケージに追加されます。CMake は、boost 機能が存在するかをテストするために、これらのスクリプトを使用します。その結果、boost 機能をテストする CMake プロジェクトがより堅牢に機能するようになりました。
Go Toolset がバージョン 1.23 にリベース
Go Toolset がバージョン 1.23 に更新されました。主な機能拡張は、次のとおりです。
for-rangeループは、次のタイプのイテレーター関数を受け入れます。-
func(func() bool) -
func(func(K) bool) func(func(K, V) bool)for-rangeループの反復値は、イテレーター引数関数の呼び出しによって作成されます。参照リンクは、アップストリームのリリースノート を参照してください。
-
- Go Toolchain により、使用状況や破損統計情報を収集できます。これは、Go チームが Go Toolchain がどのように使用され、どのように機能するかを理解するのに役立ちます。デフォルトでは、Go Telemetry はテレメトリーデータをアップロードせず、ローカルにのみ保存します。詳細は、アップストリームの Go Telemetry ドキュメント を参照してください。
-
go vetサブコマンドには、参照ファイルで使用する Go のバージョンに対して新しすぎるシンボルへの参照にフラグを立てるstdversionアナライザーが含まれています。 -
cmdおよびcgo機能は、C リンカーにフラグを渡すための-ldflagsオプションをサポートしています。goコマンドは、非常に大きなCGO_LDFLAGS環境変数を使用する場合に、argument list too longエラーを回避するために、このフラグを自動的に使用します。 -
traceユーティリティーは、部分的に壊れたトレースを許容し、トレースデータを回復しようとします。これはクラッシュが発生した場合にクラッシュに至るまでのトレースを取得できるため、特に便利です。 -
未処理のパニックまたはその他の致命的なエラーの後にランタイムによって出力されるトレースバックには、
goroutineのスタックトレースを最初のgoroutineと区別するためのインデントが含まれます。 - プロファイルガイドによる最適化を使用したコンパイラービルド時間のオーバーヘッドが 1 桁のパーセンテージに削減されました。
-
新しい
-bindnowリンカーフラグにより、動的にリンクされた ELF バイナリーをビルドするときに即時の関数バインディングが有効になります。 -
//go:linknameリンカーディレクティブは、定義で//go:linknameでマークされていない標準ライブラリーおよびランタイムの内部シンボルを参照しなくなりました。 -
プログラムが
TimerまたはTickerを参照しなくなった場合、Stopメソッドが呼び出されていなくても、これらはガベージコレクションによってすぐにクリーンアップされます。TimerまたはTickerに関連付けられたタイマーチャネルは、現在バッファーなし (容量 0) になっています。これにより、ResetメソッドまたはStopメソッドが呼び出されるたびに、呼び出し後に古い値が送受信されなくなります。 -
新しい
uniqueパッケージは、interningまたはhash-consingなどの値を正規化する機能を提供します。 -
新しい
iterパッケージは、ユーザー定義のイテレーターを使用するための基本的な定義を提供します。 -
slicesおよびmapsパッケージには、イテレーターで使用するいくつかの新しい関数が導入されています。 -
新しい
structsパッケージは、メモリーレイアウトなど、含まれる struct 型のプロパティーを変更する struct フィールドの型を提供します。 次のパッケージにマイナーな変更が加えられました。
-
archive/tar -
crypto/tls -
crypto/x509 -
database/sql -
debug/elf -
encoding/binary -
go/ast -
go/types -
math/rand/v2 -
net -
net/http -
net/http/httptest -
net/netips -
path/filepath -
reflect -
runtime/debug -
runtime/pprof -
runtime/trace -
slices -
sync -
sync/atomic -
syscall -
testing/fstest -
text/template -
time -
unicode/utf16
-
詳細は、アップストリームのリリースノート を参照してください。
Go Toolset は Rolling Application Stream であり、Red Hat は最新バージョンのみをサポートします。詳細は、Red Hat Enterprise Linux Application Streams ライフサイクル ドキュメントを参照してください。
Jira:RHEL-62392[1]
glibc が GB18030-2022 エンコード標準をサポートするようになる
この機能拡張により、glibc の GB18030 エンコード標準のサポートがバージョン 2005 から 2022 に更新されます。バージョン 2022 では、この標準によって導入された 31 個の新しいトランスコーディング関係と追加の文字およびコードポイントを使用できます。
Jira:RHEL-56032[1]
Go Toolset がバージョン 1.24.4 にリベース
RHSA-2025:10676 アドバイザリーのリリースに伴い、Go Toolset がバージョン 1.24.4 に更新されました。
主な機能拡張と変更点は次のとおりです。
言語:
- ジェネリック型エイリアスが完全にサポートされるようになりました。これにより、型エイリアスにパラメータを持たせることが可能になり、ジェネリックを扱う際の柔軟性が向上します。
ツール:
-
Go モジュールシステムは、
go.modファイル内のtoolディレクティブをサポートし、実行可能ファイルの依存関係を直接管理できるようにします。 -
go build、go install、go testコマンドは、構造化された出力用の-jsonフラグをサポートするようになりました。 -
新しい
GOAUTH環境変数は、プライベートモジュールの強化された認証を提供します。
-
Go モジュールシステムは、
ランタイムとパフォーマンス:
- ランタイムの改善により、CPU オーバーヘッドが平均で 2-3% 削減されます。
- 主な変更点として、Swiss Tables に基づく新しいマップの実装と、より効率的なメモリー割り当てが挙げられます。
標準ライブラリー:
-
新しい
os.Rootタイプにより、ディレクトリー制限のあるファイルシステムアクセスが可能になります。 -
testing.B.Loopメソッドによりベンチマークが改善されます。 -
runtime.AddCleanup関数は、より柔軟なファイナライズメカニズムを提供します。 -
新しい
weakパッケージでは、weak ポインターが導入されています。
-
新しい
暗号化:
-
ML-KEM 耐量子計算機鍵交換 (
crypto/mlkem)、HKDF、PBKDF2、および SHA-3 の新しいパッケージが利用可能になりました。 - Go Cryptographic Module は現在、FIPS 140-3 認定に向けて審査中です。
-
ML-KEM 耐量子計算機鍵交換 (
追加の更新:
-
vetツールには、テストや例によくある間違いを検出するための新しいアナライザーが含まれています。 - objdump ツールは、より多くのアーキテクチャーをサポートするようになりました。
-
Cgoでは、パフォーマンスと正確性を向上させるためにアノテーションが導入されています。
-
詳細は、アップストリームのリリースノート を参照してください。
Go Toolset は Rolling Application Stream であり、Red Hat は最新バージョンのみをサポートします。詳細は、Red Hat Enterprise Linux Application Streams ライフサイクル ドキュメントを参照してください。
Jira:RHEL-101074[1]
3.14. Identity Management
IdM ID 範囲の不一致を管理するための新しいツール
この更新により、Identity Management (IdM) が ipa-idrange-fix ツールを提供します。ipa-idrange-fix ツールを使用して、既存の IdM ID 範囲を分析し、これらの範囲外のユーザーとグループを識別して、それらを含める新しい ipa-local 範囲の作成を提案できます。
ipa-idrange-fix ツールは次の処理を実行します。
- LDAP から既存の範囲を読み取って分析します。
-
ipa-local範囲外のユーザーとグループを検索します。 -
特定されたユーザーとグループをカバーするために、新しい
ipa-local範囲を提案します。 - 提案された変更を適用するようユーザーに促します。
このツールは、システムアカウントとの競合を防ぐために、1000 未満の ID をデフォルトで除外します。Red Hat では、提案された変更を適用する前に、完全なシステムバックアップを作成することを強く推奨します。
詳細は、ipa-idrange-fix(1) man ページを参照してください。
Kerberos が Elliptic Curve Diffie-Hellman 鍵合意アルゴリズムをサポートするようになる
RFC5349 で定義されている PKINIT の Elliptic Curve Diffie-Hellman (ECDH) 鍵合意アルゴリズムがサポートされるようになりました。この更新により、krb5.conf ファイルの pkinit_dh_min_bits 設定で、デフォルトで ECDH を使用するように P-256、P-384、または P-521 を指定できるようになりました。
ansible-freeipa が 1.14.5 にリベース
ansible-freeipa パッケージが、バージョン 1.13.2 から 1.14.5 にリベースされました。以下は、主な機能拡張およびバグ修正です。
module_defaultsを使用して、複数のansible-freeipaタスクの変数を定義できます。freeipa.ansible_freeipaコレクションは、ansible-freeipaモジュールの使用を簡素化するmodule_defaultsアクショングループを提供するようになりました。module_defaultsを使用すると、Playbook で使用されるコレクションのすべてのモジュールに適用するデフォルト値を設定できます。これを行うには、freeipa.ansible_freeipa.modulesという名前のaction_groupを使用します。以下に例を示します。- name: Test hosts: localhost module_defaults: group/freeipa.ansible_freeipa.modules: ipaadmin_password: Secret123 tasks: …その結果、Playbook はより簡潔になります。
複数の IdM
sudoルールを単一の Ansible タスクで管理できるようになりましたこの機能拡張により、
ansible-freeipaにsudorulesオプションが追加されます。sudorulesを使用すると、単一の Ansible タスクを使用して複数の Identity Management (IdM)sudoルールを追加、変更、および削除できます。これを行うには、ipasudoruleモジュールのsudorulesオプションを使用します。その結果、sudoルールをより簡単に定義し、より効率的に実行できるようになります。sudorulesオプションを使用すると、特定のsudoルールに適用される複数のsudoルールパラメーターを指定できます。このsudoルールはname変数によって定義されます。これは、sudorulesオプションの唯一の必須変数です。ipagroupモジュールを使用した外部メンバーの削除が正しく動作するようになりました。以前は、
externalmemberパラメーターを指定したansible-freeipaipagroupモジュールを使用して、IdM グループに外部メンバーが存在しないことを確認しようとした場合、Ansible がタスクの結果をchangedとして表示したにもかかわらず、グループからメンバーが削除されませんでした。この修正により、externalmemberをipagroupと併用すると、IdM グループに外部メンバーが確実に存在しなくなります。また、この修正により、AD ユーザーを識別するために DOM\name または name@domain のいずれかを使用することもできます。
389-ds-base がバージョン 2.6.1 にリベース
389-ds-base パッケージがバージョン 2.6.1 にリベースされました。バージョン 2.5.2 への主なバグ修正および機能拡張は、以下のとおりです。
- エラーログのログバッファリング
- 監査ログを JSON 形式で書き込むオプション
- グループが更新されたときにグループメンバーの更新を延期するオプション
- PBKDF2 のイテレーション回数を設定するオプション
-
logconv.pyログアナライザーツール
openldap がバージョン 2.6.8 にリベース
openldap パッケージがバージョン 2.6.8 に更新されました。この更新には、次のようなさまざまな機能拡張とバグ修正が含まれています。
- TLS 接続の処理が改善されました。
-
Active Directory 証明書が Elliptic Curve Cryptography (ECC) 証明書であり、
SASL_CBINDINGがtls-endpointに設定されている場合でも、KerberosSASLはSTARTTLSで動作します。
Directory Server で新しい memberOfDeferredUpdate: on/off 設定属性が利用できるようになる
この更新により、Directory Server は MemberOf plug-in の新しい memberOfDeferredUpdate 設定属性を導入します。on に設定すると、MemberOf plug-in はグループメンバーの更新を遅延させるため、特にグループの変更が多数のメンバーに影響する場合に、サーバーの応答性が向上します。
詳細は、Red Hat Directory Server 12 の「設定およびスキーマリファレンス」ドキュメントの memberOfDeferredUpdate を参照してください。
Directory Server が、エラー、監査、監査失敗のログのバッファリングを提供するようになる
この更新前は、アクセスログとセキュリティーログにのみログバッファリングがありました。この更新により、Directory Server はエラー、監査、監査失敗のログのバッファリングを提供するようになりました。ログバッファリングを設定するには、次の設定を使用します。
-
エラーログの
nsslapd-errorlog-logbuffering。デフォルトでは無効になっています。 -
監査および監査失敗ログ用の
nsslapd-auditlog-logbuffering。デフォルトでは有効です。
詳細は、Red Hat Directory Server の「設定およびスキーマリファレンス」ドキュメントの nsslapd-errorlog-logbuffering および nsslapd-auditlog-logbuffering を参照してください。
Directory Server が、バインドが成功した後、CRYPT または CLEAR ハッシュアルゴリズムでパスワードを更新できるようになる
この更新前は、Directory Server に、バインド成功時のパスワード更新から除外されるハッシュ化アルゴリズムのリストがハードコードされていました。Directory Server は、passwordStorageScheme 属性で設定された CRYPT または CLEAR ハッシュアルゴリズムを持つユーザーパスワードを更新しませんでした。
この更新により、nsslapd-scheme-list-no-upgrade-hash 設定属性を使用して、パスワード更新から除外する必要のあるハッシュアルゴリズムのリストを設定できるようになりました。デフォルトでは、nsslapd-scheme-list-no-upgrade-hash には後方互換性のための CRYPT および CLEAR が含まれます。
HSM は IdM で完全にサポートされるようになる
Hardware Security Modules (HSM) が、Identity Management (IdM) で完全にサポートされるようになりました。IdM 認証局 (CA) および Key Recovery Authority (KRA) のキーペアと証明書を HSM に保存できます。これにより、秘密鍵マテリアルに物理的なセキュリティーが追加されます。
IdM は、HSM のネットワーク機能を利用してマシン間で鍵を共有し、レプリカを作成します。HSM は、ほとんどの IdM 操作に目に見える影響を与えることなく、追加のセキュリティーを提供します。低レベルのツールを使用する場合、証明書と鍵の扱い方が異なりますが、ほとんどのユーザーにとってこの違いはシームレスです。
既存の CA または KRA を HSM ベースのセットアップに移行することはサポートされていません。HSM 上のキーを使用して CA または KRA を再インストールする必要があります。
以下が必要です。
- サポートされている HSM。
- HSM Public-Key Cryptography Standard (PKCS) #11 ライブラリー。
- 利用可能なスロット、トークン、トークンのパスワード。
HSM にキーが保存されている CA または KRA をインストールするには、トークン名と PKCS #11 ライブラリーへのパスを指定する必要があります。以下に例を示します。
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kraJira:RHELDOCS-17465[1]
3.15. SSSD
新しい SSSD オプション: exop_force
exop_force オプションを使用すると、猶予ログインが残っていない場合でもパスワードの変更を強制できます。以前は、LDAP サーバーが猶予ログインが残っていないことを示した場合、SSSD はパスワードの変更を試行しませんでした。現在は、sssd.conf ファイルの [domain/…] セクションで ldap_pwmodify_mode = exop_force を設定すると、SSSD は猶予ログインが残っていなくてもパスワードの変更を試みます。
Jira:RHELDOCS-19863[1]
authselect にグループマージのサポートが追加される
authselect ユーティリティーを使用している場合は、グループのマージを有効にするために nssswitch.conf ファイルを手動で編集する必要がなくなりました。この更新により、authselect プロファイルに統合され、手動での変更が不要になりました。
Jira:RHELDOCS-19936[1]
SSSD での動的 DoT 更新のサポート
SSSD は、DNS-over-TLS (DoT) を使用してすべての動的 DNS (dyndns) クエリーを実行することをサポートするようになりました。IP アドレスが変更された際に、Identity Management (IdM) や Active Directory サーバーなどの DNS レコードを安全に更新できます。この機能を有効にするには、bind9.18-utils パッケージから nsupdate ツールをインストールする必要があります。
sssd.conf ファイルで次の新しいオプションを使用して、DoT を有効にし、安全な DNS 更新用のカスタム証明書を設定できます。
- dyndns_dns_over_tls
- dyndns_tls_ca_cert
- dyndns_tls_cert
- dyndns_tls_key
これらのオプションの詳細は、システムの sssd-ad(5) および sssd-ad(5) man ページを参照してください。
Jira:RHELDOCS-20057[1]
3.16. Red Hat Enterprise Linux システムロール
postfix RHEL システムロールの新しい変数: postfix_default_database_type
postfix システムロールは、postfix で使用されるデフォルトのデータベースタイプを決定し、それを変数 postfix_default_database_type としてエクスポートできます。その結果、デフォルトのデータベースタイプに基づいて設定パラメーターを設定できます。
Ansible 2.9 では、設定パラメーター値で postfix_default_database_type を使用することはサポートされていません。
microsoft.sql.server システムロールの新しい変数: mssql_tools_versions および mssql_tls_self_sign
新しい mssql-tools18 パッケージには、以前のバージョンの mssql-tools パッケージとの下位互換性のない機能が追加されています。したがって、変更に適応するために、microsoft.sql.server システムロールに次の変数が追加されました。
-
mssql_tools_versions(リスト、デフォルトはバージョン 18):mssql-toolsのさまざまなバージョンをインストールできます。 -
mssql_tls_self_sign(ブール値): 使用する証明書が自己署名されているかどうかを指定します。mssql_tls_enable: true変数も設定した場合に適用されます。
mssql-tools18 を自己署名 TLS 証明書とともに使用する場合は、mssql_tls_self_sign: true を設定する必要があります。これにより、ロールが sqlcmd コマンドラインユーティリティーで -C フラグを設定し、証明書が信頼されるようになります。
その結果、これらの設定を使用して、mssql_tools バージョン 17、18、またはその両方を並行してインストールできます。
詳細は、/usr/share/ansible/roles/microsoft.sql-server/ ディレクトリー内のリソースを参照してください。
新しい RHEL システムロール: aide
新しい aide RHEL システムロールを使用して、ファイル、ディレクトリー、システムバイナリーへの不正な変更を検出できます。このロールを使用すると、たとえば次のようなタスクを実行できます。
-
管理対象ノードに
aideパッケージをインストールする -
/etc/aide.confファイルを生成し、それを管理対象ノードにテンプレート化する - (Advanced Intrusion Detection Environment) AIDE データベースを初期化する
- 管理対象ノードで AIDE 整合性チェックを実行する
このロールでは、適切な AIDE 設定を作成する方法を説明されていません。
その結果、セキュリティー、コンプライアンス、監査のニーズに対応するために、AIDE を大規模に自動化された方法で管理できるようになります。
詳細は、/usr/share/doc/rhel-system-roles/aide/ ディレクトリー内のリソースを参照してください。
sudo RHEL システムロールの新しい変数: sudo_check_if_configured
sudo RHEL システムロールには次の変数があります。
-
sudo_check_if_configured(ブール値): Ansible セットアップが不要でスキップされた場合に、すでに設定されているsudoersファイルのセマンティックチェックを提供します。
その結果、Ansible の介入が不要な場合は、この設定を使用して sudo ロールのべき等性を確保できます。
詳細は、/usr/share/doc/rhel-system-roles/sudo/ ディレクトリー内のリソースを参照してください。
microsoft.sql.server システムロールが AD ユーザーに対して AES 128 ビットおよび AES 256 ビットの暗号化を有効化する
バージョン 1.1.83 以降、adutil ユーティリティーは、Active Directory (AD) ユーザーの作成および変更時に、AES 128 ビットおよび AES 256 ビット暗号化を使用した Kerberos プロトコルをサポートします。この更新により、microsoft.sql.server システムロールは、AD ユーザーの作成または変更時に、Kerberos プロトコルによって提供される AES 128 ビットおよび AES 256 ビット暗号化の有効化を自動化します。その結果、手動による設定後のタスクは不要になります。
systemd RHEL システムロールはシステムユニットに加えてユーザーユニットも管理できる
この更新により、systemd RHEL システムロールはユーザーユニットも管理できるようになりました。systemd_unit_files、systemd_unit_file_templates、systemd_started_units などで指定される各ユニットファイルまたはユニットを、特定のユーザー向けに管理する場合は、user: name を追加できます。デフォルトは、システムユニットに使用される root です。
ロールによって管理されるシステム上のユニット (システムユニットとユーザーユニットの両方を含む) を取得するために、新しい戻り変数が追加されました。
-
systemd_units_user(ディクショナリー): 各キーは、ロールに渡されたリストのいずれかに指定されたユーザーの名前であり、(rootが指定されていない場合でも)rootです。各値は、そのユーザーのsystemdユニット、またはrootのシステムユニットのディクショナリーです。
このロールは新しいユーザーを作成しません。存在しないユーザーを指定するとエラーが返されます。
その結果、systemd RHEL システムロールを使用してユーザーユニットを管理できるようになります。
詳細は、/usr/share/doc/rhel-system-roles/systemd/ ディレクトリー内のリソースを参照してください。
既存クラスターの corosync 設定のエクスポートのサポート
ha_cluster RHEL システムロールは、既存クラスターの corosync 設定をエクスポートする機能をサポートしています。エクスポートした設定は、このロールへの入力として再び使用し、同一のクラスターを再作成することが可能な形式になっています。クラスターを作成するために ha_cluster RHEL システムロールを使用しなかった場合、またはクラスターの元の Playbook を紛失した場合は、この機能を使用してクラスターの新しい Playbook をビルドできます。
podman RHEL システムロールが Pod タイプの Quadlet ユニットを管理できる
バージョン 5 の podman ユーティリティーでは、Pod Quadlet タイプのサポートが追加されました。したがって、podman RHEL システムロールでは、Pod タイプの Quadlet ユニットも管理できます。
詳細は、アップストリームの記事 を参照してください。
network RHEL システムロールの network_connections 変数に新しいプロパティーが追加される: autoconnect_retries
network RHEL システムロールでは、ネットワーク接続を再接続するための自動再試行回数を細かく制御できません。この制限は、再試行プロセスの延長が重要な特定のユースケース、特にネットワークが不安定な環境では問題になる可能性があります。network_connections ロール変数に追加された autoconnect_retries プロパティーは、自動接続の失敗後に NetworkManager がネットワーク接続の再接続を試行する回数を設定します。その結果、network RHEL システムロールで、network_connections 変数の autoconnect_retries プロパティーを使用して、自動接続の失敗後の自動再接続試行回数を設定できるようになりました。この機能拡張により、特にネットワークが不安定な環境において、ネットワークの安定性とパフォーマンスをより細かく制御できるようになります。
詳細は、/usr/share/doc/rhel-system-roles/network/ ディレクトリー内のリソースを参照してください。
network RHEL システムロールの network_connections 変数に新しいプロパティーが追加される: wait_ip
この更新により、network_connections ロール変数の ip オプションの wait_ip プロパティーのサポートが追加されました。このプロパティーは、特定の IP スタックが設定されている場合にのみ、システムがネットワーク接続をアクティブであるとみなすかどうかを指定します。wait_ip は次の値で設定できます。
-
any: システムは、任意の IP スタックが設定されると、接続がアクティブ化されたとみなします。 -
ipv4: システムは IPv4 が設定されるまで待機します。 -
ipv6: システムは IPv6 が設定されるまで待機します。 -
ipv4+ipv6: システムは IPv4 と IPv6 の両方が設定されるまで待機します。
その結果、network RHEL システムロールを使用して、特定の IP スタック設定に基づいてネットワーク接続を設定できるようになりました。これにより、選択した wait_ip 設定に応じて、IP アドレスが割り当てられていない場合でも、接続がアクティブなままになります。
詳細は、/usr/share/doc/rhel-system-roles/network/ ディレクトリー内のリソースを参照してください。
metrics RHEL システムロールが Redis の代わりに Valkey をサポートするようになる
この更新により、metrics RHEL システムロールの Valkey インメモリーデータ構造ストアのサポートが追加されました。これは、オープンソースではなくなり、Linux ディストリビューションから削除されている Redis の代替品です。Valkey は通常、高性能なキャッシュ層として使用されます。データをメモリーに保存し、頻繁にアクセスされるデータをキャッシュすることでアプリケーションを高速化します。さらに、Valkey は次のようなパフォーマンスが重要な他の操作にも使用できます。
- ユーザーセッションデータの保存と取得。
- 異なるアプリケーション部分間のリアルタイム通信。
- 分析とモニタリングのための高速データアクセスの提供。
logging RHEL システムロールの新しい変数: logging_custom_templates
logging RHEL システムロールに次の変数が追加されました。
-
logging_custom_templates: カスタムテンプレート定義のリスト。オプションがtype: filesまたはtype: forwardsの場合、logging_outputs変数と共に使用できます。特定のlogging_outputs仕様でtemplateオプションを設定することにより、各出力に対してこのカスタムテンプレートを指定できます。または、logging_files_template_formatおよびlogging_forwards_template_formatのグローバルオプションを使用して、このカスタムテンプレートをすべてのファイルと転送出力にデフォルトで使用するように設定することもできます。
その結果、組み込みのデフォルトとは異なる形式でログエントリーをフォーマットできるようになります。
詳細は、/usr/share/doc/rhel-system-roles/logging/ ディレクトリー内のリソースを参照してください。
sshd RHEL システムロールがコマンドと設定を検証する
sshd ロールは、command または shell プラグインを使用するときに quote コマンドを使用して、これらのコマンドを安全に使用できるようにします。このロールは、これらのプラグインに渡される、ユーザー指定の特定のロール変数も検証します。これにより、検証を行わないと、空白を含むユーザー指定の変数が分割され、正しく機能しない可能性があるため、ロールの使用におけるセキュリティーと堅牢性が向上します。
3.17. 仮想化
IBM Z 上の KVM が複数のブートデバイスをサポートするようになる
IBM Z ホスト上の KVM で実行されているゲストオペレーティングシステムは、プライマリーブートデバイスがブート可能でない場合、追加のデバイスからのブートを試行できます。この機能は次のデバイスタイプでサポートされています。
-
virtio-net -
virtio-blk -
virtio-scsi/cdrom
仮想マシンのブートデバイスの順序を設定するには、XML 設定の <boot> 行にある order パラメーターを使用します。仮想マシンは最大 8 台のデバイスで起動を試行するようになりました。
さらに、これらのデバイスは、XML 設定の <boot> 行の loadparm パラメーターをサポートするようになりました。loadparm を使用すると、ゲストオペレーティングシステムがデバイスから起動すると、デバイスが使用するブートエントリーを設定できます。
RHEL for Real Time でサポートされる仮想マシン
この更新では、RHEL for Real Time でのリアルタイム仮想化の完全サポートが導入されました。ホストおよびゲストオペレーティングシステムを設定して、仮想マシン (VM) の低遅延かつ確定的な動作を実現できます。これにより、リアルタイム仮想マシンは、産業オートメーション、通信、自動車システムなど、リアルタイム性能を必要とするアプリケーションに適したものになります。
Jira:RHELDOCS-20116[1]
64 ビット ARM ホスト上の仮想マシンで新たにサポートされる機能
64 ビット ARM アーキテクチャー (aarch64 とも呼ばれる) を使用する RHEL ホスト上の仮想マシンでは、次の機能がサポートされるようになりました。
- 64 ビット ARM ホスト間での仮想マシンの移行。ただし、現時点では、移行は両方のホストが同じ CPU タイプとメモリーページサイズを使用している場合にのみ機能することに注意してください。
- Trusted Platform Module (TPM) Interface Specification (TIS) ハードウェアインターフェイス
- Non-volatile dual inline memory module (NVDIMM) メモリーデバイス
- virtio-iommu デバイス
Jira:RHELDOCS-19832[1]
virt-install が SEV-SNP を使用した仮想マシンの作成をサポートするようになる
virt-install ユーティリティーを使用して、AMD Secure Encrypted Virtualization with Secure Nested Paging (SEV-SNP) 機能を使用する仮想マシン (VM) を作成できるようになりました。これを行うには、launchSecurity sev-snp,policy=0x30000 オプションを使用します。
SEV-SNP は現在、テクノロジープレビューとして提供されている点に注意してください。
他の VM やホストも書き込み可能な共有の virtiofs ディレクトリーを使用した仮想マシンのライブマイグレーションがサポート対象になる
この更新により、ホストや他の仮想マシンなど、複数の書き込み主体がそのディレクトリーへの書き込み権限を持っている場合でも、virtiofs 共有ディレクトリーを使用する仮想マシン (VM) のライブマイグレーションが可能になります。
IBM z17 プロセッサーの仮想化サポート
この更新により、RHEL 上の仮想化に IBM z17 CPU のサポートが追加されました。その結果、RHEL を搭載した IBM Z システムでホストされる仮想マシンは、z17 プロセッサーが提供する新しい機能を使用できるようになりました。
Jira:RHEL-33137[1]
IBM Z の Secure Execution では取得可能なシークレットがサポートされる
この更新により、IBM Z の Secure Execution 仮想マシン (VM) の暗号化デバイスに、一般化されたホストベースのシークレットを使用できるようになりました。その結果、Secure Execution を設定するときに initramfs イメージにシークレットを保存する必要がなくなり、安全な仮想マシンイメージの作成が簡素化されます。この機能は現在、IBM z17 プロセッサーでのみサポートされていることに注意してください。
Jira:RHEL-50754[1]
Intel Xeon v6 プロセッサーの仮想化サポート
この更新により、RHEL 9 の仮想化で、Intel Xeon v6 プロセッサー (旧称: Sierra Forest) のサポートが追加されました。その結果、RHEL 9 でホストされる仮想マシンで、SierraForest CPU モデルを使用し、プロセッサーが提供する新しい機能を使用できるようになりました。
Jira:RHEL-15731[1]、Jira:RHEL-15719
RHEL では、Mellanox 仮想機能を使用した仮想マシンのライブマイグレーションがサポートされる
この更新により、Mellanox ネットワークデバイスでアタッチされた仮想機能 (VF) を使用して、仮想マシン (VM) のライブマイグレーションを実行できるようになりました。
ただし、この機能は現在、特定のファームウェアバージョンを持つ Mellanox CX-7 ネットワークデバイスでのみサポートされています。Mellanox CX-7 ネットワークデバイス上の VF は、ライブマイグレーションに必要な機能を追加する新しい mlx5_vfio_pci ドライバーを使用します。この新しいドライバーは、libvirt によって VF に自動的にバインドされます。
詳細と制限については、Mellanox 仮想機能がアタッチされている仮想マシンのライブマイグレーション を参照してください。
Jira:RHELDOCS-19210[1]
3.18. クラウド環境の RHEL
RHEL ゲストのインテル TDX
Intel Trust Domain Extension (TDX) 機能は、ゲストオペレーティングシステムとして使用する場合、RHEL 9.5 以降で完全にサポートされるようになりました。ホストシステムが TDX をサポートしている場合、トラストドメイン (TD) と呼ばれるハードウェアで隔離された RHEL 9 のゲストをデプロイできます。これにより、RHEL ゲストとホスト間の隔離が強化され、ホストが RHEL ゲスト上のデータにアクセスすることが大幅に困難になります。
Jira:RHEL-70465[1]
Unified Kernel Image for RHEL が完全にサポートされる
RHEL 9.2 でテクノロジープレビューとして導入された Unified Kernel Image (UKI) for RHEL が完全にサポートされるようになりました。RHEL UKI を使用するには、まず kernel-uki-virt パッケージをインストールする必要があります。RHEL UKI は、仮想化環境およびクラウド環境での SecureBoot 保護を強化できます。
Jira:RHELDOCS-19839[1]
RHEL 8 - 10 の WSL イメージがカスタマーポータルで入手可能になる
Windows Subsystem for Linux (WSL) の RHEL 8、RHEL 9、および RHEL 10 イメージを Red Hat カスタマーポータルからダウンロードできるようになりました。これらのイメージは、無料の開発者サブスクリプションを含むすべての RHEL サブスクリプションで利用できます。WSL イメージを使用すると、Windows システムに RHEL インスタンスを作成できます。
WSL イメージは、自己サポート形式で提供されている点に注意してください。そのため、これらは Red Hat によるサポートの対象外であり、アプリケーション開発用途に限って使用することを目的としています。
さらに、Windows WSL ホストで WSL イメージを使用する場合、RHEL ゲストオペレーティングシステムでは現在、次の問題が発生しています。
- RHEL の WSL インスタンスがグラフィカルインターフェイスで正しく動作しない可能性があります。代わりにテキストユーザーインターフェイスを使用することを推奨します。
podman を使用するには、標準の設定手順に加え、
/etc/containers/containers.confファイルに次の行を追加する必要があります。[network] firewall_driver="iptables"cloud-init を使用するには、標準の設定手順に加え、
/etc/cloud/cloud.cfg.d/99_wsl.cfgファイルを作成し、次の内容を追加する必要があります。datasource_list: [WSL] network: {config: disabled}- SELinux を enforcing モードに設定することはできません。
- FIPS モードは、RHEL の WSL インスタンスでは使用できません。
HPE 上の RHEL は、最大 4096 の仮想 CPU を実行できる
この機能により、Hewlett Packard Enterprise Compute Scale-Up Server 上の RHEL KVM ハイパーバイザーで実行している RHEL 仮想マシン (VM) インスタンスは、インメモリーデータベースやその他の大きなコンピュート集約型ワークロードを処理するために、最大 4096 個の仮想 CPU、32 ソケット、および 64 TB のメモリーをサポートするようになりました。
Jira:RHEL-11043[1]
適格な RHEL イメージに対する自動登録の強化
RHEL 9.6 以降および RHEL 10.0 以降向けの対象となるクラウドマーケットプレイスのサブスクリプションを購入すると、強化された自動登録機能を利用できるようになります。
強化された自動登録により、インスタンスの起動時に信頼できる接続がなかったとしても、対象マーケットプレイス上のすべての RHEL インスタンスは Red Hat に自動的に登録され、Red Hat アカウントと特定のクラウドプラットフォームのアカウントとの間に信頼できる接続を確立すると、Red Hat Update Infrastructure (RHUI) からコンテンツ更新を自動的に受信するようになります。
詳細は、自動登録について を参照してください。
Jira:RHELDOCS-19664[1]
3.19. サポート性
プラグインオプション名には、アンダースコアではなくハイフンのみを使用するようになる
sos グローバルオプション間の一貫性を保つために、プラグインオプション名ではアンダースコアではなくハイフンのみを使用するようになりました。たとえば、ネットワークプラグインの namespace_pattern オプションは namespace-pattern になり、--plugin-option networking.namespace-pattern=<pattern> 構文を使用して指定する必要があります。
Jira:RHELDOCS-18655[1]
--api-url オプションが利用可能になる
--api-url オプションを使用すると、必要に応じて別の API を呼び出すことができます。たとえば、OpenShift Container Platform クラスター用の API などです。たとえば sos collect --cluster-type=ocp --cluster-option ocp.api-url=_<API_URL> --alloptions です。
新しい --skip-cleaning-files オプションが利用可能になる
sos report コマンドの --skip-cleaning-files オプションを使用すると、選択したファイルのクリーニングをスキップできます。このオプションは glob とワイルドカードをサポートしています。例: sos report -o host --batch --clean --skip-cleaning-files 'hostname'。
Jira:RHEL-30893[1]
3.20. コンテナー
Podman が zstd:chunked で圧縮されたイメージのプッシュとプルをサポートするようになる
zstd:chunked 形式で圧縮されたイメージをプッシュしてイメージサイズを縮小し、部分的なプルを使用できます。
Container Tools パッケージが更新される
Podman、Buildah、Skopeo、crun、runc ツールを含む、更新された Container Tools RPM メタパッケージが利用可能になりました。Buildah はバージョン 1.39.0 に更新され、Skopeo はバージョン 1.18.0 に更新されました。Podman v5.4 には、以前のバージョンに対する次の注目すべきバグ修正と機能拡張が含まれています。
-
podman updateコマンドが、ヘルスチェックに関連するさまざまなオプションをサポートするようになりました。新しいヘルスチェックを定義する--health-cmdや、既存のヘルスチェックを無効にする--no-healthcheckなどです。これらのオプションを使用すると、実行中のコンテナーのヘルスチェックを簡単に追加、変更、または無効化できます。詳細は、podman-update(5)man ページを参照してください。 -
podman run、podman create、およびpodman volume createコマンドの--mount type=volumeオプションは、コンテナー内のボリュームのサブセットのみを表示する新しいオプションsubpath=をサポートするようになりました。 -
podman run、podman create、およびpodman pod createコマンドの--userns=keep-idオプションは、ユーザー名前空間のサイズを設定するための新しいオプション--userns=keep-id:size=をサポートするようになりました。 -
podman kube playコマンドは、Container Device Interface (CDI) デバイスをサポートするようになりました。 -
podman run、podman create、podman pod createコマンドは、コンテナー内の/etc/hostsに使用されるベースファイルを定義する新しいオプション--hosts-fileをサポートするようになりました。 -
podman run、podman create、podman pod createコマンドは、コンテナー内の/etc/hostnameの作成を無効にする新しいオプション--no-hostnameをサポートするようになりました。 -
podman network createコマンドは、ブリッジネットワークの新しいオプション--opt mode=unmanagedをサポートするようになりました。これにより、Podman はシステム上の既存のネットワークブリッジを変更せずに使用できるようになります。 -
podman run、podman create、およびpodman pod createの--networkオプションは、ブリッジネットワークの新しいオプションhost_interface_nameを受け入れるようになりました。これは、コンテナーの外部に作成されたネットワークインターフェイスの名前を指定します。 -
podman manifest rmコマンドは、存在しないマニフェストを削除するときに正常に続行するための新しいオプション--ignoreをサポートするようになりました。 -
podman system pruneコマンドは、途中で終了したビルドから残ったビルドコンテナーを削除するための新しいオプション--buildをサポートするようになりました。 - Podman はコンテナーのホスト名を Netavark に渡し、Netavark はそれをコンテナーの DHCP 要求に使用します。
-
パッケージ作成者は、Makefile から podman をビルドするときに
BUILD_ORIGIN環境変数を設定できるようになりました。これにより、Podman バイナリーをビルドしたユーザーに関する情報が提供され、この情報はpodman versionコマンドとpodman infoコマンドに表示されます。この情報を含めることで、メンテナーによるビルドとインストールのソースと方法の特定に役立ち、バグ報告を支援できます。 -
podman kube generateコマンドとpodman kube playコマンドで、Kubernetes Job YAML を作成して実行できるようになりました。 -
podman kube generateコマンドには、生成された YAML 内の Pod とコンテナーのユーザー名前空間に関する情報が含まれるようになりました。podman kube playコマンドは、この情報を使用して、YAML に基づいて新しい Pod を作成するときにユーザー名前空間設定を複製します。 -
podman kube playコマンドは、Kubernetes ボリュームのイメージタイプをサポートするようになりました。 -
Quadlet によって生成される
systemdユニットのサービス名は、サポートされているすべての Quadlet ファイルのServiceNameキーを使用して設定できるようになりました。 -
Quadlet は、すべての Quadlet ファイルでサポートされている新しいキー
DefaultDependenciesを使用して、network-online.targetへの暗黙的な依存関係を無効にできるようになりました。 -
Quadlet
.containerファイルと.podファイルでは、コンテナーまたは Pod にホストを追加するための新しいキーAddHostがサポートされるようになりました。 -
Quadlet
.containerおよび.podファイル内のPublishPortキーの値に変数が受け入れられるようになりました。 -
Quadlet
.containerファイルでは、コンテナーのコントロールグループを設定し、コンテナーが属する Pod で起動されるかどうかを設定する 2 つの新しいキー (CgroupsModeとStartWithPod) がサポートされるようになりました。 -
Quadlet
.containerファイルは、Network キー内で共有するコンテナーの.containerファイルを指定することにより、別のコンテナーのネットワークを使用できるようになりました。 -
Quadlet
.containerファイルでは、.imageターゲットを指定したMount=type=imageキーを使用して、.imageファイルによって管理されるイメージをコンテナーにマウントできるようになりました。 -
Quadlet
.podファイルでは、Pod のDNS、静的 IP、およびユーザー名前空間設定を設定するための 6 つの新しいキー (DNS、DNSOption、DNSSearch、IP、IP6、UserNS) がサポートされるようになりました。 -
Quadlet
.imageファイルでは、ImageTagキーを複数回指定することで、イメージを複数回提供できるようになりました。 -
Quadlet を、
/run/containers/systemdディレクトリーや、$HOME/containers/systemdや/etc/containers/systemd/usersなどの既存のディレクトリーに配置できるようになりました。 - Quadlet は、シンボリックリンクであるユニットディレクトリーのサブディレクトリーを適切に処理するようになりました。
-
podman manifest inspectコマンドの出力にマニフェストのアノテーションが含まれるようになりました。 -
podman create、podman run、podman pod createの--add-hostオプションでは、セミコロンで区切られた複数のホスト名の指定をサポートするようになりました (例:podman run --add-host test1;test2:192.168.1.1)。 -
podman runコマンドとpodman createコマンドが、ヘルスチェックのロギングを設定するための 3 つの新しいオプションをサポートするようになりました。具体的には、--health-log-destination(ログを保存する場所を指定)、--health-max-log-count(ヘルスチェックのログがいくつ保存されるかを指定)、および--health-max-log-size(ヘルスチェックログの最大サイズを指定) です。
重要な変更の詳細は、アップストリームのリリースノート を参照してください。
強化されたヘルスチェック出力設定が Podman で利用可能になる
Podman で、コンテナーごとのヘルスチェック出力の設定機能が強化されました。この更新前は、ヘルスチェックの出力は直近の 5 回の実行に制限されていました。出力はそれぞれ 500 文字に制限されており、アクセスするには podman inspect コマンドを使用する必要がありました。各コンテナーに保存されるヘルスチェック出力の量を調整して、必要に応じてより包括的なデバッグ情報を取得できるようになりました。この機能は、実行中のサービスを中断せずに断続的なヘルスチェックの失敗を診断する場合に特に役立ちます。さらに、機密データやストレージ効率に関する懸念に対処するために、特定のコンテナーのヘルスチェック出力ストレージを制限または無効にすることもできます。
詳細は、podman-update man ページを参照してください。
Jira:RHEL-60561[1]
コンテナーイメージを単一のコマンドでデプロイできるようになる
単一のコマンドを使用して、コンテナーイメージを RHEL クラウドインスタンスにデプロイできます。system-reinstall-bootc コマンドは、次のアクションを実行します。
- 提供されたイメージをプルして、SSH キーをセットアップしたり、システムにアクセスしたりする。
-
すべてのバインドマウントおよび SSH キーを設定して、
bootc install to-existing-rootコマンドを実行する。
Jira:RHELDOCS-19516[1]
カスタム bootc イメージをゼロから作成することがサポート対象となる
bootc イメージをゼロから作成し、イメージの内容を完全に制御し、特定の要件を満たすようにシステム環境をカスタマイズできます。bootc-base-imgectl コマンドを使用すると、既存の bootc ベースイメージに基づいてカスタム bootc イメージを作成できます。Bootc Image from Scratch はコンテナーイメージから派生しており、デフォルトのベースイメージからの更新を自動的に受信しません。このような更新を含めるには、コンテナーパイプラインの一部として手動で組み込む必要があります。さらに、bootc コンテナーイメージの bootc-base-imgectl の rechunk サブコマンドを使用して、必要に応じてイメージを最適化または再ビルドできます。
Jira:RHELDOCS-19825[1]
新しいイメージビルドの進行状況バーが bootc-image-builder で利用可能になる
以前は、ログを調べることで、イメージのビルドが進行中であるかどうかを確認できませんでした。今回の機能拡張により、bootc-image-builder を使用して作成したイメージビルドの進捗を確認できるようになりました。イメージのビルド時に --progress=verbose 引数を使用して以前の動作に戻すことができます。
Jira:RHELDOCS-20170[1]
3.21. Lightspeed
RHEL Lightspeed を搭載したコマンドラインアシスタントは、RHEL で一般提供されています。
RHEL Lightspeed を搭載したコマンドラインアシスタントは、RHEL コマンドライン内で利用できます。アシスタントを強化する生成 AI は、RHEL 製品ドキュメントと Red Hat ナレッジベースの情報に基づいてトレーニングされており、RHEL を初めて使用するユーザーでも、すでに経験豊富なユーザーでも、RHEL システムをより簡単に理解、設定、トラブルシューティングする際に役立ちます。
Jira:RHELDOCS-20019[1]
コマンドラインアシスタントは、パスワードストアマネージャーとして systemd-creds の使用をサポートします。
RHEL Lightspeed が提供するコマンドラインアシスタントは、RHEL に同梱されているパスワードストアマネージャーである systemd-creds を使用して、コマンドラインアシスタントデーモン (clad) を統合します。つまり、履歴バックエンドとして PostgreSQL や MySQL などのデータベースを使用して、パスワードを安全に保存できます。その結果、このツールを使用して、ユニットの認証情報をセキュアにリスト表示、表示、暗号化、および復号化できるようになります。
Jira:RHELDOCS-20024[1]
第4章 外部カーネルパラメーターへの重要な変更
この章では、システム管理者向けに、Red Hat Enterprise Linux 9.6 で配布されるカーネルの重要な変更点の概要を説明します。これらの変更には、たとえば、追加または更新された proc エントリー、sysctl と sysfs のデフォルト値、ブートパラメーター、カーネル設定オプション、または注目すべき動作の変更などが含まれます。
新しいカーネルパラメーター
arm64.no32bit_el0=
[ARM64]
32 ビットアプリケーションの実行を無条件で無効にします。
con3215_drop=
[S390]
形式: y|n|Y|N|1|0
true に設定すると、コンソールバッファーがいっぱいになると、3215 コンソールにデータをドロップします。この場合、3270 ターミナルエミュレーター (x3270 など) を使用している Operator は、コンソール出力を進めてカーネルを継続させるために Clear キーを押す必要がなくなります。これにより、3270 ターミナルエミュレーターがアクティブな場合に、起動時間がはるかに短縮されます。3270 ターミナルエミュレーターが使用されていない場合、このパラメーターは効果がありません。
stress_hpt=
[PPC]
ハッシュページテーブルのカーネル HPT エントリーの数を制限し、カーネルアドレスのハッシュページテーブル障害の割合を増やします。
kvm.enable_virt_at_load=
[KVM,ARM64,LOONGARCH,MIPS,RISCV,X86]
有効にすると、KVM は、KVM のロード時にハードウェアで仮想化を有効にし、KVM がアンロードされると (KVM がモジュールとして構築されている場合) 仮想化を無効にします。
無効にすると、KVM は、仮想マシンを作成して破棄するときに、オンデマンドで仮想化を動的に有効または無効にします。つまり、仮想マシンの数を 0⇒1 および 1⇒0 に移行します。
モジュールのロード時に仮想化を有効にすることで、0⇒1 仮想マシンの作成時に発生する可能性のある遅延を回避できます。これは、KVM がすべてのオンライン CPU に対して仮想化の有効化を直列に実行するためです。KVM のロード時に仮想化を有効にすると、その "代償" として、仮想化ハードウェアを"所有"しようとする out-of-tree のハイパーバイザーの使用が妨げられる可能性があります。
kvm-arm.wfe_trap_policy=
[KVM,ARM]
KVM 仮想マシンの WFE 命令トラップを設定するタイミングを制御します。トラップは許可されますが、CPU アーキテクチャーでは保証されません。
trap: WFE 命令トラップを設定します。
notrap: WFE 命令トラップをクリアします。
kvm-arm.wfi_trap_policy=
[KVM,ARM]
KVM 仮想マシンの WFI 命令トラップを設定するタイミングを制御します。トラップは許可されますが、CPU アーキテクチャーでは保証されません。
trap: WFI 命令トラップを設定します。
notrap: WFI 命令トラップをクリアします。
config_acs=
形式: <ACS flags>@<pci_dev>[; …]
1 つ以上の PCI デバイスを (上で指定された形式で) 指定します。必要に応じてフラグを先頭に付け、セミコロンで区切ることができます。フラグで指定された内容に基づいて、特定の機能が有効化、無効化、またはそのまま維持されます。
ACS フラグは以下のように定義されます。
bit-0- ACS ソースの検証
bit-1- ACS 変換ブロッキング
bit-2- ACS P2P 要求リダイレクト
bit-3- ACS P2P 完了リダイレクト
bit-4- ACS アップストリーム転送
bit-5- ACS P2P Egress 制御
bit-6- ACS ダイレクト変換 P2P
各ビットには、次のマークを付けることができます。
0: 強制的に無効にします。
1: 強制的に有効にします。
X: 変更なし
たとえば、pci=config_acs=10x と指定すると、ACS をサポートするすべてのデバイスに対して、P2P リクエストリダイレクトを有効化し、変換ブロッキングを無効化して、ソースの検証は電源投入時やファームウェア設定のまま変更しないようにします。
これにより、デバイス間の分離が解除され、IOMMU グループにさらに多くのデバイスが配置される可能性があります。
rcutree.nocb_nobypass_lim_per_jiffy=
[KNL]
コールバックオフロードされた (rcu_nocbs) CPU では、RCU は →nocb_bypass リストを使用することで、コールバックの集中によって発生するロック競合を軽減します。ただし、コールバックが大量に発生しない通常のケースでは、→nocb_bypass リストとそのロックによる余分なオーバーヘッドを回避するために、RCU はメインの →cblist に直接キューイングします。ただし、単一の jiffy 中にキューイングされているコールバックが多すぎると、RCU はコールバックを →nocb_bypass キューに事前にキューイングします。"too many" の定義は、このカーネルブートパラメーターで提供されます。
rcutree.nohz_full_patience_delay=
[KNL]
コールバックオフロードされた (rcu_nocbs) CPU では、猶予期間が指定したミリ秒の期間に達するまでは、RCU を干渉しないようにします。デフォルトはゼロです。大きな値の上限は 5 秒です。すべての値は、jiffies で表現できる最も近い値に切り捨てられます。
rcutree.rcu_divisor=
[KNL]
この CPU にキューイングされているコールバックの数から、コールバック呼び出しのバッチ上限 (bl) を計算するために使用する右シフトの回数を設定します。結果は、rcutree.blimit カーネルパラメーターの値によって下にバインドされます。bl コールバックごとに、softirq ハンドラーが終了し、CPU が他の作業を行えるようになります。
このコールバック呼び出しのバッチ制限は、オフロードされていないコールバック呼び出しのみに適用されることに注意してください。オフロードされたコールバックは、代わりに rcuoc kthread のコンテキストで実行されます。kthread は、他のタスクと同様にスケジューラーによってプリエンプションされます。
rcutree.enable_rcu_lazy=
[KNL]
電力を節約するために、RCU コールバックをバッチ処理し、一定の遅延後、メモリー圧迫時、またはコールバックリストが大きくなりすぎた場合にフラッシュします。
rcutree.rcu_normal_wake_from_gp=
[KNL]
synchronize_rcu() 呼び出しの遅延を短縮します。このアプローチでは、synchronize_rcu() 呼び出し元を独自に追跡し、call_rcu[_hurry]() パスを使用しないため、通常のコールバックと対話しません。これは通常の猶予期間であることに注意してください。
有効にする方法:
echo 1 > /sys/module/rcutree/parameters/rcu_normal_wake_from_gp、またはブートパラメーター "rcutree.rcu_normal_wake_from_gp=1" を渡します。
デフォルトは 0 です。
削除されたカーネルパラメーター
clocksource.max_cswd_read_retries=
[KNL]
クロックが不安定とマークされるまでの外部遅延による clocksource_watchdog() の再試行回数。デフォルトは 2 回の再試行です。つまり、テスト対象のクロックの読み取りが 3 回試行されます。
disable_cpu_apicid=
[X86,APIC,SMP]
形式: <int>
起動時に無効化される対応する CPU の最初の APIC ID の数。主に、kdump 2nd カーネルで、AP から BSP への送信が原因でシステムのリセットやハングを発生させずに BSP が複数の CPU のウェイクアップを無効にするために使用されます。
カーネルパラメーターの変更
amd_iommu=
[HW,X86_64]
システム内の AMD IOMMU ドライバーにパラメーターを渡します。
可能な値は次のとおりです。
fullflush- 非推奨。iommu.strict=1 と同等です。
off- システム内で見つかった AMD IOMMU を初期化しないでください。
force_isolation- すべてのデバイスのデバイス分離を強制します。IOMMU ドライバーは、必要に応じて分離要件を解除できなくなりました。このオプションは iommu=pt をオーバーライドしません。
force_enable- IOMMU を有効にするとバグが発生することがわかっているプラットフォームで、IOMMU を強制的に有効にします。このオプションは注意して使用してください。
pgtbl_v1- DMA-API (デフォルト) には v1 ページテーブルを使用します。
pgtbl_v2- DMA-API には v2 ページテーブルを使用します。
irtcachedis- 割り込み再マッピングテーブル (IRT) キャッシュを無効にします。
nohugepages- v1 ページテーブルのページサイズを 4 KiB に制限します。
v2_pgsizes_only- v1 ページテーブルに使用されるページサイズを 4 KiB、2 Mib、または 1 GiB に制限します。
debug_guardpage_minorder=
[KNL]
CONFIG_DEBUG_PAGEALLOC が設定されている場合、このパラメーターにより、buddy allocator によって意図的に空き状態に保持される (そして、その結果として保護される) ページの指数 (order) を制御できます。値を大きくすると、ランダムなメモリー破損を検出する可能性が高くなりますが、通常のシステム用のメモリー容量が減少します。可能な最大値は MAX_PAGE_ORDER/2 です。このパラメーターを 1 または 2 に設定すると、CPU がランダムなメモリー位置に書き込む (またはそこから読み取る) ときにカーネルまたはドライバーコードのバグによって発生するランダムなメモリー破損の問題のほとんどを特定できます。ただし、一部のメモリー破壊の問題は、バグのあるハードウェアやファームウェア、またはドライバーによる不適切な DMA プログラミング (メモリーがバスレベルで書き込まれ、CPU の MMU がバイパスされる場合) によって引き起こされます。この問題は CONFIG_DEBUG_PAGEALLOC では検出できないため、このオプションは問題の追跡には役立ちません。
page_reporting.page_reporting_order=
[KNL]
最小のページレポート指数。
形式: <integer>
最小のページレポート指数を調整します。この値が MAX_PAGE_ORDER を超えると、ページレポートが無効になります。
preempt=
[KNL]
CONFIG_PREEMPT_DYNAMIC が有効な場合、プリエンプションモードを選択します。none: cond_resched() 呼び出しに限定。voluntary: cond_resched() および might_sleep() 呼び出しに限定。full: 明示的にプリエンプションが無効化されていない任意のセクションで、いつでもプリエンプションが可能。タスクは、競合しているスピンロックを保持します (そのクリティカルセクションがロック自体を超えて明示的にプリエンプションが無効化されていない限り)。
sched_thermal_decay_shift=
[非推奨] [KNL, SMP]
スケジューラーのサーマルプレッシャーシグナルに対して減衰シフトを設定します。サーマルプレッシャーシグナルは、他のスケジューラーの pelt のデフォルトの減衰期間に従います。
usb-storage.delay_use=
[UMS]
新しいデバイスが論理ユニットに対してスキャンされるまでの遅延 (秒単位)。デフォルトは 1 です。必要に応じて、値に "ms" の接尾辞がある場合の遅延 (ミリ秒単位)。例: delay_use=2567ms.
新しい sysctl パラメーター
skb_defer_max
skb を割り当てた CPU によって解放される、CPU ごとの skb リストの最大サイズ (単位: skb)。これまでのところ、TCP スタックによって使用されています。
デフォルト: 64
変更された sysctl パラメーター
overcommit_memory
この値には、メモリーのオーバーコミットを有効にするフラグが含まれます。
このフラグが 0 の場合、カーネルはユーザー空間からのメモリー要求サイズを、合計メモリーとスワップの合計と比較し、明らかなオーバーコミットを拒否します。
このフラグが 1 の場合、カーネルは実際にメモリーが不足するまでは常に十分なメモリーがあるかのように振る舞います。
このフラグが 2 の場合、カーネルは "never overcommit" ポリシーを使用し、あらゆるメモリーのオーバーコミットを防ごうとします。user_reserve_kbytes は、このポリシーに影響することに注意してください。
この機能は非常に便利です。malloc() によって大量のメモリーを "念のため" に確保しておきながら、そのほとんどを使用しないプログラムが多数あるからです。
デフォルト値は 0 です。
詳細は、Documentation/mm/overcommit-accounting.rst および mm/util.c::__vm_enough_memory() を参照してください。
第5章 バグ修正
ここでは、ユーザーに重大な影響を与えるバグで、Red Hat Enterprise Linux 9.6 で修正されたものを説明します。
5.1. セキュリティー
shlibsign が FIPS モードで動作するようになる
この更新前は、shlibsign プログラムは FIPS モードで動作しませんでした。したがって、NSS ライブラリーを FIPS モードで再ビルドした場合、ライブラリーに署名するには FIPS モードを終了する必要がありました。プログラムが修正され、shlibsign を FIPS モードで使用できるようになりました。
Audit は、/usr/lib/modules/ を参照するルールをロードするようになる
この更新前は、auditd.service の ProtectKernelModules オプションが true に設定されている場合、Audit サブシステムが、/usr/lib/modules/ ディレクトリー内のファイルを参照するルールをロードせず、Error sending add rule data request (No such file or directory) というエラーメッセージが表示されていました。この更新により、Audit はこれらのルールもロードするため、auditctl -R または augenrules --load コマンドを使用してルールを再ロードする必要がなくなります。
Jira:RHEL-59570[1]
update-ca-trust extract は、長い名前の証明書の抽出に失敗しなくなる
トラストストアから証明書を抽出するとき、trust ツールは内部的に証明書のオブジェクトラベルからファイル名を導出します。ラベルが十分に長い場合、結果のパスがシステムの最大ファイル名の長さを超えていた可能性があります。その結果、trust ツールは、システムの最大ファイル名の長さを超える名前のファイルを作成できませんでした。この更新により、派生名は常に 255 文字以内に切り捨てられるようになりました。その結果、証明書のオブジェクトラベルが長すぎる場合でも、ファイルの作成が失敗しなくなります。
Jira:RHEL-58899[1]
qemu-guest-agent の dac_override および dac_read_search を許可するルールが SELinux ポリシーに追加される
以前は、SELinux ポリシーには、qemu-guest-agent、dac_override、および dac_read_search 機能を許可するルールがありませんでした。その結果、ファイルシステムのマウントポイント DAC パーミッションがユーザー root へのアクセスを付与しなかった場合、仮想マシンのファイルシステムのフリーズおよび解凍が適切に機能しませんでした。この更新により、不足しているルールがポリシーに追加されました。その結果、一貫したスナップショットを作成するために重要な qemu-ga コマンドである fsfreeze が正常に機能します。
OpenSSL 暗号スイートは、ハッシュまたは MAC が無効になっている暗号スイートを有効化しなくなる
以前は、OpenSSL TLS 1.3 固有の Ciphersuites オプション値が暗号化ポリシーの ciphers オプションによってのみ制御されていたため、カスタム暗号化ポリシーを適用すると、ハッシュまたは MAC が無効になっている場合でも、特定の TLS 1.3 暗号スイートが有効のままになることがありました。この更新により、crypto-policies は、暗号スイートを有効にするか決定する際に、より多くのアルゴリズムを考慮するようになりました。その結果、カスタム暗号化ポリシーを持つシステム上の OpenSSL は、システム設定に従って、以前に有効にされた TLS 1.3 暗号スイートの一部とのネゴシエーションを拒否する可能性があります。
Jira:RHEL-76528[1]
5.2. サブスクリプションの管理
RHEL Web コンソールの Subscription Manager プラグインが Insights データのアップロードの失敗を検出するようになる
この更新前は、systemd サービスマネージャーが insights-client サービスの失敗時に自動的に再起動していたため、RHEL Web コンソールの Subscription Manager プラグインに組み込まれている検出機能が正常に動作しませんでした。この検出は失敗したサービス状態を確認するもので、その失敗した状態は正しく阻止されていました。その結果、Insights データのアップロードが失敗した場合に、RHEL Web コンソールに警告が表示されませんでした。この更新により、アップロードが失敗した場合の新しいステータスを考慮して、insights-client のステータスの検出が改善されました。その結果、Web コンソールの Subscription Manager は Insights データアップロードの失敗を正しく検出します。
subscription-manager は端末に不要なテキストを保持しなくなる
RHEL 9.1 以降、subscription-manager は操作の処理中に進行状況情報を表示します。以前は、一部の言語 (通常は非ラテン語) では、操作の終了後に進行状況メッセージがクリーンアップされませんでした。この更新により、操作の終了時にすべてのメッセージが適切にクリーンアップされます。
以前に進行状況メッセージを無効にしたことがある場合は、次のコマンドを入力して再度有効にできます。
# subscription-manager config --rhsm.progress_messages=1Jira:RHELPLAN-137234[1]
5.3. ソフトウェア管理
dnf needs-restarting --reboothint は、UTC で動作していないリアルタイムクロックを持つシステムで再起動が必要かどうかを正しく報告するようになる
この更新前は、UTC で実行されていないリアルタイムクロックを備えたシステムで、更新を完全に適用するためにシステムの再起動が必要なパッケージを更新した場合、dnf needs-restarting --reboothint コマンドは、再起動が必要であることを報告しない可能性がありました。この更新により、ブート時間の優先ソースとして systemd UnitsLoadStartTimestamp プロパティーが追加されました。その結果、リアルタイムクロックがローカル時間で動作しているシステム上のコンテナー外で、dnf needs-restarting --reboothint の信頼性が向上しました。
dnf reposync を使用すると、リポジトリーのメタデータが要求されたディレクトリーに直接保存されるようになる
この更新前は、dnf reposync コマンドはリポジトリーメタデータをダウンロードするための --norepopath オプションを考慮しませんでした。その結果、このメタデータはリポジトリーにちなんで名付けられたサブディレクトリーに保存されました。この更新により、dnf reposync コマンドは --norepopath オプションを尊重するようになり、リポジトリーメタデータは要求されたディレクトリーに直接保存されるようになりました。
%patch N がパッチ番号 0 を適用しなくなる
この更新前は、%patch N 構文 (N はパッチ番号) を使用すると、構文は N で指定されたパッチに加えて、パッチ番号 0 (Patch0) も適用していました。この更新により、%patch N 構文が修正され、パッチ番号 N のみが適用されるようになりました。
パッチ番号を指定せずに %patch ディレクティブを使用すると、%patch 0 の省略形として Patch0 が適用されます。ただし、zero-th パッチを適用するには、%patch ではなく %patch 0 または %patch -P 0 などの明示的な構文を使用することを提案する警告が表示されます。
5.4. シェルおよびコマンドラインツール
lparstat -E がビジー状態とアイドル状態の正しい値を表示するようになる
以前は、アイドルティックの計算時に、一部の値が考慮されていませんでした。その結果、lparstat -E コマンドは、Normalized セクションと Actual セクションの下でビジー状態とアイドル状態を表示しました (例: lparstat -E 4 4)。この更新により、アイドルティックの計算が修正されました。その結果、lparstat -E ユーティリティーは、ビジー状態とアイドル状態の正しい値を表示するようになりました。
Jira:RHEL-61089[1]
traceroute ユーティリティーが、環境変数による IPv6 の優先設定をサポートするようになりました
以前は、traceroute ユーティリティーは、IPv4 アドレスと IPv6 アドレスの両方が利用可能な場合に IPv6 アドレスを優先する機能をサポートしていませんでした。
この機能強化により、traceroute の動作が更新され、IPv6 アドレスが利用可能な場合に IPv6 アドレスを優先する機能がサポートされるようになりました。
その結果、TRACEROUTE_USE_RFC3484 変数を設定して IPv6 優先を有効にできるようになりました。この変数が設定されている場合、traceroute は RFC 3484 の選択ルールに従い、利用可能な場合はデフォルトで IPv6 を使用します。環境変数が設定されていない場合、traceroute は引き続きデフォルトで IPv4 を使用します。
5.5. ネットワーク
lldpad 終了後もネットワークインターフェイス設定が維持される
この更新前は、Link Layer Discovery Protocol Agent Daemon (lldpad) が systemd または手動で終了されたときに、ネットワークインターフェイス設定が削除されていました。この更新により、サービスが終了後にインターフェイス設定をリセットしないように lldpad ソースコードが修正されました。
RHEL が 512 CPU を搭載したシステムで正しい CPU 数を表示する
rps_default_mask 設定は、受信ネットワークパケットを特定の CPU に向けるためのデフォルトの Receive Packet Steering (rps) メカニズムを制御します。flow_limit_cpu_bitmap パラメーターは、CPU ごとにフロー制御を有効または無効にします。この修正により、RHEL はコンソールに合計 CPU とそのパラメーター値を正しく表示します。
netdev デバイス属性が ethtool の出力から削除される
カーネルに保存されているネットワークデバイス機能フラグの変更により、次の機能は ethtool -k コマンドの出力に表示されなくなります。
-
tx-lockless -
netns-local -
fcoe-mtu
これらのフラグは機能ではなく、どのドライバーで ethtool -K コマンドを使用しても変更できないデバイス属性またはプロパティーであることに注意してください。
Jira:RHEL-59091[1]
NetworkManager で、VPN 接続プロファイルにおける CVE-2024-3661 (TunnelVision) の影響を軽減できるようになる
VPN 接続は、ルートを利用してトンネルを介してトラフィックをリダイレクトします。ただし、DHCP サーバーがクラスレススタティックルートオプション (121) を使用してクライアントのルーティングテーブルにルートを追加し、DHCP サーバーによって伝播されたルートが VPN と重複する場合、トラフィックは VPN ではなく物理インターフェイスを介して送信される場合があります。この脆弱性は CVE-2024-3661 で説明されており、TunnelVision とも呼ばれています。結果として、VPN によって保護されているはずのトラフィックに攻撃者がアクセスできるようになります。
RHEL では、この問題は LibreSwan IPSec および WireGuard VPN 接続に影響します。影響を受けないのは、ipsec-interface プロパティーと vt-interface プロパティーの両方が未定義または no に設定されているプロファイルを持つ LibreSwan IPSec 接続だけです。
CVE-2024-3661 ドキュメントでは、VPN ルートを優先度の高い専用ルーティングテーブルに配置するように VPN 接続プロファイルを設定することで、TunnelVision の影響を軽減する手順について説明しています。この手順は、LibreSwan IPSec 接続と WireGuard 接続の両方で機能します。
xdp-loader features コマンドが期待通りに動作するようにる
xdp-loader ユーティリティーは、libbpf の以前のバージョンに対してコンパイルされていました。その結果、xdp-loader features はエラーで失敗していました。
Cannot display features, because xdp-loader was compiled against an old version of libbpf without support for querying features.
このユーティリティーは、正しい libbpf バージョンに対してコンパイルされるようになりました。その結果、コマンドは期待どおりに動作するようになりました。
Mellanox ConnectX-5 アダプターが DMFS モードで動作する
以前は、イーサネットスイッチデバイスドライバーモデル (switchdev) モードを使用しているときに、ConnectX-5 アダプターのデバイス管理フローステアリング (DMFS) モードで設定されていると、mlx5 ドライバーが失敗していました。したがって、以下のエラーメッセージが表示されていました。
mlx5_core 0000:5e:00.0: mlx5_cmd_out_err:780:(pid 980895): DELETE_FLOW_TABLE_ENTRY(0x938) op_mod(0x0) failed, status bad resource(0x5), syndrome (0xabe70a), err(-22)
その結果、ConnectX-5 アダプターのファームウェアバージョンを 16.35.3006 以降に更新すると、エラーメッセージは表示されなくなります。
Jira:RHEL-9897[1]
5.6. ファイルシステムおよびストレージ
ontap prioritizer で発生したエラーを起因とする multipathd のクラッシュがなくなる
この更新前は、ontap prioritizer は NetApp ストレージ配列でのみ機能するため、サポートされていないパスで prioritizer を使用するように設定されていると、multipathd がクラッシュしていました。この障害は、prioritizer のエラーロギングコードのバグが原因で発生し、エラーメッセージバッファーがオーバーフローしました。この更新により、エラーロギングコードが修正され、ontap prioritizer で発生したエラーが原因で multipathd がクラッシュしなくなりました。
Jira:RHEL-58920[1]
enable_foreign がネイティブマルチパス NVMe デバイスを監視するように設定されている場合、ネイティブ NVMe マルチパスによってメモリーリークが発生しなくなる
この更新前は、enable_foreign 設定パラメーターがネイティブにマルチパス化された NVMe デバイスを監視するように設定されていた場合、ネイティブ NVMe マルチパスを有効にするとメモリーリークが発生していました。この更新により、multipathd モニタリングコードのメモリーリークが修正されました。その結果、multipathd はメモリー使用量を増やすことなく、ネイティブにマルチパス化された NVMe デバイスを監視できるようになりました。
Jira:RHEL-73413[1]
RHEL インストールプログラムが、aarch64 上で iSCSI デバイスをブートデバイスとして検出および使用するようになる
以前は、aarch64 上で実行される RHEL インストールプログラムに iscsi_ibft カーネルモジュールが存在しなかったため、ファームウェアで定義されている iSCSI デバイスを自動検出できませんでした。その結果、これらのデバイスは手動追加の GUI において、自動的に表示も選択もされませんでした。
この問題は、RHEL の新しい aarch64 ビルドに iscsi_ibft カーネルモジュールを含めることで解決されました。その結果、iSCSI デバイスは自動的に検出され、インストール中にブートオプションとして利用できるようになりました。
Jira:RHEL-56135[1]
Anaconda による ostree ベースの新規インストールでは、LUKS2 ルートで fstrim がデフォルトで有効化される
以前は、/ (ルート) マウントポイントで LUKS2 暗号化を有効にした状態で ostreesetup または ostreecontainer キックスタートコマンドを使用して、Image Mode などの ostree ベースのシステムをインストールすると、fstrim が有効化されていないシステムが作成されていました。これにより、システムが応答しなくなったり、ファイル選択ダイアログが壊れたりといった問題が発生する可能性があります。この修正により、新しくインストールされたシステムの LUKS2 メタデータで fstrim (discards) がデフォルトで有効になりました。
既存のインストールでこの問題を修正するには、次のコマンドを実行します: ….cryptsetup --allow-discards --persistent refresh <luks device> ….<luks device> は、ルート LUKS2 デバイスへのパスです。
データ転送の失敗により、NVMe over TCP コントローラーを備えたシステムがクラッシュしなくなる
この更新以前は、最適な I/O サイズが PAGE_SIZE を超える NVMe over TCP ストレージコントローラーを備えた 64 ビット ARM アーキテクチャーのシステムで、MD デバイスがビットマップを使用している場合、次のようなエラーメッセージとともにシステムがクラッシュする可能性がありました。
usercopy: Kernel memory exposure attempt detected from SLUB object 'kmalloc-512' (offset 440, size 24576)!この更新により、カーネルは、最終的な IO サイズがビットマップの長さを超えないことをチェックします。その結果、システムがクラッシュしなくなりました。
Jira:RHEL-46615[1]
/etc/fstab にマウントポイントとして NVMe-FC デバイスを追加すると、システムが正常に起動する
以前は、nvme-cli nvmf-autoconnect systemd サービスの既知の問題により、Non-volatile Memory Express over Fibre Channel (NVMe-FC) デバイスを /etc/fstab ファイルのマウントポイントとして追加すると、システムが起動できませんでした。その結果、システムは緊急モードに入っていました。この更新により、NVMe-FC デバイスをマウントした際に、システムが問題なく起動するようになりました。
Jira:RHEL-8171[1]
5.7. 高可用性およびクラスター
期限切れのルールによるリソース制約が表示されなくなる
この更新前は、pcs constraint location config resources コマンドの出力に、期限切れのルールを含むリソース制約が表示されていました。この更新により、--all オプションを指定しない場合、コマンドは期限切れのルールを含む制約を表示しなくなりました。
Jira:RHEL-46293[1]
1 つのインスタンスのみで実行されているクローンリソースのステータスが正しく表示されるようになる
この更新前は、実行中のインスタンスが 1 つだけのクラスターリソースクローンのインスタンスのステータスをクエリーすると、pcs status query コマンドがエラーメッセージを表示していました。この更新により、コマンドはリソースのステータスを適切に報告するようになりました。
中断された Pacemaker リモート接続が正常に回復する
この更新前は、初期接続の TLS ハンドシェイク部分で Pacemaker リモートノードとその接続をホストするクラスターノード間のネットワーク通信が中断されると、接続がブロックされ、別のクラスターノードで回復できない場合がありました。この更新により、TLS ハンドシェイクは非同期になり、リモート接続は他の場所で正常に回復されます。
障害復旧サイトのクラスターステータスが正しく表示されるようになる
この更新前は、障害復旧サイトを設定し、pcs dr status コマンドを実行してローカルおよびリモートクラスターサイトのステータスを表示すると、クラスターステータスではなくエラーが表示されていました。この更新により、このコマンドを実行すると、ローカルサイトとリモートサイトのクラスターステータスが正しく表示されるようになります。
クラスターのアラートが即時に有効になる
この更新前は、Pacemaker クラスターでアラートを設定しても、クラスターを再起動しないとアラートは即時に有効になりませんでした。この更新により、クラスターはクラスターアラートの更新を即時に検出します。
5.8. コンパイラーおよび開発ツール
glibc getenv 関数が限定的なスレッドセーフティーを提供する
glibc getenv 関数はスレッドセーフではありません。以前は、アプリケーションが getenv、setenv、unsetenv、putenv、clearenv の各関数を同時に呼び出すと、アプリケーションが予期せず終了したり、getenv が不正な値を返したりすることがありました。このバグ修正により、getenv 関数は限定的な形式のスレッドセーフティーを提供します。その結果、関数を同時に呼び出してもアプリケーションがクラッシュしなくなりました。さらに、getenv は setenv を使用していた環境値、またはプログラムの開始時に存在していた環境値のみを返し、順序が不正確な可能性のある unsetenv 呼び出しがあった場合にのみ、以前に設定された環境変数を設定されていないものとして報告します。
この修正は、environ 配列を直接変更する場合には適用されません。
pcp パッケージが、/var/lib/pcp/config/pmie/config.default ファイルに正しい所有者とグループを設定するようになる
以前は、pcp パッケージを初めてインストールした場合、パッケージのインストールプロセスによって、/var/lib/pcp/config/pmie/config.default ファイルの所有権が誤って root:root に設定されていました。その結果、このサービスによって実行される pmieconf ユーティリティーではこのファイルの pcp:pcp 所有権が必要であるため、pmie サービスの起動に失敗しました。サービスの起動に失敗すると、/var/log/pcp/pmie/pmie_check.log ファイルに次のエラーが記録されました。
Warning: no write access to pmieconf file "/var/lib/pcp/config/pmie/config.default", skip reconfiguration
この更新により、pcp パッケージは最初のインストール時に /var/lib/pcp/config/pmie/config.default ファイルの正しい所有権を設定し、既存のインストール環境でも修正を行います。その結果、pmie サービスが正しく起動します。
pcp-xsos がシステムの迅速な概要を提供する
Performance Co-Pilot (PCP) ツールキットには多くの設定可能なコンポーネントがあるため、システムのパフォーマンスを把握するには複数の異なるツールを使用することがよくあります。これらのツールの多くは、大容量の圧縮された時系列データを扱う際に、追加の処理時間を必要とします。この機能拡張により、PCP に pcp-xsos ユーティリティーが追加されます。このユーティリティーは、PCP アーカイブから個々の時点の高速かつ高度な分析を実行できます。その結果、pcp-xsos は、高度なパフォーマンス問題の洞察を得るのに役立ち、さらにターゲットを絞ったパフォーマンス分析タスクを特定できます。
Jira:RHEL-30590[1]
iconv インプレース変換で出力が破損しなくなる
iconv ユーティリティーは、変換された出力を同じファイルに書き込むことができます。以前は、インプレース変換を実行し、ソースファイルが特定のサイズを超えると、iconv は処理が完了する前にファイルを上書きしていました。その結果、ファイルが破損していました。この更新により、ソースファイルと出力ファイルが同じ場合、ユーティリティーは一時ファイルを作成し、変換が完了した後にソースファイルをオーバーライドします。その結果、インプレース変換によってファイルが破損することはなくなりました。
glibc スタブリゾルバーと getaddrinfo() API 呼び出しの改善
以前は、glibc スタブリゾルバーと getaddrinfo() API 呼び出しにより、次の場合に予想よりも長い遅延が発生する可能性がありました。
- サーバーにアクセスできない場合
- サーバーがクエリーを拒否した場合
- クエリーを含むネットワークパケットが失われた場合
この更新により、障害発生時の遅延が短縮され、新しいリゾルバーオプション RES_STRICTERR が追加されました。このオプションを使用すると、getaddrinfo() API 呼び出しでより多くの DNS エラーが報告されます。さらに、設定ファイルで負の接頭辞 - が付いたオプションを使用できるようになりました。
Jira:RHEL-50662[1]
glibc の exit 関数が同時呼び出しでクラッシュしなくなる
以前は、exit 関数への複数の同時呼び出しと、同時 <stdio.h> ストリーム操作によるこの関数の呼び出しは同期されていませんでした。その結果、マルチスレッドアプリケーションで同時 exit 関数呼び出しが発生した場合、アプリケーションが予期せず終了し、データストリームが破損する可能性があります。この更新により、exit は <stdio.h> ストリームをフラッシュするときにそれらをロックするようになり、exit と quick_exit を同時に呼び出すと、続行するために 1 つの呼び出しが選択されます。その結果、このシナリオではアプリケーションがクラッシュしなくなりました。
この修正の結果、getchar 関数などの <stdio.h> ストリームでブロッキング読み取り操作を実行するアプリケーション、または flockfile 関数を使用するロックされたストリームを持つアプリケーションは、読み取り操作が返されるかロックが解除されるまで終了できなくなります。このようなブロッキングは POSIX 標準で必須です。
Jira:RHEL-65358[1]
待機中のスレッドを起動するための glibc の POSIX スレッド条件変数の実装が改善される
以前は、POSIX スレッド条件変数の実装に不具合があり、pthread_signal() API 呼び出しが待機中のスレッドを起動できない可能性がありました。その結果、スレッドは次のシグナルまたはブロードキャストを無期限に待機する可能性があります。このバグ修正により、POSIX スレッド条件変数の実装に、シグナル状態の欠落を回避し、待機中のスレッドが正しく起動されることをより強力に保証するシーケンス相対アルゴリズムが含まれるようになりました。
Boost.Asio は、移動された TCP ソケットを再利用するときに例外を表示しなくなる
以前は、アプリケーションが Boost.Asio ライブラリーを使用し、移動された TCP ソケットを再利用すると、アプリケーションは bad_executor 例外で失敗していました。この更新により問題が修正され、説明されているシナリオで Boost.Asio ライブラリーが失敗しなくなりました。
Jira:RHEL-67973[1]
5.9. Identity Management
IdM デプロイメントの移行では、HBAC ルールが重複しなくなりました。
ipa-migrate ユーティリティーを使用して 1 つの Identity Management (IdM) デプロイメントから別のデプロイメントに移行すると、移行先サーバーでホストベースのアクセス制御 (HBAC) ルールが重複することがありました。その結果、そのサーバーで "ipa hbacrule-find" コマンドを実行すると、"allow_all" および "allow_systemd-user" HBAC ルールが 2 回表示されました。
この問題は修正され、IdM デプロイメントを移行しても HBAC ルールが重複することはなくなりました。
期限切れのトークンを使用した 2 要素認証の回避ができなくなる
以前は、特定の有効期限を持つ OTP トークンを作成することで、2 要素認証を回避できました。
2 要素認証が強制されている場合、OTP トークンを持たないユーザーは、パスワードを使用して 1 回 ログインし、OTP トークンを設定できます。その後、認証にはパスワードと OTP トークンの両方を使用する必要があります。ただし、ユーザーが有効期限の終了日が過ぎた OTP トークンを作成した場合、IdM は誤ってパスワードのみの認証にフォールバックし、事実上 2 要素認証を回避します。これは、IdM が、存在しない OTP トークンと期限切れの OTP トークンを区別しなかったために発生しました。
この更新により、IdM はこれらのシナリオを正しく区別できるようになりました。その結果、2 要素認証が正しく実施され、この回避が阻止されるようになりました。
サブ接尾辞を持つインスタンスを起動するときに、誤ったエラーが記録されなくなる
この更新前は、サブ接尾辞を持つインスタンスを起動すると、エラーログに次の誤ったメッセージが表示されることがありました。
[time_stamp] - ERR - id2entry - Could not open id2entry err 0
[time_stamp] - ERR - dn2entry_ext - The dn "dc=example,dc=com" was in the entryrdn index, but it did not exist in id2entry of instance userRoot.このメッセージの根本原因は、バックエンドの初期化中に、サブツリーにスマートリファラルが含まれているかどうかを判断するために、バックエンドでサブツリー検索が実行されていたことです。さらに、この問題により、サーバー起動後の最初の 10 分間、検索操作のパフォーマンスに若干の影響が出ていました。
この更新により、誤ったメッセージがログに記録されなくなり、サーバーの起動時にパフォーマンスへの影響が発生しなくなりました。
Jira:RHEL-71218[1]
ldapsearch が NETWORK_TIMEOUT 設定を期待通りに考慮するようになる
以前は、サーバーに到達できない場合、ldapsearch コマンドはタイムアウトを無視し、その結果、検索はタイムアウトになる代わりに無期限にハングしていました。この更新では、接続再試行とソケットオプションを調整することで、TLS 処理のロジックエラーが修正されました。
その結果、ldapsearch コマンドは NETWORK_TIMEOUT 設定を無視しなくなり、タイムアウトに達すると次のエラーを返すようになりました。
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1).Jira:RHEL-78297[1]
ページ結果検索における競合状態が解消され、T3 エラーコードによって接続が切断されなくなる
以前は、Directory Server は、タイムアウトイベントの接続のページ結果データをチェックするときに適切なスレッド保護を使用していませんでした。その結果、新たな操作が到着した際に、ページ結果のタイムアウト値が予期せず変更され、誤ったタイムアウトが発生してしまいました。これによりタイムアウトエラーが発生し、次の T3 エラーコードで接続が閉じられました。
The server closed the connection because the specified time limit for a paged result search has been exceeded.
この更新により、適切なスレッド保護が使用されるようになり、ページ結果検索で接続が T3 エラーコードによって切断されることはなくなりました。
Jira:RHEL-76019[1]
拡張マッチングルールでインデックスされたソート属性を持つ VLV インデックスの再インデックス時に、Directory Server が失敗しなくなる
この更新前は、拡張一致ルールでインデックスされたソート属性を持つ仮想リストビュー (VLV) インデックスの再インデックス中に競合状態が発生していました。その結果、メモリーがリークされ、Directory Server は失敗しました。この更新により、Directory Server は VLV インデックスキーの生成をシリアライズし、失敗しなくなりました。
OpenLDAP ライブラリーは、リソースを解放しようとしても失敗しなくなる
この更新前は、OpenLDAP ライブラリーは、アプリケーションが直接または atexit() 関数経由で OPENSSL_cleanup() 関数を呼び出してこれらのリソースをすでにクリーンアップしているときに、デストラクターで SSL_CTX_free() 関数を使用してメモリーを解放しようとしていました。その結果、無効な SSL_CTX_free() 呼び出しによって、すでにクリーンアップされた SSL コンテキストリソースが解放されようとしたときに、ユーザーは障害や未定義の動作を経験しました。
この更新により、OpenLDAP のデストラクターで SSL コンテキストのクリーンアップをスキップするための安全なクリーンアップ関数が追加されました。その結果、SSL コンテキストは明示的に解放されない場合にリークされ、安定したアプリケーションのシャットダウンが保証されるようになりました。
高い接続負荷によって Directory Server の単一スレッドが過負荷にならなくなる
この更新前は、Directory Server が複数のリスニングスレッドをサポートしていても、最初の着信接続が同じリスナースレッドに割り当てられ、過負荷になっていました。その結果、一部のリクエストで wtime が長くなり、パフォーマンスが低下しました。この更新により、Directory Server は接続の負荷をすべてのリスニングスレッドに分散します。
LMDB 使用時に、VLV インデックスキャッシュが VLV インデックスと期待どおりに一致するようになる
この更新前は、仮想リストビュー (VLV) インデックスキャッシュが Lightning Memory-Mapped Database (LMDB) が割り当てられたインスタンスの VLV インデックス自体と一致していなかったため、VLV インデックスが無効値を返していました。この更新により、VLV インデックスキャッシュが VLV インデックスと一致し、正しい値が返されるようになりました。
Jira:RHEL-64438[1]
オンラインバックアップが失敗しなくなる
この更新前は、ロックの順番が正しくないため、オンラインバックアップタスクが散発的にハングする可能性がありました。この更新により、オンラインバックアップは期待どおりに機能し、失敗しなくなりました。
Jira:RHEL-67005[1]
cleanAllRUV が自身をブロックしなくなる
この更新前は、レプリケーショントポロジーからレプリカを削除した後に cleanAllRUV タスクを実行すると、同じタスクが古いレプリカ ID (rid) のレプリケーション changelog を消去しながら、レプリケーション設定エントリーを更新しようとしていました。その結果、サーバーは応答していませんでした。
この更新により、cleanAllRUV は、changelog のパージが完了した後にのみレプリケーション設定をクリーンアップします。
エントリー RDN が接尾辞 DN と同じ値を持つ場合、再インデックス化が失敗しなくなる
この更新前は、エントリーの相対識別名 (RDN) がディレクトリー内の接尾辞識別名 (DN) と同じ値を持つ場合、entryrdn インデックスが壊れていました。その結果、Directory Server が遅い検索リクエストを実行したり、無効な結果を返したり、エラーログに警告メッセージを書き込んだりする可能性がありました。
この更新により、再インデックス化が期待どおりに機能するようになりました。
Jira:RHEL-74158[1]
Account Policy プラグインが、レプリケーショントポロジーの更新に適切なフラグを使用するようになる
この更新前は、Account Policy プラグインは更新に適切なフラグを使用していませんでした。その結果、レプリケーショントポロジーでは、Account Policy プラグインがログイン履歴を更新しましたが、この更新はコンシューマーサーバー上で失敗し、次のエラーメッセージが記録されました。
{{ERR - acct_update_login_history - Modify error 10 on entry
}}この更新により、内部更新は成功し、エラーは記録されません。
Jira:RHEL-74168[1]
LMDB を使用するサプライヤーにおいて、オフラインインポート時に nsuniqueid の重複が生成されなくなる
この更新前は、Lightning Memory-Mapped Database (LMDB) を使用するサプライヤーで、レプリケーションされていない基本エントリーをオフラインインポートすると、一意である必要がある運用属性 nsuniqueid の重複が生成されることがありました。その結果、レプリケーションの問題が発生していました。この更新により、オフラインインポートでサプライヤーに重複が生成されなくなりました。
Jira:RHEL-78344[1]
TLS 1.3 を使用して、FIPS モードで実行されている LDAP サーバーに接続できるようになる
この更新前は、FIPS モードで LDAP サーバーに接続するときに TLS 1.3 を明示的に設定しようとすると、使用される TLS バージョンは 1.2 のままでした。その結果、TLS 1.3 を使用して LDAP サーバーに接続しようとしても失敗しました。この更新により、FIPS モードにおける TLS バージョンの上限が 1.3 に変更され、TLS 1.3 を使用した LDAP サーバーへの接続試行が失敗しなくなりました。
以前のバックアップが失敗していた場合でも、Directory Server のバックアップが正常に実行されるようになる
この更新前は、最初のバックアップ試行が失敗した場合、バックエンドが以前のバックアップを完了しようとしてビジー状態になっていたため、次の Directory Server のバックアップに失敗していました。その結果、インスタンスの再起動が必要でした。この更新により、以前の試行に失敗した後に Directory Server のバックアップが失敗しなくなり、インスタンスの再起動が不要になりました。
証明書ベースの認証を使用しているときにサプライヤー間のレプリケーションが失敗した場合に、よりわかりやすいエラーメッセージが表示されるようになる
この更新前は、サプライヤー間のレプリケーション中に必要な CA 証明書ファイルが欠落していて TLS 接続の確立に失敗した場合でも、問題を特定できるような明確なエラーメッセージが表示されませんでした。この更新により、TLS セットアップエラーが発生した場合、Directory Server はより詳細なエラー情報をログに記録します。証明書が見つからない場合には、No such file or directory といったメッセージが表示されるようになり、問題の解決が容易になりました。
Jira:RHEL-65662[1]
dsconf config replace コマンドが複数値属性を期待どおりに正しく扱えるようになる
この更新前は、dsconf config replace コマンドは、nsslapd-haproxy-trusted-ip などの属性に対して 1 つの値しか設定できませんでした。このリリースでは、次のコマンドを使用して複数の値を設定できます。
# dsconf <instace_name> config replace nsslapd-haproxy-trusted-ip=<ip_address_1> nsslapd-haproxy-trusted-ip=<ip_address_2> nsslapd-haproxy-trusted-ip=<ip_address_3>OR (|) および NOT (!) 演算子を含む複合フィルターを使用した場合に、Directory Server が正しいエントリーセットを返すようになる
この更新前は、OR (|) および NOT (!) 演算子を使用した LDAP 検索では、Directory Server は正しいエントリーセットを返しませんでした。その理由は、Directory Server がアクセス権とエントリーの一致を誤って評価し、これらの手順を 1 つのフェーズで実行したためです。この更新により、Directory Server はアクセス権の評価とエントリーの一致判定を 2 つのフェーズに分けて実行するようになり、OR (|) および NOT (!) 演算子を含む複合フィルターを使用した検索でも、正しいエントリーの集合が返されるようになりました。
Jira:RHEL-65776[1]
Directory Server の再起動後に、サプライヤーのレプリカ合意にコンシューマーのステータスが正しく表示される
この更新前は、レプリケーショントポロジーのサプライヤーで、Directory Server の再起動時にレプリケーション合意のコンシューマーのステータスがリセットされていました。その結果、表示されるコンシューマーの初期化日時およびレプリケーションのステータスが正しくありませんでした。
この更新により、レプリカ合意エントリーには、コンシューマーの正しいステータスと初期化日時が表示されるようになりました。
5.10. Red Hat Enterprise Linux システムロール
新しい sshd_allow_restart 変数により、必要に応じて sshd サービスを再起動できるようになる
この更新前は、sshd RHEL システムロールは、必要なときに管理対象ノード上の sshd サービスを再起動していませんでした。その結果、`/etc/sysconfig/` ディレクトリーの設定ファイルと環境ファイルに関連する一部の変更は適用されませんでした。この問題を解決するために、必要に応じて管理対象ノード上の sshd サービスを再起動するための sshd_allow_restart (ブール値、デフォルトは true) 変数が導入されました。その結果、sshd RHEL システムロールはすべての変更を正しく適用し、sshd サービスが実際にそれらの変更を使用するようになりました。
podman RHEL システムロールが、run_as_user 変数の使用時にシークレットの処理に失敗しなくなる
この更新前は、ユーザー情報が不足しているため、podman RHEL システムロールは、run_as_user 変数を使用して特定のユーザーに指定されたシークレットを処理できませんでした。これにより、run_as_user が設定されているシークレットを処理しようとしたときにエラーが発生しました。この問題は修正され、podman RHEL システムロールは、run_as_user 変数を使用して特定のユーザーに指定されたシークレットを正しく処理するようになりました。
変更が適用された場合、firewall RHEL システムロールが changed: True を報告する
Playbook の処理中に、Playbook 内の interface 変数と管理対象ノード上の既存のネットワークインターフェイスを使用すると、firewall RHEL システムロールの firewall_lib.py モジュールによって changed メッセージが False に置き換えられていました。その結果、変更が行われた場合でも firewall は changed: False メッセージを報告し、forward_port 変数の内容は永続的に保存されませんでした。この更新により、firewall RHEL システムロールは、changed 値が False にリセットされないようにします。その結果、ロールは変更があった場合に changed: True を報告し、forward_port の内容は永続的に保存されます。
certificate RHEL システムロールは、発行された証明書に秘密鍵がない場合にエラーを正しく報告する
証明書の秘密鍵が削除されると、管理対象ノード上の certmonger ユーティリティーが無限ループに入りました。その結果、秘密鍵が削除された証明書を再発行すると、コントロールノード上の certificate RHEL システムロールが応答しなくなりました。この更新により、certificate RHEL システムロールは処理を停止し、修正手順を含むエラーメッセージが表示されます。その結果、説明したシナリオで certificate が応答しなくなることはなくなりました。
Jira:RHEL-13333[1]
postgresql RHEL システムロールは、TLS 証明書と秘密鍵へのパスの設定に失敗しなくなる
postgresql RHEL システムロールの postgresql_cert_name 変数は、管理対象ノード上の接尾辞なしの TLS 証明書と秘密鍵への基本パスを定義します。この更新前は、ロールは証明書と秘密鍵の内部変数を定義していませんでした。その結果、postgresql_cert_name を設定すると、Ansible タスクは次のエラーメッセージで失敗しました。
The task includes an option with an undefined variable. The error was: '__pg_server_crt' is undefined. '__pg_server_crt' is undefinedこの更新により、ロールはこれらの内部変数を正しく定義し、タスクは PostgreSQL 設定ファイル内の証明書と秘密鍵へのパスを設定します。
network RHEL システムロールが永続的な MAC アドレスの一致を優先する
以下の条件がすべて満たされた場合:
- ネットワーク接続が、親接続および Virtual Local Area Network (VLAN) 接続の設定のために、インターフェイス名と Media Access Control (MAC) アドレスの両方を指定した場合。
- 物理インターフェイスの永久 MAC アドレスと現行 MAC アドレスが同一な場合。
- ネットワーク設定が複数回適用された場合。
network RHEL システムロールは、ユーザーが指定した MAC アドレスを、sysfs 仮想ファイルシステムの永続的な MAC アドレスまたは現行 MAC アドレスと比較しました。その後、インターフェイス名がユーザーが指定したものと異なる場合でも、ロールは現行 MAC との一致を有効として扱いました。その結果、"no such interface exists" というエラーが発生しました。この更新により、link_info_find() メソッドは、永続的な MAC アドレスが有効かつ利用可能な場合に、一致するリンクを優先します。永続的な MAC が利用できない場合 (None または "00:00:00:00:00:00")、このメソッドは現行 MAC アドレスとの一致にフォールバックします。その結果、この変更により、永続アドレスが優先されると同時に、永続アドレスのないインターフェイスに対する信頼性の高いフォールバックメカニズムが維持されるため、MAC アドレスの一致がより堅牢になります。
ansible-doc コマンドが redhat.rhel_system_roles コレクションのドキュメントを再度提供する
この更新前は、vpn RHEL システムロールに内部 Ansible フィルター vpn_ipaddr のドキュメントは含まれていませんでした。その結果、ansible-doc コマンドを使用して redhat.rhel_system_roles コレクションのドキュメントをリスト表示すると、エラーが発生しました。この更新により、vpn RHEL システムロールには、vpn_ipaddr フィルター用に正しい形式の正しいドキュメントが含まれるようになりました。その結果、ansible-doc はエラーをトリガーせず、正しいドキュメントを提供します。
storage RHEL システムロールが論理ボリュームのサイズを正しく変更する
storage RHEL システムロールの grow_to_fill 機能を使用して、基盤となる仮想ディスクのサイズを変更した後、LVM 物理ボリュームのサイズを自動的に変更したときに、物理ボリュームが最大サイズに変更されませんでした。その結果、既存の論理ボリュームのサイズを変更したり、新しい追加の論理ボリュームを作成したりするときに、ストレージの空き領域の一部が利用できず、storage RHEL システムロールが失敗しました。この更新では、ソースコードの問題が修正され、grow_to_fill を使用するときにロールが常に物理ボリュームを最大サイズに変更するようになります。
Jira:RHEL-73244[1]
storage RHEL システムロールが、VDO を備えた RHEL 管理対象ノードで期待どおりに実行されるようになりました。
この更新前は、Virtual Data Optimizer (VDO) を使用する RHEL 管理対象ノードで、blivet モジュールに kmod-kvdo パッケージが必要でした。しかし、kmod-kvdo のインストールに失敗し、その結果、storage RHEL システムロールも失敗しました。この問題の修正により、RHEL の管理対象ノードでは kmod-kvdo が必須パッケージではなくなりました。その結果、RHEL の管理対象ノードが VDO を使用する場合でも、storage に障害が発生しなくなりました。
Jira:RHEL-82160[1]
5.11. 仮想化
大容量メモリーを搭載した仮想マシンが状態を正しく報告するようになる
以前は、1 TB 以上のメモリーを使用している仮想マシン (VM) をライブマイグレーションすると、libvirt が仮想マシンの状態を誤って報告していました。この問題は修正され、大量のメモリーを搭載したライブマイグレーションされた仮想マシンのステータスが libvirt によって正確に報告されるようになりました。
Jira:RHEL-28819[1]
仮想マシンのネットワークブートが RNG デバイスなしでも正常に動作するようになる
以前は、仮想マシン (VM) に RNG デバイスが設定されておらず、その CPU モデルが RDRAND 機能をサポートしていない場合、ネットワークから仮想マシンを起動することはできませんでした。この更新により、この問題は修正され、RDRAND をサポートしていない仮想マシンは、RNG デバイスが設定されていなくてもネットワークから起動できるようになりました。
ただし、ネットワークからの起動時のセキュリティーを強化するために、RDRAND をサポートしていない CPU モデルを使用する仮想マシンには RNG デバイスを追加することが強く推奨される点に注意してください。
Jira:RHEL-58631、Jira:RHEL-65725
vGPU ライブマイグレーションで、過剰な量のダーティーページが報告されなくなる
以前は、NVIDIA vGPU が接続された仮想マシン (VM) のライブマイグレーションを実行すると、移行中に過剰な量のダーティーページが誤って報告されることがありました。この問題により、移行中に必要な仮想マシンのダウンタイムが長くなり、移行が失敗する可能性がありました。
この更新により、根本的な問題が修正され、移行中に正しいダーティーページが報告されるようになり、場合によっては vGPU ライブマイグレーション中に必要な仮想マシンのダウンタイムを減らすことができます。
Jira:RHEL-64307[1]
vGPU ドライバーのバージョンがソースホストとターゲットホストで異なる場合でも、vGPU ライブマイグレーションが失敗しなくなりました。
以前は、ソースホストとターゲットホストのドライバーバージョンが異なる場合、NVIDIA vGPU が接続された仮想マシン (VM) のライブマイグレーションは失敗していました。
この更新により、基礎となるコードが修正され、ドライバーのバージョンが移行元ホストと移行先ホストで異なる場合でも、NVIDIA vGPU を使用した仮想マシンのライブマイグレーションが正しく機能するようになりました。
Jira:RHEL-33795[1]
仮想マシンが AMD SRSO の脆弱性を誤って報告しなくなる
以前は、AMD Zen 3 および 4 CPU アーキテクチャーを搭載した RHEL 9 ホストで実行されている仮想マシン (VM) が、投機的リターンスタックオーバーフロー (SRSO) 攻撃に対する脆弱性を誤って報告していました。
この問題は cpuid フラグの欠落によって発生していましたが、この更新で修正されました。仮想マシンによって報告された AMD SRSO の脆弱性に関するレポートは、すべて正しいものとして扱われるようになりました。
Jira:RHEL-26152[1]
仮想マシンに RHEL をインストールするための予想されるシステムディスクをインストールプログラムが表示するようになる
以前は、virtio-scsi デバイスを使用して仮想マシンに RHEL をインストールすると、device-mapper-multipath のバグにより、これらのデバイスがインストールプログラムに表示されない可能性がありました。その結果、インストール時に、シリアルセットを持つデバイスとシリアルセットを持たないデバイスがある場合、シリアルセットを持つすべてのデバイスを multipath コマンドが要求していました。このため、仮想マシンに RHEL をインストールするために必要なシステムディスクをインストールプログラムが検出できませんでした。
この更新により、multipath はシリアル番号のないデバイスを World Wide Identifier (WWID) がないものとして正しく設定し、それらを無視するようになりました。インストール時に、multipath は multipathd がマルチパスデバイスのバインドに使用するデバイスのみを要求し、インストールプログラムは仮想マシンに RHEL をインストールするための予想されるシステムディスクを表示します。
Jira:RHELPLAN-66975[1]
AMD EPYC CPU を搭載したホストで v2v 変換を行った後、Windows ゲストの起動がより安定する
virt-v2v ユーティリティーを使用して、Windows 11 または Windows Server 2022 をゲスト OS として使用する仮想マシン (VM) を変換した後、以前は仮想マシンの起動に失敗していました。これは、AMD EPYC シリーズ CPU を使用するホストで発生していました。現在、基礎となるコードが修正され、仮想マシンは説明した状況で期待どおりに起動します。
Jira:RHELPLAN-147926[1]
nodedev-dumpxml が、特定の仲介デバイスの属性を正しくリストする
この更新より前は、nodedev-dumpxml ユーティリティーは、nodedev-create コマンドを使用して作成された仲介デバイスの属性を正しくリストしませんでした。この問題は修正され、nodedev-dumpxml が該当する仲介デバイスの属性を適切に表示するようになりました。
Jira:RHELPLAN-139536[1]
virtqemud または libvirtd を再起動した後、virtiofs デバイスをアタッチできるようになる
以前は、virtqemud サービスまたは libvirtd サービスを再起動すると、virtiofs ストレージデバイスをホスト上の仮想マシン (VM) に接続できなくなりました。このバグは修正されており、説明されているシナリオで期待どおりに virtiofs デバイスをアタッチできるようになりました。
Jira:RHELPLAN-119912[1]
IBM Z 上の virtio-gpu で blob リソースが正しく動作するようになる
以前は、virtio-gpu デバイスは IBM Z システム上の blob メモリーリソースと互換性がありませんでした。その結果、IBM Z ホスト上で virtio-gpu を使用して仮想マシン (VM) を設定し、blob リソースを使用すると、仮想マシンにグラフィカル出力がありませんでした。
この更新により、virtio デバイスにオプションの blob 属性が追加されました。blob を on に設定すると、デバイス内の blob リソースが使用できるようになります。これにより、virtio-gpu デバイスで説明した問題が防止され、ゲストとホスト間のピクセルデータのコピーが削減または排除されるため、ディスプレイパスも高速化されます。blob リソースのサポートには QEMU バージョン 6.1 以降が必要であることに注意してください。
virtio-win ドライバーを再インストールしても、ゲストの DNS 設定がリセットされなくなる
以前は、Windows ゲストオペレーティングシステムを使用する仮想マシンで、ネットワークインターフェイスコントローラー (NIC) の virtio-win ドライバーを再インストールまたはアップグレードすると、ゲストの DNS 設定がリセットされていました。その結果、Windows ゲストのネットワーク接続が失われる場合がありました。
この更新により、上記の問題が修正されました。したがって、virtio-win の最新バージョンを再インストールまたはアップグレードすると、問題は発生しなくなります。ただし、virtio-win の以前のバージョンからアップグレードしても問題は解決されず、Windows ゲストで DNS リセットが引き続き発生する可能性があることに注意してください。
Jira:RHEL-1860[1]
VNC ビューアーが、ramfb のライブマイグレーション後に仮想マシンディスプレイを正しく初期化する
この更新により、仮想マシン (VM) のプライマリーディスプレイとして設定できる ramfb フレームバッファーデバイスが強化されます。以前は、ramfb は移行できなかったため、ramfb を使用する仮想マシンではライブマイグレーション後に空白の画面が表示されていました。現在、ramfb は、ライブマイグレーションと互換性があります。その結果、移行が完了すると仮想マシンデスクトップが表示されます。
5.12. サポート性
既存のアーカイブの sos clean が失敗しなくなる
以前は、sos コードのリグレッションにより、tarball のルートディレクトリーが誤って検出され、データの消去が妨げられていたため、sos clean を実行しても既存のアーカイブを消去できませんでした。その結果、既存の sosreport tarball に対して sos clean を実行しても、tarball の内容がクリーンアップされませんでした。この更新により、並べ替えられた tarball コンテンツ内のルートディレクトリーを適切に検出する実装が追加されました。その結果、sos clean が既存の sosreport tarball に対して機密データの難読化を正しく実行するようになりました。
sos がユーザーの .ssh 設定を収集しなくなる
以前は、sos ユーティリティーがデフォルトでユーザーから .ssh 設定を収集していました。その結果、このアクションにより、automount ユーティリティーを使用してマウントされたユーザーのシステムが破損していました。この更新により、sos ユーティリティーが .ssh 設定を収集しなくなりました。
sos は、いくつかの場所でプロキシーパスワードを難読化するようになる
以前は、sos ユーティリティーはプロキシーリンクからのパスワードを難読化しませんでした。たとえば、/etc/environment ファイル内の HTTP_PROXY や HTTPS_PROXY などです。その結果、送信前にクリーンアップしないと、sos ユーティリティーはカスタマープロキシーパスワードを含む sosreport を収集する可能性がありました。これにより、セキュリティー上の懸念が生じる可能性があります。これらのうち、いくつかが発見され、パスワードを難読化するために修正されました。
Red Hat は、難読化機能を強化するために sos ユーティリティーを継続的に改善していますが、機密情報が完全に削除されることは保証されません。ユーザーは、機密データを Red Hat と共有する前に、それを確認し、手動でクリーンアップする責任があります。
Jira:RHEL-67712[1]
第6章 テクノロジープレビュー
ここでは、Red Hat Enterprise Linux 9 で利用可能なテクノロジープレビューのリストを提示します。
テクノロジープレビューに対する Red Hat のサポート範囲の詳細は、テクノロジープレビューのサポート範囲 を参照してください。
6.1. インストーラーおよびイメージの作成
RHEL インストール用の NVMe over TCP がテクノロジープレビューとして利用可能になる
このテクノロジープレビューにより、ファームウェアの設定後、NVMe over TCP ボリュームを使用して RHEL をインストールできるようになりました。Installation Destination 画面からディスクを追加するときに、NVMe Fabrics Devices セクションで NVMe 名前空間を選択できます。
Jira:RHEL-10216[1]
起動可能な OSTree ネイティブコンテナーのインストールがテクノロジープレビューとして利用可能になる
ostreecontainer キックスタートコマンドが、Anaconda でテクノロジープレビューとして利用できるようになりました。このコマンドを使用すると、OCI イメージにカプセル化された OSTree コミットから、オペレーティングシステムをインストールできます。キックスタートインストールを実行する場合、ostreecontainer とともに次のコマンドが利用できます。
- graphical、text、または cmdline
- ostreecontainer
- clearpart、zerombr
- autopart
- part
- logvol、volgroup
- reboot および shutdown
- lang
- rootpw
- sshkey
-
bootloader -
--appendオプションパラメーターを指定する形でのみ使用できます。 - user
user コマンド内でグループを指定する場合、ユーザーアカウントはコンテナーイメージ内にすでに存在するグループにのみ割り当てることができます。ここにリストされていないキックスタートコマンドを ostreecontainer コマンドと併用することもできますが、それらのコマンドがパッケージベースのインストールで期待どおりに動作する保証はありません。
ただし、次のキックスタートコマンドの ostreecontainer との併用はサポートされていません。
- %packages (必要なパッケージがコンテナーイメージにすでに存在している必要があります)
-
url (インストール用に
stage2イメージを取得する必要がある場合 (PXE インストールなど) は、キックスタートファイル内でstage2の url を指定する代わりに、カーネルでinst.stage2=を使用します) - liveimg
- vnc
- authconfig および authselect (代わりにコンテナーイメージで関連する設定を提供します)
- module
- repo
- zipl
- zfcp
部分的なキックスタートファイルを使用する対話形式のインストールでは、起動可能な OSTree ネイティブコンテナーのインストールはサポートされません。
注記: マウントポイントをカスタマイズする場合は、マウントポイントを /mnt ディレクトリー内に定義し、マウントポイントディレクトリーがコンテナーイメージの /var/mnt 内に存在することを確認する必要があります。
Jira:RHEL-2250[1]
Anaconda の bootupd / bootupctl によるブートローダーのインストールおよび設定が、テクノロジープレビューとして利用可能になる
ostreecontainer キックスタートコマンドが Anaconda でテクノロジープレビューとして利用可能になったため、このコマンドを使用して、OCI イメージにカプセル化された OSTree コミットからオペレーティングシステムをインストールできます。Anaconda は、キックスタートで明示的なブートローダー設定がなくても、コンテナーイメージに含まれる bootupd / bootupctl ツールを使用して、ブートローダーのインストールおよび設定を自動的に調整します。
Jira:RHEL-17205[1]
新しい rhel9/bootc-image-builder コンテナーイメージが RHEL で一般提供される
Image Mode for RHEL 用の rhel9/bootc-image-builder コンテナーイメージには、起動可能なコンテナーイメージ (rhel-bootc など) を QCOW2、AMI、VMDK、ISO などのさまざまなディスクイメージ形式に変換するイメージビルダーの最小バージョンが含まれています。
Jira:RHELDOCS-17733[1]
6.2. セキュリティー
RHEL の暗号化された DNS がテクノロジープレビューとして利用可能になる
暗号化された DNS を有効にすると、DNS-over-TLS (DoT) を使用する DNS 通信を保護できます。暗号化された DNS (eDNS) は、セキュアでないプロトコルにフォールバックすることなく、すべての DNS トラフィックをエンドツーエンドで暗号化し、ゼロトラストアーキテクチャー (ZTA) の原則に準拠します。
eDNS を使用して新規インストールを実行するには、カーネルコマンドラインを使用して DoT 対応 DNS サーバーを指定します。これにより、インストールプロセス中、起動時、およびインストールされたシステム上で暗号化された DNS がアクティブになります。カスタム CA 証明書バンドルが必要な場合は、キックスタートファイルの %certificate セクションを使用してのみインストールできます。現在、カスタム CA バンドルはキックスタートインストールを通じてのみインストールできます。
既存のシステムで、eDNS のローカル DNS リゾルバー (unbound) を管理する新しい DNS プラグイン dnsconfd を使用するように NetworkManager を設定します。カーネル引数を追加して、初期ブートプロセス用に eDNS を設定し、必要に応じてカスタム CA バンドルをインストールします。
さらに、Identity Management (IdM) のデプロイメントでは、統合 DNS サーバーが DoT をサポートしているため、暗号化された DNS も使用できます。
詳細は、暗号化された DNS を使用したシステム DNS トラフィックの保護 を参照してください。
Jira:RHELDOCS-20059[1]、Jira:RHEL-67913
gnutls がテクノロジープレビューとして kTLS を使用するようになる
更新された gnutls パッケージは、テクノロジープレビューとして、暗号化チャネルでのデータ転送を加速するためにカーネル TLS (kTLS) を使用できます。kTLS を有効にするには、modprobe コマンドを使用して tls.ko カーネルモジュールを追加し、次の内容を含むシステム全体の暗号化ポリシー用の新しい設定ファイル /etc/crypto-policies/local.d/gnutls-ktls.txt を作成します。
[global]
ktls = true
現在のバージョンは、TLS KeyUpdate メッセージによるトラフィックキーの更新をサポートしていません。これは、AES-GCM 暗号スイートのセキュリティーに影響を与えることに注意してください。詳細は、RFC 7841 - TLS 1.3 ドキュメントを参照してください。
Jira:RHELPLAN-128129[1]
OpenSSL クライアントが、テクノロジープレビューとして QUIC プロトコルを使用できる
OpenSSL は、テクノロジープレビューとして OpenSSL バージョン 3.2.2 にリベースすることで、クライアント側で QUIC トランスポート層ネットワークプロトコルを使用できます。
Jira:RHELDOCS-18935[1]
io_uring インターフェイスがテクノロジープレビューとして利用可能
io_uring は、新しく効果的な非同期 I/O インターフェイスであり、現在テクノロジープレビューとして利用可能です。デフォルトでは、この機能は無効にされています。このインターフェイスを有効にするには、kernel.io_uring_disabled sysctl 変数を次のいずれかの値に設定します。
0-
すべてのプロセスは通常どおり
io_uringインスタンスを作成できます。 1-
io_uringの作成は、特権のないプロセスに対しては無効化されています。呼び出しプロセスにCAP_SYS_ADMIN機能による特権が与えられていない限り、io_uring_setupは-EPERMエラーで失敗します。既存のio_uringインスタンスは引き続き使用できます。 2-
io_uringの作成は、すべてのプロセスで無効化されています。io_uring_setupは常に-EPERMで失敗します。既存のio_uringインスタンスは引き続き使用できます。これはデフォルト設定です。
この機能を使用するには、匿名 i ノードで mmap システムコールを有効にするための SELinux ポリシーの更新バージョンも必要です。
io_uring コマンドパススルーを使用すると、アプリケーションは nvme などの基盤となるハードウェアにコマンドを直接発行できます。
Jira:RHEL-11792[1]
6.3. RHEL for Edge
テクノロジープレビューとして、FDO が SQL バックエンドからの Owner Voucher の保存とクエリーを提供するようになる
このテクノロジープレビューでは、SQL バックエンドから Owner Voucher を保存およびクエリーするために、FDO manufacturer-server、onboarding-server、および rendezvous-server が利用できます。その結果、FDO サーバーのオプションで、認証情報やその他のパラメーターとともに SQL データストアを選択して、Owner Voucher を保存できるようになります。
Jira:RHELDOCS-17752[1]
6.4. シェルおよびコマンドラインツール
systemd-resolved サービスがテクノロジープレビューとして利用可能になる
systemd-resolved サービスは、ローカルアプリケーションに名前解決を提供します。このサービスは、DNS スタブリゾルバー、LLMNR (Link-Local Multicast Name Resolution)、およびマルチキャスト DNS リゾルバーとレスポンダーのキャッシュと検証を実装します。
systemd-resolved は、サポートされていないテクノロジープレビューであることに注意してください。
RHEL 9 でテクノロジープレビューとして利用可能な GIMP
GNU Image Manipulation Program (GIMP) 2.99.8 が、テクノロジープレビューとして RHEL 9 で利用できるようになりました。gimp パッケージバージョン 2.99.8 は、改善された一連の改良を含むリリース前のバージョンですが、機能のセットが制限され、安定性の保証は保証されません。公式の GIMP 3 のリリース後すぐに、今回のリリース前のバージョンの更新として RHEL 9 に導入されます。
RHEL 9 では、RPM パッケージとして gimp を簡単にインストールできます。
Jira:RHELPLAN-109991[1]
6.5. インフラストラクチャーサービス
TuneD 用のソケット API がテクノロジープレビューとして利用可能になる
UNIX ドメインソケットを通じて TuneD を制御するためのソケット API がテクノロジープレビューとして利用可能になりました。ソケット API は D-Bus API と 1 対 1 でマッピングされ、D-Bus が利用できない場合に代替通信方法を提供します。ソケット API を使用すると、TuneD デーモンを制御してパフォーマンスを最適化したり、さまざまなチューニングパラメーターの値を変更したりできます。ソケット API はデフォルトでは無効になっていますが、tuned-main.conf ファイルで有効にできます。
Jira:RHELPLAN-129881[1]
6.6. ネットワーク
NIC への IPsec カプセル化のオフロードがテクノロジープレビューとして利用可能になる
今回の更新で、IPsec パケットオフロード機能がカーネルに追加されました。以前は、暗号化をネットワークインターフェイスコントローラー (NIC) にオフロードすることしかできませんでした。今回の機能拡張により、カーネルは IPsec カプセル化プロセス全体を NIC にオフロードし、ワークロードを軽減できるようになりました。
IPsec カプセル化プロセスを NIC にオフロードすると、カーネルによるこのようなパケットの監視およびフィルタリング機能も低下することに注意してください。
Jira:RHEL-88552[1]
KTLS がテクノロジープレビューとして利用可能になる
RHEL では、Kernel Transport Layer Security (KTLS) がテクノロジープレビューとして提供されます。KTLS は、AES-GCM 暗号化のカーネルで対称暗号化アルゴリズムまたは複号アルゴリズムを使用して TLS レコードを処理します。KTLS には、この機能を提供するネットワークインターフェイスコントローラー (NIC) に TLS レコード暗号化をオフロードするインターフェイスも含まれています。
カーネル TLS オフロードの特定のユースケースについては、より高いサポートステータスが適用される場合があることに注意してください。詳細は、新機能 の章のリリースノートを参照してください。
Jira:RHEL-88551[1]
NetworkManager と Nmstate API が MACsec ハードウェアオフロードをサポートする
ハードウェアが MACsec ハードウェアオフロードをサポートしている場合は、NetworkManager と Nmstate API の両方を使用してこの機能を有効にできます。その結果、暗号化などの MACsec 操作を CPU からネットワークインターフェイスコントローラーにオフロードできるようになります。
この機能は、サポートされていないテクノロジープレビューであることに注意してください。
NetworkManager で HSR および PRP インターフェイスを設定できる
高可用性 Seamless Redundancy (HSR) と Parallel Redundancy Protocol (PRP) は、単一のネットワークコンポーネントの障害に対してシームレスなフェイルオーバーを提供するネットワークプロトコルです。どちらのプロトコルもアプリケーション層に対して透過的です。すなわち、メインパスと冗長パス間の切り替えはユーザーが認識することなく非常に迅速に行われるため、ユーザーが通信の中断やデータの損失を経験することはありません。現在は、nmcli ユーティリティーと DBus メッセージシステムを介して NetworkManager サービスを使用して、HSR および PRP インターフェイスを有効にして設定できます。
パケットオフロードモードでの UDP カプセル化がテクノロジープレビューとして利用可能になる
IPsec パケットオフロードを使用すると、ワークロードを軽減するために、カーネルが IPsec カプセル化プロセス全体を NIC にオフロードできます。この更新により、パケットオフロードモード時に ipsec トンネルの User Datagram Protocol (UDP) カプセル化をサポートすることで、パケットオフロードが改善されました。
Jira:RHEL-30141[1]
Soft-iWARP ドライバーがテクノロジープレビューとして利用可能になる
Soft-iWARP(siw) は、Linux 用のソフトウェア、インターネットワイドエリア RDMA プロトコル (iWARP)、カーネルドライバーです。Soft-iWARP は、インターネットプロトコル (TCP/IP) ネットワークスタック上で iWARP プロトコルスイートを実装します。このプロトコルスイートはソフトウェアで完全に実装されており、特定のリモートダイレクトメモリーアクセス (RDMA) ハードウェアを必要としません。Soft-iWARP を使用すると、標準のイーサネットアダプターを備えたシステムが iWARP アダプターまたは他のシステムに接続でき、すでに Soft-iWARP がインストールされている別のシステムに接続できます。
Jira:RHELPLAN-102815[1]
rvu_af、rvu_nicpf、および rvu_nicvf がテクノロジープレビューとして利用可能
次のカーネルモジュールは、Marvell OCTEON TX2 インフラストラクチャープロセッサーファミリーのテクノロジープレビューとして利用できます。
rvu_af- Marvell OcteonTX2 RVU 管理機能ドライバー
rvu_nicpf- Marvell OcteonTX2 NIC 物理機能ドライバー
rvu_nicvf- Marvell OcteonTX2 NIC 仮想機能ドライバー
Jira:RHELPLAN-108169[1]
Segment Routing over IPv6 (SRv6) はテクノロジープレビューとして利用可能
RHEL カーネルは、テクノロジープレビューとして Segment Routing over IPv6 (SRv6) を提供します。この機能を使用すると、エッジコンピューティングのトラフィックフローを最適化したり、データセンターのネットワークプログラマビリティーを向上したりできます。ただし、最も重要な使用例は、5G デプロイメントシナリオにおけるエンドツーエンド (E2E) ネットワークスライシングです。この領域では、SRv6 プロトコルは、特定のアプリケーションまたはサービスのネットワーク要件に対処するために、プログラム可能なカスタムネットワークスライスとリソース予約を提供します。同時に、このソリューションは単一目的のアプライアンスにデプロイでき、より小さい計算フットプリントのニーズを満たします。
Jira:RHELPLAN-154595[1]
kTLS がバージョン 6.12 に更新される
Kernel Transport Layer Security (KTLS) 機能はテクノロジープレビューです。RHEL 9.6 では、kTLS を 6.12 アップストリームバージョンに更新しました。
Jira:RHELPLAN-153754[1]
PRP および HSR プロトコルがテクノロジープレビューとして利用可能になる
この更新では、次のプロトコルを提供する hsr カーネルモジュールが追加されます。
- Parallel Redundancy Protocol (PRP)
- 高可用性 Seamless Redundancy (HSR)
これらのプロトコルは IEC 62439-3 規格で定義されており、この機能を使用することで、イーサネットネットワークにおいてゼロタイムリカバリーの冗長性を設定できます。
Jira:RHELDOCS-20472[1]
6.7. カーネル
python-drgn がテクノロジープレビューとして利用可能になる
python-drgn パッケージは、プログラマビリティーを重視した高度なデバッグユーティリティーを提供します。Python コマンドラインインターフェイスを使用して、ライブカーネルとカーネルダンプの両方をデバッグできます。さらに、python-drgn は、デバッグタスクを自動化し、Linux カーネルの複雑な分析を実行するためのスクリプト機能を提供します。
Jira:RHEL-6973[1]
IAA 暗号ドライバーがテクノロジープレビューとして利用可能になる
Intel® In-Memory Analytics Accelerator (Intel® IAA) は、プリミティブな分析機能とともに、非常にスループットの高い圧縮と展開を提供するハードウェアアクセラレーターです。
RHEL 9.4 では、圧縮および展開の操作を CPU からオフロードする iaa_crypto ドライバーがテクノロジープレビューとして導入されました。このドライバーは、RFC 1951 に記載されている DEFLATE 圧縮標準と互換性のある圧縮および展開をサポートします。iaa_crypto ドライバーは、高レベル圧縮デバイス (zswap など) の下のレイヤーとして機能するように設計されています。
IAA 暗号ドライバーの詳細は、以下を参照してください。
Jira:RHEL-20145[1]
RHEL カーネルの Neural Processing Unit (NPU) カーネルが、Intel Arrow Lake ベースのシステムでテクノロジープレビューとして利用可能になる
RHEL 9.6 では、カーネルに Neural Processing Unit (NPU) がテクノロジープレビューとして導入されています。NPU は、システム上の人工知能 (AI) および機械学習 (ML) タスクに使用される特殊なチップです。RHEL 9.6 のカーネルには、Intel NPU 用の初期ドライバーと、AI/ML タスクで NPU を使用するために必要なサポートインフラストラクチャーが含まれています。
Jira:RHEL-38583[1]
ARM64 上の Red Hat Enterprise Linux for Real Time がテクノロジープレビューとして利用可能になる
このテクノロジープレビューにより、Red Hat Enterprise Linux for Real Time が ARM64 に対応しました。ARM64 は、4k および 64k ARM カーネルの両方で ARM (AARCH64) 上で有効化されます。
Jira:RHELDOCS-19635[1]
6.8. ファイルシステムおよびストレージ
NVMe-oF Discovery Service 機能がテクノロジープレビューとして利用可能になる
NVMexpress.org Technical Proposals (TP) 8013 および 8014 で定義されている NVMe-oF Discovery Service の機能は、テクノロジープレビューとして利用できます。これらの機能をプレビューするには、nvme-cli 2.0 パッケージを使用して、TP-8013 または TP-8014 を実装する NVMe-oF ターゲットデバイスにホストを割り当てます。TP-8013 および TP-8014 の詳細は、https://nvmexpress.org/specifications/ Web サイトの NVM Express 2.0 Ratified TP を参照してください。
Jira:RHELPLAN-102321[1]
nvme-stas パッケージがテクノロジープレビューとして利用可能になる
Linux の Central Discovery Controller (CDC) クライアントである nvme-stas パッケージがテクノロジープレビューとして利用できるようになりました。これは、非同期イベント通知 (AEN)、自動化された NVMe サブシステム接続制御、エラー処理とレポート、および Automatic (zeroconf) 手動設定を処理します。
このパッケージは、Storage Appliance Finder (stafd) と Storage Appliance Connector (stacd) の 2 つのデーモンで構成されています。
Jira:RHELPLAN-58357[1]
TLS を使用した NVMe/TCP がテクノロジープレビューとして利用可能になる
事前共有キー (PSK) で設定された TLS を使用した、TCP (NVMe/TCP) 経由の Non-volatile Memory Express (NVMe) ネットワークトラフィックの暗号化が、RHEL 9.6 でテクノロジープレビューとして追加されました。手順については、事前共有キーによる TLS を使用した NVMe/TCP ホストの設定 を参照してください。
Jira:RHEL-9301[1]
6.9. 動的プログラミング言語、Web サーバー、およびデータベースサーバー
新しい nodejs:22 モジュールストリームがテクノロジープレビューとして利用可能に
新しいモジュールストリームの nodejs:22 がテクノロジープレビューとして利用できるようになりました。今後の更新では、完全にサポートされる Node.js 22 の長期サポート (LTS) バージョンが提供される予定です。
RHEL 9.5 に含まれる Node.js 22 には、RHEL 9.3 以降で利用可能な Node.js 20 に比べて、多数の新機能、バグ修正、セキュリティー修正、およびパフォーマンスの改善を提供します。
主な変更点は、以下のとおりです。
-
V8JavaScript エンジンがバージョン 12.4 にアップグレードされました。 -
V8 Maglevコンパイラーは、これを利用可能なアーキテクチャー (AMD および Intel 64 ビットアーキテクチャーと 64 ビット ARM アーキテクチャー) でデフォルトで有効になりました。 -
Maglevは、短命の CLI プログラムのパフォーマンスを向上させます。 -
npmパッケージマネージャーが、バージョン 10.8.1 にアップグレードされました。 -
node --watchモードは現在安定していると見なされます。watchモードでは、監視対象ファイルの変更によりNode.jsプロセスが再起動されます。 -
WebSocketのブラウザー互換実装は現在、安定していると見なされ、デフォルトで有効になっています。その結果、外部依存関係なしで Node.js への WebSocket クライアントが利用できるようになります。 -
Node.jsには、package.jsonからのスクリプトを実行するための実験的な機能が含まれるようになりました。この機能を使用するには、node --run <script-in-package.json>コマンドを実行します。
nodejs:22 モジュールストリームをインストールするには、次のように入力します。
# dnf module install nodejs:22
nodejs20 ストリームからアップグレードする場合は、新しいストリームへの切り替え を参照してください。
nodejs Application Streams のサポート期間の詳細は、Red Hat Enterprise Linux Application Streams のライフサイクル を参照してください。
6.10. コンパイラーおよび開発ツール
jmc-core および owasp-java-encoder がテクノロジープレビューとして利用可能になる
RHEL 9 は、AMD および Intel 64 ビットアーキテクチャー用のテクノロジープレビューとして、jmc-core および owasp-java-encoder パッケージとともに配布されます。
jmc-core は、Java Development Kit (JDK) Mission Control のコア API を提供するライブラリーです。これには、JDK Flight Recording ファイルの解析および書き込み用のライブラリーや、Java Discovery Protocol (JDP) による Java Virtual Machine (JVM) 検出のライブラリーが含まれます。
owasp-java-encoder パッケージは、Java の高パフォーマンスな低オーバーヘッドコンテキストエンコーダーのコレクションを提供します。
RHEL 9.2 以降、jmc-core および owasp-java-encoder は CodeReady Linux Builder (CRB) リポジトリーで使用できるため、明示的に有効にする必要があることに注意してください。詳細は、CodeReady Linux Builder 内でコンテンツを有効にして利用する方法 を参照してください。
Jira:RHELPLAN-88788[1]
libabigail: 柔軟な配列変換の警告抑制がテクノロジープレビューとして利用可能になる
テクノロジープレビューとして、バイナリーを比較するときに、次の抑制仕様を使用して、真のフレキシブル配列に変換された偽のフレキシブル配列に関連する警告を抑制できます。
[suppress_type]
type_kind = struct
has_size_change = true
has_strict_flexible_array_data_member_conversion = trueJira:RHEL-16629[1]
eu-stacktrace がテクノロジープレビューとして利用可能になる
バージョン 0.192 以降、elfutils パッケージを通じて配布されている eu-stacktrace ユーティリティーは、テクノロジープレビュー機能として利用できます。eu-stacktrace は、elfutils ツールキットのアンワインドライブラリーを使用して、フレームポインターのないスタックサンプルデータをアンワインドするサンプリングプロファイラーをサポートするプロトタイプユーティリティーです。
Jira:RHELDOCS-19072[1]
6.11. Identity Management
IdM デプロイメントにおける DNS over TLS (DoT) がテクノロジープレビューとして利用可能になる
DNS over TLS (DoT) を使用して暗号化された DNS を、Identity Management (IdM) デプロイメントのテクノロジープレビューとして利用できます。DNS クライアントと IdM DNS サーバー間のすべての DNS クエリーと応答を暗号化できるようになりました。
この機能を使い始めるには、IdM サーバーとレプリカの ipa-server-encrypted-dns パッケージをインストールし、IdM クライアントの ipa-client-encrypted-dns パッケージをインストールします。管理者は、インストール中に --dns-over-tls オプションを使用して DoT を有効にできます。
IdM は、Unbound をローカルキャッシュリゾルバーとして設定し、BIND を DoT 要求を受信するように設定します。この機能は、コマンドラインインターフェイス (CLI) および IdM の非対話型インストールを通じて利用できます。
DoT を設定するために、IdM サーバー、レプリカ、クライアント、および統合 DNS サービスのインストールユーティリティーに新しいオプションが追加されました。
-
--dot-forwarderは、アップストリーム DoT 対応 DNS サーバーを指定します。 -
--dns-over-tls-keyと--dns-over-tls-certは、DoT 証明書を設定します。 -
--dns-policyは、暗号化されていない DNS へのフォールバックを許可するか、厳密な DoT の使用を強制するかのどちらかを行う DNS セキュリティーポリシーを設定します。
デフォルトでは、IdM は、暗号化されていない DNS へのフォールバックを許可する、relaxed DNS ポリシーを使用します。新しい --dns-policy オプションを enforced 設定で使用することで、暗号化のみの通信を強制できます。
また、新しい DoT オプションを指定した ipa-dns-install を使用して統合 DNS サービスを再設定することにより、既存の IdM デプロイメントで DoT を有効にすることもできます。
詳細は、IdM での DoT による DNS の保護 を参照してください。
Jira:RHEL-67913[1]、Jira:RHELDOCS-20059
DNSSEC が IdM でテクノロジープレビューとして利用可能になる
統合 DNS のある Identity Management (IdM) サーバーは、DNS プロトコルのセキュリティーを強化する DNS に対する拡張セットである DNS Security Extensions (DNSSEC) を実装するようになりました。IdM サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。
DNSSEC で DNS ゾーンを保護する場合は、以下のドキュメントを参照することが推奨されます。
統合 DNS のある IdM サーバーは、DNSSEC を使用して、他の DNS サーバーから取得した DNS 回答を検証することに注意してください。これが、推奨される命名方法に従って設定されていない DNS ゾーンの可用性に影響を与える可能性があります。
Jira:RHELPLAN-121751[1]
ACME がテクノロジープレビューとして利用可能になる
Automated Certificate Management Environment (ACME) サービスが、テクノロジープレビューとして Identity Management (IdM) で利用可能になりました。ACME は、自動化識別子の検証および証明書の発行に使用するプロトコルです。この目的は、証明書の有効期間を短縮し、証明書のライフサイクル管理での手動プロセスを回避することにより、セキュリティーを向上させることです。
RHEL では、ACME サービスは Red Hat Certificate System (RHCS) PKI ACME レスポンダーを使用します。RHCS ACME サブシステムは、IdM デプロイメントのすべての認証局 (CA) サーバーに自動的にデプロイされますが、管理者が有効にするまでリクエストに対応しません。RHCS は、ACME 証明書を発行する際に acmeIPAServerCert プロファイルを使用します。発行された証明書の有効期間は 90 日です。ACME サービスの有効化または無効化は、IdM デプロイメント全体に影響します。
ACME は、すべてのサーバーが RHEL 8.4 以降を実行している IdM デプロイメントでのみ有効にすることが推奨されます。以前の RHEL バージョンには ACME サービスが含まれていないため、バージョンが混在するデプロイメントで問題が発生する可能性があります。たとえば、ACME のない CA サーバーは、異なる DNS サブジェクト代替名 (SAN) を使用しているため、クライアント接続が失敗する可能性があります。
現在、RHCS は期限切れの証明書を削除しません。ACME 証明書は 90 日後に期限切れになるため、期限切れの証明書が蓄積され、パフォーマンスに影響を及ぼす可能性があります。
IdM デプロイメント全体で ACME を有効にするには、
ipa-acme-manage enableコマンドを使用します。# ipa-acme-manage enable The ipa-acme-manage command was successfulIdM デプロイメント全体で ACME を無効にするには、
ipa-acme-manage disableコマンドを使用します。# ipa-acme-manage disable The ipa-acme-manage command was successfulACME サービスがインストールされ、有効または無効であるかを確認するには、
ipa-acme-manage statusコマンドを使用します。# ipa-acme-manage status ACME is enabled The ipa-acme-manage command was successful
Jira:RHELPLAN-121754[1]
IdM 間の移行がテクノロジープレビューとして利用可能になる
IdM 間の移行は、Identity Management でテクノロジープレビューとして利用できます。新しい ipa-migrate コマンドを使用すると、SUDO ルール、HBAC、DNA 範囲、ホスト、サービスなど、すべての IdM 固有のデータを別の IdM サーバーに移行できます。これは、たとえば、IdM を開発環境またはステージング環境から実稼働環境に移行する場合や、2 つの実稼働サーバー間で IdM データを移行する場合に役立ちます。
Jira:RHELDOCS-18408[1]
6.12. デスクトップ
64 ビット ARM アーキテクチャーの GNOME がテクノロジープレビューとして利用可能になる
GNOME デスクトップ環境は、テクノロジープレビューとして 64 ビット ARM アーキテクチャーで利用できます。
RDP を使用して 64 ビット ARM サーバー上のデスクトップセッションに接続できます。その結果、グラフィカルアプリケーションを使用してサーバーを管理できます。
64 ビット ARM では、限定されたグラフィカルアプリケーションのセットを使用できます。以下に例を示します。
- Mozilla Firefox Web ブラウザー
-
Red Hat Subscription マネージャー (
subscription-manager-cockpit) -
ファイアウォール設定 (
firewall-config) -
ディスク使用状況アナライザー (
baobab)
Mozilla Firefox を使用すると、サーバー上の Cockpit サービスに接続できます。
Jira:RHELPLAN-27394[1]
テクノロジープレビューとして利用可能な IBM Z アーキテクチャー用の GNOME
GNOME デスクトップ環境は、テクノロジープレビューとして IBM Z アーキテクチャーで利用できます。
RDP を使用して IBM Z サーバー上のデスクトップセッションに接続できるようになりました。その結果、グラフィカルアプリケーションを使用してサーバーを管理できます。
IBM Z では、限定されたグラフィカルアプリケーションのセットを使用できます。たとえば、次のようになります。
- Mozilla Firefox Web ブラウザー
-
Red Hat Subscription マネージャー (
subscription-manager-cockpit) -
ファイアウォール設定 (
firewall-config) -
ディスク使用状況アナライザー (
baobab)
Mozilla Firefox を使用すると、サーバー上の Cockpit サービスに接続できます。
Jira:RHELPLAN-27737[1]
6.13. Web コンソール
RHEL Web コンソールで WireGuard 接続を管理できるようになる
RHEL 9.4 以降では、RHEL Web コンソールを使用して WireGuard VPN 接続を作成および管理できます。なお、WireGuard テクノロジーとその Web コンソール統合は、どちらもサポート対象外のテクノロジープレビューです。
Jira:RHELDOCS-17520[1]
6.14. 仮想化
入れ子仮想マシンの作成
入れ子 KVM 仮想化は、RHEL 9 で Intel、AMD64、および IBM Z ホストで実行している KVM 仮想マシン用のテクノロジープレビューとして提供されます。この機能を使用すると、物理 RHEL 9 ホストで実行中の RHEL 7、RHEL 8、または RHEL 9 仮想マシンがハイパーバイザーとして機能し、独自の仮想マシンをホストできます。
Jira:RHELDOCS-17040[1]
KVM 仮想マシン用の AMD SEV、SEV-ES、および SEV-SNP
RHEL 9 は、テクノロジープレビューとして、KVM ハイパーバイザーを使用する AMD EPYC ホストマシンに、セキュア暗号化仮想化 (SEV) 機能を提供します。仮想マシンで有効になっている場合は、SEV が仮想マシンのメモリーを暗号化して、ホストから仮想マシンへのアクセスを防ぎます。これにより、仮想マシンのセキュリティーが向上します。
さらに、強化された SEV (Encrypted State) バージョンの SEV (SEV-ES) もテクノロジープレビューとして提供されます。SEV-ES は、仮想マシンの実行が停止すると、すべての CPU レジスターの内容を暗号化します。これにより、ホストが仮想マシンの CPU レジスターを変更したり、そこから情報を読み取ったりできなくなります。
RHEL 9.5 以降では、Secure Nested Paging (SEV-SNP) 機能もテクノロジープレビューとして提供されます。SNP は、メモリー整合性保護を改善することで SEV と SEV-ES を強化します。これにより、データの再生やメモリーの再マッピングなどのハイパーバイザーベースの攻撃を防ぐことができます。
SEV および SEV-ES は、第 2 世代の AMD EPYC CPU (コードネーム Rome) 以降のみで動作することに注意してください。同様に、SEV-SNP は第 4 世代 AMD EPYC CPU (コード名 Genoa) 以降でのみ動作します。また、RHEL 9 には SEV、SEV-ES、SEV-SNP 暗号化が含まれていますが、SEV、SEV-ES、SEV-SNP のセキュリティーアテステーションとライブマイグレーションは含まれていないことに注意してください。
Jira:RHELPLAN-65217[1]
64 ビット ARM 上の CPU クラスター
テクノロジープレビューとして、CPU トポロジーで複数の 64 ビット ARM CPU クラスターを使用する KVM 仮想マシンを作成できるようになりました。
Jira:RHEL-7043[1]
新しいパッケージ: trustee-guest-components
この更新により、テクノロジープレビューとして trustee-guest-components パッケージが追加されました。これにより、機密仮想マシンが自身を証明し、Trustee サーバーから機密リソースを取得できるようになります。
Jira:RHEL-68141[1]
6.15. クラウド環境の RHEL
RHEL がテクノロジープレビューとして Azure 機密仮想マシンで利用可能になる
RHEL カーネルの更新により、RHEL 9.3 からは、テクノロジープレビューとして Microsoft Azure 上で RHEL の機密仮想マシンを作成および実行できるようになりました。新しく追加された Unified Kernel Image (UKI) により、暗号化された機密 VM イメージを Azure 上で起動できるようになりました。UKI は、RHEL 9 リポジトリーの kernel-uki-virt パッケージとして利用できます。
現在、RHEL UKI は、UEFI ブート設定のみで使用できます。
Jira:RHELPLAN-139800[1]
6.16. コンテナー
podman-machine コマンドはサポート対象外です。
仮想マシンを管理するための podman-machine コマンドは、テクノロジープレビューとしてのみ利用可能です。代わりに、コマンドラインから直接 Podman を実行してください。
Jira:RHELDOCS-16861[1]
新しい rhel9/rhel-bootc コンテナーイメージがテクノロジープレビューとして利用可能になる
rhel9/rhel-bootc コンテナーイメージが、テクノロジープレビューとして Red Hat Container Registry で利用できるようになりました。RHEL のブート可能なコンテナーイメージを使用すると、コンテナーとまったく同じように、オペレーティングシステムを構築、テスト、およびデプロイできます。RHEL のブート可能コンテナーイメージは、機能拡張により、既存のアプリケーションの Universal Base Images (UBI) とは異なるものとなっています。すなわち、RHEL のブート可能コンテナーイメージには、カーネル、initrd、ブートローダー、ファームウェアなど、起動に必要な追加コンポーネントが含まれています。既存のコンテナーイメージに変更はありません。詳細は、Red Hat Ecosystem Catalog を参照してください。
Jira:RHELDOCS-17803[1]
テクノロジープレビューとして composefs ファイルシステムが利用可能になる
テクノロジープレビューとして利用可能な composefs 読み取り専用ファイルシステムは、現時点では bootc/ostree および podman プロジェクトのみでの使用を目的としています。composefs を使用すると、これらのプロジェクトを使用して、読み取り専用のイメージを作成して使用したり、イメージ間でファイルデータを共有したり、実行時にイメージを検証したりできます。その結果、完全に検証されたファイルシステムツリーがマウントされ、同一ファイルが適宜きめ細かく共有されるようになります。
Jira:RHEL-18157[1]
zstd:chunked の部分プルがテクノロジープレビューとして利用可能になる
zstd:chunked 形式で圧縮されたコンテナーイメージの変更された部分のみをプルできるため、ネットワークトラフィックと必要なストレージが削減されます。/etc/containers/storage.conf ファイルに enable_partial_images = "true" 設定を追加することで、部分的なプルを有効にすることができます。この機能はテクノロジープレビューとして利用できます。
podman artifact コマンドがテクノロジープレビューとして利用可能になる
コマンドラインレベルで OCI アーティファクトを使用するために使用できる podman artifact コマンドが、テクノロジープレビューとして利用できます。詳細は、man ページを参照してください。
第7章 非推奨の機能
非推奨のデバイスは完全にサポートされています。つまり、非推奨のデバイスはテストおよび保守されています。デバイスが非推奨になっても、Red Hat Enterprise Linux 9 内でのサポート状況は変わりません。ただし、非推奨のデバイスは、次のメジャーバージョンのリリースではサポートされない可能性が高く、最新または今後のメジャーバージョンの新規 RHEL デプロイメントには推奨されません。
特定のメジャーリリースにおける非推奨機能の最新情報は、そのメジャーリリースの最新版のリリースノートを参照してください。サポート期間の詳細は、Red Hat Enterprise Linux のライフサイクル および Red Hat Enterprise Linux アプリケーションストリームのライフサイクル を参照してください。
パッケージが非推奨となり、使用の継続が推奨されない場合があります。特定の状況下では、製品からパッケージが削除されることがあります。その場合には、製品のドキュメントで、非推奨となったパッケージと同様、同一、またはより高度な機能を提供する最近のパッケージが指定され、詳しい推奨事項が記載されます。
RHEL 8 には存在するが RHEL 9 では 削除 された機能は、RHEL 9 を導入する際の考慮事項 を参照してください。
7.1. インストーラーおよびイメージの作成
非推奨のキックスタートコマンド
以下のキックスタートコマンドが非推奨になりました。
-
timezone --ntpservers -
timezone --nontp -
logging --level -
%packages --excludeWeakdeps -
%packages --instLangs -
%anaconda -
pwpolicy -
nvdimm
特定のオプションだけがリスト表示されている場合は、基本コマンドおよびその他のオプションは引き続き利用でき、非推奨ではないことに注意してください。キックスタートファイルで非推奨のコマンドを使用すると、ログに警告が出力されます。inst.ksstrict 起動オプションを使用して、非推奨のコマンド警告をエラーにすることもできます。
Jira:RHELPLAN-60153[1]
initial-setup パッケージが非推奨になる
initial-setup パッケージは、Red Hat Enterprise Linux 9.3 で非推奨になり、次の RHEL メジャーリリースで削除される予定です。代わりに、グラフィカルユーザーインターフェイスの gnome-initial-setup を使用します。
Jira:RHELDOCS-16393[1]
inst.geoloc ブートオプションの provider_hostip 値と provider_fedora_geoip 値が非推奨になる
inst.geoloc= ブートオプションの GeoIP API を指定した provider_hostip 値と provider_fedora_geoip 値が非推奨になる代わりに、geolocation_provider=URL オプションを使用して、インストールプログラム設定ファイルに必要な位置情報を設定できます。inst.geoloc=0 オプションを使用して位置情報を無効にすることもできます。
Jira:RHELPLAN-168262[1]
Anaconda の組み込みヘルプが非推奨になる
Anaconda のインストール時に利用可能な、全 Anaconda ユーザーインターフェイスのスポークおよびハブの組み込みドキュメントは非推奨になりました。代わりに、Anaconda ユーザーインターフェイスは自己記述型になり、ユーザーは今後の RHEL メジャーリリースで公式の RHEL ドキュメント を参照できます。
Jira:RHELDOCS-17309[1]
NVDIMM デバイスのサポートが非推奨になる
以前は、インストールプログラムにより、インストール中に NVDIMM デバイスを再設定することができました。キックスタートおよび GUI インストール中の NVDIMM デバイスに対する当該サポートは非推奨になり、次の RHEL メジャーリリースで削除される予定です。セクターモードの NVDIMM デバイスは、インストールプログラムで引き続き表示され、使用可能です。
インストール環境でドライバー更新ディスクから更新されたドライバーをロードできない
インストールの初期 RAM ディスクから同じドライバーがすでにロードされている場合、ドライバー更新ディスクからの新しいバージョンのドライバーがロードされない可能性があります。そのため、ドライバーの最新バージョンをインストール環境に適用できません。
回避策: modprobe.blacklist= カーネルコマンドラインオプションを inst.dd オプションと一緒に使用します。たとえば、ドライバー更新ディスクから virtio_blk ドライバーの更新バージョンが確実にロードされるようにするには、modprobe.blacklist=virtio_blk を使用し、通常の手順を続行してドライバー更新ディスクからドライバーを適用します。その結果、システムはドライバーの更新バージョンをロードし、それをインストール環境で使用できるようになります。
7.2. セキュリティー
Keylime ポリシー管理スクリプトが非推奨となり、keylime-policy に置き換えられる
RHEL 9.6 では、Keylime は keylime-policy ツールとともに提供されており、以下のポリシー管理スクリプトを置き換えます。
-
keylime_convert_runtime_policy -
keylime_create_policy -
keylime_sign_runtime_policy -
create_mb_refstate -
create_allowlist.sh
これらのスクリプトは非推奨となり、RHEL の今後のメジャーバージョンでは削除される予定です。
Jira:RHELDOCS-19815[1]
脆弱性スキャンアプリケーションにおける OVAL の非推奨化
OpenSCAP スイートによって処理される宣言型セキュリティーデータを提供する Open Vulnerability Assessment Language (OVAL) データ形式は非推奨となり、今後のメジャーリリースで削除される予定です。Red Hat は、OVAL の後継である Common Security Advisory Framework (CSAF) 形式で宣言型セキュリティーデータを引き続き提供します。
詳細は、OVAL v2 Announcement を参照してください。
または、Insights for RHEL 脆弱性サービスを使用することもできます。詳細は、RHEL システムでのセキュリティー脆弱性の評価および監視 を参照してください。
Jira:RHELDOCS-17532[1]
libgcrypt が非推奨になる
libgcrypt パッケージによって提供される Libgcrypt 暗号化ライブラリーは非推奨となり、今後のメジャーリリースで削除される可能性があります。代わりに、(Red Hat ナレッジベース) のアーティクル記事 RHEL core cryptographic components に記載されているライブラリーを使用してください。
Jira:RHELDOCS-17508[1]
fips-mode-setup が非推奨になる
システムを FIPS モードに切り替える fips-mode-setup ツールが RHEL 9 で非推奨になりました。ただし、引き続き fips-mode-setup コマンドを使用して FIPS モードが有効かどうかを確認することは可能です。
FIPS 140 に準拠したシステムを運用するには、次のいずれかの方法でシステムを FIPS モードでインストールします。
-
RHEL のインストール中に、カーネルコマンドラインに
fips=1オプションを追加します。詳細は、「インストールメディアからの RHEL の対話型インストール」するドキュメントの ブートオプションのカスタマイズ の章を参照してください。 -
ブループリントの
[customizations]セクションにfips=yesディレクティブを追加して、RHEL Image Builder で FIPS 対応イメージを作成します。 -
bootc-image-builderツールを使用してディスクイメージを作成するか、bootc install-to-diskツールを使用してシステムをインストールし、Image Mode for RHEL の使用 に関するドキュメントの 例 に従った Containerfile でfips=1カーネルコマンドラインフラグを追加して、システム全体の暗号化ポリシーをFIPSに切り替えます。
fips-mode-setup ツールは次のメジャーリリースで削除される予定です。
引数なしでの update-ca-trust の使用が非推奨になる
以前は、update-ca-trust コマンドは、入力された引数に関係なく、システム認証局 (CA) ストアを更新していました。この更新では、CA ストアを更新するための extract サブコマンドが導入されました。--output 引数を使用して、CA 証明書を展開するロケーションを指定することもできます。以前のバージョンの RHEL との互換性のため、-o または --help 以外の引数を指定して、あるいは引数を指定せずに update-ca-trust を入力して CA ストアを更新することは、RHEL 9 の期間中は引き続きサポートされますが、次のメジャーリリースでは削除されます。update-ca-trust extract への呼び出しを更新します。
Jira:RHEL-54695[1]
Stunnel クライアントの信頼されたルート証明書ファイルを指す CAfile が非推奨になる
Stunnel がクライアントモードで設定されている場合、CAfile ディレクティブは、BEGIN TRUSTED CERTIFICATE 形式の信頼されたルート証明書を含むファイルを指すことができます。このメソッドは非推奨となり、今後のメジャーバージョンで削除される可能性があります。今後のバージョンでは、stunnel は、BEGIN TRUSTED CERTIFICATE 形式をサポートしていない関数に CAfile ディレクティブの値を渡します。したがって、CAfile = /etc/pki/tls/certs/ca-bundle.trust.crt を使用する場合は、ロケーションを CAfile = /etc/pki/tls/certs/ca-bundle.crt に変更します。
Jira:RHEL-52317[1]
DSA および SEED アルゴリズムが NSS で非推奨になる
Digital Signature Algorithm (DSA) は、National Institute of Standards and Technology (NIST) によって作成され、現在は NIST によって完全に非推奨となっており、Network Security Services (NSS) 暗号化ライブラリーでも非推奨となっています。代わりに、RSA、ECDSA、EdDSA などのアルゴリズムを使用できます。
Korea Information Security Agency (KISA) によって作成され、以前にアップストリームで無効化されていた SEED アルゴリズムは、NSS 暗号化ライブラリーで非推奨となっています。
Jira:RHELDOCS-19004[1]
pam_ssh_agent_auth が非推奨になる
pam_ssh_agent_auth パッケージは非推奨となり、今後のメジャーリリースで削除される可能性があります。
Jira:RHELDOCS-18312[1]
compat-openssl11 が非推奨になる
OpenSSL 1.1 の互換性ライブラリー compat-openssl11 は、現在非推奨となっており、将来のメジャーリリースで削除される可能性があります。OpenSSL 1.1 はアップストリームでメンテナンスされなくなりました。OpenSSL TLS ツールキットを使用するアプリケーションは、バージョン 3.x に移行する必要があります。
Jira:RHELDOCS-18480[1]
OpenSSL の SHA-1 で SECLEVEL=2 が非推奨になる
SECLEVEL=2 での SHA-1 アルゴリズムの使用は OpenSSL では非推奨となり、今後のメジャーリリースで削除される可能性があります。
Jira:RHELDOCS-18701[1]
OpenSSL Engines API が Stunnel で非推奨になる
Stunnel での OpenSSL Engines API の使用は非推奨となり、今後のメジャーリリースで削除される予定です。最も一般的な用途は、openssl-pkcs11 パッケージを介して PKCS#11 を使用するハードウェアセキュリティートークンにアクセスすることです。代わりに、新しい OpenSSL Providers API を使用する pkcs11-provider を使用できます。
Jira:RHELDOCS-18702[1]
OpenSSL Engines が非推奨になる
OpenSSL Engines は非推奨となり、今後削除される予定です。エンジンを使用する代わりに、pkcs11-provider を代替として使用できます。
Jira:RHELDOCS-18703[1]
GnuTLS で DSA が非推奨になる
Digital Signature Algorithm (DSA) は、GnuTLS セキュア通信ライブラリーで非推奨となり、RHEL の今後のメジャーバージョンで削除される予定です。DSA は、以前に National Institute of Standards and Technology (NIST) によって非推奨とされており、セキュアでないと考えられています。今後のバージョンとの互換性を確保するには、代わりに ECDSA を使用できます。
Jira:RHELDOCS-19224[1]
scap-workbench が非推奨になる
scap-workbench パッケージが非推奨となりました。scap-workbench グラフィカルユーティリティーは、単一のローカルシステムまたはリモートシステム上で設定および脆弱性スキャンを実行するように設計されています。代わりに、oscap コマンドを使用してローカルシステムの設定コンプライアンスをスキャンし、oscap-ssh コマンドを使用してリモートシステムをスキャンすることもできます。詳細は、設定コンプライアンススキャン を参照してください。
Jira:RHELDOCS-19028[1]
oscap-anaconda-addon が非推奨になる
グラフィカルインストールを使用してベースライン準拠の RHEL システムをデプロイする手段を提供していた oscap-anaconda-addon が非推奨となりました。代わりに、RHEL Image Builder OpenSCAP インテグレーションを使用して事前に強化されたイメージを作成 することで、特定の標準に準拠した RHEL イメージを構築できます。
Jira:RHELDOCS-19029[1]
SHA-1 は暗号化の目的で非推奨になる
暗号化を目的とした SHA-1 メッセージダイジェストの使用は、RHEL 9 では非推奨になりました。SHA-1 によって生成されたダイジェストは、ハッシュ衝突の検出に基づく多くの攻撃の成功例が記録化されているため、セキュアであるとは見なされません。RHEL コア暗号化コンポーネントは、デフォルトでは SHA-1 を使用して署名を作成しなくなりました。RHEL 9 のアプリケーションが更新され、セキュリティー関連のユースケースで SHA-1 が使用されないようになりました。
例外の中でも、HMAC-SHA1 メッセージ認証コードと Universal Unique Identifier (UUID) 値は、SHA-1 を使用して作成できます。これは、これらのユースケースが現在セキュリティーリスクをもたらさないためです。SHA-1 は、Kerberos や WPA-2 など、相互運用性および互換性に関する重要な懸念事項に関連する限られたケースでも使用できます。詳細は、RHEL 9 セキュリティーの強化ドキュメント の FIPS 140-3 に準拠していない暗号化を使用する RHEL アプリケーションのリスト を参照してください。
既存またはサードパーティーの暗号署名を検証するために SHA-1 を使用する必要がある場合は、次のコマンドを入力して有効にできます。
# update-crypto-policies --set DEFAULT:SHA1
または、システム全体の暗号化ポリシーを LEGACY ポリシーに切り替えることもできます。LEGACY は、セキュアではない他の多くのアルゴリズムも有効にすることに注意してください。
Jira:RHELPLAN-110763[1]
fapolicyd.rules が非推奨になる
実行ルールの許可と拒否を含むファイルの /etc/fapolicyd/rules.d/ ディレクトリーは、/etc/fapolicyd/fapolicyd.rules ファイルを置き換えます。fagenrules スクリプトは、このディレクトリー内のすべてのコンポーネントルールファイルを /etc/fapolicyd/compiled.rules ファイルにマージするようになりました。/etc/fapolicyd/fapolicyd.trust のルールは引き続き fapolicyd フレームワークによって処理されますが、下位互換性を確保するためのみに使用されます。
Jira:RHELPLAN-112355[1]
RHEL 9 で SCP が非推奨になる
SCP (Secure Copy Protocol) には既知のセキュリティー脆弱性があるため、非推奨となりました。SCP API は RHEL 9 ライフサイクルで引き続き利用できますが、システムセキュリティーが低下します。
-
scpユーティリティーでは、SCP はデフォルトで SSH ファイル転送プロトコル (SFTP) に置き換えられます。 - OpenSSH スイートは、RHEL 9 では SCP を使用しません。
-
libsshライブラリーで SCP が非推奨になりました。
Jira:RHELPLAN-99136[1]
OpenSSL では、FIPS モードでの RSA 暗号化にパディングが必要
OpenSSL は、FIPS モードでのパディングなしの RSA 暗号化をサポートしなくなりました。パディングを使用しない RSA 暗号化は一般的ではないため、ほとんど使用されません。RSA (RSASVE) によるキーのカプセル化はパディングを使用しませんが、引き続きサポートされていることに注意してください。
Jira:RHELPLAN-148207[1]
OpenSSL で Engines API が非推奨になる
OpenSSL 3.0 TLS ツールキットでは、Engines API が非推奨になりました。エンジンインターフェイスはプロバイダー API に置き換えられました。アプリケーションと既存のエンジンのプロバイダーへの移行が進行中です。非推奨の Engines API は、今後のメジャーリリースで削除される可能性があります。
Jira:RHELDOCS-17958[1]
openssl-pkcs11 が非推奨になる
非推奨になった OpenSSL エンジンのプロバイダー API への継続的な移行の一環として、pkcs11-provider パッケージが openssl-pkcs11 パッケージ (engine_pkcs11) を置き換えます。openssl-pkcs11 パッケージは非推奨になりました。openssl-pkcs11 パッケージは、今後のメジャーリリースで削除される可能性があります。
Jira:RHELDOCS-16716[1]
RHEL 8 および 9 OpenSSL 証明書および署名コンテナーが非推奨になる
Red Hat Ecosystem Catalog の ubi8/openssl および ubi9/openssl リポジトリーで利用可能な OpenSSL ポータブル証明書および署名コンテナーは、需要が低いため非推奨になりました。
Jira:RHELDOCS-17974[1]
SASL の Digest-MD5 が非推奨になる
Simple Authentication Security Layer (SASL) フレームワークの Digest-MD5 認証メカニズムは非推奨になり、将来のメジャーリリースでは cyrus-sasl パッケージから削除される可能性があります。
Jira:RHELPLAN-94096[1]
/etc/system-fips が非推奨になる
/etc/system-fips ファイルを通じて FIPS モードを示すためのサポートは削除されました。そのため、このファイルは今後の RHEL バージョンには含まれません。FIPS モードで RHEL をインストールするには、システムのインストール時に fips=1 パラメーターをカーネルコマンドラインに追加します。/proc/sys/crypto/fips_enabled ファイルを表示することで、RHEL が FIPS モードで動作しているかどうかを確認できます。
Jira:RHELPLAN-103232[1]
libcrypt.so.1 が非推奨になる
libcrypt.so.1 ライブラリーは現在非推奨であり、RHEL の将来のバージョンで削除される可能性があります。
Jira:RHELPLAN-106338[1]
OpenSSL は、FIPS モードで明示的な曲線パラメーターを受け入れない
明示的な曲線パラメーターを指定した楕円曲線暗号化パラメーター、秘密鍵、公開鍵、および証明書は、FIPS モードでは機能しなくなりました。FIPS 承認の曲線の 1 つを使用する ASN.1 オブジェクト識別子を使用して曲線パラメーターを指定することは、FIPS モードでも機能します。
Jira:RHELPLAN-113856[1]
OpenSSL が FIPS モードで X9.31 パディングを使用した RSA 署名を拒否するようになる
X9.31 RSA 署名が FIPS 186-5 標準から削除されたました。そのため、OpenSSL が FIPS モードで X9.31 パディングを使用した RSA 鍵による署名または署名検証をサポートしなくなりました。
Jira:RHELPLAN-139207[1]
7.3. RHEL for Edge
Ignition は、Image Mode for RHEL for Edge イメージで非推奨になりました。
ブートプロセスの初期段階で Simplified Installer、AMI、および VMDK RHEL for Edge イメージタイプにユーザー設定を挿入するために使用される Ignition ツールは、RHEL 9 で非推奨となり、今後のメジャーリリースで削除される可能性があります。
Jira:RHELDOCS-19754[1]
7.4. サブスクリプションの管理
いくつかの subscription-manager モジュールが非推奨になる
Red Hat サブスクリプションサービスの顧客エクスペリエンスが簡素化され、Red Hat Hybrid Cloud Console と Simple Content Access によるアカウントレベルのサブスクリプション管理に移行したため、次のモジュールは非推奨となり、今後のメジャーリリースで削除される予定です。
-
addons -
attach -
auto-attach -
import -
remove -
redeem -
role -
service-level -
syspurpose addons -
usageこれらの移行の詳細は、アーティクル記事 Transition of Red Hat’s subscription services to the Red Hat Hybrid Cloud Console を参照してください。
subscription-manager register の非推奨の --token オプションは、2024 年 11 月末に機能しなくなる
subscription-manager register コマンドの非推奨の --token=<TOKEN> オプションは、2024 年 11 月末以降はサポート対象の認証方法ではなくなります。デフォルトのエンタイトルメントサーバー subscription.rhsm.redhat.com では、トークンベースの認証が許可されなくなります。したがって、subscription-manager register --token=<TOKEN> を使用すると、次のエラーメッセージが表示されて登録が失敗します。
Token authentication not supported by the entitlement server
システムを登録するには、サポート対象の他の認可方法を使用します。たとえば、subscription-manager register コマンドにペアのオプション --username / --password または --org / --activationkey を含めます。
Jira:RHELPLAN-146101[1]
7.5. ソフトウェア管理
数字なしの %patch 構文が非推奨になる
zero-th パッチを適用するために %patch 0 の省略形として数値を指定せずに %patch ディレクティブを使用することは非推奨となりました。したがって、%patch を使用する場合は、警告メッセージが表示され、明示的な構文 (例: zero-th パッチを適用するための %patch 0 または %patch -P 0) を使用するように提案されます。
Jira:RHELDOCS-19810[1]
DNF debug プラグインが非推奨になる
dnf debug-dump コマンドと dnf debug-restore コマンドを含む DNF debug プラグインは非推奨となり、次の RHEL メジャーリリースで dnf-plugins-core パッケージから削除されます。
Jira:RHELDOCS-18592[1]
libreport のサポートが非推奨になる
libreport ライブラリーのサポートは非推奨となり、次の RHEL メジャーリリースで DNF から削除されます。
Jira:RHELDOCS-18593[1]
7.6. シェルおよびコマンドラインツール
perl(Mail::Sender) モジュールが非推奨になる
perl(Mail::Sender) モジュールは非推奨となり、次のメジャーリリースでは代替品なしで削除されます。その結果、net-snmp-perl パッケージの checkbandwidth スクリプトは、ホストまたはインターフェイスの帯域幅の高レベル/低レベルに達したときに、メールアラートの送信をサポートしなくなります。
Jira:RHELDOCS-18959[1]
dump からの dump ユーティリティーが非推奨になる
ファイルシステムのバックアップに使用される dump ユーティリティーが非推奨になり、RHEL 9 では使用できなくなります。
RHEL 9 では、使用方法に基づいて、tar、dd、または bacula のバックアップユーティリティーを使用することが推奨されています。これにより、ext2、ext3、および ext4 のファイルシステムで完全で安全なバックアップが提供されます。
dump パッケージの restore ユーティリティーは、RHEL 9 で引き続き利用可能で、サポートされており、restore パッケージとして利用できます。
Jira:RHELPLAN-94704[1]
Bacula の SQLite データベースバックエンドが非推奨になる
Bacula バックアップシステムは、複数のデータベースバックエンド (PostgreSQL、MySQL、および SQLite) をサポートしていました。SQLite バックエンドに非推奨となり、RHEL の今後のリリースではサポートされなくなります。代わりに、他のバックエンド (PostgreSQL または MySQL) のいずれかに移行し、新しい展開では SQLite バックエンドを使用しないでください。
sysstat パッケージの %vmeff メトリクスが非推奨になる
ページ再利用効率を測定する sysstat パッケージの %vmeff メトリクスは、将来の RHEL メジャーバージョンではサポートされなくなります。sysstat は、新しいカーネルバージョンで提供されるすべての関連する /proc/vmstat 値を解析しないため、sar -B コマンドによって返される %vmeff 列の値は正しくありません。
/proc/vmstat ファイルから %vmeff 値を手動で計算できます。詳細は、Why the sar(1) tool reports %vmeff values beyond 100 % in RHEL 8 and RHEL 9? を参照してください。
Jira:RHELDOCS-17015[1]
ReaR 設定ファイルでの TMPDIR 変数の設定が非推奨になる
export TMPDIR=… などのステートメントを使用して、/etc/rear/local.conf または /etc/rear/site.conf ReaR 設定ファイルで TMPDIR 環境変数を設定することは非推奨となりました。
ReaR 一時ファイルのカスタムディレクトリーを指定するには、ReaR を実行する前にシェル環境で変数をエクスポートします。たとえば、export TMPDIR=… ステートメントを実行してから、同じシェルセッションまたはスクリプトで rear コマンドを実行します。
Jira:RHELDOCS-18049[1]
RHEL 9 で cgroupsv1 が非推奨になる
cgroups は、プロセス追跡、システムリソースの割り当て、およびパーティション設定に使用されるカーネルサブシステムです。systemd サービスマネージャーは、cgroups v1 モードと cgroups v2 モードでの起動をサポートします。Red Hat Enterprise Linux 9 では、デフォルトのモードは v2 です。Red Hat Enterprise Linux 10 では、systemd は cgroups v1 モードでの起動をサポートせず、cgroups v2 モードのみが利用可能になります。
Jira:RHELDOCS-17545[1]
7.7. インフラストラクチャーサービス
クライアントサイドおよびサーバーサイドの DHCP パッケージが非推奨になる
Internet Systems Consortium (ISC) は、2022 年末をもって ISC DHCP のメンテナンスを終了することを発表しました。そのため、Red Hat は、RHEL 9 でのクライアントサイドおよびサーバーサイドの DHCP パッケージの使用を非推奨とし、今後の RHEL メジャーバージョンでは配布しないことを決定しました。ユーザーは、dhcpcd や ISC Kea などの利用可能な代替手段への移行を準備する必要があります。
Jira:RHELDOCS-17135[1]
インフラストラクチャーサービスではさまざまなパッケージが非推奨になる
以下のパッケージは RHEL 9 では非推奨となり、今後の RHEL メジャーバージョンでは配布されません。
-
sendmail -
libotr -
mod_security -
spamassassin -
redis -
dhcp -
xsane
Jira:RHEL-22385[1]
7.8. ネットワーク
ipset が非推奨になる
RHEL 9 では、ipset ユーティリティーが非推奨となり、今後のメジャーリリースで削除される予定です。Red Hat は、現在のリリースのライフサイクル中にバグ修正とこの機能に対するバグ修正やサポートを提供しますが、この機能は機能拡張の対象外となります。ipset の代わりに、nftables セット機能を使用できます。
Jira:RHELDOCS-20146[1]
Soft-iWARP ドライバーが非推奨になる
RHEL 9 では、サポート対象外のテクノロジープレビューとして Soft-iWARP ドライバーが提供されます。RHEL 9.5 以降では、このドライバーは非推奨となり、RHEL 10 では削除されます。
Jira:RHELDOCS-18699[1]
dhcp-client パッケージが非推奨になる
以前は、dhcp-client パッケージの DHCP クライアントを使用するように、RHEL 9 の NetworkManager を設定することができました。しかし、dhclient ユーティリティーを使用するオプションは現在非推奨になっています。使用すると、NetworkManager の起動時に警告が表示されます。前述のように NetworkManager を設定するには、内部の DHCP ライブラリーに切り替えてください。RHEL 10 では、dhcp-client パッケージは利用できなくなり、dhclient ユーティリティーを使用するように設定されたアプリケーションは、代わりに内部の DHCP ライブラリーを使用するようになります。
RHEL 9 でネットワークチームが非推奨になる
teamd サービスおよび libteam ライブラリーは、Red Hat Enterprise Linux 9 では非推奨になり、次回のメジャーリリースでは削除される予定です。代替として、ネットワークチームの代わりにボンディングを設定します。
Red Hat は、機能が類似するボンディングとチームの機能を 2 つ管理しなくてもいいように、カーネルベースのボンディングに注力しています。ボンディングコードは、顧客の採用率が高く、堅牢で、活発なコミュニティー開発が行われています。その結果、ボンディングコードは拡張、更新されます。
ボンディングにチームを移行する方法は、Migrating a network team configuration to network bond を参照してください。
Jira:RHELPLAN-69554[1]
ifcfg 形式の NetworkManager 接続プロファイルが非推奨になる
RHEL 9.0 以降では、ifcfg 形式の接続プロファイルは非推奨になりました。次の RHEL メジャーリリースでは、この形式のサポートが削除されます。ただし、RHEL 9 では、既存のプロファイルを変更すると、NetworkManager は引き続きこの形式で既存のプロファイル処理および更新します。
デフォルトでは、NetworkManager は接続プロファイルをキーファイル形式で /etc/NetworkManager/system-connections/ ディレクトリーに保存するようになりました。ifcfg 形式とは異なり、キーファイル形式は、NetworkManager が提供するすべての接続設定をサポートします。キーファイル形式とプロファイルの移行方法の詳細は、NetworkManager connection profiles in keyfile format を参照してください。
Jira:RHELPLAN-58745[1]
firewalld の iptables バックエンドが非推奨になる
RHEL 9 では、iptables フレームワークは非推奨になりました。結果として、iptables バックエンドと firewalld の direct interface も非推奨になりました。direct interface の代わりに、firewalld のネイティブ機能を使用して必要なルールを設定できます。
Jira:RHELPLAN-122745[1]
firewalld のロックダウン機能が非推奨になる
firewalld のロックダウン機能は非推奨になりました。理由は、root として実行中のプロセスが自身を許可リストに追加するのを防げないためです。ロックダウン機能は、今後の RHEL メジャーリリースで削除される可能性があります。
connection.master、connection.slave-type、connection.autoconnect-slaves プロパティーが非推奨になる
Red Hat では、意識的な言語の使用に取り組んでいます。したがって、connection.master、connection.slave-type、connection.autoconnect-slaves プロパティーの名前が変更されました。下位互換性を確保するために、古いプロパティー名を新しいプロパティー名にマップするエイリアスが作成されました。
-
connection.masterはconnection.controllerのエイリアスです -
connection.slave-typeはconnection.port-typeのエイリアスです -
connection.autoconnect-slavesは、connection.autoconnect-portsのエイリアスです
connection.master、connection.slave-type、および connection.autoconnect-slaves エイリアスは非推奨となり、今後の RHEL バージョンでは削除されることに注意してください。
Jira:RHEL-17619[1]
PF_KEYv2 カーネル API が非推奨になる
アプリケーションは、PV_KEYv2 および新しい netlink API を使用して、カーネルの IPsec 実装を設定できます。PV_KEYv2 はアップストリームで積極的に保守されておらず、最新の暗号、オフロード、拡張シーケンス番号サポートなどの重要なセキュリティー機能が欠けています。その結果、RHEL 9.3 以降、PV_KEYv2 API は非推奨となり、次の RHEL メジャーリリースで削除される予定です。アプリケーションでこのカーネル API を使用する場合は、代替として最新の netlink API を使用するように移行してください。
Jira:RHEL-1015[1]
7.9. カーネル
RHEL 9 で ATM カプセル化が非推奨になる
非同期転送モード (ATM) カプセル化により、ATM アダプテーションレイヤー 5(AAL-5) のレイヤー 2(ポイントツーポイントプロトコル、イーサネット) またはレイヤー 3(IP) 接続が可能になります。Red Hat は、RHEL 7 以降 ATM NIC ドライバーのサポートを提供していません。ATM 実装のサポートは RHEL 9 で廃止されています。これらのプロトコルは現在、ADSL テクノロジーをサポートし、メーカーによって段階的に廃止されているチップセットのみで使用されています。したがって、ATM カプセル化は Red Hat Enterprise Linux 9 では非推奨です。
詳細は、PPP Over AAL5、Multiprotocol Encapsulation over ATM Adaptation Layer 5、および Classical IP and ARP over ATM を参照してください。
Jira:RHELPLAN-113659[1]
kexec-tools の kexec_load システムコールが非推奨になる
2 番目のカーネルをロードする kexec_load システムコールは、将来の RHEL リリースではサポートされなくなります。kexec_file_load システムコールは kexec_load に代わるもので、現在はすべてのアーキテクチャーのデフォルトのシステムコールです。
詳細は、Is kexec_load supported in RHEL9? を参照してください。
Jira:RHELPLAN-129876[1]
RHEL 9 でネットワークチームが非推奨になる
teamd サービスおよび libteam ライブラリーは、Red Hat Enterprise Linux 9 では非推奨になり、次回のメジャーリリースでは削除される予定です。代替として、ネットワークチームの代わりにボンディングを設定します。
Red Hat は、機能が類似するボンディングとチームの機能を 2 つ管理しなくてもいいように、カーネルベースのボンディングに注力しています。ボンディングコードは、顧客の採用率が高く、堅牢で、活発なコミュニティー開発が行われています。その結果、ボンディングコードは拡張、更新されます。
ボンディングにチームを移行する方法は、Migrating a network team configuration to network bond を参照してください。
Jira:RHELDOCS-20097[1]
7.10. ファイルシステムおよびストレージ
ブロック変換テーブルドライバーのサポートが非推奨になる
ブロック変換テーブルドライバー (btt.ko) のサポートは非推奨となり、今後の RHEL メジャーリリースでは削除される予定です。Red Hat は、現在のリリースライフサイクル中に、セクターモードを使用して Non-Volatile Dual In-line Memory Modules (NVDIMM) の名前空間を設定するためのバグ修正とサポートを提供します。ただし、今後この機能は機能拡張されず、削除される予定です。
Jira:RHELDOCS-19716[1]
nvme_core.multipath パラメーターが非推奨になる
RHEL 9.6 では、nvme_core.multipath パラメーターは非推奨となり、今後のリリースで削除される予定です。Red Hat は、現在のリリースライフサイクル中にこの機能のバグ修正とサポートを提供しますが、この機能は機能拡張されなくなり、今後のメジャーリリースから削除される予定です。
Jira:RHELDOCS-19809[1]
NVMe デバイスのサポートが lsscsi パッケージで非推奨になる
Non-volatile Memory Express (NVMe) デバイスのサポートは非推奨となり、今後の RHEL メジャーリリースでは lsscsi パッケージから削除される予定です。代わりに、nvme-cli、lsblk、blkid などのネイティブツールを使用してください。
Jira:RHELDOCS-19068[1]
NVMe デバイスのサポートが sg3_utils パッケージで非推奨になる
Non-volatile Memory Express (NVMe) デバイスのサポートは非推奨となり、今後の RHEL メジャーリリースでは sg3_utils パッケージから削除される予定です。代わりにネイティブツール (nvme-cli) を使用できます。
Jira:RHELDOCS-19069[1]
lvm2-activation-generator およびその生成されたサービスが RHEL 9.0 で削除される
lvm2-activation-generator プログラムとその生成されたサービス lvm2-activation、lvm2-activation-early、および lvm2-activation-net は、RHEL 9.0 で削除されています。サービスをアクティベートするために使用される lvm.conf event_activation 設定は機能しなくなりました。ボリュームグループを自動アクティブ化する唯一の方法は、イベントベースのアクティブ化です。
Jira:RHELPLAN-107107[1]
RHEL 9 で永続メモリー開発キット (pmdk) とサポートライブラリーが非推奨になる
pmdk は、システム管理者とアプリケーション開発者の永続メモリーデバイスの管理とアクセスを簡素化するためのライブラリーとツールのコレクションです。pmdk およびサポートライブラリーは、RHEL 9 で非推奨になりました。これには、-debuginfo パッケージも含まれます。
pmdk によって生成された以下の一覧のバイナリーパッケージ (nvml ソースパッケージを含む) が非推奨になりました。
-
libpmem -
libpmem-devel -
libpmem-debug -
libpmem2 -
libpmem2-devel -
libpmem2-debug -
libpmemblk -
libpmemblk-devel -
libpmemblk-debug -
libpmemlog -
libpmemlog-devel -
libpmemlog-debug -
libpmemobj -
libpmemobj-devel -
libpmemobj-debug -
libpmempool -
libpmempool-devel -
libpmempool-debug -
pmempool -
daxio -
pmreorder -
pmdk-convert -
libpmemobj++ -
libpmemobj++-devel -
libpmemobj++-doc
Jira:RHELDOCS-16432[1]
md-linear、md-faulty、および md-multipath モジュールが非推奨になる
以下の MD RAID カーネルモジュールが非推奨となり、今後の RHEL メジャーリリースで削除される予定です。
-
CONFIG_MD_LINEARまたはmd-linear: 複数のドライブを連結し、1 つのメンバーディスクがいっぱいになったときに、すべてのディスクがいっぱいになるまで、データが次のディスクに書き込まれるようにします。 -
CONFIG_MD_FAULTYまたはmd-faulty: 読み取りまたは書き込みエラーを時々返すブロックデバイスをテストします。 -
CONFIG_MD_MULTIPATHまたはmd-multipath: 個々の LUN (ディスクドライブ) への複数の I/O パスをサポートしているハードウェアを活用できます。md-multipathは、ハードウェア障害または個々のパスの飽和が発生した場合でも、データの可用性を確保します。
Jira:RHEL-30730[1]
VDO sysfs パラメーターが非推奨になる
Virtual Data Optimizer (VDO) sysfs パラメーターは非推奨となり、今後の RHEL メジャーリリースで削除される予定です。log_level を除き、kvdo モジュールのすべてのモジュールレベルの sysfs パラメーターが削除されます。個々の dm-vdo ターゲットでは、VDO に固有のすべての sysfs パラメーターも削除されます。すべての DM ターゲットに共通するパラメーターには変更はありません。現在、削除されたモジュールレベルのパラメーターを更新することによって設定されている dm-vdo ターゲットの設定値は、変更できなくなります。
dm-vdo ターゲットの統計情報と設定値は、sysfs 経由ではアクセスできなくなります。しかし、これらの値は、dmsetup message stats、dmsetup status、および dmsetup table の dmsetup コマンドを使用して引き続きアクセスできます。
7.11. 高可用性およびクラスター
非推奨の高可用性機能
以下の機能は Red Hat Enterprise Linux 9.5 で非推奨となり、次のメジャーリリースで削除される予定です。これらの機能を使用してシステムを設定しようとすると、pcs コマンドラインインターフェイスによって警告が表示されます。
-
順序の制約における
scoreパラメーターの設定 -
バンドルでの
rktコンテナーエンジンの使用 -
upstartおよびnagiosリソースのサポート -
Pacemaker ルールを設定するための
monthdays、weekdays、weekyears、yearsdays、およびmoonの日付指定オプション -
Pacemaker ルールを設定するための
yearsdaysとmoonの期間オプション
Resilient Storage Add-On が非推奨になる
Red Hat Enterprise Linux (RHEL) Resilient Storage Add-On は、RHEL 9 時点で非推奨になりました。Resilient Storage Add-On は、Red Hat Enterprise Linux 10 および RHEL 10 以降のリリースではサポートされなくなります。RHEL Resilient Storage Add-On は、以前のバージョンの RHEL (7、8、9) で、および特定のメンテナンスサポートライフサイクル全体で引き続きサポートされます。
Jira:RHELDOCS-19022[1]
7.12. 動的プログラミング言語、Web サーバー、およびデータベースサーバー
libdb が非推奨になる
RHEL 9 は現在、LGPLv2 ライセンスで配布される Berkeley DB (libdb) バージョン 5.3.28 を提供しています。アップストリームの Berkeley DB バージョン 6 は、より厳しい AGPLv3 ライセンスで利用できます。
libdb パッケージは、RHEL 9 で非推奨となり、今後の RHEL のメジャーバージョンでは利用できない可能性があります。
また、RHEL 9 では、libdb から暗号アルゴリズムが削除され、RHEL 9 では複数の libdb 依存関係が削除されています。
libdb のユーザーは、別の鍵値データベースに移行することが推奨されます。詳細は、次の Red Hat ナレッジベース記事を参照してください。
Jira:RHELPLAN-67314[1]
7.13. コンパイラーおよび開発ツール
Grafana、PCP、grafana-pcp では Redis が Valkey に置き換えられる
Redis キーバリューストアは非推奨となり、RHEL の次のメジャーバージョンでは Valkey に置き換えられます。その結果、Grafana、PCP、および grafana-pcp プラグインは、RHEL 10 では Redis ではなく Valkey を使用してデータを保存します。
Jira:RHELDOCS-18207[1]
llvm-doc の HTML コンテンツが非推奨になる
llvm-doc パッケージの HTML コンテンツは、今後の RHEL リリースで削除され、llvm.org のオンラインドキュメントを指す単一の HTML ファイルに置き換えられます。ネットワークにアクセスできない llvm-doc のユーザーは、LLVM ドキュメントにアクセスするための別の方法が必要になります。
Jira:RHELDOCS-19013[1]
Go の FIPS モードの openssl 3.0 で、2048 より小さいサイズのキーが非推奨になる
2048 ビットより小さい鍵サイズは openssl 3.0 で廃止され、Go の FIPS モードでは機能しなくなりました。
Jira:RHELPLAN-129104[1]
Go の FIPS モードで、一部の PKCS1 v1.5 モードが非推奨になる
一部の PKCS1 v1.5 モードは、FIPS-140-3 で暗号化が承認されておらず、無効になっています。Go の FIPS モードでは機能しなくなります。
Jira:RHELPLAN-123778[1]
32 ビットパッケージが非推奨になる
32 ビットの multilib パッケージに対するリンクは非推奨になりました。*.i686 パッケージは Red Hat Enterprise Linux 9 のライフサイクル期間中はサポートされ続けますが、RHEL の次のメジャーバージョンでは削除されます。
Jira:RHELDOCS-17917[1]
7.14. Identity Management
dnssec-enable: no; オプションが非推奨になる
/etc/named/ipa-options-ext.conf ファイルの dnssec-enable: no; オプションは非推奨となり、RHEL の今後のメジャーバージョンで削除される予定です。DNS Security Extensions (DNSSEC) はデフォルトで有効になっており、無効にすることはできません。dnssec-validation: no; オプションは引き続き利用可能です。
Jira:RHELDOCS-20464[1]
pam_console モジュールが非推奨になる
RHEL 9.5 では、pam_console モジュールが非推奨となり、今後のリリースで削除される予定です。pam_console モジュールは、物理コンソールまたは端末にログインしたユーザーにファイル権限と認証機能を付与し、コンソールのログインステータスとユーザーの存在に基づいてこれらの権限を調整します。pam_console の代わりに、systemd-logind システムサービスを使用することもできます。設定の詳細は、logind.conf(5) の man ページを参照してください。
Jira:RHELDOCS-18158[1]
OpenDNSSec の SHA-1 が非推奨になる
OpenDNSSec は、SHA-1 アルゴリズムを使用したデジタル署名および認証レコードのエクスポートに対応しています。SHA-1 アルゴリズムの使用に対応しなくなりました。RHEL 9 リリースでは、OpenDNSSec の SHA-1 が非推奨になり、今後のマイナーリリースで削除される可能性があります。また、OpenDNSSec のサポートは、Red Hat Identity Management との統合に限定されます。OpenDNSSec はスタンドアロンでは対応していません。
Jira:RHELPLAN-88246[1]
SSSD 暗黙的なファイルプロバイダードメインが、デフォルトで無効化される
/etc/shadow などのローカルファイルからユーザー情報を取得し、/etc/groups からのグループ情報をグループ化する SSSD 暗黙的 files プロバイダードメインが、デフォルトで無効になりました。
SSSD を使用してローカルファイルからユーザーおよびグループ情報を取得するには、次のコマンドを実行します。
SSSD を設定します。以下のいずれかのオプションを選択します。
sssd.conf設定ファイルでid_provider=filesを使用して、ローカルドメインを明示的に設定します。[domain/local] id_provider=files ...sssd.conf設定ファイルでenable_files_domain=trueを設定して、ファイルプロバイダーを有効にします。[sssd] enable_files_domain = true
ネームサービススイッチを設定します。
# authselect enable-feature with-files-providerユーザー情報のキャッシュと同期を復元するために、シンボリックリンクを作成して、
shadow-utilsとsssd_cacheの統合を有効にします。# ln -s /usr/sbin/sss_cache /usr/sbin/sss_cache_shadow_utils
Jira:RHELPLAN-100639[1], Jira:RHEL-56352
7.15. SSSD
ad_allow_remote_domain_local_groups オプションが非推奨になる
sssd.conf の ad_allow_remote_domain_local_groups オプションは、Red Hat Enterprise Linux (RHEL) 9.6 では非推奨となりました。ad_allow_remote_domain_local_groups オプションは、RHEL の今後のリリースから削除される可能性があります。
Jira:RHELDOCS-19455[1]
sss_ssh_knownhostsproxy ツールが非推奨になる
sss_ssh_knownhostsproxy は非推奨となり、RHEL 10 ではより効率的なツールに置き換えられます。sss_ssh_knownhostsproxy は、RHEL 9 では下位互換性のために保持され、RHEL 10 では削除されます。ssh KnownHostsCommand オプションのサポートは、今後のリリースで追加される予定です。
Jira:RHELDOCS-19115[1]
SSSD files プロバイダーが非推奨になる
SSSD files プロバイダーは Red Hat Enterprise Linux (RHEL) 9 で非推奨になりました。files プロバイダーは、RHEL の将来のリリースから削除される可能性があります。
Jira:RHELPLAN-139805[1]
AD および IdM の enumeration 機能が非推奨になる
enumeration 機能を使用すると、Active Directory (AD)、Identity Management (IdM)、および LDAP プロバイダーに対して、引数なしで getent passwd または getent group コマンドを使用することで、すべてのユーザーまたはグループをリスト表示できます。Red Hat Enterprise Linux (RHEL) 9 では、AD および IdM に対する enumeration 機能のサポートは廃止されました。RHEL 10 では、AD および IdM に対する enumeration 機能は削除されます。
libsss_simpleifp サブパッケージが非推奨になる
libsss_simpleifp.so ライブラリーを提供する libsss_simpleifp サブパッケージは、Red Hat Enterprise Linux (RHEL) 9 で非推奨になりました。libsss_simpleifp サブパッケージは、RHEL の今後のリリースから削除される可能性があります。
Samba で SMB1 プロトコルが非推奨になる
Samba 4.11 以降、安全でない Server Message Block バージョン 1 (SMB1) プロトコルは非推奨となり、今後のリリースでは削除される予定です。
セキュリティーを向上させるために、デフォルトでは、Samba サーバーおよびクライアントユーティリティーで SMB1 が無効になっています。
Jira:RHELDOCS-16612[1]
7.16. デスクトップ
Firefox と Thunderbird の Flatpak イメージが非推奨になる
RHEL 9 でテクノロジープレビューとして利用できる rhel9/firefox-flatpak および rhel9/thunderbird-flatpak Flatpak イメージは非推奨となり、RHEL 10 バージョンに置き換えられます。
Jira:RHEL-91106[1]
Evince が非推奨になる
GNOME デスクトップのドキュメントビューアーである Evince は非推奨となり、今後のメジャーリリースで削除される予定です。
Jira:RHELDOCS-19889[1]
power-profile-daemon が非推奨になる
power-profile-daemon パッケージは非推奨となり、tuned-ppd パッケージに置き換えられました。RHEL 9.6 の新規インストールでは、tuned-ppd パッケージがデフォルトでインストールされます。
以前のバージョンから RHEL 9.6 に更新されたシステムの場合、power-profile-daemon はインストールされたままになります。更新された RHEL 9.6 バージョンで tuned-ppd を使用する必要がある場合は、手動でインストールします。
# dnf install tuned-ppdパッケージがインストールされていることを確認するには、次のコマンドを入力します。
# rpm -q tuned-ppd
tuned-ppd-2.25.1-1.el9.noarchTotem メディアプレーヤーが非推奨になる
Totem メディアプレーヤーは RHEL 9.5 で非推奨となり、今後のメジャーリリースでは削除される予定です。
Jira:RHELDOCS-19050[1]
power-profiles-daemon が非推奨になる
GNOME で電源モード設定を提供する power-profiles-daemon パッケージは非推奨となり、今後のメジャーリリースで削除される予定です。
GNOME の電源モード設定の代わりに Tuned を使用できます。power-profiles-dameon の代替として、tuned-ppd API 変換デーモンを使用できます。
Jira:RHELDOCS-19093[1]
gedit が非推奨になる
Red Hat Enterprise Linux のデフォルトのグラフィカルテキストエディターである gedit は非推奨となり、今後のメジャーリリースで削除される予定です。代わりに、GNOME テキストエディターを使用してください。
Jira:RHELDOCS-19149[1]
Qt 5 ライブラリーが非推奨になる
Qt 5 ライブラリーは非推奨となり、今後のメジャーリリースで削除される予定です。Qt 5 ライブラリーは、新しい機能とより優れたサポートを備えた Qt 6 ライブラリーに置き換えられました。
詳細は、Porting to Qt 6 を参照してください。
Jira:RHELDOCS-19133[1]
WebKitGTK が非推奨になる
WebKitGTK Web ブラウザーエンジンは非推奨となり、今後のメジャーリリースで削除される予定です。
その結果、WebKitGTK に依存するアプリケーションを構築できなくなります。Mozilla Firefox 以外のデスクトップアプリケーションでは、Web コンテンツを表示できなくなりました。RHEL 10 では代替の Web ブラウザーエンジンは提供されていません。
Jira:RHELDOCS-19171[1]
Evolution が非推奨になる
Evolution は、統合されたメール、カレンダー、連絡先管理、および通信機能を提供する GNOME アプリケーションです。アプリケーションとそのプラグインは非推奨となり、今後のメジャーバージョンで削除される予定です。Flathub などのサードパーティーソースで代替品を見つけることができます。
Jira:RHELDOCS-19147[1]
Festival が非推奨になる
Festival スピーチシンセサイザーは非推奨となり、今後のメジャーバージョンでは削除される予定です。
代わりに、Espeak NG スピーチシンセサイザーを使用できます。
Jira:RHELDOCS-19139[1]
Eye of GNOME が非推奨になる
Eye of GNOME (eog) イメージビューアーアプリケーションは、RHEL 9 で非推奨になりました。
代わりに、Loupe アプリケーションを使用できます。
Jira:RHELDOCS-19135[1]
Cheese が非推奨になる
Cheese カメラアプリケーションは非推奨となり、今後のメジャーバージョンでは削除される予定です。
代わりに、スナップショットアプリケーションを使用できます。
Jira:RHELDOCS-19137[1]
Devhelp が非推奨になる
API ドキュメントの参照と検索用のグラフィカル開発者ツールである Devhelp は非推奨となり、今後のメジャーバージョンで削除される予定です。特定のアップストリームプロジェクトで API ドキュメントをオンラインで見つけることができるようになりました。
Jira:RHELDOCS-19154[1]
GTK 3 ベースの gtkmm が非推奨になる
gtkmm は、GTK グラフィカルツールキット用の C++ インターフェイスです。GTK 3 をベースにした gtkmm バージョンは、そのすべての依存関係とともに非推奨となり、今後のメジャーバージョンで削除される予定です。RHEL 10 で gtkmm にアクセスするには、GTK 4 に基づく gtkmm バージョンに移行します。
Jira:RHELDOCS-19143[1]
Inkscape が非推奨になる
Inkscape ベクターグラフィックエディターは非推奨となり、今後のメジャーバージョンで削除される予定です。
Jira:RHELDOCS-19151[1]
GTK 2 が非推奨になる
レガシー GTK 2 ツールキットと、以下の関連パッケージが非推奨になりました。
-
adwaita-gtk2-theme -
gnome-common -
gtk2 -
gtk2-immodules -
hexchat
現在、他にも複数のパッケージが GTK 2 に依存しています。今後の RHEL メジャーリリースで非推奨パッケージへの依存が発生しないよう、これらは変更されます。
GTK 2 を使用するアプリケーションを維持する場合、Red Hat は、アプリケーションを GTK 4 に移植することを推奨します。
Jira:RHELPLAN-131882[1]
LibreOffice が非推奨になる
LibreOffice RPM パッケージは非推奨となり、今後の RHEL メジャーリリースで削除される予定です。LibreOffice は、RHEL 7、8、および 9 のライフサイクル全体を通じて引き続き完全にサポートされます。
Red Hat は、RPM パッケージの代わりに、The Document Foundation が提供する次のいずれかのソースから LibreOffice をインストールすることを推奨します。
- Flathub リポジトリーの公式 Flatpak パッケージ: https://flathub.org/apps/org.libreoffice.LibreOffice
- 公式 RPM パッケージ: https://www.libreoffice.org/download/download-libreoffice/
Jira:RHELDOCS-16300[1]
TigerVNC が非推奨になる
TigerVNC リモートデスクトップソリューションが非推奨になりました。これは、今後の RHEL メジャーリリースで削除され、別のリモートデスクトップソリューションに置き換えられます。
TigerVNC は、RHEL 9 で Virtual Network Computing (VNC) プロトコルのサーバーおよびクライアント実装を提供します。
次のパッケージは非推奨です。
-
tigervnc -
tigervnc-icons -
tigervnc-license -
tigervnc-selinux -
tigervnc-server -
tigervnc-server-minimal -
tigervnc-server-module
Connections アプリケーション (gnome-connections) は代替の VNC クライアントとして引き続きサポートされますが、VNC サーバーは提供されません。
Jira:RHELDOCS-17782[1]
7.17. グラフィックインフラストラクチャー
PulseAudio デーモンが非推奨になる
PulseAudio デーモンとそのパッケージ pulseaudio および alsa-plugins-pulseaudio は非推奨となり、今後のメジャーリリースで削除される予定です。
PulseAudio クライアントライブラリーとツールは非推奨となっていないことに注意してください。この変更は、システム上で実行されるオーディオデーモンにのみ影響します。
代わりに、RHEL 9.0 以降のデフォルトのオーディオデーモンでもある PipeWire オーディオシステムを使用することもできます。PipeWire は PulseAudio API の実装も提供します。
Jira:RHELDOCS-19080[1]
Motif が非推奨になる
アップストリームの Motif コミュニティーでの開発は非アクティブであるため、Motif ウィジェットツールキットは RHEL で非推奨になりました。
開発バリアントおよびデバッグバリアントを含む、以下の Motif パッケージが非推奨になりました。
-
motif -
openmotif -
openmotif21 -
openmotif22
さらに、motif-static パッケージが削除されました。
Red Hat は、GTK ツールキットを代替として使用することを推奨します。GTK は Motif と比較してメンテナンス性が高く、新機能を提供します。
Jira:RHELPLAN-98983[1]
Intel vGPU 機能が削除される
以前は、テクノロジープレビューとして、物理 Intel GPU デバイスを、mediated devices と呼ばれる複数の仮想デバイスに分割することができました。続いて、これらの仲介デバイスは、仮想 GPU として複数の仮想マシンに割り当てることができました。その結果、これらの仮想マシンは単一の物理 Intel GPU のパフォーマンスを共有しましたが、この機能と互換性があるのは一部の Intel GPU のみでした。
RHEL 9.3 以降、Intel vGPU 機能は完全に削除されました。
Jira:RHELPLAN-157294[1]
7.18. Red Hat Enterprise Linux システムロール
sshd 変数は非推奨となり、sshd_config に置き換わる
RHEL システムロール全体でコーディング標準を統一するために、sshd 変数が sshd_config 変数に置き換えられました。sshd 変数は非推奨となり、RHEL の今後のメジャーバージョンで sshd Ansible ロールから削除される可能性があります。
mssql_accept_microsoft_odbc_driver_17_for_sql_server_eula 変数が非推奨になる
RHEL の今後のメジャー更新では、ロールが mssql_tools バージョン 17 および 18 の odbc ドライバーをインストールできるようになるため、mssql_accept_microsoft_odbc_driver_17_for_sql_server_eula 変数は mssql システムロールでサポートされなくなります。したがって、代わりにバージョン番号なしの mssql_accept_microsoft_odbc_driver_for_sql_server_eula 変数を使用する必要があります。
重要: バージョン番号 mssql_accept_microsoft_odbc_driver_17_for_sql_server_eula の非推奨の変数を使用する場合、ロールによって、新しい変数 mssql_accept_microsoft_odbc_driver_for_sql_server_eula を使用するように通知されます。ただし、非推奨の変数は引き続き機能します。
podman RHEL システムロールの非推奨となった変数: container_image_user および container_image_password
container_image_user および container_image_password 変数は非推奨となりました。RHEL の今後のメジャーリリースでは、これらの変数は削除されます。代わりに、podman_registry_username および podman_registry_password 変数を使用できます。
詳細は、/usr/share/doc/rhel-system-roles/podman/ ディレクトリー内のリソースを参照してください。
Jira:RHELDOCS-18803[1]
RHEL 9 ノードでチームを設定すると、network システムロールが非推奨の警告を表示する
ネットワークチーミング機能は、RHEL 9 では非推奨になりました。その結果、RHEL 8 制御ノードで network RHEL システムロールを使用して RHEL 9 ノードでネットワークチームを設定すると、非推奨の警告が表示されます。
Jira:RHELPLAN-95747[1]
7.19. 仮想化
iPXE に関連する NIC デバイスドライバーは RHEL 9 で非推奨になる
Internet Preboot eXecution Environment (iPXE) ファームウェアは、マシンをリモートで起動する必要がある環境でよく使用される、ネットワーク経由の各種起動オプションを提供します。これには、多数のデバイスドライバーも含まれています。以下は非推奨としてマークされており、RHEL 10 リリースで削除されます。
-
完全な
ipxe-romsサブ RPM パッケージ ipxe-bootimgs-x86サブ RPM パッケージからのデバイスドライバーを含むバイナリーファイル:-
/usr/share/ipxe/ipxe-i386.efi -
/usr/share/ipxe/ipxe-x86_64.efi -
/usr/share/ipxe/ipxe.dsk -
/usr/share/ipxe/ipxe.iso -
/usr/share/ipxe/ipxe.lkrn -
/usr/share/ipxe/ipxe.usb
-
代わりに、iPXE はプラットフォームファームウェアに依存して、ネットワークブート用の NIC ドライバーを提供するようになりました。/usr/share/ipxe/ipxe-snponly-x86_64.efi および /usr/share/ipxe/undionly.kpxe iPXE バイナリーファイルは ipxe-bootimgs パッケージの一部であり、プラットフォームファームウェアが提供する NIC ドライバーを使用します。
libvirtd が非推奨になる
モノリシック libvirt デーモン libvirtd は、RHEL 9 で非推奨になり、RHEL の将来のメジャーリリースで削除される予定です。ハイパーバイザーで仮想化を管理するために libvirtd を引き続き使用できることに注意してください。ただし、Red Hat では、新しく導入されたモジュラー libvirt デーモンに切り替えることを推奨します。手順と詳細は、RHEL 9 の仮想化の設定と管理 に関するドキュメントを参照してください。
Jira:RHELPLAN-113995[1]
Windows Server 2012 または Windows 8 のゲストオペレーティングシステムとしての使用はサポート対象外
Microsoft が以下のバージョンの Windows のサポートを終了したため、Red Hat も今回の更新でこれらのバージョンをゲストオペレーティングシステムとして使用するサポートを終了しました。
- Windows 8
- Windows 8.1
- Windows Server 2012
- Windows Server 2012 R2
仮想マシンの内部スナップショットが廃止される
内部 スナップショットメカニズムを使用するスナップショットの場合、仮想マシン (VM) スナップショットの作成と復元は非推奨となり、RHEL の今後のメジャーリリースでは削除される予定です。代わりに、外部 メカニズムでスナップショットを使用します。
詳細は、仮想マシンのスナップショットのサポート制限 を参照してください。
Jira:RHELDOCS-20135[1]
virt-manager が非推奨になる
Virtual Machine Manager アプリケーション (virt-manager) は非推奨になりました。RHEL Web コンソール (Cockpit) は、後続のリリースで置き換えられる予定です。したがって、GUI で仮想化を管理する場合は、Web コンソールを使用することが推奨されます。ただし、virt-manager で利用可能な機能によっては、RHEL Web コンソールで利用できない場合があります。
Jira:RHELPLAN-10304[1]
SHA1 ベースの署名を使用した SecureBoot イメージ検証が非推奨になる
UEFI (PE/COFF) 実行ファイルでの SHA1 ベースの署名を使用した SecureBoot イメージ検証の実行は非推奨になりました。代わりに、Red Hat は、SHA-2 アルゴリズムまたはそれ以降に基づく署名を使用することを推奨します。
Jira:RHELPLAN-69533[1]
仮想フロッピードライバーが非推奨になる
仮想フロッピーディスクデバイスを制御する isa-fdc ドライバーが非推奨になり、今後の RHEL ではサポートされなくなります。したがって、移行した仮想マシン (VM) との前方互換性を確保するために、Red Hat では、RHEL 9.6 でホストされている仮想マシンでのフロッピーディスクデバイスの使用を推奨していません。
Jira:RHELPLAN-81033[1]
qcow2-v2 イメージ形式が非推奨になる
RHEL 9.6 では、仮想ディスクイメージの qcow2-v2 形式が非推奨となり、RHEL の今後のメジャーリリースではサポート対象外となる予定です。さらに、RHEL 9.6 Image Builder では、qcow2-v2 形式のディスクイメージを作成できません。
Red Hat では、qcow2-v2 の代わりに、qcow2-v3 の使用を推奨しています。qcow2-v2 イメージを、それ以降の形式に変換する場合は、qemu-img amend コマンドを使用します。
Jira:RHELPLAN-75969[1]
レガシー CPU モデルが非推奨になる
かなりの数の CPU モデルが非推奨になり、RHEL の将来のメジャーリリースで仮想マシン (VM) での使用がサポートされなくなります。非推奨のモデルは次のとおりです。
- Intel の場合: Intel Xeon 55xx および 75xx プロセッサーファミリー (Nehalem とも呼ばれます) より前のモデル
- AMD の場合: AMD Opteron G4 より前のモデル
- IBM Z の場合: IBM z14 より前のモデル
仮想マシンが非推奨の CPU モデルを使用しているかどうかを確認するには、virsh dominfo ユーティリティーを使用し、Messages セクションで次のような行を探します。
tainted: use of deprecated configuration settings
deprecated configuration: CPU model 'i486'Jira:RHELPLAN-114513[1]
RDMA ベースのライブマイグレーションが非推奨になる
この更新により、リモートダイレクトメモリーアクセス (RDMA) を使用した実行中の仮想マシンの移行は非推奨になりました。その結果、rdma 移行 URI を使用して RDMA 経由の移行を要求することは引き続き可能ですが、この機能は RHEL の今後のメジャーリリースではサポートされなくなります。
Jira:RHELPLAN-153267[1]
pmem デバイスパススルーが非推奨になる
この更新により、不揮発性メモリーライブラリー (nvml) パッケージは非推奨となり、RHEL の今後のメジャーバージョンでは削除される予定です。その結果、パッケージが削除された場合、永続メモリー (pmem) デバイスを仮想マシンに渡すことができなくなります。揮発性メモリーまたはファイルでバックアップした、エミュレートされた NVDIMM デバイスは引き続き使用できますが、永続的に設定することはできない点に注意してください。
virt-v2v を使用して RHEL 5 から Xen 仮想マシンを変換することが非推奨になる
virt-v2v ツールを使用して仮想マシンを RHEL 5 Xen ホストから KVM に変換することは非推奨となり、RHEL の今後のメジャーリリースでは削除される予定です。詳細は、Red Hat ナレッジベース を参照してください。
Jira:RHELDOCS-19193[1]
7.20. コンテナー
rsyslog コンテナーイメージが非推奨になる
rsyslog コンテナーイメージは非推奨となり、今後のメジャーリリースで削除される予定です。
Jira:RHELDOCS-19523[1]
runc コンテナーランタイムが非推奨になる
runc は非推奨となり、RHEL 10.0 では削除されます。RHEL 9 のデフォルトコンテナーランタイムは crun です。crun は、C 言語で書かれた高速および低メモリーフットプリントの OCI コンテナーランタイムです。crun バイナリーは runc バイナリーの最大 1/50 のサイズで、最大 2 倍の速度です。crun を使用して、コンテナーの実行時に最小限のプロセス数を設定することもできます。crun ランタイムは OCI フックもサポートしています。
podman-tests パッケージが非推奨になる
podman-tests パッケージが非推奨となりました。
nodejs-18 と nodejs-18-minimal が非推奨になる
nodejs-18 および nodejs-18-minimal コンテナーイメージは非推奨となり、今後は機能は更新されません。代わりに nodejs-22 と nodejs-22-minimal を使用してください。
Jira:RHELDOCS-20283[1]
Podman v5.0 の非推奨化
RHEL 9.5 では、Podman v5.0 で以下が非推奨となりました。
-
containers.confファイルに保存されているシステム接続とファームの情報が読み取り専用になりました。システム接続とファームの情報は、Podman のみが管理するpodman.connections.jsonファイルに保存されます。Podman は、[engine.service_destinations]や[farms]セクションなどの古い設定オプションを引き続きサポートします。必要に応じて手動で接続またはファームを追加できますが、podman system connection rmコマンドを使用してcontainers.confファイルから接続を削除することはできません。 -
slirp4netnsネットワークモードが非推奨となり、RHEL の今後のメジャーリリースで削除される予定です。pastaネットワークモードが、ルートレスコンテナーのデフォルトのネットワークモードです。 - ルートレスコンテナーの cgroups v1 が非推奨となり、RHEL の今後のメジャーリリースで削除される予定です。
Jira:RHELDOCS-19021[1]
runc コンテナーランタイムが非推奨になる
runc コンテナーランタイムは非推奨となり、RHEL の今後のメジャーリリースで削除される予定です。デフォルトのコンテナーランタイムは crun です。
Jira:RHELDOCS-19012[1]
RHEL 7 ホストでの RHEL 9 コンテナーの実行がサポート対象外
RHEL 7 ホストでは、RHEL 9 コンテナーの実行に対応していません。正常に動作するかもしれませんが、保証されません。
詳細は、Red Hat Enterprise Linux Container Compatibility Matrix を参照してください。
Jira:RHELPLAN-100087[1]
Podman 内の SHA1 ハッシュアルゴリズムが非推奨になる
ルートレスネットワーク namespace のファイル名を生成するために使用される SHA1 アルゴリズムは Podman ではサポートされなくなりました。したがって、Podman 4.1.1 以降に更新する前に起動されたルートレスコンテナーは、ネットワークに参加している場合は (slirp4netns を使用するだけでなく) 再起動して、アップグレード後に起動したコンテナーに接続できるようにする必要があります。
Jira:RHELPLAN-117005[1]
rhel9/pause が非推奨になる
rhel9/pause コンテナーイメージが非推奨になりました。
Jira:RHELPLAN-127619[1]
CNI ネットワークスタックが非推奨になる
Container Network Interface (CNI) ネットワークスタックは非推奨となり、RHEL の今後のマイナーリリースでは Podman から削除される予定です。以前は、コンテナーは DNS 経由のみで単一の Container Network Interface (CNI) プラグインに接続していました。Podman v.4.0 では、新しい Netavark ネットワークスタックが導入されました。Netavark ネットワークスタックは、Podman およびその他の Open Container Initiative (OCI) コンテナー管理アプリケーションとともに使用できます。Podman 用の Netavark ネットワークスタックは、高度な Docker 機能とも互換性があります。複数のネットワーク内のコンテナーは、それらのネットワークのいずれかにあるコンテナーにアクセスできます。
詳細は、CNI から Netavark へのネットワークスタックの切り替え を参照してください。
Jira:RHELDOCS-16756[1]
Inkscape および LibreOffice Flatpak イメージが非推奨になる
テクノロジープレビューとして利用可能な rhel9/inkscape-flatpak および rhel9/libreoffice-flatpak Flatpak イメージは非推奨になりました。
Red Hat は、これらのイメージに代わる次の代替手段を推奨します。
-
rhel9/inkscape-flatpakを置き換えるには、inkscapeRPM パッケージを使用します。 -
rhel9/libreoffice-flatpakを置き換えるには、LibreOffice 非推奨化に関するリリースノート を参照してください。
Jira:RHELDOCS-17102[1]
ネットワーク名としての pasta が非推奨になる
ネットワーク名の値としての pasta に関するサポートは非推奨になり、Podman の次のメジャーリリースであるバージョン 5.0 では使用できなくなります。pasta というネットワーク名の値は、podman run --network コマンドと podman create --network コマンドを使用して、Podman 内に一意のネットワークモードを作成するために使用できます。
Jira:RHELDOCS-17038[1]
BoltDB データベースバックエンドが非推奨になる
BoltDB データベースバックエンドは、RHEL 9.4 以降では非推奨です。RHEL の今後のバージョンでは、BoltDB データベースバックエンドが削除され、Podman では利用できなくなります。Podman の場合は、RHEL 9.4 以降ではデフォルトとなっている SQLite データベースバックエンドを使用してください。
Jira:RHELDOCS-17495[1]
CNI ネットワークスタックが非推奨になる
Container Network Interface (CNI) ネットワークスタックは非推奨となり、今後のリリースでは削除される予定です。代わりに Netavark ネットワークスタックを使用してください。詳細は、CNI から Netavark へのネットワークスタックの切り替え を参照してください。
Jira:RHELDOCS-17518[1]
Podman v5.0 における今後の非推奨項目
RHEL 9.5 および RHEL 10.0 ベータ版でリリースされる予定の Podman v5.0 では、以下が非推奨になります。
- BoltDB データベースバックエンドは非推奨になります。新しい SQLite データベースバックエンドが利用可能になりました。
-
containers.confファイルは読み取り専用になります。システム接続とファーム情報は、Podman によってのみ管理されるpodman.connections.jsonファイルに保存されます。Podman は、[engine.service_destinations]や[farms]セクションなどの古い設定オプションを引き続きサポートします。必要に応じて手動で接続またはファームを追加することはできますが、podman system connection rmコマンドを使用してcontainers.confファイルから接続を削除することはできません。
RHEL 10.0 ベータ版では以下の変更が予定されています。
-
pastaネットワークモードは、ルートレスコンテナーのデフォルトのネットワークモードになります。slirp4netnsネットワークモードは非推奨となります。 - cgroupv1 は非推奨となります。
- CNI ネットワークスタックは非推奨となります。
Jira:RHELDOCS-17462[1]
rhel9/openssl が非推奨になる
rhel9/openssl コンテナーイメージが非推奨になりました。
Jira:RHELDOCS-18106[1]
ruby-31 コンテナーイメージが非推奨になる
ruby-31 コンテナーイメージが非推奨になり、今後は機能の更新を受けなくなる予定です。代わりに ruby-33 コンテナーイメージを使用してください。
Jira:RHELDOCS-20519
php-81 コンテナーイメージが非推奨になる
php-81 コンテナーイメージが非推奨になり、今後は機能の更新を受けなくなる予定です。代わりに php-83 を使用してください。
Jira:RHELDOCS-20718
7.21. 非推奨のパッケージ
このセクションでは、非推奨となり、将来バージョンの Red Hat Enterprise Linux には含まれない可能性があるパッケージのリストを示します。
RHEL 8 と RHEL 9 との間でパッケージを変更する場合は、RHEL 9 の導入における考慮事項 ドキュメントの パッケージの変更 を参照してください。
非推奨パッケージのサポート状況は、RHEL 9 内でも変更されません。サポート期間の詳細は、Red Hat Enterprise Linux のライフサイクル および Red Hat Enterprise Linux アプリケーションストリームのライフサイクル を参照してください。
次のパッケージは RHEL 9 で非推奨になりました。
- aacraid
- adwaita-gtk2-theme
- af_key
- anaconda-user-help
- aajohan-comfortaa-fonts
- adwaita-gtk2-theme
- adwaita-qt5
- anaconda-user-help
- ant-javamail
- apr-util-bdb
- aspnetcore-runtime-7.0
- aspnetcore-targeting-pack-6.0
- aspnetcore-targeting-pack-7.0
- atkmm
- atlas
- atlas-devel
- atlas-z14
- atlas-z15
- authselect-compat
- autoconf-latest
- autoconf271
- autocorr-af
- autocorr-bg
- autocorr-ca
- autocorr-cs
- autocorr-da
- autocorr-de
- autocorr-dsb
- autocorr-el
- autocorr-en
- autocorr-es
- autocorr-fa
- autocorr-fi
- autocorr-fr
- autocorr-ga
- autocorr-hr
- autocorr-hsb
- autocorr-hu
- autocorr-is
- autocorr-it
- autocorr-ja
- autocorr-ko
- autocorr-lb
- autocorr-lt
- autocorr-mn
- autocorr-nl
- autocorr-pl
- autocorr-pt
- autocorr-ro
- autocorr-ru
- autocorr-sk
- autocorr-sl
- autocorr-sr
- autocorr-sv
- autocorr-tr
- autocorr-vi
- autocorr-vro
- autocorr-zh
- babl
- bacula-client
- bacula-common
- bacula-console
- bacula-director
- bacula-libs
- bacula-libs-sql
- bacula-logwatch
- bacula-storage
- bind9.18-libs
- bitmap-fangsongti-fonts
- bnx2
- bnx2fc
- bnx2i
- bogofilter
- Box2D
- brasero-nautilus
- cairomm
- cheese
- cheese-libs
- clucene-contribs-lib
- clucene-core
- clutter
- clutter-gst3
- clutter-gtk
- cnic
- cockpit-composer
- cogl
- compat-hesiod
- compat-locales-sap
- compat-locales-sap-common
- compat-openssl11
- compat-paratype-pt-sans-fonts-f33-f34
- compat-sap-c++-12
- compat-sap-c++-13
- containernetworking-plugins
- containers-common-extra
- culmus-aharoni-clm-fonts
- culmus-caladings-clm-fonts
- culmus-david-clm-fonts
- culmus-drugulin-clm-fonts
- culmus-ellinia-clm-fonts
- culmus-fonts-common
- culmus-frank-ruehl-clm-fonts
- culmus-hadasim-clm-fonts
- culmus-miriam-clm-fonts
- culmus-miriam-mono-clm-fonts
- culmus-nachlieli-clm-fonts
- culmus-simple-clm-fonts
- culmus-stamashkenaz-clm-fonts
- culmus-stamsefarad-clm-fonts
- culmus-yehuda-clm-fonts
- curl-minimal
- daxio
- dbus-glib
- dbus-glib-devel
- devhelp
- devhelp-libs
- dhcp-client
- dhcp-common
- dhcp-relay
- dhcp-server
- dotnet-apphost-pack-6.0
- dotnet-apphost-pack-7.0
- dotnet-hostfxr-6.0
- dotnet-hostfxr-7.0
- dotnet-runtime-6.0
- dotnet-runtime-7.0
- dotnet-sdk-6.0
- dotnet-sdk-7.0
- dotnet-targeting-pack-6.0
- dotnet-targeting-pack-7.0
- dotnet-templates-6.0
- dotnet-templates-7.0
- double-conversion
- efs-utils
- enchant
- enchant-devel
- eog
- evince
- evince-libs
- evince-nautilus
- evince-previewer
- evince-thumbnailer
- evolution
- evolution-bogofilter
- evolution-data-server-ui
- evolution-data-server-ui-devel
- evolution-devel
- evolution-ews
- evolution-ews-langpacks
- evolution-help
- evolution-langpacks
- evolution-mapi
- evolution-mapi-langpacks
- evolution-pst
- evolution-spamassassin
- festival
- festival-data
- festvox-slt-arctic-hts
- firefox
- firefox
- firefox-x11
- flite
- flite-devel
- fltk
- flute
- firewire-core
- fontawesome-fonts
- gc
- gcr-base
- gdisk
- gedit
- gedit-plugin-bookmarks
- gedit-plugin-bracketcompletion
- gedit-plugin-codecomment
- gedit-plugin-colorpicker
- gedit-plugin-colorschemer
- gedit-plugin-commander
- gedit-plugin-drawspaces
- gedit-plugin-findinfiles
- gedit-plugin-joinlines
- gedit-plugin-multiedit
- gedit-plugin-sessionsaver
- gedit-plugin-smartspaces
- gedit-plugin-synctex
- gedit-plugin-terminal
- gedit-plugin-textsize
- gedit-plugin-translate
- gedit-plugin-wordcompletion
- gedit-plugins
- gedit-plugins-data
- ghc-srpm-macros
- ghostscript-x11
- git-p4
- gl-manpages
- glade
- glade-libs
- glibmm24
- gnome-backgrounds
- gnome-backgrounds-extras
- gnome-common
- gnome-logs
- gnome-photos
- gnome-photos-tests
- gnome-screenshot
- gnome-session-xsession
- gnome-shell-extension-panel-favorites
- gnome-shell-extension-updates-dialog
- gnome-terminal
- gnome-terminal-nautilus
- gnome-themes-extra
- gnome-tweaks
- gnome-video-effects
- google-noto-cjk-fonts-common
- google-noto-sans-cjk-ttc-fonts
- google-noto-sans-khmer-ui-fonts
- google-noto-sans-lao-ui-fonts
- google-noto-sans-thai-ui-fonts
- gspell
- gtksourceview4
- gtk2
- gtk2-devel
- gtk2-devel-docs
- gtk2-immodule-xim
- gtk2-immodules
- gtkmm30
- gtksourceview4
- gubbi-fonts
- gvfs-devel
- ha-openstack-support
- hexchat
- hesiod
- highcontrast-icon-theme
- http-parser
- ibus-gtk2
- initial-setup
- initial-setup-gui
- inkscape
- inkscape-docs
- inkscape-view
- iptables-devel
- iptables-libs
- iptables-nft
- iptables-nft-services
- iptables-utils
- iputils-ninfod
- ipxe-roms
- jakarta-activation2
- java-1.8.0-openjdk
- java-1.8.0-openjdk-demo
- java-1.8.0-openjdk-devel
- java-1.8.0-openjdk-headless
- java-1.8.0-openjdk-javadoc
- java-1.8.0-openjdk-javadoc-zip
- java-1.8.0-openjdk-src
- java-11-openjdk
- java-11-openjdk-demo
- java-11-openjdk-devel
- java-11-openjdk-headless
- java-11-openjdk-javadoc
- java-11-openjdk-javadoc-zip
- java-11-openjdk-jmods
- java-11-openjdk-src
- java-11-openjdk-static-libs
- java-17-openjdk
- java-17-openjdk-demo
- java-17-openjdk-devel
- java-17-openjdk-headless
- java-17-openjdk-javadoc
- java-17-openjdk-javadoc-zip
- java-17-openjdk-jmods
- java-17-openjdk-src
- java-17-openjdk-static-libs
- jboss-jaxrs-2.0-api
- jboss-logging
- jboss-logging-tools
- jdeparser
- jigawatts
- jigawatts-javadoc
- julietaula-montserrat-fonts
- kacst-art-fonts
- kacst-book-fonts
- kacst-decorative-fonts
- kacst-digital-fonts
- kacst-farsi-fonts
- kacst-fonts-common
- kacst-letter-fonts
- kacst-naskh-fonts
- kacst-office-fonts
- kacst-one-fonts
- kacst-pen-fonts
- kacst-poster-fonts
- kacst-qurn-fonts
- kacst-screen-fonts
- kacst-title-fonts
- kacst-titlel-fonts
- khmer-os-battambang-fonts
- khmer-os-bokor-fonts
- khmer-os-content-fonts
- khmer-os-fasthand-fonts
- khmer-os-freehand-fonts
- khmer-os-handwritten-fonts
- khmer-os-metal-chrieng-fonts
- khmer-os-muol-fonts
- khmer-os-muol-fonts-all
- khmer-os-muol-pali-fonts
- khmer-os-siemreap-fonts
- kmod-kvdo
- lasso
- libabw
- libadwaita-qt5
- libbase
- libblockdev-kbd
- libcanberra-gtk2
- libcdio-paranoia
- libcdio-paranoia-devel
- libcdr
- libcmis
- libdazzle
- libdb
- libdb-devel
- libdb-utils
- libdmx
- libepubgen
- libetonyek
- libexttextcat
- libfonts
- libformula
- libfreehand
- libgdata
- libgdata-devel
- libgnomekbd
- libiscsi
- libiscsi-utils
- liblangtag
- liblangtag-data
- liblayout
- libloader
- libmatchbox
- libmspub
- libmwaw
- libnsl2
- libnumbertext
- libodfgen
- liborcus
- libotr
- libpagemaker
- libpmem
- libpmem-debug
- libpmem-devel
- libpmem2
- libpmem2-debug
- libpmem2-devel
- libpmemblk
- libpmemblk-debug
- libpmemblk-devel
- libpmemlog
- libpmemlog-debug
- libpmemlog-devel
- libpmemobj
- libpmemobj++-devel
- libpmemobj++-doc
- libpmemobj-debug
- libpmemobj-devel
- libpmempool
- libpmempool-debug
- libpmempool-devel
- libpng15
- libpst-libs
- libqxp
- LibRaw
- libreoffice
- libreoffice-base
- libreoffice-calc
- libreoffice-core
- libreoffice-data
- libreoffice-draw
- libreoffice-emailmerge
- libreoffice-filters
- libreoffice-gdb-debug-support
- libreoffice-graphicfilter
- libreoffice-gtk3
- libreoffice-help-ar
- libreoffice-help-bg
- libreoffice-help-bn
- libreoffice-help-ca
- libreoffice-help-cs
- libreoffice-help-da
- libreoffice-help-de
- libreoffice-help-dz
- libreoffice-help-el
- libreoffice-help-en
- libreoffice-help-eo
- libreoffice-help-es
- libreoffice-help-et
- libreoffice-help-eu
- libreoffice-help-fi
- libreoffice-help-fr
- libreoffice-help-gl
- libreoffice-help-gu
- libreoffice-help-he
- libreoffice-help-hi
- libreoffice-help-hr
- libreoffice-help-hu
- libreoffice-help-id
- libreoffice-help-it
- libreoffice-help-ja
- libreoffice-help-ko
- libreoffice-help-lt
- libreoffice-help-lv
- libreoffice-help-nb
- libreoffice-help-nl
- libreoffice-help-nn
- libreoffice-help-pl
- libreoffice-help-pt-BR
- libreoffice-help-pt-PT
- libreoffice-help-ro
- libreoffice-help-ru
- libreoffice-help-si
- libreoffice-help-sk
- libreoffice-help-sl
- libreoffice-help-sv
- libreoffice-help-ta
- libreoffice-help-tr
- libreoffice-help-uk
- libreoffice-help-zh-Hans
- libreoffice-help-zh-Hant
- libreoffice-impress
- libreoffice-langpack-af
- libreoffice-langpack-ar
- libreoffice-langpack-as
- libreoffice-langpack-bg
- libreoffice-langpack-bn
- libreoffice-langpack-br
- libreoffice-langpack-ca
- libreoffice-langpack-cs
- libreoffice-langpack-cy
- libreoffice-langpack-da
- libreoffice-langpack-de
- libreoffice-langpack-dz
- libreoffice-langpack-el
- libreoffice-langpack-en
- libreoffice-langpack-eo
- libreoffice-langpack-es
- libreoffice-langpack-et
- libreoffice-langpack-eu
- libreoffice-langpack-fa
- libreoffice-langpack-fi
- libreoffice-langpack-fr
- libreoffice-langpack-fy
- libreoffice-langpack-ga
- libreoffice-langpack-gl
- libreoffice-langpack-gu
- libreoffice-langpack-he
- libreoffice-langpack-hi
- libreoffice-langpack-hr
- libreoffice-langpack-hu
- libreoffice-langpack-id
- libreoffice-langpack-it
- libreoffice-langpack-ja
- libreoffice-langpack-kk
- libreoffice-langpack-kn
- libreoffice-langpack-ko
- libreoffice-langpack-lt
- libreoffice-langpack-lv
- libreoffice-langpack-mai
- libreoffice-langpack-ml
- libreoffice-langpack-mr
- libreoffice-langpack-nb
- libreoffice-langpack-nl
- libreoffice-langpack-nn
- libreoffice-langpack-nr
- libreoffice-langpack-nso
- libreoffice-langpack-or
- libreoffice-langpack-pa
- libreoffice-langpack-pl
- libreoffice-langpack-pt-BR
- libreoffice-langpack-pt-PT
- libreoffice-langpack-ro
- libreoffice-langpack-ru
- libreoffice-langpack-si
- libreoffice-langpack-sk
- libreoffice-langpack-sl
- libreoffice-langpack-sr
- libreoffice-langpack-ss
- libreoffice-langpack-st
- libreoffice-langpack-sv
- libreoffice-langpack-ta
- libreoffice-langpack-te
- libreoffice-langpack-th
- libreoffice-langpack-tn
- libreoffice-langpack-tr
- libreoffice-langpack-ts
- libreoffice-langpack-uk
- libreoffice-langpack-ve
- libreoffice-langpack-xh
- libreoffice-langpack-zh-Hans
- libreoffice-langpack-zh-Hant
- libreoffice-langpack-zu
- libreoffice-math
- libreoffice-ogltrans
- libreoffice-opensymbol-fonts
- libreoffice-pdfimport
- libreoffice-pyuno
- libreoffice-sdk
- libreoffice-sdk-doc
- libreoffice-ure
- libreoffice-ure-common
- libreoffice-voikko
- libreoffice-wiki-publisher
- libreoffice-writer
- libreoffice-x11
- libreoffice-xsltfilter
- libreofficekit
- libreport
- libreport-anaconda
- libreport-cli
- libreport-filesystem
- libreport-gtk
- libreport-plugin-bugzilla
- libreport-plugin-reportuploader
- libreport-rhel-anaconda-bugzilla
- libreport-web
- librepository
- librevenge
- librevenge-gdb
- libserializer
- libsigc++20
- libsigsegv
- libsmbios
- libsoup
- libsoup-devel
- libstaroffice
- libstemmer
- libstoragemgmt-smis-plugin
- libteam
- libuser
- libuser-devel
- libvisio
- libvisual
- libwpd
- libwpe
- libwpe-devel
- libwpg
- libwps
- libxcrypt-compat
- libxklavier
- libXp
- libXp-devel
- libXScrnSaver
- libXScrnSaver-devel
- libXxf86dga
- libXxf86dga-devel
- libzmf
- lklug-fonts
- lohit-gurmukhi-fonts
- lpsolve
- man-pages-overrides
- mcpp
- memkind
- mesa-libGLw
- mesa-libGLw-devel
- mlocate
- mod_auth_mellon
- mod_jk
- mod_security
- mod_security-mlogc
- mod_security_crs
- motif
- motif-devel
- mythes
- mythes-bg
- mythes-ca
- mythes-cs
- mythes-da
- mythes-de
- mythes-el
- mythes-en
- mythes-eo
- mythes-es
- mythes-fr
- mythes-ga
- mythes-hu
- mythes-it
- mythes-lv
- mythes-nb
- mythes-nl
- mythes-nn
- mythes-pl
- mythes-pt
- mythes-ro
- mythes-ru
- mythes-sk
- mythes-sl
- mythes-sv
- mythes-uk
- navilu-fonts
- nbdkit-gzip-filter
- neon
- NetworkManager-initscripts-updown
- nginx
- nginx-all-modules
- nginx-core
- nginx-filesystem
- nginx-mod-devel
- nginx-mod-http-image-filter
- nginx-mod-http-perl
- nginx-mod-http-xslt-filter
- nginx-mod-mail
- nginx-mod-stream
- nispor
- nscd
- nvme-stas
- opal-firmware
- opal-prd
- opal-utils
- openal-soft
- openchange
- openscap-devel
- openscap-python3
- openslp-server
- overpass-fonts
- paktype-naqsh-fonts
- paktype-tehreer-fonts
- pam_ssh_agent_auth
- pangomm
- pentaho-libxml
- pentaho-reporting-flow-engine
- perl-AnyEvent
- perl-B-Hooks-EndOfScope
- perl-Class-Accessor
- perl-Class-Data-Inheritable
- perl-Class-Singleton
- perl-Class-Tiny
- perl-Crypt-OpenSSL-Bignum
- perl-Crypt-OpenSSL-Random
- perl-Crypt-OpenSSL-RSA
- perl-Date-ISO8601
- perl-DateTime
- perl-DateTime-Format-Builder
- perl-DateTime-Format-ISO8601
- perl-DateTime-Format-Strptime
- perl-DateTime-Locale
- perl-DateTime-TimeZone
- perl-DateTime-TimeZone-SystemV
- perl-DateTime-TimeZone-Tzfile
- perl-DB_File
- perl-Devel-CallChecker
- perl-Devel-Caller
- perl-Devel-LexAlias
- perl-Digest-SHA1
- perl-Dist-CheckConflicts
- perl-DynaLoader-Functions
- perl-Encode-Detect
- perl-Eval-Closure
- perl-Exception-Class
- perl-File-chdir
- perl-File-Copy-Recursive
- perl-File-Find-Object
- perl-File-Find-Rule
- perl-HTML-Tree
- perl-Importer
- perl-Mail-AuthenticationResults
- perl-Mail-DKIM
- perl-Mail-Sender
- perl-Mail-SPF
- perl-MIME-Types
- perl-Module-Implementation
- perl-Module-Pluggable
- perl-namespace-autoclean
- perl-namespace-clean
- perl-Net-CIDR-Lite
- perl-Net-DNS
- perl-NetAddr-IP
- perl-Number-Compare
- perl-Package-Stash
- perl-Package-Stash-XS
- perl-PadWalker
- perl-Params-Classify
- perl-Params-Validate
- perl-Params-ValidationCompiler
- perl-Perl-Destruct-Level
- perl-Ref-Util
- perl-Ref-Util-XS
- perl-Scope-Guard
- perl-Specio
- perl-Sub-Identify
- perl-Sub-Info
- perl-Sub-Name
- perl-Switch
- perl-Sys-CPU
- perl-Sys-MemInfo
- perl-Test-LongString
- perl-Test-Taint
- perl-Variable-Magic
- perl-XML-DOM
- perl-XML-RegExp
- perl-XML-Twig
- pinfo
- pki-jackson-annotations
- pki-jackson-core
- pki-jackson-databind
- pki-jackson-jaxrs-json-provider
- pki-jackson-jaxrs-providers
- pki-jackson-module-jaxb-annotations
- pki-resteasy-client
- pki-resteasy-core
- pki-resteasy-jackson2-provider
- pki-resteasy-servlet-initializer
- plymouth-theme-charge
- pmdk-convert
- pmempool
- podman-plugins
- poppler-qt5
- postgresql-test-rpm-macros
- power-profiles-daemon
- pulseaudio-module-x11
- python-botocore
- python-gflags
- python-netifaces
- python-pyroute2
- python-qt5-rpm-macros
- python3-bind
- python3-chardet
- python3-lasso
- python3-libproxy
- python3-libreport
- python3-netifaces
- python3-nispor
- python3-py
- python3-pycdlib
- python3-pycurl
- python3-pyqt5-sip
- python3-pyrsistent
- python3-pysocks
- python3-pytz
- python3-pywbem
- python3-qt5
- python3-qt5-base
- python3-requests+security
- python3-requests+socks
- python3-scour
- python3-toml
- python3-tomli
- python3-tracer
- python3-wx-siplib
- python3.11
- python3.11-cffi
- python3.11-charset-normalizer
- python3.11-cryptography
- python3.11-devel
- python3.11-idna
- python3.11-libs
- python3.11-lxml
- python3.11-mod_wsgi
- python3.11-numpy
- python3.11-numpy-f2py
- python3.11-pip
- python3.11-pip-wheel
- python3.11-ply
- python3.11-psycopg2
- python3.11-pycparser
- python3.11-PyMySQL
- python3.11-PyMySQL+rsa
- python3.11-pysocks
- python3.11-pyyaml
- python3.11-requests
- python3.11-requests+security
- python3.11-requests+socks
- python3.11-scipy
- python3.11-setuptools
- python3.11-setuptools-wheel
- python3.11-six
- python3.11-tkinter
- python3.11-urllib3
- python3.11-wheel
- python3.12-PyMySQL+rsa
- qgnomeplatform
- qla4xxx
- qt5
- qt5-assistant
- qt5-designer
- qt5-devel
- qt5-doctools
- qt5-linguist
- qt5-qdbusviewer
- qt5-qt3d
- qt5-qt3d-devel
- qt5-qt3d-doc
- qt5-qt3d-examples
- qt5-qtbase
- qt5-qtbase-common
- qt5-qtbase-devel
- qt5-qtbase-doc
- qt5-qtbase-examples
- qt5-qtbase-gui
- qt5-qtbase-mysql
- qt5-qtbase-odbc
- qt5-qtbase-postgresql
- qt5-qtbase-private-devel
- qt5-qtbase-static
- qt5-qtconnectivity
- qt5-qtconnectivity-devel
- qt5-qtconnectivity-doc
- qt5-qtconnectivity-examples
- qt5-qtdeclarative
- qt5-qtdeclarative-devel
- qt5-qtdeclarative-doc
- qt5-qtdeclarative-examples
- qt5-qtdeclarative-static
- qt5-qtdoc
- qt5-qtgraphicaleffects
- qt5-qtgraphicaleffects-doc
- qt5-qtimageformats
- qt5-qtimageformats-doc
- qt5-qtlocation
- qt5-qtlocation-devel
- qt5-qtlocation-doc
- qt5-qtlocation-examples
- qt5-qtmultimedia
- qt5-qtmultimedia-devel
- qt5-qtmultimedia-doc
- qt5-qtmultimedia-examples
- qt5-qtquickcontrols
- qt5-qtquickcontrols-doc
- qt5-qtquickcontrols-examples
- qt5-qtquickcontrols2
- qt5-qtquickcontrols2-devel
- qt5-qtquickcontrols2-doc
- qt5-qtquickcontrols2-examples
- qt5-qtscript
- qt5-qtscript-devel
- qt5-qtscript-doc
- qt5-qtscript-examples
- qt5-qtsensors
- qt5-qtsensors-devel
- qt5-qtsensors-doc
- qt5-qtsensors-examples
- qt5-qtserialbus
- qt5-qtserialbus-devel
- qt5-qtserialbus-doc
- qt5-qtserialbus-examples
- qt5-qtserialport
- qt5-qtserialport-devel
- qt5-qtserialport-doc
- qt5-qtserialport-examples
- qt5-qtsvg
- qt5-qtsvg-devel
- qt5-qtsvg-doc
- qt5-qtsvg-examples
- qt5-qttools
- qt5-qttools-common
- qt5-qttools-devel
- qt5-qttools-doc
- qt5-qttools-examples
- qt5-qttools-libs-designer
- qt5-qttools-libs-designercomponents
- qt5-qttools-libs-help
- qt5-qttools-static
- qt5-qttranslations
- qt5-qtwayland
- qt5-qtwayland-devel
- qt5-qtwayland-doc
- qt5-qtwayland-examples
- qt5-qtwebchannel
- qt5-qtwebchannel-devel
- qt5-qtwebchannel-doc
- qt5-qtwebchannel-examples
- qt5-qtwebsockets
- qt5-qtwebsockets-devel
- qt5-qtwebsockets-doc
- qt5-qtwebsockets-examples
- qt5-qtx11extras
- qt5-qtx11extras-devel
- qt5-qtx11extras-doc
- qt5-qtxmlpatterns
- qt5-qtxmlpatterns-devel
- qt5-qtxmlpatterns-doc
- qt5-qtxmlpatterns-examples
- qt5-rpm-macros
- qt5-srpm-macros
- raptor2
- rasqal
- redis
- redis-devel
- redis-doc
- redland
- rpmlint
- runc
- saab-fonts
- sac
- satyr
- scap-workbench
- sendmail
- sendmail-cf
- sendmail-doc
- setxkbmap
- sgabios
- sgabios-bin
- sil-scheherazade-fonts
- spamassassin
- speech-tools-libs
- suitesparse
- sushi
- team
- teamd
- texlive-xdvi
- thai-scalable-fonts-common
- thai-scalable-garuda-fonts
- thai-scalable-kinnari-fonts
- thai-scalable-loma-fonts
- thai-scalable-norasi-fonts
- thai-scalable-purisa-fonts
- thai-scalable-sawasdee-fonts
- thai-scalable-tlwgmono-fonts
- thai-scalable-tlwgtypewriter-fonts
- thai-scalable-tlwgtypist-fonts
- thai-scalable-tlwgtypo-fonts
- thai-scalable-umpush-fonts
- thunderbird
- tigervnc
- tigervnc-icons
- tigervnc-license
- tigervnc-selinux
- tigervnc-server
- tigervnc-server-minimal
- tigervnc-server-module
- totem-pl-parser
- tracer-common
- ucs-miscfixed-fonts
- usb_modeswitch
- usb_modeswitch-data
- usbredir-server
- usermode-gtk
- webkit2gtk3
- webkit2gtk3-devel
- webkit2gtk3-jsc
- webkit2gtk3-jsc-devel
- wpebackend-fdo
- wpebackend-fdo-devel
- xmlrpc-c
- xmlsec1-gcrypt
- xmlsec1-gcrypt-devel
- xmlsec1-gnutls
- xmlsec1-gnutls-devel
- xorg-x11-drivers
- xorg-x11-drv-dummy
- xorg-x11-drv-evdev
- xorg-x11-drv-fbdev
- xorg-x11-drv-libinput
- xorg-x11-drv-v4l
- xorg-x11-drv-vmware
- xorg-x11-drv-wacom
- xorg-x11-drv-wacom-serial-support
- xorg-x11-server-common
- xorg-x11-server-utils
- xorg-x11-server-Xdmx
- xorg-x11-server-Xephyr
- xorg-x11-server-Xnest
- xorg-x11-server-Xorg
- xorg-x11-server-Xvfb
- xorg-x11-utils
- xorg-x11-xbitmaps
- xorg-x11-xinit
- xorg-x11-xinit-session
- xsane
- xsane-common
- xxhash
- xxhash-libs
- yajl
- yelp
- yelp-libs
- yp-tools
- ypbind
- ypserv
- zhongyi-song-fonts
第8章 既知の問題
ここでは、Red Hat Enterprise Linux 9.6 の既知の問題を説明します。
8.1. インストーラーおよびイメージの作成
キックスタートコマンドの auth および authconfig で AppStream リポジトリーが必要になる
インストール中に、キックスタートコマンドの auth および authconfig で authselect-compat パッケージが必要になります。auth または authconfig を使用したときに、このパッケージがないとインストールに失敗します。ただし、設計上、authselect-compat パッケージは AppStream リポジトリーでのみ使用可能です。
回避策: BaseOS リポジトリーおよび AppStream リポジトリーがインストールプログラムで使用できることを確認するか、インストール中にキックスタートコマンドの authselect を使用します。
Jira:RHELPLAN-10061[1]
Anaconda がアプリケーションとして実行されているシステムでの予期しない SELinux ポリシー
Anaconda がすでにインストールされているシステムでアプリケーションとして実行されている場合 (たとえば、–image anaconda オプションを使用してイメージファイルに別のインストールを実行する場合)、システムはインストール中に SELinux のタイプと属性を変更することを禁止されていません。そのため、SELinux ポリシーの特定の要素は、Anaconda が実行されているシステムで変更される可能性があります。
回避策: 実稼働システムでは Anaconda を実行しないでください。代わりに、一時的な仮想マシンで Anaconda を実行して、実稼働システムの SELinux ポリシーを変更しないようにします。boot.iso や dvd.iso からのインストールなど、システムインストールプロセスの一部として anaconda を実行しても、この問題の影響は受けません。
Jira:RHELPLAN-110940[1]
サードパーティーのツールを使用して作成した USB からインストールを起動する際に、Local Media のインストールソースが検出されない
サードパーティーのツールを使用して作成された USB から RHEL インストールを起動すると、インストールプログラムが Local Media インストールソースを検出できません (Red Hat CDN のみが検出されます)。
この問題は、デフォルトの起動オプション int.stage2= が iso9660 イメージ形式の検索を試みるためです。ただし、サードパーティーツールは、別の形式の ISO イメージを作成する可能性があります。
回避策: 以下のソリューションのいずれかを使用します。
-
インストールの起動時に
Tabキーをクリックしてカーネルコマンドラインを編集し、起動オプションinst.stage2=をinst.repo=に変更します。 - Windows で起動可能な USB デバイスを作成するには、Fedora Media Writer を使用します。
- Rufus などのサードパーティーツールを使用して起動可能な USB デバイスを作成する場合は、最初に Linux システムで RHEL ISO イメージを再生成し、サードパーティーのツールを使用して起動可能な USB デバイスを作成します。
指定の回避策を実行する手順の詳細は、Installation media is not auto-detected during the installation of RHEL 8.3 を参照してください。
Jira:RHELPLAN-53644[1]
USB CD-ROM ドライブが Anaconda のインストールソースとして利用できない
USB CD-ROM ドライブがソースで、キックスタート ignoredisk --only-use= コマンドを指定すると、インストールに失敗します。この場合、Anaconda はこのソースディスクを見つけ、使用できません。
回避策: USB CD-ROM ドライブからインストールするには、harddrive --partition=sdX --dir=/ コマンドを使用します。その結果、インストールは失敗しなくなりました。
iso9660 ファイルシステムで、ハードドライブがパーティション設定されたインストールが失敗する
ハードドライブが iso9660 ファイルシステムでパーティションが設定されているシステムには、RHEL をインストールできません。これは、iso9660 ファイルシステムパーティションを含むハードディスクを無視するように設定されている、更新されたインストールコードが原因です。これは、RHEL が DVD を使用せずにインストールされている場合でも発生します。
回避策: インストールを開始する前に、以下のスクリプトをキックスタートファイルに追加して、ディスクをフォーマットします。
メモ: 回避策を実行する前に、ディスクで利用可能なデータのバックアップを作成します。wipefs は、ディスク内の全データをフォーマットします。
%pre
wipefs -a /dev/sda
%endその結果、インストールでエラーが発生することなく、想定どおりに機能します。
Anaconda が管理者ユーザーアカウントの存在の確認に失敗する
グラフィカルユーザーインターフェイスを使用して RHEL をインストールしている場合、Anaconda は管理者アカウントが作成されたかどうかの確認に失敗します。その結果、管理者ユーザーアカウントがなくても、システムをインストールできてしまう可能性があります。
回避策: 管理者ユーザーアカウントを設定するか、root パスワードを設定して root アカウントをロック解除しておいてください。その結果、インストール済みシステムで管理タスクを実行できます。
Jira:RHELPLAN-110191[1]
新しい XFS 機能により、バージョン 5.10 よりも古いファームウェアを持つ PowerNV IBM POWER システムが起動しなくなる
PowerNV IBM POWER システムは、ファームウェアに Linux カーネルを使用し、GRUB の代わりに Petitboot を使用します。これにより、ファームウェアカーネルのマウント /boot が発生し、Petitboot が GRUB 設定を読み取り、RHEL を起動します。
RHEL 9 カーネルでは、XFS ファイルシステムに bigtime=1 機能および inobtcount=1 機能が導入されています。これは、バージョン 5.10 よりも古いファームウェアのカーネルが理解できません。
回避策: たとえば ext4 など、別のファイルシステムを /boot に使用できます。
Jira:RHELPLAN-94811[1]
rpm-ostree ペイロードをインストールすると、RHEL for Edge インストーラーイメージがマウントポイントの作成に失敗する
RHEL for Edge インストーラーイメージなどで使用される rpm-ostree ペイロードをデプロイする場合、インストールプログラムがカスタムパーティションの一部のマウントポイントを適切に作成しません。その結果、次のエラーが発生してインストールが停止します。
The command 'mount --bind /mnt/sysimage/data /mnt/sysroot/data' exited with the code 32.回避策:
- 自動パーティション設定スキームを使用し、手動でマウントポイントを追加しないでください。
-
マウントポイントは、
/varディレクトリー内のみに手動で割り当てます。たとえば、/var/my-mount-pointや、/、/boot、/varなどの標準ディレクトリーです。
その結果、インストールプロセスは正常に終了します。
ネットワークに接続されているが、DHCP または静的 IP アドレスが設定されていない場合、NetworkManager はインストール後に起動に失敗する
RHEL 9.0 以降、特定の ip= またはキックスタートネットワーク設定が設定されていない場合、Anaconda はネットワークデバイスを自動的にアクティブ化します。Anaconda は、イーサネットデバイスごとにデフォルトの永続的な設定ファイルを作成します。接続プロファイルには、ONBOOT と autoconnect の値が true に設定されています。その結果、インストールされたシステムの起動中に、RHEL がネットワークデバイスをアクティブ化し、networkManager-wait-online サービスが失敗します。
回避策: 以下のいずれかを実行します。
使用する 1 つの接続を除いて、
nmcliユーティリティーを使用してすべての接続を削除します。以下に例を示します。すべての接続プロファイルを一覧表示します。
# nmcli connection show不要な接続プロファイルを削除します。
# nmcli connection delete <connection_name><connection_name> を、削除する接続の名前に置き換えます。
特定の
ip=またはキックスタートネットワーク設定が設定されていない場合は、Anaconda の自動接続ネットワーク機能を無効にします。- Anaconda GUI で、Network & Host Name に移動します。
- 無効にするネットワークデバイスを選択します。
- Configure をクリックします。
- General タブで、Connect automatically with priority チェックボックスをオフにします。
- Save をクリックします。
Jira:RHELPLAN-130370[1]
キックスタートインストールでネットワーク接続の設定に失敗する
Anaconda は、NetworkManager API を通じてのみキックスタートネットワーク設定を実行します。Anaconda は、%pre キックスタートセクションの後にネットワーク設定を処理します。その結果、キックスタート %pre セクションの一部のタスクがブロックされます。たとえば、%pre セクションからのパッケージのダウンロードは、ネットワーク設定が利用できないため失敗します。
回避策:
-
たとえば、
%preスクリプトの一部としてnmcliツールを使用して、ネットワークを設定します。 -
インストールプログラムのブートオプションを使用して、
%preスクリプトのネットワークを設定します。
その結果、%pre セクションのタスクにネットワークを使用できるようになり、キックスタートインストールプロセスが完了します。
Jira:RHELPLAN-150080[1]
stig プロファイル修復でビルドされたイメージが FIPS エラーで起動に失敗する
FIPS モードは、RHEL Image Builder ではサポートされていません。xccdf_org.ssgproject.content_profile_stig プロファイル修復でカスタマイズされた RHEL Image Builder を使用すると、システムは次のエラーで起動に失敗します。
Warning: /boot//.vmlinuz-<kernel version>.x86_64.hmac does not exist
FATAL: FIPS integrity test failed
Refusing to continue
/boot ディレクトリーが別のパーティションにあるため、システムイメージのインストール後に fips-mode-setup --enable コマンドを使用して FIPS ポリシーを手動で有効にしても機能しません。FIPS が無効になっている場合、システムは正常に起動します。現在、使用可能な回避策はありません。
イメージのインストール後に、fips-mode-setup --enable コマンドを使用して、FIPS を手動で有効にすることができます。
ドライバーディスクメニューがコンソールでユーザー入力を表示できない
ドライバーディスクを使用して、カーネルコマンドラインで inst.dd オプションを使用して RHEL インストールを開始すると、コンソールにユーザー入力が表示されません。そのため、アプリケーションがユーザー入力に応答せず、応答を停止しているようですが、出力は表示されます。これはユーザーにはわかりにくい動作です。ただし、この動作は機能に影響を与えず、Enter を押すとユーザー入力が登録されます。
回避策: 予想される結果を確認するには、コンソールでユーザー入力が存在しないことを無視し、入力の追加が終了したら Enter を押します。
%packages セクションに systemd サービスファイルを含むパッケージがないため、キックスタートインストールが失敗する
キックスタートファイルで services --enabled=… ディレクティブを使用して systemd サービスを有効にし、指定したサービスファイルを含むパッケージが %packages セクションに含まれていない場合、RHEL のインストールプロセスは次のエラーで失敗します。
Error enabling service <name_of_the_service>
回避策: キックスタートの %packages セクションにサービスファイルを含む特定のパッケージを含めます。こうすることで、インストール中に期待されるサービスが有効になり、RHEL のインストールが完了します。
Jira:RHEL-9633[1]
署名されたコンテナーから ISO を構築できません
GPG または単純な署名付きコンテナーから ISO ディスクイメージをビルドしようとすると、次のようなエラーが発生します。
manifest - failed
Failed
Error: cannot run osbuild: running osbuild failed: exit status 1
2024/04/23 10:56:48 error: cannot run osbuild: running osbuild failed: exit status 1これは、システムがイメージソース署名を取得できないために発生します。
回避策: コンテナーイメージから署名を削除するか、派生コンテナーイメージをビルドします。たとえば、署名を削除するには、次のコマンドを実行します。
$ sudo skopeo copy --remove-signatures containers-storage:registry.redhat.io/rhel9/rhel-bootc:9.4 containers-storage:registry.redhat.io/rhel9/rhel-bootc:9.4
$ sudo podman run \
--rm \
-it \
--privileged \
--pull=newer \
--security-opt label=type:unconfined_t \
-v /var/lib/containers/storage:/var/lib/containers/storage \
-v ~/images/iso:/output \
quay.io/centos-bootc/bootc-image-builder \
--type iso --local \
registry.redhat.io/rhel9/rhel-bootc:9.4派生コンテナーイメージを構築し、それに単純な GPG 署名を追加しないようにするには、コンテナーイメージの署名 の製品ドキュメントを参照してください。
bootc-image-builder はプライベートレジストリーからのイメージの構築をサポートしていません
現在、bootc-image-builder を使用してプライベートレジストリーから取得されるベースディスクイメージを構築することはできません。
回避策: プライベートレジストリーをローカルホストにコピーしてから、以下の引数でイメージをビルドします。
-
--local -
localhost/<image name>:tagas the image
たとえば、イメージをビルドするには、次のようにします。
sudo podman run \
--rm \
-it \
--privileged \
--pull=newer \
--security-opt label=type:unconfined_t \
-v ./config.toml:/config.toml \
-v ./output:/output \
-v /var/lib/containers/storage:/var/lib/containers/storage \
registry.redhat.io/rhel9/bootc-image-builder:latest
--type qcow2 \
--local \
quay.io/<namespace>/<image>:<tag>Jira:RHELDOCS-18720[1]
レスキューモードでの SELinux の自動再ラベル付けにより、再起動ループが発生する可能性がある
rescue モードでファイルシステムにアクセスすると、次回の起動時に SELinux によってファイルシステムの自動再ラベル付けがトリガーされ、これは SELinux が permissive モードで実行されるまで継続されます。その結果、システムは /.autorelabel ファイルを削除できないため、rescue モードを終了した後に再起動の無限ループに陥る可能性があります。
回避策: 次回の起動時にカーネルコマンドラインに enforcing=0 を追加して、permissive モードに切り替えます。システムは予防措置として、rescue モードでファイルシステムにアクセスする際に、この問題が発生する可能性を知らせる警告メッセージを表示します。
暗号化された DNS とブートオプションのカスタム CA でホスト名の解決が失敗する
カーネルコマンドラインで inst.repo= または inst.stage2= ブートオプションを使用し、キックスタートファイルでリモートインストール URL、暗号化された DNS、カスタム CA 証明書を指定すると、インストールプログラムがキックスタートファイルを処理する前に install.img ステージ 2 イメージのダウンロードを試行します。その結果、ホスト名の解決が失敗し、ステージ 2 イメージを正常に取得する前にいくつかのエラーが表示されます。
回避策: カーネルコマンドラインではなく、キックスタートファイルでインストールソースを定義します。
LACP を使用したボンディングデバイスは動作可能になるまでに時間がかかり、サブスクリプション障害が発生する
カーネルのコマンドラインブートオプションとキックスタートファイルの両方を使用して LACP でボンディングデバイスを設定すると、initramfs ステージで接続が作成されますが、Anaconda で再アクティブ化されます。その結果、一時的な中断が発生し、rhsm キックスタートコマンドによるシステムサブスクリプションの失敗につながります。
回避策: ネットワークを稼働状態に保つために、キックスタートネットワーク設定に --no-activate を追加します。その結果、システムサブスクリプションは正常に完了します。
Jira:RHELDOCS-19852[1]
services キックスタートコマンドで firewalld サービスを無効にできない
Anaconda のバグにより、services --disabled=firewalld コマンドを実行しても、キックスタートで firewalld サービスを無効にできません。
回避策: 代わりに、firewall --disabled コマンドを使用します。これにより、firewalld サービスが適切に無効化されます。
'ignoredisk' コマンドが 'iscsi' コマンドの前にある場合、キックスタートのインストールが unknown disk エラーで失敗する
ignoredisk コマンドが iscsi コマンドの前に配置されている場合、キックスタート方式を使用して RHEL をインストールすると失敗します。この問題は、iscsi コマンドがコマンド解析中に指定の iSCSI デバイスを接続する間、ignoredisk コマンドが同時にデバイスの仕様を解決するために発生します。iscsi コマンドによって iSCSI デバイス名が割り当てられる前に ignoredisk コマンドが iSCSI デバイス名を参照すると、インストールが "unknown disk" エラーで失敗します。
回避策: iSCSI ディスクを参照してインストールを正常に実行できるように、キックスタートファイルで iscsi コマンドを ignoredisk コマンドの前に配置してください。
ostreecontainer の使用時に /boot パーティションが作成されていない場合、インストールプログラムが失敗する
ostreecontainer キックスタートコマンドを使用して起動可能なコンテナーをインストールする場合、/boot パーティションが作成されていないとインストールは失敗します。この問題は、インストールプログラムがコンテナーのデプロイを続行するために専用の /boot パーティションを必要とするために発生します。
回避策: /boot パーティションがキックスタートファイルで定義されているか、インストールプロセス中に手動で作成されていることを確認します。
Anaconda は s390x および ppc64le アーキテクチャーでは正しく動作しない可能性がある
Image Mode for RHEL は、すでにサポートされている x86_64 および ARM アーキテクチャーに加えて、pp64le および s390x アーキテクチャーもサポートします。ただし、Anaconda は s390x および ppc64le アーキテクチャーでは正しく機能しない可能性があります。
Jira:RHELDOCS-19496[1]
reboot --kexec コマンドおよび inst.kexec コマンドが、予測可能なシステム状態を提供しない
キックスタートコマンド reboot --kexec またはカーネル起動パラメーター inst.kexec で RHEL インストールを実行しても、システムの状態が完全な再起動と同じになるわけではありません。これにより、システムを再起動せずにインストール済みのシステムに切り替えると、予期しない結果が発生することがあります。
kexec 機能は非推奨になり、Red Hat Enterprise Linux の今後のリリースで削除されることに注意してください。
Jira:RHELDOCS-20471[1]
インストールプロセスが応答しなくなることがある
RHEL をインストールすると、インストールプロセスが応答しなくなることがあります。/tmp/packaging.log ファイルは、最後に以下のメッセージを表示します。
10:20:56,416 DDEBUG dnf: RPM transaction over.回避策: インストールプロセスを再起動します。
Jira:RHELPLAN-118420[1]
8.2. セキュリティー
PKCS #11 トークンが生の RSA または RSA-PSS 署名の作成をサポートしているかどうかを OpenSSL が検出しない
TLS 1.3 プロトコルには、RSA-PSS 署名のサポートが必要です。PKCS #11 トークンが生の RSA または RSA-PSS 署名をサポートしていない場合、キーが PKCS #11 トークンによって保持されている場合、OpenSSL ライブラリーを使用するサーバーアプリケーションは RSA キーを操作できません。これにより、上記のシナリオで TLS 通信に失敗します。
回避策: サーバーおよびクライアントを設定して、利用可能な TLS プロトコルのうち、最も高いバージョンとして TLS 1.2 を使用します。
Jira:RHELPLAN-50959[1]
OpenSSL が、生の RSA または RSA-PSS の署名に対応していない PKCS #11 トークンを誤って処理する
OpenSSL ライブラリーは、PKCS #11 トークンの鍵関連の機能を検出しません。したがって、生の RSA または RSA-PSS の署名に対応しないトークンで署名が作成されると、TLS 接続の確立に失敗します。
回避策: /etc/pki/tls/openssl.cnf ファイルの crypto_policy セクションの末尾にある .include 行の後に以下の行を追加します。
SignatureAlgorithms = RSA+SHA256:RSA+SHA512:RSA+SHA384:ECDSA+SHA256:ECDSA+SHA512:ECDSA+SHA384
MaxProtocol = TLSv1.2これにより、このシナリオで TLS 接続を確立できます。
Jira:RHELPLAN-48241[1]
特定の構文を使用すると、scp は自身にコピーされたファイルを空にする
scp ユーティリティーが Secure copy protocol (SCP) からよりセキュアな SSH ファイル転送プロトコル (SFTP) に変更されました。したがって、ある場所からファイルを同じ場所にコピーすると、ファイルの内容が消去されます。この問題は以下の構文に影響します。
scp localhost:/myfile localhost:/myfile
回避策: この構文を使用して、ソースの場所と同じ宛先にファイルをコピーしないでください。
この問題は、以下の構文に対して修正されました。
-
scp /myfile localhost:/myfile -
scp localhost:~/myfile ~/myfile
Jira:RHELPLAN-113842[1]
OSCAP Anaconda アドオンは、グラフィカルインストールで調整されたプロファイルをフェッチしない
OSCAP Anaconda アドオンには、RHEL グラフィカルインストールでセキュリティープロファイルの調整を選択または選択解除するオプションがありません。RHEL 8.8 以降、アドオンはアーカイブまたは RPM パッケージからインストールするときにデフォルトで調整を考慮しません。その結果、インストールでは、OSCAP に合わせたプロファイルを取得する代わりに、次のエラーメッセージが表示されます。
There was an unexpected problem with the supplied content.
回避策: 以下のように、キックスタートファイルの %addon org_fedora_oscap セクションでパスを指定する必要があります。次に例を示します。
xccdf-path = /usr/share/xml/scap/sc_tailoring/ds-combined.xml
tailoring-path = /usr/share/xml/scap/sc_tailoring/tailoring-xccdf.xmlその結果、OSCAP 調整プロファイルのグラフィカルインストールは、対応するキックスタート仕様のみで使用できます。
Ansible 修復には追加のコレクションが必要
ansible-core パッケージによる Ansible Engine の置き換えにより、RHEL サブスクリプションで提供される Ansible モジュールのリストが削減されました。これにより、scap-security-guide パッケージに含まれる Ansible コンテンツを使用する修復を実行するには、rhc-worker-playbook パッケージからのコレクションが必要です。
Ansible 修復の場合は、以下の手順を実行します。
必要なパッケージをインストールします。
# dnf install -y ansible-core scap-security-guide rhc-worker-playbook/usr/share/scap-security-guide/ansibleディレクトリーに移動します。# cd /usr/share/scap-security-guide/ansible追加の Ansible コレクションへのパスを定義する環境変数を使用して、関連する Ansible Playbook を実行します。
# ANSIBLE_COLLECTIONS_PATH=/usr/share/rhc-worker-playbook/ansible/collections/ansible_collections/ ansible-playbook -c local -i localhost, rhel9-playbook-cis_server_l1.ymlcis_server_l1を、システムを修正するプロファイルの ID に置き換えます。
これにより、Ansible コンテンツは正しく処理されます。
rhc-worker-playbook で提供されるコレクションのサポートは、scap-security-guide から取得する Ansible コンテンツの有効化だけに限定されます。
Keylime は連結された PEM 証明書を受け入れない
Keylime が単一のファイルに連結された PEM 形式の複数の証明書として証明書チェーンを受信すると、keylime-agent-rust Keylime コンポーネントは署名検証中に提供されたすべての証明書を正しく使用せず、TLS ハンドシェイクが失敗します。その結果、クライアントコンポーネント (keylime_verifier および keylime_tenant) は Keylime エージェントに接続できません。
回避策: 複数の証明書の代わりに、1 つの証明書のみを使用します。
Jira:RHELPLAN-157225[1]
Keylime は、ダイジェストがバックスラッシュで始まるランタイムポリシーを拒否する
ランタイムポリシーを生成する現在のスクリプト create_runtime_policy.sh は、SHA チェックサム関数 (sha256sum など) を使用してファイルダイジェストを計算します。ただし、入力ファイル名にバックスラッシュまたは \n が含まれている場合、チェックサム関数は出力のダイジェストの前にバックスラッシュを追加します。このような場合、生成されたポリシーファイルの形式は不正になります。不正な形式のポリシーファイルが提供されると、Keylime テナントは、エラーメッセージ me.tenant - ERROR - Response code 400: Runtime policy is malformatted (または同様のエラーメッセージ) を生成します。
回避策: sed -i 's/^\\//g' <malformed_file_name> コマンドを入力して、不正なポリシーファイルからバックスラッシュを手動で削除します。
Jira:RHEL-11867[1]
Keylime エージェントが更新後に verifier からのリクエストを拒否する
Keylime エージェント (keylime-agent-rust) の API バージョン番号が更新されると、エージェントは別のバージョンを使用するリクエストを拒否します。その結果、Keylime エージェントが verifier に追加されて更新されると、verifier は古い API バージョンを使用してエージェントに接続しようとします。エージェントはこのリクエストを拒否し、認証に失敗します。
回避策: エージェント (keylime-agent-rust) を更新する前に verifier (keylime-verifier) を更新します。その結果、エージェントが更新されると、verifier は API の変更を検出し、それに応じて保存されているデータを更新します。
Jira:RHEL-1518[1]
trustdb にファイルが見つからないため、fapolicyd が拒否される
fapolicyd が Ansible DISA STIG プロファイルとともにインストールされると、競合状態により trustdb データベースが rpmdb データベースと同期しなくなります。その結果、trustdb 内のファイルが見つからないと、システムで拒否が発生します。
回避策: fapolicyd を再起動するか、Ansible DISA STIG プロファイルを再度実行します。
Jira:RHEL-24345[1]
fapolicyd ユーティリティーは、変更されたファイルの実行を誤って許可する
正しくは、ファイルの IMA ハッシュはファイルに変更が加えられた後に更新され、fapolicyd は変更されたファイルの実行を阻止する必要があります。ただし、IMA ポリシーのセットアップと evctml ユーティリティーによるファイルハッシュの違いにより、これは起こりません。その結果、変更されたファイルの拡張属性で IMA ハッシュは更新されません。その結果、fapolicyd は、変更されたファイルの実行を誤って許可します。
Jira:RHEL-520[1]
OpenSSL で X.509 v1 証明書を作成できなくなる
RHEL 9.5 で導入された OpenSSL TLS ツールキット 3.2.1 では、openssl CA ツールを使用して X.509 バージョン 1 形式の証明書を作成できなくなりました。X.509 v1 形式は現在の Web 要件を満たしていません。
OpenSSH は認証前にタイムアウトを記録しなくなる
OpenSSH は、$IP port $PORT の認証前のタイムアウトをログに記録しません。Fail2Ban 侵入防止デーモンや同様のシステムが、これらのログ記録を mdre-ddos 正規表現で使用し、このタイプの攻撃を試みるクライアントの IP を禁止しなくなったため、これは重要かもしれません。現在、この問題に対する既知の回避策はありません。
デフォルトの SELinux ポリシーにより、制限のない実行ファイルがスタックを実行可能にする
SELinux ポリシーの selinuxuser_execstack ブール値のデフォルトの状態は on です。これは、制限のない実行ファイルがスタックを実行可能にすることを意味します。実行可能ファイルはこのオプションを使用しないでください。また、ハードコーディングされていない実行ファイルや攻撃の可能性を示している可能性があります。ただし、他のツール、パッケージ、およびサードパーティー製品との互換性のため、Red Hat はデフォルトポリシーのブール値を変更できません。シナリオがそのような互換性の側面に依存しない場合は、コマンド setsebool -P selinuxuser_execstack off を入力して、ローカルポリシーでブール値をオフにすることができます。
Jira:RHELPLAN-115609[1]
STIG プロファイルの SSH タイムアウトルールが誤ったオプションを設定する
OpenSSH の更新は、次の米国国防情報システム局のセキュリティー技術実装ガイド (DISA STIG) プロファイルのルールに影響を与えました。
-
RHEL 9 用 DISA STIG (
xccdf_org.ssgproject.content_profile_stig) -
RHEL 9 用、GUI の DISA STIG (
xccdf_org.ssgproject.content_profile_stig_gui)
これらの各プロファイルでは、次の 2 つのルールが影響を受けます。
Title: Set SSH Client Alive Count Max to zero
CCE Identifier: CCE-90271-8
Rule ID: xccdf_org.ssgproject.content_rule_sshd_set_keepalive_0
Title: Set SSH Idle Timeout Interval
CCE Identifier: CCE-90811-1
Rule ID: xccdf_org.ssgproject.content_rule_sshd_set_idle_timeout
SSH サーバーに適用すると、これらの各ルールは、以前のように動作しなくなったオプション (ClientAliveCountMax および ClientAliveInterval) を設定します。その結果、OpenSSH は、これらのルールで設定されたタイムアウトに達したときに、アイドル状態の SSH ユーザーを切断しなくなりました。
回避策: 解決策が開発されるまで、これらのルールは、DISA STIG for RHEL 9 および DISA STIG with GUI for RHEL 9 プロファイルから一時的に削除されました。
Jira:RHELPLAN-107318[1]
GnuPG は、crypto-policies によって許可されていない場合でも、SHA-1 署名の使用を誤って許可します
GNU Privacy Guard (GnuPG) 暗号化ソフトウェアは、システム全体の暗号化ポリシーで定義されている設定に関係なく、SHA-1 アルゴリズムを使用する署名を作成および検証できます。したがって、DEFAULT の暗号化ポリシーで暗号化の目的で SHA-1 を使用できます。これは、署名に対するこのセキュアではないアルゴリズムのシステム全体での非推奨とは一致しません。
回避策: SHA-1 を含む GnuPG オプションを使用しないでください。これにより、セキュアでない SHA-1 署名を使用して GnuPG がデフォルトのシステムセキュリティーを下げるのを防ぎます。
Jira:RHELPLAN-117566[1]
OpenSCAP のメモリー消費の問題
メモリーが限られているシステムでは、OpenSCAP スキャナが途中で停止するか、結果ファイルが生成されない可能性があります。この問題を回避するには、スキャンプロファイルをカスタマイズして、/ ファイルシステム全体の再帰を含むルールの選択を解除します。
-
rpm_verify_hashes -
rpm_verify_permissions -
rpm_verify_ownership -
file_permissions_unauthorized_world_writable -
no_files_unowned_by_user -
dir_perms_world_writable_system_owned -
file_permissions_unauthorized_suid -
file_permissions_unauthorized_sgid -
file_permissions_ungroupowned -
dir_perms_world_writable_sticky_bits
回避策: 関連する ナレッジベースのアーティクル記事 を参照してください。
Jira:RHELPLAN-145263[1]
キックスタートインストール時のサービス関連ルールの修正が失敗する場合がある
キックスタートインストール時に、OpenSCAP ユーティリティーで、サービスの enable または disable 状態の修正は不要であると誤って表示されることがあります。その結果、OpenSCAP によって、インストール済みシステム上のサービスが非準拠状態に設定される可能性があります。
回避策: キックスタートインストール後にシステムをスキャンして修復できます。これにより、サービス関連の問題が修正されます。
Jira:RHELPLAN-44202[1]
CNSA 1.0 により FIPS:OSPP ホストの相互運用性が影響を受ける
OSPP サブポリシーは、Commercial National Security Algorithm (CNSA) 1.0 に準拠しています。これは、FIPS:OSPP ポリシーとサブポリシーの組み合わせを使用するホストの相互運用性に影響します。主に影響を受ける点は次のとおりです。
- RSA キーの最小サイズは 3072 ビットとすることが必要です。
- アルゴリズムネゴシエーションでは、AES-128 暗号、secp256r1 Elliptic Curve、および FFDHE-2048 グループがサポートされなくなりました。
Jira:RHEL-2735[1]
SELinux ポリシーにルールがないため、SQL データベースへの権限がブロックされる
SELinux ポリシーの権限ルールが欠落していると、SQL データベースへの接続がブロックされます。その結果、FIDO Device Onboard (FDO) サービスの fdo-manufacturing-server.service、fdo-owner-onboarding-server.service、および fdo-rendezvous-server.service が、PostgreSQL や SQLite などの FDO データベースに接続できません。したがって、システムは、所有権バウチャーの保存などの認証情報やその他のパラメーターにサポートされているデータベースを使用して FDO を起動することができません。
回避策: 次の手順を実行します。
local_fdo_update.cilという名前の新しいファイルを作成し、欠落している SELinux ポリシールールを入力します。(allow fdo_t etc_t (file (write))) (allow fdo_t fdo_conf_t (file (append create rename setattr unlink write ))) (allow fdo_t fdo_var_lib_t (dir (add_name remove_name write ))) (allow fdo_t fdo_var_lib_t (file (create setattr unlink write ))) (allow fdo_t krb5_keytab_t (dir (search))) (allow fdo_t postgresql_port_t (tcp_socket (name_connect))) (allow fdo_t sssd_t (unix_stream_socket (connectto))) (allow fdo_t sssd_var_run_t (sock_file (write)))ポリシーモジュールパッケージをインストールします。
# semodule -i local_fdo_update.cil
これにより、FDO が PostgreSQL データベースに接続できるようになります。また、SQLite データベースファイルの想定される配置先である /var/lib/fdo/ の SQLite 権限に関連する問題も修正されます。
Extended Master Secret TLS エクステンションが FIPS 対応システムに適用されるようになりました。
RHSA-2023:3722 アドバイザリーのリリースにより、FIPS 対応 RHEL 9 システム上の TLS 1.2 接続に、TLS Extended Master Secret (EMS) エクステンション (RFC 7627) エクステンションが必須になりました。これは FIPS-140-3 要件に準拠しています。TLS 1.3 は影響を受けません。
EMS または TLS 1.3 をサポートしていないレガシークライアントは、RHEL 9 で実行されている FIPS サーバーに接続できなくなりました。同様に、FIPS モードの RHEL 9 クライアントは、EMS なしでは TLS 1.2 のみをサポートするサーバーに接続できません。これは実際には、これらのクライアントが RHEL 6、RHEL 7、および RHEL 以外のレガシーオペレーティングシステム上のサーバーに接続できないことを意味します。これは、OpenSSL のレガシー 1.0.x バージョンが EMS または TLS 1.3 をサポートしていないためです。
さらに、ハイパーバイザーが EMS なしで TLS 1.2 を使用する場合は、FIPS 対応 RHEL クライアントから VMWare ESX などのハイパーバイザーへの接続が Provider routines::ems not enabled エラーで失敗するようになりました。この問題を回避するには、EMS 拡張で TLS 1.3 または TLS 1.2 をサポートするようにハイパーバイザーを更新します。VMWare vSphere の場合、これはバージョン 8.0 以降を意味します。
詳細は、TLS Extension "Extended Master Secret" enforced with Red Hat Enterprise Linux 9.2 and later を参照してください。
8.3. ソフトウェア管理
ローカルリポジトリーで createrepo_c を実行すると、重複した repodata ファイルが生成される
ローカルリポジトリーで createrepo_c コマンドを実行すると、repodata ファイルの重複コピーが生成されます。コピーの 1 つは圧縮されており、もう 1 つは圧縮されていません。
回避策: 回避策はありませんが、重複したファイルは無視しても問題ありません。createrepo_c コマンドは、createrepo_c を使用して作成されたリポジトリーに依存する要件と他のツールの違いにより、重複したコピーを生成します。
Jira:RHELPLAN-112860[1]
アップグレードによってアーキテクチャーを変更するパッケージのセキュリティー DNF アップグレードが失敗する
RHBA-2022:8295 アドバイザリーでリリースされた BZ#2108969 のパッチでは、次のリグレッションが導入されました。セキュリティフィルターを使用した DNF アップグレードは、アップグレードによってアーキテクチャが noarch に (逆もまた然り) 変更されたパッケージでは失敗します。その結果、システムが脆弱な状態になる可能性があります。
この問題を回避するには、セキュリティーフィルターを使用せずに通常のアップグレードを実行します。
Jira:RHELPLAN-128381[1]
8.4. シェルおよびコマンドラインツール
ifcfg ファイルを使用してネットワークインターフェイスの名前を変更すると失敗する
RHEL 9 では、initscripts はデフォルトでインストールされません。そのため、ifcfg ファイルを使用してネットワークインターフェイスの名前を変更すると失敗します。
回避策: この問題を解決するには、Red Hat では udev ルールを使用するか、ファイルをリンクしてインターフェイスの名前を変更することを推奨しています。詳細は、一貫したネットワークインターフェイスデバイスの命名 および systemd.link(5) の man ページを参照してください。
推奨される方法のいずれも使用できない場合は、initscripts パッケージをインストールします。
Jira:RHELPLAN-100926[1]
RHEL 9 では、chkconfig パッケージがデフォルトでインストールされない
システムサービス用のランレベル情報を更新およびクエリーする chkconfig パッケージは、RHEL 9 ではデフォルトでインストールされません。
サービスを管理するには、systemctl コマンドを使用するか、chkconfig パッケージを手動でインストールします。
systemd の詳細は、systemd の概要 を参照してください。systemctl ユーティリティーの使用方法は、systemctl を使用したシステムサービスの管理 を参照してください。
Jira:RHELPLAN-112043[1]
コンソール keymap を設定するには、最小限のインストールで libxkbcommon ライブラリーが必要である
RHEL 9 では、特定の systemd ライブラリーの依存関係が動的リンクから動的ロードに変換され、システムが実行時にライブラリーを開いて使用できるようになりました。今回の変更により、必要なライブラリーをインストールしない限り、このようなライブラリーに依存する機能は使用できなくなります。これは、最小限のインストール設定を使用するシステムにおけるキーボードレイアウトの設定にも影響します。その結果、localectl --no-convert set-x11-keymap gb コマンドに失敗します。
回避策: libxkbcommon ライブラリーをインストールします。
# dnf install libxkbcommonsysstat パッケージの %vmeff メトリックに誤った値が表示される
sysstat パッケージは、ページ再利用効率を測定するための %vmeff メトリックを提供します。sysstat は、新しいカーネルバージョンで提供されるすべての関連する /proc/vmstat 値を解析しないため、sar -B コマンドによって返される %vmeff 列の値は正しくありません。
回避策: /proc/vmstat ファイルから %vmeff 値を手動で計算できます。詳細は、Why the sar(1) tool reports %vmeff values beyond 100 % in RHEL 8 and RHEL 9? を参照してください。
Service Location Protocol (SLP) は UDP を介した攻撃に対して脆弱である
OpenSLP は、プリンターやファイルサーバーなどのローカルエリアネットワーク内のアプリケーションに動的設定メカニズムを提供します。ただし、SLP は、インターネットに接続されたシステムで UDP を介した反射型/増幅型サービス拒否攻撃に対して脆弱です。SLP を使用すると、認証されていない攻撃者は、SLP 実装によって設定された制限なしで新しいサービスを登録できます。攻撃者は UDP を使用し、送信元アドレスをスプーフィングすることで、サービス一覧を要求し、スプーフィングされたアドレスにサービス拒否を作成できます。
外部の攻撃者が SLP サービスにアクセスできないようにするには、インターネットに直接接続されているなど、信頼できないネットワークで実行されているすべてのシステムで SLP を無効にします。
回避策: UDP および TCP ポート 427 でトラフィックをブロックまたはフィルタリングするようにファイアウォールを設定します。
Jira:RHEL-6995[1]
セキュアブートが有効になっている UEFI システム上の ReaR レスキューイメージは、デフォルト設定では起動に失敗する
rear mkrescue または rear mkbackup コマンドを使用した ReaR イメージの作成が失敗し、次のメッセージが表示されます。
grub2-mkstandalone might fail to make a bootable EFI image of GRUB2 (no /usr/*/grub*/x86_64-efi/moddep.lst file)
(...)
grub2-mkstandalone: error: /usr/lib/grub/x86_64-efi/modinfo.sh doesn't exist. Please specify --target or --directory.
不足しているファイルは、grub2-efi-x64-modules パッケージの一部です。このパッケージをインストールすると、エラーなしでレスキューイメージが正常に作成されます。UEFI セキュアブートが有効になっている場合は、レスキューイメージは署名されていないブートローダーを使用するため起動できません。
回避策: 次の変数を /etc/rear/local.conf または /etc/rear/site.conf ReaR 設定ファイルに追加します。
UEFI_BOOTLOADER=/boot/efi/EFI/redhat/grubx64.efi
SECURE_BOOT_BOOTLOADER=/boot/efi/EFI/redhat/shimx64.efi
提案された回避策を使用すると、grub2-efi-x64-modules パッケージのないシステムでもイメージを正常に生成でき、セキュアブートが有効になっているシステムで起動できるようになります。さらに、システムのリカバリー中に、リカバリーされたシステムのブートローダーは EFI shim ブートローダーに設定されます。
UEFI、セキュアブート、shim ブートローダー の詳細は、ナレッジベースの記事 UEFI: what happens when booting the system を参照してください。
Jira:RHELDOCS-18064[1]
sar および iostat ユーティリティーによって生成された %util 列が無効
sar または iostat ユーティリティーを使用してシステム使用状況の統計情報を収集する場合、sar または iostat によって生成された %util 列に無効なデータが含まれることがあります。
Jira:RHEL-26275[1]
lsb-release バイナリーは RHEL 9 では利用できない
/etc/os-release の情報は、以前は lsb-release バイナリーを呼び出すことで入手できました。このバイナリーは redhat-lsb package に含まれていましたが、このパッケージは RHEL 9 では削除されました。現在は、/etc/os-release ファイルを読み取ることで、オペレーティングシステムに関する情報 (ディストリビューション、バージョン、コード名、関連するメタデータなど) を表示できるようになりました。このファイルは Red Hat が提供しており、このファイルに対する変更は redhat-release パッケージを更新するたびに上書きされます。ファイルの形式は KEY=VALUE であり、シェルスクリプトのデータを安全に取得できます。
Jira:RHELDOCS-16427[1]
Accelerated Networking が有効な Azure 仮想マシンで NetworkManager-wait-online.service が起動に失敗する
Accelerated Networking 機能 (Single Root Input Output Virtualization (SR-IOV) とも呼ばれる) を使用して Azure プラットフォームの Red Hat Enterprise Linux 仮想マシンを起動すると、複数のネットワークインターフェイスカードが同じ MAC アドレスを持つ場合があります。その結果、仮想マシンが DHCP サーバーから IP アドレスを取得できず、ブート時に NetworkManager-wait-online.service の起動が失敗する場合があります。
回避策: 既存のデバイスが既存のデバイス名に名前を変更しないように、initscripts-rename-device パッケージをインストールしないでください。
Jira:RHEL-79783[1]
8.5. インフラストラクチャーサービス
DBD::MySQL ドライバーは、caching_sha2_password が有効になっている MySQL 8 サーバーへの TLS 暗号化接続を確立できない場合があります。
perl-DBD-MySQL パッケージが libmariadb ライブラリーに誤ってリンクされています。そのため、次の条件がすべて満たされた場合、Perl アプリケーションは接続を確立できません。
- アプリケーションが MySQL 8 サーバーに接続している。
-
MySQL サーバー設定で
caching_sha2_passwordオプションが有効になっている。 -
接続で
DBI→connect with mysql_ssl=1オプションが使用されている。
回避策: Red Hat ナレッジベースで こちらのソリューション記事 を参照してください。
bind および unbound の両方が SHA-1- ベースの署名の検証を無効化する
bind および unbound コンポーネントは、すべての RSA/SHA1 (アルゴリズム番号 5) および RSASHA1-NSEC3-SHA1 (アルゴリズム番号 7) 署名の検証サポートを無効にし、署名の SHA-1 使用は DEFAULT システム全体の暗号化ポリシーで制限されます。
その結果、SHA-1、RSA/SHA1、および RSASHA1-NSEC3-SHA1 ダイジェストアルゴリズムで署名された特定の DNSSEC レコードは、Red Hat Enterprise Linux 9 で検証できず、影響を受けるドメイン名が脆弱になります。
この問題を回避するには、RSA/SHA-256 や Elliptic Curve キーなどの別の署名アルゴリズムにアップグレードします。
影響を受け脆弱なトップレベルドメインの詳細とリストは、RSASHA1 で署名された DNSSEC レコードがソリューションを検証できない を参照してください。
Jira:RHELPLAN-117492[1]
同じ書き込み可能ゾーンファイルが複数のゾーンで使用されていると、named が起動しない
BIND では、複数のゾーンに同じ書き込み可能ゾーンファイルを使用することができません。そのため、named で変更可能なファイルへのパスを共有するゾーンが複数存在すると、named が起動できなくなります。
回避策: in-view 句を使用して、複数のビュー間で 1 つのゾーンを共有し、異なるゾーンに異なるパスを使用するようにします。たとえば、パスにビュー名を含めます。
書き込み可能なゾーンファイルは通常、動的更新が許可されたゾーン、セカンダリーゾーン、または DNSSEC が管理するゾーンで使用されることに注意してください。
Jira:RHELPLAN-90604[1]
libotr は FIPS に準拠していない
libotr ライブラリーとオフザレコード (OTR) メッセージング用のツールキットは、インスタントメッセージングの会話にエンドツーエンドの暗号化を提供します。ただし、libotr ライブラリーは gcry_pk_sign() および gcry_pk_verify() 関数を使用しているため、連邦情報処理標準 (FIPS) に準拠していません。その結果、FIPS モードでは libotr ライブラリーを使用できません。
Jira:RHELPLAN-122108[1]
MariaDB および MySQL に不適切な Perl データベースドライバーを使用すると、予期しない結果が生じる可能性がある
MariaDB データベースは MySQL のフォークです。時間が経つにつれて、これらのサービスは独立して開発され、完全な互換性がなくなりました。これらの違いは Perl データベースドライバーにも影響します。したがって、Perl アプリケーションで DBD::mysql ドライバーを使用して MariaDB データベースに接続したり、DBD::MariaDB ドライバーを使用して MySQL データベースに接続したりすると、操作によって予期しない結果が生じる可能性があります。たとえば、ドライバーは読み取り操作から誤ったデータを返す可能性があります。このような問題を回避するには、データベースサービスに一致する Perl ドライバーをアプリケーションで使用します。
Red Hat は次のシナリオのみをサポートします。
-
MariaDB データベースと Perl
DBD::MariaDBドライバー -
MySQL データベースと Perl
DBD::mysqlドライバー
RHEL 8 には DBD::mysql ドライバーのみが含まれていることに注意してください。RHEL 9 にアップグレードしてから RHEL 10 にアップグレードする予定があり、アプリケーションで MariaDB データベースを使用している場合は、アップグレード後に perl-DBD-MariaDB パッケージをインストールし、DBD::MariaDB ドライバーを使用するようにアプリケーションを変更します。
詳細は、Red Hat ナレッジベースのソリューション記事 Support of MariaDB/MySQL cross-database connection from Perl db drivers を参照してください。
Jira:RHELDOCS-19728[1]
VMware vCenter は実行中の RHEL 仮想マシンから SATA ディスクを正しく削除できない
VMware vCenter インターフェイスを使用して、VMware ESXi ハイパーバイザー上で実行中の RHEL 9 ゲストから SATA ディスクを削除すると、現在、ディスクは完全には削除されません。ディスクは機能しなくなり、vCenter インターフェイスのゲストからは消えますが、SCSI インターフェイスでは、ディスクがゲストにアタッチされていることが引き続き検出されます。
Jira:RHEL-79914[1]
8.6. ネットワーク
kTLS は、TLS 1.3 の NIC へのオフロードをサポートしない
Kernel Transport Layer Security (kTLS) は、TLS 1.3 の NIC へのオフロードをサポートしていません。そのため、NIC が TLS オフロードをサポートしていても、TLS 1.3 によるソフトウェア暗号化が使用されます。
回避策: オフロードが必要な場合は TLS 1.3 を無効にします。その結果、TLS 1.2 のみをオフロードすることができます。TLS 1.3 が使用されている場合、TLS 1.3 をオフロードすることができないため、パフォーマンスが低下します。
Jira:RHELPLAN-96004[1]
セッションキーの更新に失敗すると、接続が切断される
Kernel Transport Layer Security (kTLS) プロトコルは、対称暗号で使用されるセッションキーの更新をサポートしていません。その結果、ユーザーはキーを更新することができず、接続が切断されてしまいます。
回避策: kTLS を無効にします。その結果、この回避策により、セッションキーを正常に更新できます。
Jira:RHELPLAN-99859[1]
実行時に SR-IOV VF の数を減らすと、カーネルがパニックを起こす可能性がある
次のすべての条件が当てはまる場合、Linux カーネルがパニックを起こす可能性があります。
- ホストの Input-Output Memory Management Unit (IOMMU) が有効化されている。
- ネットワークドライバーがページプールを使用している。
- このドライバーを使用するネットワークインターフェイスの Single Root I/O Virtualization (SR-IOV) Virtual Function (VF) の数を減らしている。
回避策: 実行時に VF の数を減らさないでください。マシンを再起動して、すべてのインターフェイスの VF の数を 0 にリセットします。その後、VF の数を増やしてもカーネルパニックは発生しないため、新しい VF の数を設定できます。
Jira:RHEL-76845[1]
initscripts パッケージがデフォルトでインストールされない
デフォルトでは、initscripts パッケージはインストールされません。これにより、ifup ユーティリティーおよび ifdown ユーティリティーが利用できません。
回避策: 別の方法として、nmcli connection up コマンドおよび nmcli connection down コマンドを使用して、接続を有効および無効にします。提案された代替案がうまくいかない場合は、問題を報告し、NetworkManager-initscripts-updown パッケージをインストールしてください。これは、ifup および ifdown ユーティリティー用の NetworkManager ソリューションを提供します。
Jira:RHELPLAN-121205[1]
iwl7260-firmware は、Intel Wi-Fi 6 AX200、AX210、および Lenovo ThinkPad P1 Gen 4 で Wi-Fi の問題を引き起こす
iwl7260-firmware または iwl7260-wifi ドライバーを RHEL 9.1 以降に提供されるバージョンに更新すると、ハードウェアが誤った状態になり、そのステータスを誤って報告する可能性があります。その結果、Intel Wi-Fi 6 カードが正常に機能しなくなり、次のエラーメッセージが表示される場合があります。
kernel: iwlwifi 0000:09:00.0: Failed to start RT ucode: -110
kernel: iwlwifi 0000:09:00.0: WRT: Collecting data: ini trigger 13 fired (delay=0ms)
kernel: iwlwifi 0000:09:00.0: Failed to run INIT ucode: -110回避策: 未確認ですが、システムの電源を完全に切ってから再度電源を入れることで回避できる可能性があります。再起動は行わないでください。
Jira:RHELPLAN-134771[1]
PF リセット中の DPLL 安定性の問題
Digital Phase-Locked Loop (DPLL) システムでは、初期化されていないミューテックスの使用や、特に Physical Function (PF) リセット中のピン位相調整の誤った処理など、いくつかの問題が発生しました。これらの問題により、DPLL とピン設定の管理が不安定になり、データ状態が一貫しなくなったり、接続の誤管理が発生したりしました。
回避策: この問題を解決するために、ミューテックスが適切に初期化され、PF リセット中にピン位相調整、DPLL データ、および接続状態を更新するメカニズムが修正されました。その結果、DPLL システムは正確な位相調整と一貫した接続状態によりリセット時に確実に動作するようになり、クロック同期の全体的な安定性が向上しました。
Jira:RHEL-36283[1]
キーファイル形式の NetworkManager プロファイルのデフォルトゲートウェイを解析すると失敗することがある
RHEL 9.6 以降、NetworkManager は、新しいプロファイルを作成するか、キーファイル形式の既存のプロファイルを変更すると、gateway パラメーターにデフォルトゲートウェイを格納します。以下に例を示します。
[ipv4]
address1=192.0.2.1/24
gateway=192.0.2.254
...
[ipv6]
address1=2001:db8:1::fffe/64
gateway=2001:db8:1::fffe
...
RHEL 9.5 以前のバージョンでは、デフォルトゲートウェイは address1 パラメーターに割り当てられていました。次に例を示します。
[ipv4]
address1=192.0.2.1/24,192.0.2.254
...
[ipv6]
address1=2001:db8:1::fffe/64,2001:db8:1::fffe
...その結果、アプリケーションがキーファイルを解析すると、デフォルトゲートウェイが返されなくなる可能性があります。この問題を解決するには、両方の形式をサポートするようにアプリケーションを変更します。
Jira:RHEL-71153[1]
8.7. カーネル
カーネルページサイズに依存する顧客アプリケーションは、ページサイズカーネルを 4k から 64k に移行するときに更新が必要になる場合がある
RHEL は、4k と 64k の両方のページサイズのカーネルと互換性があります。4K カーネルページサイズに依存する顧客アプリケーションは、4K から 64K ページサイズカーネルに移行するときに更新が必要になる場合があります。この既知の例には、jemalloc および依存アプリケーションが含まれます。
jemalloc メモリーアロケータライブラリーは、システムのランタイム環境で使用されるページサイズの影響を受けます。このライブラリーは、たとえば、--with-lg-page=16 または env JEMALLOC_SYS_WITH_LG_PAGE=16 (jemallocator Rust クレートの場合) で設定されている場合、4k および 64k ページサイズのカーネルと互換性があるように構築できます。その結果、ランタイム環境のページサイズと、jemalloc に依存するバイナリーのコンパイル時に存在したページサイズとの間に不一致が発生する可能性があります。その結果、jemalloc ベースのアプリケーションを使用すると、次のエラーが発生します。
<jemalloc>: Unsupported system page size回避策: この問題を回避するには、以下のいずれかの方法を使用します。
- 適切なビルド設定または環境オプションを使用して、4k および 64k ページサイズと互換性のあるバイナリーを作成します。
-
最終的な 64k カーネルおよびランタイム環境で起動した後、
jemallocを使用するユーザー空間パッケージをビルドします。
たとえば、同じく jemalloc を使用する fd-find ツールを、cargo Rust パッケージマネージャーを使用して構築できます。最後の 64k 環境では、cargo コマンドを入力して、すべての依存関係の新しいビルドをトリガーし、ページサイズの不一致を解決します。
# cargo install fd-find --forceJira:RHELPLAN-147783[1]
dnf を使用して最新のリアルタイムカーネルにアップグレードしても、複数のカーネルバージョンは並行してインストールされない
dnf パッケージマネージャーを使用して最新のリアルタイムカーネルをインストールするには、パッケージの依存関係を解決して、新しいカーネルバージョンと現在のカーネルバージョンを同時に保持する必要があります。デフォルトでは、dnf は、アップグレード中に古い kernel-rt パッケージを削除します。
回避策: 現在の kernel-rt パッケージを /etc/yum.conf 設定ファイルの installonlypkgs オプションに追加します (例: installonlypkgs=kernel-rt)。
installonlypkgs オプションは、dnf で使用されるデフォルトのリストに kernel-rt を追加します。installonlypkgs ディレクティブにリストされているパッケージは自動的には削除されないため、複数のカーネルバージョンの同時インストールがサポートされます。
複数のカーネルをインストールすると、新しいカーネルバージョンを使用するときにフォールバックオプションを使用できるようになります。
Jira:RHELPLAN-153123[1]
デフォルトでは、Delay Accounting 機能は SWAPIN および IO% 統計列を表示しない
初期のバージョンとは異なり、Delayed Accounting 機能はデフォルトで無効になっています。その結果、iotop アプリケーションは SWAPIN および IO% 統計列を表示せず、次の警告を表示します。
CONFIG_TASK_DELAY_ACCT not enabled in kernel, cannot determine SWAPIN and IO%
taskstats インターフェイスを使用する Delay Accounting 機能は、スレッドグループに属するすべてのタスクまたはスレッドの遅延統計を提供します。タスク実行の遅延は、カーネルリソースが利用可能になるのを待つときに発生します。たとえば、空き CPU が実行されるのを待っているタスクです。統計は、タスクの CPU 優先度、I/O 優先度、および rss 制限値を適切に設定するのに役立ちます。
回避策: 実行時または起動時に、delayacct ブートオプションを有効化できます。
実行時に
delayacctを有効にするには、次のように入力します。echo 1 > /proc/sys/kernel/task_delayacctこのコマンドはシステム全体で機能を有効にしますが、このコマンドの実行後に開始したタスクに対してのみ有効であることに注意してください。
起動時に
delayacctを永続的に有効にするには、次のいずれかの手順を使用します。/etc/sysctl.confファイルを編集して、デフォルトのパラメーターをオーバーライドします。次のエントリーを
/etc/sysctl.confファイルに追加します。kernel.task_delayacct = 1詳細は、Red Hat Enterprise Linux で sysctl 変数を設定する方法 を参照してください。
- システムを再起動して、変更を反映させます。
カーネルコマンドラインに
delayacctオプションを追加します。詳細は、カーネルコマンドラインパラメーターの設定 を参照してください。
その結果、iotop アプリケーションは SWAPIN および IO% 統計列を表示します。
Jira:RHELPLAN-135779[1]
コア数が多いシステム上のリアルタイムカーネルのハードウェア認定には、skew-tick=1 ブートパラメーターを渡すことが必要になる場合がある
多数のソケットとコアカウントが大きい大規模なシステムまたは中規模のシステムでは、タイムキーピングシステムで使用される xtime_lock のロック競合により、レイテンシーの急増が発生する可能性があります。その結果、マルチプロセッシングシステムでは、レイテンシーの急増やハードウェア認定の遅延が発生する可能性があります。
回避策: skew_tick=1 ブートパラメーターを追加することで、CPU ごとにタイマーティックをオフセットし、別のタイミングで開始できます。
ロックの競合を回避するには、skew_tick=1 を有効にします。
grubbyでskew_tick=1パラメーターを有効にします。# grubby --update-kernel=ALL --args="skew_tick=1"- 変更を有効にするために再起動します。
ブート中に渡すカーネルパラメーターを表示して、新しい設定を確認します。
cat /proc/cmdline
skew_tick=1 を有効にすると、消費電力が大幅に増加するため、レイテンシーの影響を受けるリアルタイムワークロードを実行している場合にのみ有効にする必要があります。
Jira:RHEL-9318[1]
kdump メカニズムは、LUKS 暗号化ターゲットで vmcore ファイルをキャプチャーできない
Linux Unified Key Setup (LUKS) で暗号化されたパーティションを使用するシステムで kdump を実行する場合、システムには一定量の使用可能なメモリーが必要です。使用可能なメモリーが必要なメモリー量より少ない場合、systemd-cryptsetup サービスはパーティションのマウントに失敗します。その結果、2 番目のカーネルは LUKS 暗号化ターゲット上のクラッシュダンプファイルのキャプチャーに失敗します。
回避策: Recommended crashkernel value をクエリーし、メモリーサイズを適切な値まで徐々に増やします。Recommended crashkernel value は、必要なメモリーサイズを設定するための参考として役立ちます。
クラッシュカーネルの推定値を出力します。
# kdumpctl estimatecrashkernelの値を増やして、必要なメモリー量を設定します。# grubby --args=crashkernel=652M --update-kernel=ALLシステムを再起動して、変更を反映させます。
# reboot
これにより、LUKS で暗号化したパーティションがあるシステムで kdump が正常に機能します。
Jira:RHEL-11196[1]
kdump サービスが IBM Z システムで initrd ファイルの構築に失敗する
64 ビットの IBM Z システムでは、s390- subchannels などの znet 関連の設定情報が非アクティブな NetworkManager 接続プロファイルに存在する場合、kdump サービスは初期 RAM ディスク (initrd) のロードに失敗します。その結果、kdump メカニズムは次のエラーで失敗します。
dracut: Failed to set up znet
kdump: mkdumprd: failed to make kdump initrd回避策として、次のいずれかの解決策を使用してください。
znet設定情報を持つ接続プロファイルを再利用して、ネットワークボンディングまたはブリッジを設定します。$ nmcli connection modify enc600 master bond0 slave-type bond非アクティブな接続プロファイルからアクティブな接続プロファイルに
znet設定情報をコピーします。nmcliコマンドを実行して、NetworkManager接続プロファイルを照会します。# nmcli connection show NAME UUID TYPE Device bridge-br0 ed391a43-bdea-4170-b8a2 bridge br0 bridge-slave-enc600 caf7f770-1e55-4126-a2f4 ethernet enc600 enc600 bc293b8d-ef1e-45f6-bad1 ethernet --非アクティブな接続からの設定情報でアクティブなプロファイルを更新します。
#!/bin/bash inactive_connection=enc600 active_connection=bridge-slave-enc600 for name in nettype subchannels options; do field=802-3-ethernet.s390-$name val=$(nmcli --get-values "$field"connection show "$inactive_connection") nmcli connection modify "$active_connection" "$field" $val" done変更を有効にするために
kdumpサービスを再起動します。# kdumpctl restart
Jira:RHELPLAN-115732[1]
kmod の weak-modules がモジュールの相互依存関係で機能しない
kmod パッケージによって提供される weak-modules スクリプトは、どのモジュールがインストールされたカーネルと kABI 互換であるかを判別します。しかし、weak-modules は、モジュールのカーネル互換性をチェックする際に、モジュールシンボルの依存関係を、そのビルド対象のカーネルの新しいリリースから古いリリースの順に処理します。結果として、異なるカーネルリリースに対して構築された相互依存関係を持つモジュールは互換性がないと解釈される可能性があるため、weak-modules はこのシナリオでは機能しません。
回避策: 新しいカーネルをインストールする前に、最新のストックカーネルに対して追加モジュールをビルドまたは配置します。
Jira:RHELPLAN-126922[1]
Intel® i40e アダプターが IBM Power10 で永続的に失敗する
IBM Power10 システムで i40e アダプターに I/O エラーが発生すると、Enhanced I/O Error Handling (EEH) カーネルサービスがネットワークドライバーのリセットとリカバリーをトリガーします。 しかし、EEH は、i40e ドライバーが事前に定義された EEH フリーズの最大値に達するまで、繰り返し I/O エラーを報告します。その結果、デバイスは EEH によって永続的に失敗します。
Jira:RHEL-15404[1]
64 ビット ARM CPU で正しくコンパイルされたドライバーでのプログラム失敗に関して dkms が誤った警告を出す
Dynamic Kernel Module Support (dkms) ユーティリティーは、4 kB および 64 kB のページサイズのカーネルで 64 ビット ARM CPU のカーネルヘッダーが動作することを認識しません。その結果、dkms は、カーネルの更新時に kernel-64k-devel パッケージがインストールされていない場合、正しくコンパイルされたドライバーでプログラムが失敗した理由に関して誤った警告を出します。
回避策: kernel-headers パッケージをインストールします。このパッケージは、両タイプの ARM CPU アーキテクチャー用のヘッダーファイルを含むもので、dkms とその要件に特化したものではありません。
Jira:RHEL-25967[1]
io_uring が有効な場合、IBM Power システム (ppc64le) でカーネルパニックが発生する
場合によっては、ppc64le システムでは、集中的な入出力操作が原因で io_uring カーネルパラメーターを使用するとカーネルパニックが発生することがあります。その結果、ppc64le は動作を停止し、システムの再起動が必要になります。クラッシュ時にデータが失われる可能性があります。
回避策: 起動時に以下のカーネルパラメーターを追加して、io_uring 機能を無効にします。
module.builtin=io_uring=0
Jira:RHEL-28702[1]
UKI では、kdump の起動に失敗する
Azure の機密仮想マシン上で統合カーネルイメージ (UKI) を有効にするために kernel-uki-virt および kernel-modules-core パッケージをインストールすると、kdump サービスが起動に失敗します。その結果、kdump は仮想マシン上で動作しません。
回避策: SELinux ポリシーを無効にして、仮想マシンを再起動します。これにより、kdump サービスが実行されます。
Jira:RHEL-66119[1]
8.8. ファイルシステムおよびストレージ
デバイスマッパーマルチパスは NVMe/TCP ではサポートされない
nvme-tcp ドライバーで Device Mapper Multipath を使用すると、コールトレースの警告とシステムの不安定性が発生する可能性があります。この問題を回避するには、NVMe/TCP ユーザーはネイティブ NVMe マルチパスを有効にする必要があり、NVMe で device-mapper-multipath ツールを使用しないでください。
デフォルトでは、ネイティブ NVMe マルチパスは RHEL 9 で有効になっています。詳細は、Enabling multipathing on NVMe devices を参照してください。
Jira:RHELPLAN-105944[1]
blk-availability systemd サービスは、複雑なデバイススタックを非アクティブ化する
systemd では、デフォルトのブロック非アクティブ化コードは、仮想ブロックデバイスの複雑なスタックを常に正しく処理するとは限りません。一部の設定では、シャットダウン中に仮想デバイスが削除されない場合があり、エラーメッセージがログに記録されます。
回避策: 以下のコマンドを実行して、複雑なブロックデバイススタックを非アクティブ化します。
# systemctl enable --now blk-availability.serviceその結果、複雑な仮想デバイススタックはシャットダウン中に正しく非アクティブ化され、エラーメッセージは生成されません。
Jira:RHELPLAN-99108[1]
クォータを有効にしてマウントされた XFS ファイルシステムでは、クォータアカウンティングを無効化できなくなる
RHEL 9.2 以降、クォータを有効にしてマウントされた XFS ファイルシステムで、クォータアカウンティングを無効にすることはできなくなりました。
回避策: クォータオプションを削除して、ファイルシステムを再マウントしてクォータアカウンティングを無効にします。
Jira:RHELPLAN-145001[1]
NVMe デバイスの udev ルールの変更
NVMe デバイスの udev ルールに変更があり、OPTIONS="string_escape=replace" パラメーターが追加されました。これにより、デバイスのシリアル番号の先頭に空白がある場合、一部のベンダーではディスク ID による名前が変更されます。
Jira:RHELPLAN-154195[1]
NVMe/FC デバイスはキックスタートファイルで確実には使用できない
NVMe/FC デバイスは、キックスタートファイルの解析中または事前スクリプトの実行中に利用できなくなる可能性があり、キックスタートインストールが失敗する可能性があります。
回避策: ブート引数を inst.wait_for_disks=30 に更新します。このオプションでは 30 秒の遅延が発生しますが、NVMe/FC デバイスの接続に十分な時間が確保されます。この回避策を適用し、NVMe/FC デバイスが時間内に接続されると、キックスタートインストールは問題なく続行します。
Jira:RHEL-8164[1]
qedi ドライバー使用時のカーネルパニック
qedi iSCSI ドライバーの使用中、OS の起動後にカーネルがパニックになります。この問題を回避するには、カーネルブートコマンドラインに kfence.sample_interval=0 を追加して、kfence ランタイムメモリーエラー検出機能を無効にします。
Jira:RHEL-8466[1]
vdo がインストールされている場合、ARM ベースのシステムが 64k ページサイズのカーネルで更新できない
vdo パッケージのインストール時に、RHEL は kmod-kvdo パッケージと 4k ページサイズのカーネルを依存関係としてインストールします。その結果、kmod-kvdo が 64k カーネルと競合するため、RHEL 9.3 から 9.x への更新が失敗します。
回避策: 更新を試みる前に、vdo パッケージとその依存関係を削除します。
lldpad が qedf アダプターでも自動的に有効になる
QLogic Corp を使用する場合、FastLinQ QL45000 シリーズの 10/25/40/50GbE、FCOE コントローラーは、RHV を実行しているシステムで lldpad デーモンを自動的に有効にします。その結果、I/O 操作がエラーで停止します (例: [qedf_eh_abort:xxxx]:1: Aborting io_req=ff5d85a9dcf3xxxx)。
回避策: Link Layer Discovery Protocol (LLDP) を無効にしてから、vdsm 設定レベルで設定できるインターフェイスに対して有効にします。詳細は、https://access.redhat.com/solutions/6963195 を参照してください。
Jira:RHEL-8104[1]
iommu が有効化されている場合はシステムが起動しない
BNX2I アダプターの使用中に AMD プラットフォームで Input-Output Memory Management Unit (IOMMU) を有効にすると、システムは Direct Memory Access Remapping (DMAR) タイムアウトエラーで起動に失敗します。
回避策: カーネルのコマンドラインオプション iommu=off を使用して、起動する前に IOMMU を無効にします。その結果、システムはエラーなしで起動します。
Jira:RHEL-25730[1]
8.9. 高可用性およびクラスター
IPsrcaddr リソース内の IPv6 アドレスの重複ルートエントリーを削除する
Red Hat Enterprise Linux 9.4 以前では、IPsrcaddr リソースに IPv6 アドレスを指定すると、IPsrcaddr リソースエージェントは、サブネットにメトリクスが使用されたときに、異なるメトリクスを持つ重複ルートを作成しました。たとえば、NetworkManager が IPv6 サブネット上に別の IP アドレスを作成したときに、これが発生しました。この状況では、IP アドレスに一致するものが複数あったため、IPsrcaddr リソースの起動に失敗しました。Red Hat Enterprise Linux 9.5 以降、IPsrcaddr リソースエージェントは、既存のルートが使用可能で、2 番目のルートが作成されていない場合は、そのメトリクスを指定します。ただし、このアップグレードの前に IPv6 アドレスを使用する IPaddr2 IPv6 リソースを作成した場合は、重複したルートエントリーを削除するためにシステムを再起動する必要があります。
Jira:RHEL-32265[1]
8.10. 動的プログラミング言語、Web サーバー、およびデータベースサーバー
python3.11-lxml は lxml.isoschematron サブモジュールを提供しない
python3.11-lxml パッケージは、オープンソースライセンスの下にないため、lxml.isoschematron サブモジュールなしで配布されます。サブモジュールは ISO Schematron サポートを実装します。代わりに、ISO-Schematron 前の検証を lxml.etree.Schematron クラスで利用できます。python3.11-lxml パッケージの残りのコンテンツは影響を受けません。
Jira:RHELPLAN-143480[1]
MySQL および MariaDB の --ssl-fips-mode オプションでは FIPS モードが変更されない
MySQL の --ssl-fips-mode オプションと RHEL の MariaDB は、アップストリームとは異なる動作をします。
RHEL 9 では、--ssl-fips-mode を mysqld デーモンまたは mariadbd デーモンの引数として使用する場合や、MySQL または MariaDB サーバー設定ファイルに ssl-fips-mode を使用すると、--ssl-fips-mode はこれらのデータベースサーバーの FIPS モードを変更しません。
代わりに、以下のようになります。
-
--ssl-fips-modeをONに設定すると、mysqldサーバーデーモンまたはmariadbdサーバーデーモンは起動しません。 -
FIPS が有効なシステムで
--ssl-fips-modeをOFFに設定すると、mysqldサーバーデーモンまたはmariadbdサーバーデーモンは FIPS モードで稼働します。
これは、特定のコンポーネントではなく、RHEL システム全体で FIPS モードを有効または無効にする必要があるためです。
したがって、RHEL の MySQL または MariaDB では --ssl-fips-mode オプションを使用しないでください。代わりに、FIPS モードが RHEL システム全体で有効になっていることを確認します。
- FIPS モードが有効な RHEL をインストールすることが推奨されます。インストール時に FIPS モードを有効にすると、システムは FIPS で承認されるアルゴリズムと継続的な監視テストですべての鍵を生成するようになります。FIPS モードで RHEL をインストールする方法は、FIPS モードでのシステムのインストール を参照してください。
- または、FIPS モードへのシステムの切り替え の手順に従って、RHEL システム全体の FIPS モードを切り替えることができます。
Jira:RHELPLAN-92864[1]
Git で所有権が安全でない可能性のあるリポジトリーからのクローン作成や取得が失敗する
リモートコード実行を防ぎ、CVE-2024-32004 の影響を軽減するために、Git でのローカルリポジトリーのクローン作成に対して、より厳格な所有権チェックが導入されました。この更新により、所有権が安全でない可能性があるローカルリポジトリーが、Git で不審なものとして扱われるようになりました。
その結果、ユーザーが git-daemon を通じてローカルにホストされているリポジトリーからクローン作成を試行する際に、そのユーザーがリポジトリーの所有者でない場合、Git が不審な所有権に関するセキュリティー警告を返し、リポジトリーからのクローン作成または取得が失敗するようになりました。
回避策: 次のコマンドを実行して、リポジトリーを明示的に安全としてマークします。
git config --global --add safe.directory /path/to/repositoryJira:RHELDOCS-18435[1]
8.11. Identity Management
PKINIT が AD KDC に対して機能するように、DEFAULT:SHA1 サブポリシーを RHEL 9 クライアントに設定する必要がある
SHA-1 ダイジェストアルゴリズムは RHEL 9 で非推奨になり、初期認証 (PKINIT) の公開鍵暗号化の CMS メッセージは、より強力な SHA-256 アルゴリズムで署名されるようになりました。
しかし、Active Directory (AD) Kerberos Distribution Center (KDC) は引き続き SHA-1 ダイジェストアルゴリズムを使用して CMS メッセージに署名します。その結果、RHEL 9 Kerberos クライアントは、AD KDC に対して PKINIT を使用してユーザーを認証できません。
回避策: 次のコマンドを使用して、RHEL 9 システムで SHA-1 アルゴリズムのサポートを有効にします。
# update-crypto-policies --set DEFAULT:SHA1Jira:RHELPLAN-114497[1]
RHEL 9 Kerberos エージェントが RHEL-9 以外、AD 以外の Kerberos エージェントと通信すると、ユーザーの PKINIT 認証が失敗する
クライアントまたは Kerberos Distribution Center (KDC) のいずれかの RHEL 9 Kerberos エージェントが、Active Directory (AD) エージェントではない RHEL-9 Kerberos エージェントとやりとりすると、ユーザーの PKINIT 認証に失敗します。
回避策: 次のいずれかのアクションを実行してください。
RHEL 9 エージェントの crypto-policy を
DEFAULT:SHA1に設定して、SHA-1 署名の検証を許可します。# update-crypto-policies --set DEFAULT:SHA1RHEL 9 以外および AD 以外のエージェントを更新して、SHA-1 アルゴリズムを使用して CMS データを署名しないようにします。そのためには、Kerberos パッケージを SHA-1 の代わりに SHA-256 を使用するバージョンに更新します。
- CentOS 9 Stream: krb5-1.19.1-15
- RHEL 8.7: krb5-1.18.2-17
- RHEL 7.9: krb5-1.15.1-53
- Fedora Rawhide/36: krb5-1.19.2-7
- Fedora 35/34: krb5-1.19.2-3
その結果、ユーザーの PKINIT 認証が正しく機能します。
他のオペレーティングシステムでは、エージェントが SHA-1 ではなく SHA-256 で CMS データを署名するように krb5-1.20 リリースであることに注意してください。
PKINIT が AD KDC に対して機能するように、DEFAULT:SHA1 サブポリシーを RHEL 9 クライアントに設定する必要がある も併せて参照してください。
AD 信頼の FIPS サポートには、AD-SUPPORT 暗号化サブポリシーが必要です。
Active Directory (AD) は、AES SHA-1 HMAC 暗号化タイプを使用します。これは、デフォルトで RHEL 9 の FIPS モードでは許可されていません。AD 信頼を使用する RHEL 9 IdM ホストを使用する場合は、IdM ソフトウェアをインストールする前に、AES SHA-1 HMAC 暗号化タイプのサポートを有効にしてください。
FIPS 準拠は技術的合意と組織的合意の両方を伴うプロセスであるため、AD-SUPPORT サブポリシーを有効にして技術的手段が AES SHA-1 HMAC 暗号化タイプをサポートできるようにする前に、FIPS 監査人に相談してから、RHEL IdM をインストールしてください。
# update-crypto-policies --set FIPS:AD-SUPPORTJira:RHELPLAN-113281[1]
FIPS モードの IdM は、双方向のフォレスト間信頼を確立するための NTLMSSP プロトコルの使用をサポートしない
FIPS モードが有効な Active Directory (AD) と Identity Management (IdM) との間で双方向のフォレスト間の信頼を確立すると、New Technology LAN Manager Security Support Provider (NTLMSSP) 認証が FIPS に準拠していないため、失敗します。FIPS モードの IdM は、認証の試行時に AD ドメインコントローラーが使用する RC4 NTLM ハッシュを受け入れません。
Jira:RHEL-12154[1]
ドメイン SID の不一致により、移行した IdM ユーザーがログインできない可能性がある
ipa migrate-ds スクリプトを使用して IdM デプロイメントから別のデプロイメントにユーザーを移行する場合、そのユーザーの以前のセキュリティー識別子 (SID) には現在の IdM 環境のドメイン SID がないため、ユーザーが IdM サービスを使用する際に問題が発生する可能性があります。たとえば、これらのユーザーは kinit ユーティリティーを使用して Kerberos チケットを取得できますが、ログインできません。
回避策: ナレッジベースのソリューション記事 Migrated IdM users unable to log in due to mismatching domain SIDs を参照してください。
Jira:RHELPLAN-109613[1]
RHEL 8.6 以前で初期化された FIPS モードの IdM デプロイメントに FIPS モードの RHEL 9 レプリカを追加すると失敗する
FIPS 140-3 への準拠を目的としたデフォルトの RHEL 9 FIPS 暗号化ポリシーでは、RFC3961 のセクション 5.1 で定義されている AES HMAC-SHA1 暗号化タイプのキー派生関数の使用が許可されていません。
この制約は、最初のサーバーが RHEL 8.6 システム以前にインストールされている FIPS モードの RHEL 8 IdM 環境に、FIPS モードの RHEL 9 Identity Management (IdM) レプリカを追加する際の障害となります。これは、AES HMAC-SHA1 暗号化タイプを一般的に使用し、AES HMAC-SHA2 暗号化タイプを使用しない、RHEL 9 と以前の RHEL バージョンの間に共通の暗号化タイプがないためです。
サーバーで次のコマンドを入力すると、IdM マスターキーの暗号化タイプを表示できます。
# kadmin.local getprinc K/M | grep -E '^Key:'詳細は、KCS ソリューション AD Domain Users unable to login in to the FIPS-compliant environment を参照してください。
オンラインバックアップとオンライン自動メンバーシップ再構築タスクが、2 つのロックを取得してデッドロックを引き起こす可能性がある
オンラインバックアップとオンライン自動メンバーシップ再構築タスクが、同じ 2 つのロックを逆の順序で取得しようとすると、回復不能なデッドロックが発生し、サーバーを停止して再起動する必要が生じる可能性があります。この問題を回避するには、オンラインバックアップとオンライン自動メンバーシップ再構築タスクを並行して起動しないでください。
Jira:RHELDOCS-18065[1]
EMS 強制により、FIPS モードで RHEL 9.2 以降の IdM サーバーを使用した RHEL 7 IdM クライアントのインストールが失敗する
TLS Extended Master Secret (EMS) 拡張機能 (RFC 7627) は、FIPS 対応の RHEL 9.2 以降のシステムでの TLS 1.2 接続に必須になりました。これは FIPS-140-3 要件に準拠しています。ただし、RHEL 7.9 以前で利用可能な openssl バージョンは EMS をサポートしていません。その結果、RHEL 9.2 以降で実行されている FIPS 対応の IdM サーバーに RHEL 7 Identity Management (IdM) クライアントをインストールすると失敗します。
回避策: IdM クライアントをインストールする前にホストを RHEL 8 にアップグレードできない場合は、FIPS 暗号化ポリシーの上に NO-ENFORCE-EMS サブポリシーを適用して、RHEL 9 サーバーでの EMS 使用の要件を削除します。
# update-crypto-policies --set FIPS:NO-ENFORCE-EMSこの削除は FIPS 140-3 要件に反することに注意してください。その結果、EMS を使用しない TLS 1.2 接続を確立して受け入れることができ、RHEL 7 IdM クライアントのインストールは成功します。
Heimdal クライアントが RHEL 9 KDC に対して PKINIT を使用してユーザーを認証できない
デフォルトでは、Heimdal Kerberos クライアントは、Internet Key Exchange (IKE) に Modular Exponential (MODP) Diffie-Hellman Group 2 を使用して、IdM ユーザーの PKINIT 認証を開始します。ただし、RHEL 9 の MIT Kerberos Distribution Center (KDC) は、MODP Group 14 および 16 のみに対応しています。
したがって、Heimdal クライアントで krb5_get_init_creds: PREAUTH_FAILED エラーが発生し、RHEL MIT KDC では Key parameters not accepted が発生します。
回避策: Heimdal クライアントが MODP グループ 14 を使用していることを確認します。クライアント設定ファイルの libdefaults セクションで pkinit_dh_min_bits パラメーターを 1759 に設定します。
[libdefaults]
pkinit_dh_min_bits = 1759その結果、Heimdal クライアントは、RHEL MIT KDC に対する PKINIT 事前認証を完了します。
Jira:RHELDOCS-19846[1]
8.12. SSSD
ldap_id_use_start_tls オプションのデフォルト値を使用する場合の潜在的なリスク
ID ルックアップに TLS を使用せずに ldap:// を使用すると、攻撃ベクトルのリスクが生じる可能性があります。特に、中間者 (MITM) 攻撃は、攻撃者が、たとえば、LDAP 検索で返されたオブジェクトの UID または GID を変更することによってユーザーになりすますことを可能にする可能性があります。
現在、TLS を強制する SSSD 設定オプション ldap_id_use_start_tls は、デフォルトで false に設定されています。セットアップが信頼できる環境で動作していることを確認し、id_provider = ldap に暗号化されていない通信を使用しても安全かどうかを判断してください。注記: id_provider = ad および id_provider = ipa は、SASL および GSSAPI によって保護された暗号化接続を使用するため、影響を受けません。
暗号化されていない通信を使用することが安全ではない場合は、/etc/sssd/sssd.conf ファイルで ldap_id_use_start_tls オプションを true に設定して TLS を強制します。デフォルトの動作は、RHEL の将来のリリースで変更される予定です。
Jira:RHELPLAN-155168[1]
グループのサイズが 1500 人を超えると、SSSD が取得するメンバーリストが不完全なものになる
SSSD と Active Directory の統合時に、グループサイズが 1500 メンバーを超えると、SSSD が取得するメンバーリストが不完全なものになります。この問題は、1 回のクエリーで取得できるメンバーの数を制限する Active Directory の MaxValRange ポリシーが、デフォルトで 1500 に設定されているために発生します。
回避策: より大きなグループサイズに対応するには、Active Directory の MaxValRange 設定を変更します。
Jira:RHELDOCS-19603[1]
SSSD は DNS 名を適切に登録する
以前は、DNS が正しく設定されていない場合、SSSD は DNS 名の登録の最初の試行で常に失敗していました。
回避策: この更新により、新しいパラメーター dns_resolver_use_search_list が提供されます。DNS 検索リストの使用を回避するには、dns_resolver_use_search_list = false を設定します。
Jira:RHELPLAN-44204[1]
8.13. デスクトップ
RHEL 9 へのアップグレード後に VNC が実行されていない
RHEL8 から RHEL 9 にアップグレードした後、以前に有効にされていたとしても、VNC サーバーは起動に失敗します。
回避策: システムのアップグレード後に vncserver サービスを手動で有効にします。
# systemctl enable --now vncserver@:port-numberその結果、VNC が有効になり、システムが起動するたびに期待どおりに起動します。
Jira:RHELPLAN-114314[1]
User Creation 画面が応答しない
グラフィカルユーザーインターフェイスを使用して RHEL をインストールすると、User Creation の画面が応答しなくなります。そのため、インストール中にユーザーを作成するのが困難です。
回避策: 次のいずれかの解決策を使用してユーザーを作成します。
- VNC モードでインストールを実行し、VNC ウィンドウのサイズを変更します。
- インストールプロセスの完了後にユーザーを作成します。
Jira:RHEL-11924[1]
WebKitGTK が IBM Z で Web ページの表示に失敗する
WebKitGTK Web ブラウザーエンジンは、IBM Z アーキテクチャーで Web ページを表示しようとすると失敗します。Web ページは空白のままで、WebKitGTK プロセスが予期せず終了します。
その結果、WebKitGTK を使用して Web ページを表示するアプリケーションの次のような特定の機能を使用できなくなります。
- Evolution メールクライアント
- GNOME Online Account 設定
- GNOME ヘルプアプリケーション
xorg -configure が仮想マシン上に Xorg 設定ファイルを作成できない
仮想マシン上に Xorg 設定ファイルを作成するために xorg -configure を実行すると、設定するデバイスが不足しているために、実行が失敗します。この問題により設定が失敗します。この問題を回避するには、Xorg ドキュメントに記載されているガイドラインに従って xorg.conf ファイルを手動で作成するか、Extended Display Identification Data (EDID) オーバーライドなどの代替メカニズムを使用してディスプレイ解像度を微調整します。この回避策を実行すると、Xorg サーバーが正しい設定で機能します。
Jira:RHELDOCS-20196[1]
8.14. グラフィックインフラストラクチャー
NVIDIA ドライバーが X.org に戻る可能性がある
特定の条件下では、プロプライエタリー NVIDIA ドライバーは Wayland ディスプレイプロトコルを無効にし、X.org ディスプレイサーバーに戻ります。
- NVIDIA ドライバーのバージョンが 470 未満の場合。
- システムがハイブリッドグラフィックスを使用するラップトップの場合。
- 必要な NVIDIA ドライバーオプションを有効にしていない場合。
また、Wayland は有効になっていますが、NVIDIA ドライバーのバージョンが 510 未満の場合には、デスクトップセッションはデフォルトで X.org を使用します。
Jira:RHELPLAN-119001[1]
NVIDIA 使用時に Wayland で Night Light を利用できない
システムで独自の NVIDIA ドライバーが有効になっている場合、GNOME の Night Light 機能は Wayland セッションで使用できません。NVIDIA ドライバーは、現在 Night Light をサポートしていません。
Jira:RHELPLAN-119852[1]
Wayland では X.org 設定ユーティリティーが動作しない
画面を操作するための X.org ユーティリティーは、Wayland セッションでは機能しません。特に、xrandr ユーティリティーは、処理、解像度、回転、およびレイアウトへのアプローチが異なるため、Wayland では機能しません。
Jira:RHELPLAN-121049[1]
8.15. Web コンソール
RHEL Web コンソールの VNC コンソールが ARM64 で正しく動作しない
現在、ARM64 アーキテクチャー上の RHEL Web コンソールに仮想マシン (VM) をインポートし、VNC コンソールでその仮想マシンと対話しようとすると、コンソールが入力に反応しません。
さらに、ARM64 アーキテクチャーの Web コンソールで仮想マシンを作成すると、VNC コンソールに入力の最後の行が表示されません。
Jira:RHEL-31993[1]
8.16. Red Hat Enterprise Linux システムロール
firewalld.service がマスクされている場合、firewall RHEL システムロールの使用は失敗する
RHEL システム上で firewalld.service がマスクされている場合、firewall RHEL システムロールは失敗します。
回避策: firewalld.service のマスクを解除します。
systemctl unmask firewalld.serviceJira:RHELPLAN-133165[1]
環境名でシステムを登録できない
rhc_environment に環境名を指定すると、rhc システムロールはシステムの登録に失敗します。
回避策: 登録時に環境名ではなく環境 ID を使用します。
高可用性モードの Microsoft SQL Server 2022 は、SELinux で制限されたアプリケーションとして実行できない
RHEL 9.4 以降の Microsoft SQL Server 2022 は、SELinux で制限されたアプリケーションとしての実行がサポートされています。ただし、Microsoft SQL Server の制限により、高可用性モードでは、同サービスを SELinux で制限されたアプリケーションとして実行することができません。
回避策: サービスの高可用性が必要な場合は、Microsoft SQL Server を制限のないアプリケーションとして実行できます。
mssql RHEL システムロールを使用して同サービスをインストールする場合、この制限は Microsoft SQL Server のインストールにも影響することに注意してください。
Jira:RHELDOCS-17719[1]
8.17. 仮想化
HTTPS または SSH 経由での仮想マシンのインストールに失敗する場合がある
現在、virt-install ユーティリティーは、HTTPS または SSH 接続を介して ISO ソースからゲストオペレーティングシステム (OS) をインストールしようとすると失敗します。たとえば、virt-install --cdrom https://example/path/to/image.iso のように使用した場合などです。仮想マシンを作成する代わりに、上述の操作は internal error: process exited while connecting to monitor というメッセージが表示されて予期せず終了します。
同様に、HTTPS または SSH URL、または Download OS 機能を使用した場合、RHEL 9 Web コンソールを使用したゲストオペレーティングシステムのインストールが失敗し、Unknown driver 'https' エラーが表示されます。
回避策: ホストに qemu-kvm-block-curl と qemu-kvm-block-ssh をインストールして、HTTPS および SSH プロトコルのサポートを有効にします。別の接続プロトコルまたは別のインストールソースを使用することもできます。
Jira:RHELPLAN-99854[1]
仮想マシンで NVIDIA ドライバーを使用すると Wayland が無効になる
現在、NVIDIA ドライバーは Wayland グラフィカルセッションと互換性がありません。これにより、NVIDIA ドライバーを使用する RHEL ゲストオペレーティングシステムは、Wayland を自動的に無効にし、代わりに Xorg セッションを読み込みます。これは主に以下のシナリオで生じます。
- NVIDIA GPU デバイスを RHEL 仮想マシンに渡す場合
- NVIDIA vGPU 仲介デバイスを RHEL 仮想マシンに割り当てる場合
現在、この問題に対する回避策はありません。
Jira:RHELPLAN-117234[1]
Milan 仮想マシンの CPU タイプは、AMD Milan システムで利用できないことがある
一部の AMD Milan システムでは、Enhanced REP MOVSB (erms) および Fast Short REP MOVSB (fsrm) 機能フラグがデフォルトで BIOS で無効になっています。したがって、Milan CPU タイプは、これらのシステムで利用できない可能性があります。さらに、機能フラグ設定が異なる Milan ホスト間の仮想マシンのライブマイグレーションが失敗する可能性があります。
回避策: ホストの BIOS で erms と fsrm を手動でオンにします。
Jira:RHELPLAN-119655[1]
フェイルオーバー設定のある hostdev インターフェイスは、ホットアンプラグされた後にホットプラグすることはできません
フェイルオーバー設定の hostdev ネットワークインターフェイスを実行中の仮想マシン (VM) から削除した後、現在、インターフェイスを同じ実行中の VM に再接続することはできません。現在、この問題に対する回避策はありません。
フェイルオーバー VF を使用した仮想マシンのポストコピーライブマイグレーションが失敗する
現在、仮想マシンが、仮想機能 (VF) フェイルオーバー機能が有効になっているデバイスを使用している場合、実行中の仮想マシン (VM) のポストコピー移行の試行は失敗します。
回避策: ポストコピー移行ではなく、標準の移行タイプを使用します。
ライブマイグレーション中にホストネットワークが VF と VM に ping できない
設定済みの仮想機能 (VF) で仮想マシン (仮想 SR-IOV ソフトウェアを使用する仮想マシンなど) のライブマイグレーションを行う場合、仮想マシンのネットワークは他のデバイスに表示されず、ping などのコマンドで仮想マシンに到達できません。ただし、移行が終了すると、問題は発生しなくなります。
AVX を無効にすると、仮想マシンが起動できなくなる
Advanced Vector Extensions (AVX) をサポートする CPU を使用するホストマシンで、現在、AVX を明示的に無効にして VM を起動しようとすると失敗し、代わりに VM でカーネルパニックが発生します。現在、この問題に対する回避策はありません。
Jira:RHELPLAN-97394[1]
ネットワークインターフェイスのリセット後に Windows VM が IP アドレスの取得に失敗する
ネットワークインターフェイスの自動リセット後に、Windows 仮想マシンが IP アドレスの取得に失敗することがあります。その結果、VM はネットワークに接続できません。
回避策: Windows Device Manager でネットワークアダプタードライバーを無効にしてから再度有効にします。
仮想 CPU をホットプラグした後、Windows Server 2016 VM が動作を停止することがある
現在、Windows Server 2016 ゲストオペレーティングシステムで実行中の仮想マシン (VM) に仮想 CPU を割り当てると、仮想マシンが予期せず終了したり、応答しなくなったり、再起動したりするなど、さまざまな問題が発生する可能性があります。現在、この問題に対する回避策はありません。
Jira:RHELPLAN-63771[1]
NVIDIA パススルーデバイスを備えた VM での冗長エラーメッセージ。
RHEL 9.2 以降のオペレーティングシステムを搭載した Intel ホストマシンを使用している場合、パススルー NVDIA GPU デバイスを備えた仮想マシン (VM) で、次のエラーメッセージが頻繁に記録されます。
Spurious APIC interrupt (vector 0xFF) on CPU#2, should never happen.ただし、このエラーメッセージは VM の機能には影響しないため、無視してかまいません。詳細は、Red Hat ナレッジベース を参照してください。
Jira:RHELPLAN-141042[1]
ホストで OVS サービスを再起動すると、実行中の VM でネットワーク接続がブロックされることがある
ホストで Open vSwitch (OVS) サービスが再起動またはクラッシュすると、このホストで実行されている仮想マシン (VM) はネットワークデバイスの状態を回復できません。その結果、仮想マシンがパケットを完全に受信できなくなる可能性があります。
この問題は、virtio ネットワークスタックで圧縮された virtqueue 形式を使用するシステムのみに影響します。
回避策: virtio ネットワークデバイス定義で packed=off パラメーターを使用して、packed virtqueue を無効にします。圧縮された virtqueue を無効にすると、状況によっては、ネットワークデバイスの状態を RAM から回復できます。
中断されたポストコピー仮想マシン移行の回復が失敗することがある
仮想マシン (VM) のポストコピー移行が中断された後、同じ受信ポートですぐに再開されると、移行は Address already in use のエラーで失敗する可能性があります。
回避策: ポストコピー移行を再開する前に少なくとも 10 秒待つか、移行の復旧には別のポートに切り替えてください。
AMD EPYC CPU で NUMA ノードマッピングが正しく機能しない
QEMU は、AMD EPYC CPU の NUMA ノードマッピングを正しく処理しません。これにより、NUMA ノード設定を使用する場合、これらの CPU を持つ仮想マシン (VM) のパフォーマンスに悪影響が及ぶ可能性があります。さらに、VM は起動時に以下のような警告を表示します。
sched: CPU #4's llc-sibling CPU #3 is not on the same node! [node: 1 != 0]. Ignoring dependency.
WARNING: CPU: 4 PID: 0 at arch/x86/kernel/smpboot.c:415 topology_sane.isra.0+0x6b/0x80回避策: NUMA ノード設定に AMD EPYC CPU を使用しないでください。
Jira:RHELPLAN-150884[1]
PCIe ATS デバイスが Windows 仮想マシンで動作しない
Windows ゲストオペレーティングシステムを使用して仮想マシン (VM) の XML 設定で PCIe アドレス変換サービス (ATS) デバイスを設定しても、ゲストが仮想マシンの起動後に ATS デバイスを有効にしません。これは、Windows が現在 virtio デバイス上の ATS をサポートしていないためです。
詳細は、Red Hat ナレッジベース を参照してください。
Jira:RHELPLAN-118495[1]
virsh blkiotune --weight コマンドが正しい cgroup I/O コントローラー値を設定できない
現在、virsh blkiotune --weight コマンドを使用して VM weight を設定しても、期待どおりに機能しません。このコマンドは、cgroup I/O コントローラーインターフェイスファイルに正しい io.bfq.weight 値を設定できません。現時点では回避策はありません。
Jira:RHELPLAN-83423[1]
NVIDIA A16 GPU を使用して仮想マシンを起動すると、ホスト GPU が動作を停止する場合がある
現在、NVIDIA A16 GPU パススルーデバイスを使用する仮想マシンを起動すると、ホストシステム上の NVIDIA A16 GPU 物理デバイスが動作を停止する場合があります。
この問題を回避するには、ハイパーバイザーを再起動し、GPU デバイスの reset_method を bus に設定します。
# echo bus > /sys/bus/pci/devices/<DEVICE-PCI-ADDRESS>/reset_method
# cat /sys/bus/pci/devices/<DEVICE-PCI-ADDRESS>/reset_method
bus詳細は、Red Hat ナレッジベースの記事 を参照してください。
Jira:RHEL-7212[1]
ストレージエラーが原因で Windows 仮想マシンが応答しなくなる可能性がある
Windows ゲストオペレーティングシステムを使用する仮想マシン (VM) では、I/O 負荷が高いときにシステムが応答しなくなることがあります。このような場合、システムは viostor Reset to device, \Device\RaidPort3, was issued エラーをログに記録します。現在、この問題に対する回避策はありません。
Jira:RHEL-1609[1]
特定の PCI デバイスを搭載した Windows 10 仮想マシンが起動時に応答しなくなることがある
現在、Windows 10 ゲストオペレーティングシステムを使用する仮想マシン (VM) は、ローカルディスクバックエンドを備えた virtio-win-scsi PCI デバイスが仮想マシンにアタッチされている場合、起動中に応答しなくなる可能性があります。
回避策: multi_queue オプションを有効にして仮想マシンを起動します。
Jira:RHEL-1084[1]
メモリーバルーンデバイスセットが設定された Windows 11 仮想マシンが再起動中に予期せず終了することがある
現在、Windows 11 ゲストオペレーティングシステムとメモリーバルーンデバイスを使用する仮想マシン (VM) の再起動が、DRIVER POWER STAT FAILURE ブルースクリーンエラーで失敗する場合があります。
Jira:RHEL-935[1]
virtio バルーンドライバーは、Windows 10 および Windows 11 仮想マシンでは動作しないことがある
特定の状況下では、Windows 10 または Windows 11 ゲストオペレーティングシステムを使用する仮想マシン (VM) 上で virtio-balloon ドライバーが正しく動作しません。その結果、そのような仮想マシンは割り当てられたメモリーを効率的に使用できない可能性があります。
Windows 仮想マシンの virtio ファイルシステムのパフォーマンスは最適ではない
現在、Windows ゲストオペレーティングシステムを使用する仮想マシン (VM) 上で virtio ファイルシステム (virtiofs) が設定されている場合、仮想マシン内の virtiofs のパフォーマンスは、Linux ゲストを使用する仮想マシンよりも大幅に低下します。現在、この問題に対する回避策はありません。
Jira:RHEL-1212[1]
Windows 仮想マシンのストレージデバイスのホットアンプラグが失敗する可能性がある
Windows ゲストオペレーティングシステムを使用する仮想マシン (VM) で、仮想マシンの実行中にストレージデバイスを削除すると (デバイスのホットアンプラグとも呼ばれる)、失敗する場合があります。その結果、ストレージデバイスは仮想マシンにアタッチされたままになり、ディスクマネージャーサービスが応答しなくなる可能性があります。現在、この問題に対する回避策はありません。
CPU を Windows 仮想マシンにホットプラグするとシステム障害が発生する可能性がある
Huge Page が有効になっている Windows 仮想マシンに最大数の CPU をホットプラグすると、ゲストオペレーティングシステムが次の Stop エラー でクラッシュする場合があります。
PROCESSOR_START_TIMEOUT現在、この問題に対する回避策はありません。
Windows 仮想マシンの virtio ドライバーの更新が失敗する可能性がある
Windows 仮想マシン (VM) で KVM 準仮想化 (virtio) ドライバーを更新すると、更新によりマウスが動作しなくなり、新しくインストールされたドライバーが署名されない可能性があります。この問題は、virtio-win.iso ファイルの一部である virtio-win-guest-tools パッケージからインストールして、virtio ドライバーを更新する際に発生します。
回避策: Windows Device Manager を使用して virtio ドライバーを更新します。
Jira:RHEL-574[1]
vhost-kernel を使用する仮想マシンで TX キューのサイズを変更できない
現在、virtio ネットワークドライバーのバックエンドとして vhost-kernel を使用する KVM 仮想マシンでは、TX キューサイズをセットアップすることができません。したがって、TX キューにはデフォルト値の 256 しか使用できず、仮想マシンのネットワークスループットを最適化できない可能性があります。現在、この問題に対する回避策はありません。
Jira:RHEL-1138[1]
仮想マシンは、AMD EPYC モデルの spec_rstack_overflow パラメーターの vulnerable ステータスを誤って報告します。
ホストを起動すると、spec_rstack_overflow パラメーターの脆弱性は検出されません。ログのパラメーターをクエリーすると、次のメッセージが表示されます。
# cat /sys/devices/system/cpu/vulnerabilities/spec_rstack_overflow
Mitigation: Safe RET
同じホスト上で仮想マシンを起動した後、仮想マシンは spec_rstack_overflow パラメーターの脆弱性を検出します。ログのパラメーターをクエリーすると、次のメッセージが表示されます。
# cat /sys/devices/system/cpu/vulnerabilities/spec_rstack_overflow
Vulnerable: Safe RET, no microcode
ただし、これは誤った警告メッセージであり、仮想マシン内の /sys/devices/system/cpu/vulnerabilities/spec_rstack_overflow ファイルのステータスは無視できます。
Jira:RHEL-17614[1]
e1000e または igb モデルインターフェイスのステータスが down の場合でも、リンクステータスは仮想マシン上に up と表示されます。
仮想マシンを起動する前に、e1000 または igb モデルのネットワークインターフェイスのイーサネットリンクのステータスを down に設定します。設定したにもかかわらず、仮想マシンの起動後、ネットワークインターフェイスは up ステータスを維持します。これは、イーサネットリンクのステータスを down に設定し、仮想マシンを停止して再起動すると、自動的に up に設定されるためです。その結果、ネットワークインターフェイスの正しい状態が維持されません。
回避策: コマンドを使用して、仮想マシン内でネットワークインターフェイスのステータスを down に設定します。
# ip link set dev eth0 downまたは、仮想マシンの実行中にこのネットワークインターフェイスを削除して再度追加してみることもできます。
SeaBIOS が 4096 バイトのセクターサイズのディスクから起動できない
SeaBIOS を使用して、論理または物理セクターサイズが 4096 バイトのディスクから仮想マシン (VM) を起動すると、起動ディスクが使用可能として表示されず、仮想マシンの起動が失敗します。このようなディスクから仮想マシンを起動するには、SeaBIOS ではなく UEFI を使用します。
AMD SEV-SNP を搭載した仮想マシンで Kdump が失敗する
現在、Secure Nested Paging (SNP) 機能を備えた AMD Secure Encrypted Virtualization (SEV) を使用する RHEL 9 仮想マシン (VM) では kdump が失敗します。現在、この問題に対する回避策はありません。
Jira:RHEL-10019[1]
CPU あたり 128 を超えるコアを使用すると、起動時に Windows Server 2019 仮想マシンがクラッシュする
現在、Windows Server 2019 ゲストオペレーティングシステムを使用する仮想マシン (VM) は、単一の仮想 CPU (vCPU) に 128 を超えるコアを使用するように設定されている場合、起動に失敗します。仮想マシンは、起動する代わりに青い画面で停止エラーを表示します。
回避策: 仮想 CPU あたり 128 コア未満を使用します。
Jira:RHELDOCS-18863[1]
VBS と IOMMU デバイスを搭載した Windows 仮想マシンが起動に失敗する
Virtualization Based Security (VBS) が有効で、Input-Output Memory Management Unit (IOMMU) デバイスが qemu-kvm ユーティリティーを使用して Windows 仮想マシンを起動すると、起動シーケンスで起動画面のみが表示され、起動プロセスが不完全になります。
回避策: 仮想マシンドメイン XML が以下のように設定されていることを確認します。
<features>
<ioapic driver='qemu'/>
</features>
<devices>
<iommu model='intel'>
<driver intremap='on' eim='off' aw_bits='48'/>
<alias name='iommu0'/>
</iommu>
<memballoon model='virtio'>
<alias name='balloon0'/>
<address type='pci' domain='0x0000' bus='0x03' slot='0x00' function='0x0'/>
<driver iommu='on' ats='on'/>
</memballoon>
</devices>そうしないと、Windows 仮想マシンは起動できません。
Jira:RHEL-45585[1]
--migrate-disks-detect-zeroes オプションは仮想マシン移行では機能しない可能性がある
現在、RHEL 9 で仮想マシン (VM) を移行する場合、--migrate-disks-detect-zeroes オプションが機能せず、指定されたディスク上のゼロブロックが検出されずに移行が続行される可能性があります。この問題は、ミラーリングジョブがホールパンチに依存していたため、結果として宛先ファイルがスパースファイルになる QEMU のバグによって発生します。
大量の起動可能なデータディスクを持つ仮想マシンは起動に失敗する可能性がある
大量の起動可能なデータディスクを持つ仮想マシン (VM) を起動しようとすると、仮想マシンは Something has gone seriously wrong: import_mok_state() failed: Volume Full エラーを表示して、起動に失敗する可能性があります。
回避策: 起動可能なデータディスクの数を減らし、システムディスクを 1 つ使用します。システムディスクがブート順序の最初になるようにするには、XML 設定でシステムディスクのデバイス定義に boot order=1 を追加します。以下に例を示します。
<disk type='file' device='disk'>
<driver name='qemu' type='qcow2'/>
<source file='/path/to/disk.qcow2'/>
<target dev='vda' bus='virtio'/>
<boot order='1'/>
</disk>システムディスクのみに起動順序を設定します。
破棄 I/O 要求を送信する仮想マシンは、discard_granularity が設定されていない場合に一時停止する可能性があります。
ホストカーネルは不整合の破棄 I/O 要求を失敗し、QEMU は werror= policy パラメーターを使用してこのような失敗に応答します。werror が stop: werror=stop に設定されている場合、破棄要求が失敗すると仮想マシン (VM) が一時停止します。この状況を修正して仮想マシンを再開する方法がないため、この状況は通常、望ましくありません。
回避策: virtio-blk ディスクおよび virtio-scsi ディスクの discard_granularity パラメーターが設定され、ホストの /sys/block/<blkdev>/queue/discard_granularity の値と一致していることを確認します。これにより、仮想マシンはアライメント制約を認識するようになり、破棄要求が適切にアライメントされて失敗しなくなります。
Jira:RHEL-86032[1]
Windows 2025 仮想マシンは、多くの仮想 CPU を割り当てると動作が遅くなる
Red Hat Enterprise Linux ホスト上で、32 個以上の仮想 CPU を割り当てると、Windows Server 2025 の仮想マシン (VM) の動作が遅くなります。その結果、仮想マシンに多数の仮想 CPU が設定されている場合、Windows 仮想マシンの起動が遅くなったり、起動中に停止したりすることがあります。
回避策: この回避策の実行は、お客様ご自身の責任で行ってください。仮想 CPU の数が少ない仮想マシンを起動して、Windows Server の platformclock を無効にします。管理者特権を持つシェルプロンプトで、次のコマンドを実行します。
bcdedit /set useplatformclock no
次に、仮想マシンをシャットダウンし、必要な数の仮想 CPU で再設定します。また、大規模な仮想マシンを再度起動する前に、hv-time オプションが有効になっていることを確認してください。
Jira:RHEL-62742[1]
virtiofs 共有ディレクトリーで開いているファイルが多すぎると、vrtiofsd プロセスがクラッシュする可能性があります。
仮想マシン (VM) から、開いているファイルが大量にある virtiofs 共有ディレクトリーにアクセスすると、Too many open files エラーが発生して操作が失敗し、virtiofsd プロセスがクラッシュする可能性があります。
回避策: 次のいずれかの手順を試してください。
-
virtiofsdを root として実行し、--inode-file-handles=mandatoryコマンドラインオプションを使用します。 -
--cache=neverコマンドラインオプションを使用します。 -
--rlimit-nofileコマンドラインオプションを使用して、virtiofsdが使用できるファイル記述子の数を増やします。
Jira:RHEL-87161[1]
大容量メモリーを搭載した仮想マシンは、AMD Genoa CPU を搭載した SEV-SNP ホストでは起動できない
現在、第 4 世代 AMD EPYC プロセッサー (Genoa とも呼ばれる) を使用し、AMD Secure Encrypted Virtualization with Secure Nested Paging (SEV-SNP) 機能が有効になっているホストでは、仮想マシン (VM) を起動できません。起動する代わりに、仮想マシンでカーネルパニックが発生します。
Jira:RHEL-32892[1]
VirtIO-Win バンドルのインストールはキャンセルできない
現在、Windows ゲストオペレーティングシステムで VirtIO-Win インストーラーバンドルから virtio-win ドライバーのインストールを開始すると、インストール中に Cancel ボタンをクリックしてもインストールが正しく中止されません。インストーラーウィザードインターフェイスに "Setup Failed" という画面が表示されますが、ドライバーはインストールされ、ゲストの IP アドレスはリセットされます。
Jira:RHEL-53962、Jira:RHEL-53965
ハイパーバイザーの起動タイプが auto に設定されている Sapphire Rapids CPU 上で実行されている Windows 仮想マシンは、再起動時に起動に失敗する可能性があります。
Sapphire Rapids CPU 上で実行されている Windows 仮想マシン (VM) でハイパーバイザーの起動タイプを auto に設定すると、仮想マシンの再起動時に起動に失敗する可能性があります。たとえば、bcdedit /set hypervisorlaunchtype Auto コマンドを使用して、ハイパーバイザーの起動タイプを auto に設定できます。
回避策: Windows 仮想マシンでハイパーバイザーの起動タイプを auto に設定しないでください。
VBS を使用して Windows ゲストに仮想 CPU とメモリーをホットプラグできない
現在、Windows Virtualization-based Security (VBS) は、ホットプラグ CPU およびメモリーリソースと互換性がありません。その結果、VBS が有効になっている実行中の Windows 仮想マシン (VM) にメモリーまたは仮想 CPU をアタッチしようとしても、これらのリソースはゲストシステムを再起動した後にのみ仮想マシンに追加されます。
Jira:RHEL-66229、Jira:RHELDOCS-19066
IBM Z 上の仮想マシンを移行すると、ネットワーク設定が削除されることがある
現在、IBM Z ホスト間で仮想マシン (VM) を移行すると、仮想マシンのネットワーク設定がリセットされ、仮想マシン上でネットワークが利用できなくなる場合があります。この問題を回避するには、仮想マシンの移行を開始する前に vhost-net サービスを無効にします。
Jira:RHEL-43214[1]
8.18. クラウド環境の RHEL
Nutanix AHV で LVM を使用する RHEL 9 仮想マシンのクローンを作成または復元すると、ルート以外のパーティションが表示されなくなる
Nutanix AHV ハイパーバイザーをホストとする仮想マシン (VM) で RHEL 9 ゲストオペレーティングシステムを実行する場合、スナップショットから VM を復元するか VM をクローンすると、ゲストが論理ボリューム管理 (LVM) を使用している場合は VM 内の非ルートパーティションを消失させることがあります。これにより、以下の問題が発生します。
- スナップショットから仮想マシンを復元すると、仮想マシンは起動できず、緊急モードに入ります。
- クローンを作成して作成した仮想マシンは起動できず、緊急モードに入ります。
これらの問題を回避するには、仮想マシンの緊急モードで以下を行います。
-
以下の LVM システムデバイスファイルを削除します:
rm/etc/lvm/devices/system.devices -
LVM デバイス設定を再作成します:
vgimportdevices -a - 仮想マシンを再起動します。
これにより、クローン化または復元された VM を正しく起動できます。
または、問題が発生しないようにするには、VM のクローンを作成する前、または VM のスナップショットを作成する前に、次の手順を実行します。
-
/etc/lvm/lvm.confファイル内のuse_devicesfile = 0行のコメントを解除します。 initramfsを再生成します。これを行うには、仮想マシンで次の手順を実行し、<kernelVersion> を再構築するカーネルの完全なバージョンに置き換えます。現在の
initramfs設定をバックアップします。# cp /boot/initramfs-<kernelVersion>.img /boot/initramfs-<kernelVersion>.img.bakinitramfsをビルドします。# dracut -f /boot/initramfs-<kernelVersion>.img <kernelVersion>
- 仮想マシンを再起動して、正常に起動したことを確認します。
Jira:RHELPLAN-114103[1]
ESXi で RHEL 9 ゲストをカスタマイズすると、ネットワークの問題が発生することがある
現在、VMware ESXi ハイパーバイザーでの RHEL 9 ゲストオペレーティングシステムのカスタマイズは、NetworkManager キーファイルでは正しく機能しません。その結果、ゲストがそのようなキーファイルを使用している場合、IP アドレスやゲートウェイなどのネットワーク設定が正しくなくなります。
回避策: VMware のナレッジベース を参照してください。
Jira:RHELPLAN-106947[1]
cloud-init によってプロビジョニングされ、NFSv3 マウントエントリーで設定された場合、Azure で RHEL インスタンスが起動しない
現在、仮想マシンが cloud-init ツールによってプロビジョニングされ、仮想マシンのゲストオペレーティングシステムで /etc/fstab ファイルに NFSv3 マウントエントリーがある場合、Microsoft Azure クラウドプラットフォームで RHEL 仮想マシンの起動に失敗します。現在、この問題に対する回避策はありません。
Jira:RHELPLAN-120807[1]
kmemleak オプションが有効になっていると、大規模な仮想マシンがデバッグカーネルで起動できない場合がある
RHEL 9 仮想マシンをデバッグカーネルで起動しようとすると、マシンカーネルが kmemleak=on 引数を使用している場合、次のエラーで起動が失敗することがあります。
Cannot open access to console, the root account is locked.
See sulogin(8) man page for more details.
Press Enter to continue.この問題は主に、ブートシーケンスに多くの時間を費やす大規模な仮想マシンに影響します。
回避策: マシン上の /etc/fstab ファイルを編集し、/boot および /boot/efi マウントポイントにさらなるタイムアウトオプションを追加します。以下に例を示します。
UUID=e43ead51-b364-419e-92fc-b1f363f19e49 /boot xfs defaults,x-systemd.device-timeout=600,x-systemd.mount-timeout=600 0 0
UUID=7B77-95E7 /boot/efi vfat defaults,uid=0,gid=0,umask=077,shortname=winnt,x-systemd.device-timeout=600,x-systemd.mount-timeout=600 0 2Jira:RHELDOCS-16979[1]
Hyper-V enlightenments を有効にしても CPU の最適化が改善されない場合がある
Windows ゲストオペレーティングシステムを使用する仮想マシン (VM) では、Hyper-V enlightenments を有効にしても、仮想マシンの CPU 使用率が期待どおりに改善されない場合があります。現在、この問題に対する回避策はありません。
Jira:RHEL-17331[1]
メモリーサイズがメモリーブロックサイズと一致していない場合でも、VMware でメモリーのホットプラグが可能
現在、アタッチされたメモリーサイズが個々のメモリーブロックのサイズと一致していない場合でも、VMware ハイパーバイザー上の RHEL 9 ゲストに対して、メモリーのホットプラグを試みることが可能です。ただし、この方法でメモリーをアタッチすると、Block size unaligned hotplug range エラーが発生し、常に失敗します。
回避策: ゲスト上で設定されたメモリーブロックサイズで割り切れるメモリーのみをホットプラグしてください。メモリーブロックサイズを取得するには、lsmem コマンドを使用します。詳細は、Red Hat ナレッジベースの記事 を参照してください。
Jira:RHEL-81748[1]
KVM 仮想化と OVMF を備えたネストされた仮想マシンは、AMD EPYC プロセッサーを使用すると Azure または Hyper-V で起動に失敗する
AMD EPYC プロセッサーを使用している Azure クラウドまたは Hyper-V 環境において、KVM 仮想化を有効にした RHEL 仮想マシン上で、Open Virtual Machine Firmware (OVMF) を使用したネストされた仮想マシンは起動に失敗します。仮想マシンは起動に失敗し、次のログメッセージが表示されます。
Code=qemu-kvm: ../hw/core/cpu-sysemu.c:76 Aborted (core dumped) .回避策: AMD EPYC プロセッサーを使用せずに起動してみてください。
Jira:RHEL-29919[1]
BIOS または UEFI でサポートされている Hyper-V Windows Server 2016 仮想マシンは、ホストが AMD EPYC CPU プロセッサーを使用している場合、起動に失敗する
Hyper-V が有効化されている設定では、Hyper-V Windows Server 2016 仮想マシンは AMD EPYC CPU ホスト上で起動できません。
回避策: 次のログメッセージを確認します。
kvm: Booting SMP Windows KVM VM with !XSAVES && XSAVEC.
If it fails to boot try disabling XSAVEC in the VM config.
また、Hyper-V Windows Server 2016 仮想マシンを起動するために、xsavec=off の -cpu cmdline への追加を試みます。
Jira:RHEL-38957[1]
Azure Confidential 仮想マシンで kdump の完了に失敗する
Azure Confidential VM インスタンスの Red Hat Enterprise Linux 仮想マシンでカーネルクラッシュが発生した場合 (この場合は DCv5 と ECv5 シリーズ)、kdump プロセスが完了せず、仮想マシンが応答しなくなることがあります。その結果、強制的な再起動後に、vmcore-incomplete ファイルが作成されます。
Jira:RHEL-70228[1]
8.19. サポート性
IBM Power Systems (Little Endian) で sos report を実行するとタイムアウトする
数百または数千の CPU を搭載した IBM Power Systems (リトルエンディアン) で sos report コマンドを実行すると、/sys/devices/system/cpu ディレクトリーの膨大なコンテンツを収集する際のプロセッサープラグインはデフォルトのタイムアウトである 300 秒に達します。回避策として、それに応じてプラグインのタイムアウトを増やします。
- 1 回限りの設定の場合は、次を実行します。
# sos report -k processor.timeout=1800-
永続的な変更を行うには、
/etc/sos/sos.confファイルの[plugin_options]セクションを編集します。
[plugin_options]
# Specify any plugin options and their values here. These options take the form
# plugin_name.option_name = value
#rpm.rpmva = off
processor.timeout = 1800値の例は 1800 に設定されています。特定のタイムアウト値は、特定のシステムに大きく依存します。プラグインのタイムアウトを適切に設定するには、次のコマンドを実行して、タイムアウトなしで 1 つのプラグインを収集するために必要な時間を最初に見積もることができます。
# time sos report -o processor -k processor.timeout=0 --batch --buildJira:RHELPLAN-51452[1]
8.20. コンテナー
古いコンテナーイメージ内で systemd を実行すると動作しない
古いコンテナーイメージ (例:centos:7) で systemd を実行しても動作しません。
$ podman run --rm -ti centos:7 /usr/lib/systemd/systemd
Storing signatures
Failed to mount cgroup at /sys/fs/cgroup/systemd: Operation not permitted
[!!!!!!] Failed to mount API filesystems, freezing.回避策: 以下のコマンドを使用してください。
# mkdir /sys/fs/cgroup/systemd
# mount none -t cgroup -o none,name=systemd /sys/fs/cgroup/systemd
# podman run --runtime /usr/bin/crun --annotation=run.oci.systemd.force_cgroup_v1=/sys/fs/cgroup --rm -ti centos:7 /usr/lib/systemd/systemdJira:RHELPLAN-96940[1]
ルートファイルシステムはデフォルトでは拡張されない
cloud-init を含まないベースコンテナーイメージを使用して、bootc-image-builder を使用して AMI または QCOW2 コンテナーイメージを作成すると、起動時にルートファイルシステムのサイズがプロビジョニングされた仮想ディスクのフルサイズまで動的に拡張されません。
回避策: 以下の使用可能なオプションのいずれかを適用します。
-
イメージに
cloud-initを含めます。 - コンテナーイメージにカスタムロジックを含めて、ルートファイルシステムを拡張します。次に例を示します。
/usr/bin/growpart /dev/vda 4
unshare -m bin/sh -c 'mount -o remount,rw /sysroot && xfs_growfs /sysroot'-
/var/lib/containersなどのセカンダリーファイルシステムに追加のスペースを使用するためのカスタムロジックを含めます。
デフォルトでは、物理ルートストレージは /sysroot パーティションにマウントされます。
LVM としてマークされた Azure 上の RHEL イメージでは、デフォルトのレイアウトのサイズ変更が必要
Azure で system-reinstall-bootc または bootc install を使用する場合、LVM としてマークされた RHEL イメージでは、デフォルトのレイアウトのサイズを変更する必要があります。
回避策: RAW というラベルの付いた RHEL イメージを使用します。この場合、デフォルトのレイアウトのサイズを変更する必要はありません。
Jira:RHELDOCS-19945[1]
FIPS 対応ホストで FIPS bootc イメージの作成が失敗する
FIPS モードを有効にした Podman を使用してホスト上にディスクイメージを構築すると、update-crypto-policies パッケージが原因で終了コード 3 で失敗します。
# Enable the FIPS crypto policy
# crypto-policies-scripts is not installed by default in RHEL-10
RUN dnf install -y crypto-policies-scripts && update-crypto-policies --no-reload --set FIPS回避策: FIPS モードを無効にして bootc イメージをビルドします。
ディスク容量が不足すると、デプロイメントに失敗する可能性がある
十分な空きディスク容量がないパッケージモードシステムに bootc コンテナーイメージをデプロイすると、インストールエラーが発生し、システムが起動しなくなる可能性があります。デプロイメント前に、イメージをインストールするための十分なディスク容量が利用可能であり、プロビジョニングされた論理ボリュームを調整できることを確認します。
Jira:RHELDOCS-19948[1]
8.21. Lightspeed
設定ファイルの変更がすぐに適用されない
etc/xdg/command-line-assistant/config.toml 設定ファイルに変更を加えると、変更がすぐに適用されるのではなく、コマンドラインアシスタントデーモンが変更を認識するまでに約 30 - 60 秒かかります。コマンドラインアシスタントには、リロード機能もありません。
この問題を回避するには、次の手順に従います。
-
config.toml設定ファイルに必要な変更を加えます。 - 以下のコマンドを実行します。
$ sudo systemctl restart cladJira:RHELDOCS-20021[1]
設定ファイルの変更がすぐに適用されない
etc/xdg/command-line-assistant/config.toml 設定ファイルに変更を加えると、変更がすぐに適用されるのではなく、コマンドラインアシスタントデーモンが変更を認識するまでに約 30 - 60 秒かかります。コマンドラインアシスタントには、reload 機能もありません。
回避策: 次の手順に従ってください。
-
config.toml設定ファイルに必要な変更を加えます。 - 以下のコマンドを実行します。
# systemctl restart cladJira:RHELDOCS-19734[1]
第9章 利用可能な BPF 機能
この章では、このバージョンの Red Hat Enterprise Linux 9 で利用可能な Berkeley Packet Filter (BPF) 機能の完全なリストを提供します。表には次のリストが含まれます。
この章には、bpftool feature コマンドの自動生成された出力が含まれています。
| オプション | 値 |
|---|---|
| unprivileged_bpf_disabled | 2 (特権ユーザーに限定された bpf() syscall、管理者は変更可能) |
| bpf_jit_enable | 1 (有効) |
| bpf_jit_harden | 1 (有効) |
| bpf_jit_kallsyms | 1 (有効) |
| bpf_jit_limit | 528482304 |
| CONFIG_BPF | y |
| CONFIG_BPF_SYSCALL | y |
| CONFIG_HAVE_EBPF_JIT | y |
| CONFIG_BPF_JIT | y |
| CONFIG_BPF_JIT_ALWAYS_ON | y |
| CONFIG_DEBUG_INFO_BTF | y |
| CONFIG_DEBUG_INFO_BTF_MODULES | y |
| CONFIG_CGROUPS | y |
| CONFIG_CGROUP_BPF | y |
| CONFIG_CGROUP_NET_CLASSID | y |
| CONFIG_SOCK_CGROUP_DATA | y |
| CONFIG_BPF_EVENTS | y |
| CONFIG_KPROBE_EVENTS | y |
| CONFIG_UPROBE_EVENTS | y |
| CONFIG_TRACING | y |
| CONFIG_FTRACE_SYSCALLS | y |
| CONFIG_FUNCTION_ERROR_INJECTION | y |
| CONFIG_BPF_KPROBE_OVERRIDE | n |
| CONFIG_NET | y |
| CONFIG_XDP_SOCKETS | y |
| CONFIG_LWTUNNEL_BPF | y |
| CONFIG_NET_ACT_BPF | m |
| CONFIG_NET_CLS_BPF | m |
| CONFIG_NET_CLS_ACT | y |
| CONFIG_NET_SCH_INGRESS | m |
| CONFIG_XFRM | y |
| CONFIG_IP_ROUTE_CLASSID | y |
| CONFIG_IPV6_SEG6_BPF | y |
| CONFIG_BPF_LIRC_MODE2 | n |
| CONFIG_BPF_STREAM_PARSER | y |
| CONFIG_NETFILTER_XT_MATCH_BPF | m |
| CONFIG_BPFILTER | n |
| CONFIG_BPFILTER_UMH | n |
| CONFIG_TEST_BPF | m |
| CONFIG_HZ | 1000 |
| bpf() syscall | available |
| 大きなプログラムサイズの制限 | available |
| 有界ループのサポート | available |
| ISA エクステンション v2 | available |
| ISA エクステンション v3 | available |
| プログラムの種類 | 利用可能なヘルパー |
|---|---|
| socket_filter | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_perf_event_output, bpf_skb_load_bytes, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_get_socket_uid, bpf_skb_load_bytes_relative, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| kprobe | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_perf_event_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_send_signal, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_get_ns_current_pid_tgid, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_get_task_stack, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_get_attach_cookie, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| sched_cls | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_skb_store_bytes, bpf_l3_csum_replace, bpf_l4_csum_replace, bpf_tail_call, bpf_clone_redirect, bpf_get_cgroup_classid, bpf_skb_vlan_push, bpf_skb_vlan_pop, bpf_skb_get_tunnel_key, bpf_skb_set_tunnel_key, bpf_redirect, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_get_tunnel_opt, bpf_skb_set_tunnel_opt, bpf_skb_change_proto, bpf_skb_change_type, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_change_tail, bpf_skb_pull_data, bpf_csum_update, bpf_set_hash_invalid, bpf_get_numa_node_id, bpf_skb_change_head, bpf_get_socket_cookie, bpf_get_socket_uid, bpf_set_hash, bpf_skb_adjust_room, bpf_skb_get_xfrm_state, bpf_skb_load_bytes_relative, bpf_fib_lookup, bpf_skb_cgroup_id, bpf_get_current_cgroup_id, bpf_skb_ancestor_cgroup_id, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_sk_fullsock, bpf_tcp_sock, bpf_skb_ecn_set_ce, bpf_get_listener_sock, bpf_skc_lookup_tcp, bpf_tcp_check_syncookie, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_tcp_gen_syncookie, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_sk_assign, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_csum_level, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_skb_cgroup_classid, bpf_redirect_neigh, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_redirect_peer, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_check_mtu, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_skb_set_tstamp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_tcp_raw_gen_syncookie_ipv4, bpf_tcp_raw_gen_syncookie_ipv6, bpf_tcp_raw_check_syncookie_ipv4, bpf_tcp_raw_check_syncookie_ipv6, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| sched_act | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_skb_store_bytes, bpf_l3_csum_replace, bpf_l4_csum_replace, bpf_tail_call, bpf_clone_redirect, bpf_get_cgroup_classid, bpf_skb_vlan_push, bpf_skb_vlan_pop, bpf_skb_get_tunnel_key, bpf_skb_set_tunnel_key, bpf_redirect, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_get_tunnel_opt, bpf_skb_set_tunnel_opt, bpf_skb_change_proto, bpf_skb_change_type, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_change_tail, bpf_skb_pull_data, bpf_csum_update, bpf_set_hash_invalid, bpf_get_numa_node_id, bpf_skb_change_head, bpf_get_socket_cookie, bpf_get_socket_uid, bpf_set_hash, bpf_skb_adjust_room, bpf_skb_get_xfrm_state, bpf_skb_load_bytes_relative, bpf_fib_lookup, bpf_skb_cgroup_id, bpf_get_current_cgroup_id, bpf_skb_ancestor_cgroup_id, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_sk_fullsock, bpf_tcp_sock, bpf_skb_ecn_set_ce, bpf_get_listener_sock, bpf_skc_lookup_tcp, bpf_tcp_check_syncookie, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_tcp_gen_syncookie, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_sk_assign, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_csum_level, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_skb_cgroup_classid, bpf_redirect_neigh, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_redirect_peer, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_check_mtu, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_skb_set_tstamp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_tcp_raw_gen_syncookie_ipv4, bpf_tcp_raw_gen_syncookie_ipv6, bpf_tcp_raw_check_syncookie_ipv4, bpf_tcp_raw_check_syncookie_ipv6, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| tracepoint | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_perf_event_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_send_signal, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_get_ns_current_pid_tgid, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_get_task_stack, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_get_attach_cookie, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| xdp | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_redirect, bpf_perf_event_output, bpf_csum_diff, bpf_get_current_task, bpf_get_numa_node_id, bpf_xdp_adjust_head, bpf_redirect_map, bpf_xdp_adjust_meta, bpf_xdp_adjust_tail, bpf_fib_lookup, bpf_get_current_cgroup_id, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_skc_lookup_tcp, bpf_tcp_check_syncookie, bpf_strtol, bpf_strtoul, bpf_tcp_gen_syncookie, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_check_mtu, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_xdp_get_buff_len, bpf_xdp_load_bytes, bpf_xdp_store_bytes, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_tcp_raw_gen_syncookie_ipv4, bpf_tcp_raw_gen_syncookie_ipv6, bpf_tcp_raw_check_syncookie_ipv4, bpf_tcp_raw_check_syncookie_ipv6, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| perf_event | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_perf_event_read_value, bpf_perf_prog_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_send_signal, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_read_branch_records, bpf_get_ns_current_pid_tgid, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_get_task_stack, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_get_attach_cookie, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_skb | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_perf_event_output, bpf_skb_load_bytes, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_get_socket_uid, bpf_skb_load_bytes_relative, bpf_skb_cgroup_id, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_skb_ancestor_cgroup_id, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_sk_fullsock, bpf_tcp_sock, bpf_skb_ecn_set_ce, bpf_get_listener_sock, bpf_skc_lookup_tcp, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_sk_cgroup_id, bpf_sk_ancestor_cgroup_id, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_sock | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_netns_cookie, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_get_retval, bpf_set_retval, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| lwt_in | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_cgroup_classid, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_pull_data, bpf_get_numa_node_id, bpf_lwt_push_encap, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| lwt_out | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_cgroup_classid, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_pull_data, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| lwt_xmit | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_skb_store_bytes, bpf_l3_csum_replace, bpf_l4_csum_replace, bpf_tail_call, bpf_clone_redirect, bpf_get_cgroup_classid, bpf_skb_get_tunnel_key, bpf_skb_set_tunnel_key, bpf_redirect, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_get_tunnel_opt, bpf_skb_set_tunnel_opt, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_change_tail, bpf_skb_pull_data, bpf_csum_update, bpf_set_hash_invalid, bpf_get_numa_node_id, bpf_skb_change_head, bpf_lwt_push_encap, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_csum_level, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| sock_ops | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_setsockopt, bpf_sock_map_update, bpf_getsockopt, bpf_sock_ops_cb_flags_set, bpf_sock_hash_update, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_tcp_sock, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_netns_cookie, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_load_hdr_opt, bpf_store_hdr_opt, bpf_reserve_hdr_opt, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| sk_skb | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_skb_store_bytes, bpf_tail_call, bpf_perf_event_output, bpf_skb_load_bytes, bpf_get_current_task, bpf_skb_change_tail, bpf_skb_pull_data, bpf_get_numa_node_id, bpf_skb_change_head, bpf_get_socket_cookie, bpf_get_socket_uid, bpf_skb_adjust_room, bpf_sk_redirect_map, bpf_sk_redirect_hash, bpf_get_current_cgroup_id, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_skc_lookup_tcp, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_device | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| sk_msg | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_msg_redirect_map, bpf_msg_apply_bytes, bpf_msg_cork_bytes, bpf_msg_pull_data, bpf_msg_redirect_hash, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_msg_push_data, bpf_msg_pop_data, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_netns_cookie, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| raw_tracepoint | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_perf_event_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_send_signal, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_get_ns_current_pid_tgid, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_get_task_stack, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_sock_addr | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_setsockopt, bpf_getsockopt, bpf_bind, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_skc_lookup_tcp, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_netns_cookie, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_get_retval, bpf_set_retval, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| lwt_seg6local | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_cgroup_classid, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_pull_data, bpf_get_numa_node_id, bpf_lwt_seg6_store_bytes, bpf_lwt_seg6_adjust_srh, bpf_lwt_seg6_action, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| lirc_mode2 | サポート対象外 |
| sk_reuseport | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_skb_load_bytes, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_skb_load_bytes_relative, bpf_get_current_cgroup_id, bpf_sk_select_reuseport, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| flow_dissector | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_skb_load_bytes, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_sysctl | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_sysctl_get_name, bpf_sysctl_get_current_value, bpf_sysctl_get_new_value, bpf_sysctl_set_new_value, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| raw_tracepoint_writable | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_perf_event_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_send_signal, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_get_ns_current_pid_tgid, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_get_task_stack, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_sockopt | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_tcp_sock, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_netns_cookie, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_get_retval, bpf_set_retval, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| tracing | |
| struct_ops | |
| ext | |
| lsm | |
| sk_lookup | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_sk_assign, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| syscall | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_get_socket_cookie, bpf_perf_event_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_send_signal, bpf_skb_output, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_get_ns_current_pid_tgid, bpf_xdp_output, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_get_task_stack, bpf_d_path, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_sock_from_file, bpf_for_each_map_elem, bpf_snprintf, bpf_sys_bpf, bpf_btf_find_by_name_kind, bpf_sys_close, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_skc_to_unix_sock, bpf_kallsyms_lookup_name, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_xdp_get_buff_len, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| netfilter | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| マップの種類 | Available |
|---|---|
| ハッシュ | はい |
| array | はい |
| prog_array | はい |
| perf_event_array | はい |
| percpu_hash | はい |
| percpu_array | はい |
| stack_trace | はい |
| cgroup_array | はい |
| lru_hash | はい |
| lru_percpu_hash | はい |
| lpm_trie | はい |
| array_of_maps | はい |
| hash_of_maps | はい |
| devmap | はい |
| sockmap | はい |
| cpumap | はい |
| xskmap | はい |
| sockhash | はい |
| cgroup_storage | はい |
| reuseport_sockarray | はい |
| percpu_cgroup_storage | はい |
| queue | はい |
| stack | はい |
| sk_storage | はい |
| devmap_hash | はい |
| struct_ops | はい |
| ringbuf | はい |
| inode_storage | はい |
| task_storage | はい |
| bloom_filter | はい |
| user_ringbuf | はい |
| cgrp_storage | はい |
| arena_map | はい |
付録A コンポーネント別のチケットリスト
参考のために、Bugzilla および JIRA チケットのリストをこのドキュメントに記載します。リンクをクリックすると、チケットを説明したこのドキュメントのリリースノートにアクセスできます。
付録B 改訂履歴
0.0-72025 年 11 月 20 日木曜日、Valentina Ashirova (vaahiro@redhat.com)
- 既知の問題 RHELPLAN-118420 (インストーラーおよびイメージの作成) を移動しました。
- バグ修正 RHEL-59444 (シェルよびコマンドラインツール) を更新しました。
- 既知の問題 RHELDOCS-17720 (Red Hat Enterprise Linux システムロール) を削除しました。
0.0-62025 年 10 月 30 日木曜日、Valentina Ashirova (vaashiro@redhat.com)
- 概要 - インストーラーおよびイメージ作成セクションを更新しました。
0.0-52025 年 10 月 9 日木曜日、Gabriela Fialová (gfialova@redhat.com)
- 非推奨の機能 RHELDOCS-20097 (カーネル) を追加しました
0.0-42025 年 9 月 3 日水曜日、Gabriela Fialová (gfialova@redhat.com)
- 非推奨の機能 RHELDOCS-17532 (セキュリティー) を更新しました
0.0-32025 年 8 月 5 日火曜日、Gabriela Fialová (gfialova@redhat.com)
- 既知の問題 RHELDOCS-20196 (デスクトップ) を追加しました。
0.0-22025 年 7 月 30 日水曜日、Gabriela Fialová (gfialova@redhat.com)
- 既知の問題 RHEL-43214 (仮想化) を追加しました。
- 非推奨の機能 RHELDOCS-20718 (コンテナー) を追加しました。
0.0-12025 年 7 月 15 日火曜日、Gabriela Fialová (gfialova@redhat.com)
- Customer Portal Labs セクションを更新しました。
- リベース RHEL-101074 (コンパイラーと開発ツール) を追加しました。
0.0-02025 年 5 月 20 日 (火) Gabriela Fialová (gfialova@redhat.com)
- Red Hat Enterprise Linux 9.6 リリースノートのリリース。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}