Red Hat Summit9.7 リリースノート
Red Hat Enterprise Linux 9.7 リリースノート
概要
Red Hat ドキュメントへのフィードバック (英語のみ)
Red Hat ドキュメントに関するご意見やご感想をお寄せください。また、改善点があればお知らせください。
Jira からのフィードバック送信 (アカウントが必要)
- Jira の Web サイトにログインします。
- 上部のナビゲーションバーで Create をクリックします。
- Summary フィールドにわかりやすいタイトルを入力します。
- Description フィールドに、ドキュメントの改善に関するご意見を記入してください。ドキュメントの該当部分へのリンクも追加してください。
- ダイアログの下部にある Create をクリックします。
第1章 概要
1.1. RHEL 9.7 における主な変更点
インストーラーおよびイメージの作成
RHEL Image Builder の主なハイライト:
- RHEL Image Builder を使用して、高度なパーティションでディスクイメージを作成できます。
- ISO イメージのビルド時にキックスタートファイルを注入できるように、ブループリントをカスタマイズできます。
-
RHEL Image Builder で作成されたシステムイメージ (AWS や KVM 形式など) には、個別の
/bootパーティションがありません。 - RHEL Image Builder が WSL2 イメージをサポートするようになりました
詳細は、新機能 - インストーラーとイメージの作成 を参照してください。
セキュリティー
システム全体の 暗号化ポリシー に、耐量子計算機暗号化 (PQC) アルゴリズムを有効にする PQ サブポリシーが導入されています。このポリシーには、アプリケーションで PQC をサポートするための改良点が多数含まれています。
OpenSSL 3.5 で、ML-KEM、ML-DSA、および SLH-DSA 耐量子計算機アルゴリズム のサポートが導入され、ハイブリッド ML-KEM アルゴリズムがデフォルトの TLS グループリストに追加されました。
詳細は、新機能 - セキュリティー を参照してください。
カーネル
RHEL 9.7 で、パフォーマンス分析とエネルギーテレメトリーを強化するカーネル領域の改良点が追加されました。更新には、rng-tools のジッターエントロピーソースの改良、アップストリームの v6.14 および v6.15 に合わせた perf および BPF の更新、uncore および core イベントカウンターの拡張、Intel RAPL のエネルギーイベント、Intel Trace Hub (NPK) デバイス ID、およびクラッシュ分析と python-drgn ツールの更新が含まれます。一部の環境では、NVMe 名前空間への NVMe-TCP kdump が失敗することがあります。この制限事項が適用される場合には、注意して運用してください。
動的プログラミング言語、Web サーバー、およびデータベースサーバー
次の Application Streams の新しいバージョンが利用可能になりました。
- Node.js 24
詳細は、新機能 - 動的プログラミング言語、Web サーバー、およびデータベースサーバー、および テクノロジープレビュー - 動的プログラミング言語、Web サーバー、およびデータベースサーバー を参照してください。
コンパイラーおよび開発ツール
更新されたシステムツールチェーン
以下のシステムツールチェインコンポーネントが更新されました。
- Glibc 2.34
- Annobin 12.98
パフォーマンスツールとデバッガーの更新
RHEL 9.7 では、次のパフォーマンスツールとデバッガーが更新されました。
- GDB 16.3
- Valgrind 3.25.1
- SystemTap 5.3
- Dyninst 13.0.0
- elfutils 0.193
- libabigail 2.8
更新されたパフォーマンスモニタリングツール
RHEL 9.7 では、次のパフォーマンスモニタリングツールが更新されました。
- PCP 6.3.7
- Grafana 10.2.6
.NET 10.0 が RHEL で利用可能になりました
Red Hat Enterprise Linux (RHEL) は、自動メモリー管理と最新のプログラミング言語を備えた汎用開発プラットフォームである .NET をサポートしており、高品質のアプリケーションを効率的に構築できます。この更新により、最新バージョンである .NET 10.0 (Long-Term Support) のサポートが追加され、RHEL で利用可能なバージョンが拡充されました。サポートされているその他のバージョンには、.NET 9.0 (Standard-Term Support) と、以前の長期サポートバージョンである .NET 8.0 があります。
詳細は、.NET 10.0 RPM パッケージのリリースノート および .NET 10.0 コンテナーのリリースノート を参照してください。
更新されたコンパイラーツールセット
RHEL 9.7 では、次のコンパイラーツールセットが更新されました。
GCC Toolset 15
- GCC 15.1
Binutils 2.44
Annobinとdwzは、バージョン 15 以降の GCC Toolset では提供されないことに注意してください。
- LLVM Toolset 20.1.8
- Rust Toolset 1.88.0
- Go Toolset 1.24
詳しい変更点は、新機能 - コンパイラーと開発ツール を参照してください。
Web コンソール
cockpit パッケージがバージョン 344 にアップグレードされ、Patternfly 6 システムデザインへのアップグレードをはじめとする多くの改良が加えられました。
詳細は、新機能 - Web コンソール を参照してください。
1.2. インプレースアップグレード
RHEL 8 から RHEL 9 へのインプレースアップグレード
現在サポートされているインプレースアップグレードパスは次のとおりです。
次のアーキテクチャー上の RHEL 8.10 から RHEL 9.4、9.6、および 9.7:
- 64 ビット Intel、AMD、および ARM
- IBM POWER 9 (リトルエンディアン) 以降
- z13 を除く IBM Z アーキテクチャー
- SAP HANA を使用するシステムの RHEL 8.10 から RHEL 9.4 および 9.6 へのアップグレード。
詳細は、Supported in-place upgrade paths for Red Hat Enterprise Linux を参照してください。
インプレースアップグレードの実行方法は、RHEL 8 から RHEL 9 へのアップグレード を参照してください。
SAP 環境があるシステムでインプレースアップグレードを実行する手順は、SAP 環境を RHEL 8 から RHEL 9 にインプレースアップグレードする方法 を参照してください。
以下は、主な機能拡張およびバグ修正です。
-
fapolicydソフトウェアフレームワークを使用するシステムでのインプレースアップグレードが修正されました。 -
アップグレードを実行するときに、
localpkg_gpgcheckDNF オプションが無効になります。これにより、バンドルされている必須メタパッケージleapp-deps-el10およびleapp-repository-deps-el10のインストールが可能になりました。 - LiveMode 機能がテクノロジープレビューとして導入されました。LiveMode を使用すると、標準のブートプロセスを使用してアップグレードできます。LiveMode はトラブルシューティングやテストにも使用できます。詳細は、LiveMode を使用したアップグレードの設定 を参照してください。
-
カーネルパニックを防ぐために、非推奨の
network-legacydracut モジュールを使用しているシステムのアップグレードが防止されます。 - インプレースアップグレード中に SSSD 設定が移行されます。
- Amazon Web Services (AWS)、Azure、Google Cloud 上で、Red Hat Upgrade Infrastructure (RHUI) を使用している PAYG RHEL システムのアップグレードが可能になりました。
RHEL 7 から RHEL 9 へのインプレースアップグレード
RHEL 7 から RHEL 9 へのインプレースアップグレードを直接実行することはできません。ただし、RHEL 7 から RHEL 8 へのインプレースアップグレードを実行してから、RHEL 9 への 2 回目のインプレースアップグレードを実行することはできます。詳細は、In-place upgrades over multiple RHEL major versions by using Leapp を参照してください。
1.3. Red Hat Customer Portal Labs
Red Hat Customer Portal Labs は、カスタマーポータルのセクションにあるツールセットで、https://access.redhat.com/labs/ から入手できます。Red Hat Customer Portal Labs のアプリケーションは、パフォーマンスの向上、問題の迅速なトラブルシューティング、セキュリティー問題の特定、複雑なアプリケーションの迅速なデプロイメントおよび設定に役立ちます。最も一般的なアプリケーションには、以下のものがあります。
- Registration Assistant
- Kickstart Generator
- Red Hat Product Certificates
- Red Hat CVE Checker
- Kernel Oops Analyzer
- VNC Configurator
- Red Hat Satellite Upgrade Helper
- JVM Options Configuration Tool
- Load Balancer Configuration Tool
- Ceph Placement Groups (PGs) per Pool Calculator
- Yum Repository Configuration Helper
- Red Hat Out of Memory Analyzer
- Postfix Configuration Helper
- System Unit Generator
- Rsyslog Configuration Helper
- Red Hat IdM Upgrade Helper
1.4. 関連情報
他のバージョンと比較した Red Hat Enterprise Linux 9 の 機能および制限 は、Red Hat ナレッジベースの記事 Red Hat Enterprise Linux technology capabilities and limits を参照してください。
Red Hat Enterprise Linux の ライフサイクル に関する情報は Red Hat Enterprise Linux のライフサイクル を参照してください。
パッケージマニフェスト ドキュメントは、ライセンスとアプリケーションの互換性レベルを含む、RHEL 9 の パッケージリスト を提供します。
アプリケーションの互換性レベル は、Red Hat Enterprise Linux 9: アプリケーション互換性ガイド ドキュメントで説明されています。
削除された機能を含む主な RHEL 8 と RHEL 9 の相違点 は、RHEL 9 の導入における考慮事項 で説明されています。
RHEL 8 から RHEL 9 へのインプレースアップグレード を実行する方法は、Upgrading from RHEL 8 to RHEL 9 を参照してください。
Red Hat Insights が Red Hat Lightspeed になりました。これは名称だけの変更です。これまで Red Hat Insights という名前でご利用いただいていた製品の機能、性能、および能力は、引き続き Red Hat Lightspeed という名前でご利用いただけます。Red Hat Lightspeed はすべての RHEL サブスクリプションに含まれています。これを使用すると、既知の技術的な問題をプロアクティブに特定、調査、解決できます。クライアントをインストールしてシステムをサービスに登録する方法は、Red Hat Lightspeed のドキュメントページを参照してください。
公開リリースノートには、元の追跡チケットにアクセスするためのリンクが含まれていますが、非公開リリースノートは表示できないため、リンクは含まれていません。[1]
第2章 アーキテクチャー
Red Hat Enterprise Linux 9.7 には、カーネルバージョン 5.14.0-611.5.1 が同梱されています。このカーネルは、次のアーキテクチャーをサポートしています (括弧内は最低限必要なバージョン)。
- AMD および Intel 64 ビットアーキテクチャー (x86-64-v2)
- 64 ビット ARM アーキテクチャー (ARMv8.0-A)
- IBM Power Systems (リトルエンディアン) (POWER9)
- 64 ビット IBM Z (z14)
各アーキテクチャーに適切なサブスクリプションを購入してください。詳細は Get Started with Red Hat Enterprise Linux - additional architectures を参照してください。
第3章 RHEL 9 のコンテンツの配布
3.1. インストール
Red Hat Enterprise Linux 9 は、ISO イメージを使用してインストールします。AMD64、Intel 64 ビット、64 ビット ARM、IBM Power Systems、IBM Z アーキテクチャーで、以下の 2 種類のインストールメディアが利用できます。
インストール ISO: BaseOS リポジトリーおよび AppStream リポジトリーが含まれ、リポジトリーを追加しなくてもインストールを完了できる完全インストールイメージです。Product Downloads ページでは、
Installation ISOはBinary DVDと呼ばれます。注記インストール用 ISO イメージのサイズは複数 GB であるため、光学メディア形式には適合しない場合があります。インストール ISO イメージを使用して起動可能なインストールメディアを作成する場合は、USB キーまたは USB ハードドライブを使用することが推奨されます。Image Builder ツールを使用すれば、RHEL イメージをカスタマイズできます。Image Builder の詳細は Composing a customized RHEL system image を参照してください。
- Boot ISO - インストールプログラムを起動するのに使用する最小限の ISO ブートイメージです。このオプションでは、ソフトウェアパッケージをインストールするのに、BaseOS リポジトリーおよび AppStream リポジトリーにアクセスする必要があります。リポジトリーは、Installation ISO イメージの一部です。インストール中に Red Hat CDN または Satellite に登録して、Red Hat CDN または Satellite から最新の BaseOS および AppStream コンテンツを使用することもできます。
ISO イメージのダウンロード、インストールメディアの作成、および RHEL インストールの完了の手順については、インストールメディアからの RHEL の対話型インストール ドキュメントを参照してください。自動キックスタートインストールやその他の高度なトピックについては、RHEL の自動インストール ドキュメントを参照してください。
3.2. リポジトリー
Red Hat Enterprise Linux 9 は、2 つのメインリポジトリーで配布されています。
- BaseOS
- AppStream
基本的な RHEL インストールにはどちらのリポジトリーも必要で、すべての RHEL サブスクリプションで利用できます。
BaseOS リポジトリーのコンテンツは、すべてのインストールのベースとなる、基本的なオペレーティングシステム機能のコアセットを提供します。このコンテンツは RPM 形式で提供されており、RHEL の以前のリリースと同様のサポート条件が適用されます。詳細は、対象範囲の詳細 を参照してください。
AppStream リポジトリーには、さまざまなワークロードとユースケースに対応するために、ユーザー空間アプリケーション、ランタイム言語、およびデータベースが同梱されます。
また、CodeReady Linux Builder リポジトリーは、すべての RHEL サブスクリプションで利用できます。このリポジトリーは、開発者向けの追加パッケージを提供します。CodeReady Linux Builder リポジトリーに含まれるパッケージは、サポート対象外です。
RHEL 9 リポジトリーとそれらが提供するパッケージの詳細は、パッケージマニフェスト を参照してください。
3.3. Application Streams
複数のバージョンのユーザー空間コンポーネントが Application Streams として配信され、オペレーティングシステムのコアパッケージよりも頻繁に更新されます。これにより、プラットフォームや特定のデプロイメントの基盤となる安定性に影響を及ぼさずに、RHEL をより柔軟にカスタマイズできます。
Application Streams は、通常の RPM 形式で、モジュールと呼ばれる RPM 形式への拡張として、Software Collections として、または Flatpak として利用できます。
各 Application Stream コンポーネントには、RHEL 9 と同じか、より短いライフサイクルが指定されています。RHEL のライフサイクル情報は、Red Hat Enterprise Linux のライフサイクル を参照してください。
RHEL 9 では、従来の dnf install コマンドを使用して RPM パッケージとしてインストールできる最初の Application Streams バージョンを提供することで、Application Streams エクスペリエンスを向上させています。
RPM 形式を使用する初期 Application Streams の中には、Red Hat Enterprise Linux 9 よりも短いライフサイクルのものがあります。
追加の Application Stream バージョンの中には、将来のマイナー RHEL 9 リリースで、ライフサイクルが短いモジュールとして配布されるものがあります。モジュールは、論理ユニット (アプリケーション、言語スタック、データベース、またはツールセット) を表すパッケージの集まりです。これらのパッケージはまとめてビルドされ、テストされ、そしてリリースされます。
Application Stream のどのバージョンをインストールするかを決めるには、まず Red Hat Enterprise Linux Application Stream ライフサイクル を確認してください。
代替コンパイラーやコンテナーツールなど、迅速な更新を必要とするコンテンツは、代替バージョンを並行して提供しないローリングストリームで利用できます。ローリングストリームは、RPM またはモジュールとしてパッケージ化されることがあります。
RHEL 9 で使用可能な Application Streams とそのアプリケーション互換性レベルは、パッケージマニフェスト を参照してください。アプリケーションの互換性レベルは、Red Hat Enterprise Linux 9: アプリケーション互換性ガイド ドキュメントで説明されています。
3.4. YUM/DNF を使用したパッケージ管理
Red Hat Enterprise Linux 9 では、ソフトウェアインストールは DNF により保証されます。Red Hat は、以前の RHEL のメジャーバージョンとの整合性を保つため、yum コマンドの使用を引き続きサポートします。yum の代わりに dnf と入力しても、どちらも互換性のためのエイリアスなので、コマンドは期待通りに動作します。
RHEL 8 と RHEL 9 は DNF をベースにしていますが、RHEL 7 で使用していた YUM との互換性があります。
詳細は、DNF ツールを使用したソフトウェアの管理 を参照してください。
第4章 新機能
ここでは、Red Hat Enterprise Linux 9.7 で導入された新機能と主要な機能拡張を説明します。
4.1. インストーラーおよびイメージの作成
fips=1 用の新しいブートメニューエントリーが ISO インストールに追加されました
この更新により、DVD およびブート ISO イメージによるインストールにおいて、カーネルブートオプション fips=1 を設定するための新しいブートメニューエントリーが使用可能になりました。これにより、プロセスが簡素化されます。RHEL のインストール時に FIPS モードを有効にすると、システムが FIPS で承認されたアルゴリズムと継続的な監視テストを使用してすべての鍵を生成するようになるためです。このブートオプションを使用すると、fips=1 カーネルパラメーターを使用してインストールを開始し、Federal Information Processing Standards (FIPS) 140 の要件にシステムを準拠させることができます。
ブループリントファイルのカスタマイズで、外部ソースからのファイルを参照するための URI フィールドがサポートされるようになりました
この更新により、ブループリントファイルのカスタマイズ構造に URI フィールドのサポートが追加されます。その結果、ブループリントに直接含まれているファイルだけでなく、外部の場所にあるファイルを参照して取得できるようになりました。これにより、ビルドシステムのカスタマイズの柔軟性が向上し、より適応性の高いビルドエクスペリエンスが実現します。
Jira:RHELDOCS-21016[1]
RHEL Image Builder は、Vagrant 用の新しいイメージタイプ vagrant-libvirt をサポートするようになりました
この更新により、RHEL Image Builder が libvirt ハイパーバイザーをサポートするようになり、ユーザーが Vagrant を使用して RHEL 仮想マシンを簡単に実行できるようになりました。この機能拡張により、事前設定されたイメージが提供され、一貫性のある効率的なセットアップが実現します。また、Vagrant 環境内の vagrant ユーザーに sudo 特権が付与されるため、管理タスクの管理と実行が容易になります。これらの機能拡張により、Vagrant 環境で RHEL 仮想マシンを操作する際のエクスペリエンスが、より効率的かつシームレスなものになります。
Jira:RHELDOCS-21025[1]
RHEL Image Builder GUI がモジュール化されたコンテンツの検出をサポートするようになりました
RHEL 9.7 以降の RHEL Image Builder のグラフィカルユーザーインターフェイス (GUI) では、モジュール化されたコンテンツの検出がサポートされています。この機能により、次の機能拡張が導入されます。
- RHEL OS イメージを作成するときに、RHEL Image Builder GUI を使用して、RHEL AppStream やサードパーティーのリポジトリー (たとえば、Extra Packages for Enterprise Linux (EPEL)) など、さまざまなリポジトリーからモジュール化されたコンテンツを検出して組み込むことができます。
-
RHEL のモジュール機能のサポートが強化されました。Application Streams は、DNF のモジュール機能と
modulemdメタデータを活用して、柔軟なパッケージ管理を実現します。モジュールでは、バージョンストリームとユースケースプロファイルを指定でき、デフォルトのストリームとプロファイルもサポートされています。 -
DNF モジュール実装の更新。RPM グループを指定する際に使用する
@文字構文で、モジュールストリームを有効化およびインストールできます。これにより、キックスタートファイルとの互換性が確保されます。
Jira:RHELDOCS-21026[1]
RHEL Image Builder が WSL2 イメージをサポートするようになりました
RHEL Image Builder を使用して Windows Subsystem for Linux (WSL2) を作成できるようになりました。このイメージタイプは wsl 形式で使用できます。イメージを使用するには、生成されたファイルをダブルクリックしてデプロイします。
Jira:RHELDOCS-20633[1]
新しい rhel9/bootc-image-builder コンテナーイメージが RHEL で一般提供される
Image Mode for RHEL 用の rhel9/bootc-image-builder コンテナーイメージには、起動可能なコンテナーイメージ (rhel-bootc など) を QCOW2、AMI、VMDK、ISO などのさまざまなディスクイメージ形式に変換するイメージビルダーの最小バージョンが含まれています。
Jira:RHELDOCS-17733[1]
RHEL で bootc-image-builder ツールが一般提供になりました
RHEL で bootc-image-builder ツールが一般提供になりました。このツールは、bootc コンテナー入力から互換性のあるディスクイメージを簡単に作成およびデプロイするためのコンテナーとして機能します。bootc-image-builder を使用してコンテナーイメージを実行した後、必要なアーキテクチャーのイメージを生成できます。その後、生成されたイメージを仮想マシン、クラウド、またはサーバーにデプロイできます。新しい更新が必要になるたびに bootc-image-builder を使用してコンテンツを再生成するのではなく、bootc を使用してイメージを簡単に更新できます。
Jira:RHELDOCS-17468[1]
読み取り専用ファイルシステム composefs が、bootc/ostree および podman プロジェクトをサポートするようになりました
読み取り専用ファイルシステム composefs は、現時点では bootc/ostree および podman プロジェクトで使用されることのみを想定しています。composefs を使用すると、これらのプロジェクトを使用して、読み取り専用のイメージを作成して使用したり、イメージ間でファイルデータを共有したり、実行時にイメージを検証したりできます。その結果、完全に検証されたファイルシステムツリーがマウントされ、同一ファイルが適宜きめ細かく共有されるようになります。
Jira:RHEL-18157[1]
4.2. セキュリティー
NSS が 3.112 にリベースされました
NSS 暗号化ツールキットパッケージが、アップストリームのバージョン 3.112 にリベースされました。これにより、多くの改善と修正が提供されます。主なものは次のとおりです。
- 耐量子計算機暗号 (PQC) 標準である Module-Lattice-Based Digital Signature Algorithm (ML-DSA) のサポートが追加されました。
- MLKEM1024 鍵カプセル化メカニズムにおいて、SSL 向けのハイブリッドサポートが追加されました。
このバージョンには次の既知の問題があります。
- NSS データベースのパスワードを更新すると ML-DSA のシードが破損する詳細は、RHEL-114443 を参照してください。
RHEL 9.7 の crypto-policies は耐量子計算機暗号をサポートしています
システム全体の暗号化ポリシーに対する今回の更新により、新しい PQ サブポリシーを通じて耐量子計算機暗号 (PQC) のサポートを有効にできるようになりました。RHEL 9.7 の crypto-policies の主な変更点は次のとおりです。
-
update-crypto-policies --set DEFAULT:PQコマンドなどを使用して PQ サブポリシーを適用すると、ハイブリッド方式の Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM) および純粋な Module-Lattice-Based Digital Signature Standard (ML-DSA) 耐量子計算機暗号アルゴリズムが、LEGACY、DEFAULT、FUTURE、および FIPS の各暗号化ポリシーにおいて、最も高い優先度で有効化されます。 - PQC アルゴリズムが、Sequoia PGP ツールで、PQ サブポリシーを持つすべてのポリシーにおいて有効化されます。
- PQ サブポリシーを有効にすると、OpenSSL の新しいグループ選択構文で、従来のグループよりも耐量子計算機グループが優先されます。この動作を元に戻すには、すべての PQ グループを無効にする必要があります。
- ML-DSA-44、ML-DSA-65、および ML-DSA-87 PQC アルゴリズムは、PQ サブポリシーを持つすべての暗号化ポリシーの NSS TLS 接続で有効になります。
-
また、PQ サブポリシーにより、
mlkem768x25519、secp256r1mlkem768、およびsecp384r1mlkem1024ハイブリッド ML-KEM グループが、NSS TLS ネゴシエーションで有効になります。
Jira:RHEL-91839, Jira:RHEL-106866, Jira:RHEL-97764, Jira:RHEL-103963, Jira:RHEL-103786
OpenSSL が 3.5 にリベースされました
OpenSSL がアップストリームバージョン 3.5 にリベースされました。このバージョンでは、特に次の点を含む重要な修正と機能拡張が行われています。
- ML-KEM、ML-DSA、および SLH-DSA 耐量子計算機アルゴリズムのサポートが追加されました。
- ハイブリッド方式の ML-KEM アルゴリズムをデフォルトの TLS グループリストに追加しました。
- TLS 設定オプションが強化されました。
- IETF RFC 9000 ドラフトに従って QUIC トランスポートプロトコルのサポートが追加されました。
- EVP_SKEY データ構造の形式による、不透明な対称鍵オブジェクトのサポートが追加されました。
- SHA-224 ダイジェストが無効になりました。
-
SHAKE-128 および SHAKE-256 実装で、デフォルトのダイジェスト長がなくなりました。したがって、
xoflenパラメーターが設定されていない限り、これらのアルゴリズムはEVP_DigestFinal/_ex()関数では使用できません。 - TLS 1.3 接続でクライアントが複数の鍵共有を送信できる機能を追加しました。
Jira:RHEL-80854[1]
OpenSSL が sslkeylogfile をサポートするようになりました
OpenSSL は TLS の sslkeylogfile 形式をサポートしています。そのため、SSLKEYLOGFILE 環境変数を設定することで、SSL 接続によって生成されたすべてのシークレットをログに記録できます。
SSLKEYLOGFILE 変数を有効にすると、明らかなセキュリティーリスクが生じます。SSL セッション中に交換された鍵を記録すると、ファイルへの読み取りアクセス権を持つすべてのユーザーが、そのセッションで送信されたアプリケーショントラフィックを復号できるようになります。この機能はテストおよびデバッグ環境でのみ使用してください。
ハイブリッド方式の ML-KEM 暗号が FIPS モードに対応しました
このリリースでは、ハイブリッド方式の Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM) の耐量子計算機暗号アルゴリズムが RHEL の FIPS モードでサポートされています。システムが FIPS モードで動作している場合、OpenSSL は、新しいハイブリッド方式の耐量子計算機グループの Elliptic Curve Diffie-Hellman (ECDH) 部分を、FIPS プロバイダーから取得できます。その結果、OpenSSL ライブラリーは、ハイブリッド耐量子計算機鍵交換の ECDH 部分に、FIPS 準拠の暗号化を使用するようになりました。システムを FIPS:PQ 暗号化ポリシーに設定すると、ハイブリッド方式の耐量子計算機グループが有効になり、OpenSSL サーバーおよびクライアントによってデフォルトで使用されます。
crypto-policies が NSS の Ed25519 をサポートするようになりました
システム全体の暗号化ポリシーに対する今回の更新により、Edwards-curve Digital Signature Algorithm (EdDSA) の SHA-512 バリアントである Ed25519 のサポートが、ネットワークセキュリティーサービス (NSS) で利用できるようになりました。その結果、crypto-policies が、NSS 用の DEFAULT、LEGACY、および FUTURE ポリシーで、Ed25519 をデフォルトで有効化するようになりました。
新しいパッケージ: rust-rpm-sequoia
RHEL 9.7 では、multisig DNF プラグインを通じて、RPM パッケージ内の耐量子計算機署名をサポートする rust-rpm-sequoia パッケージが追加されています。この追加により、耐量子計算機暗号 (PQC) アルゴリズムで署名された RPM パッケージ内の OpenPGP v6 署名を検証できるようになります。
Jira:RHEL-126412[1]
SCAP Security Guide が 0.1.78 にリベースされました
詳細は、SCAP Security Guide release notes を参照してください。
SELinux ポリシーに qgs デーモン用のルールとタイプが追加されました
qgs デーモンが、TDX 機密仮想化をサポートする linux-sgx パッケージとともに RHEL に追加されました。qgs デーモンは、ゲスト OS が仮想マシン (VM) のアテステーションを要求すると、UNIX ドメインソケットを介して QEMU と通信します。これを可能にするために、SELinux ポリシーに、新しい qgs_t タイプ、アクセスルール、および権限が追加されます。
3 つの RHEL サービスが SELinux の permissive モードから削除されました
RHEL サービスの次の SELinux ドメインは、SELinux permissive モードから削除されました。
-
powerprofiles_t -
samba_bgqd_t -
switcheroo_control_t
以前は、RHEL 10 に最近追加されたパッケージに含まれるこれらのサービスは、一時的に SELinux permissive モードに設定されていました。これにより、システムの他の部分が SELinux enforcing モードであるのに、追加の拒否に関する情報を収集することが可能でした。この一時的な設定は削除され、その結果、これらのサービスは SELinux の enforcing mode で実行されるようになりました。
Jira:RHEL-82674[1]
tuned-ppd が SELinux ポリシーで制限されます
RHEL 9.7 では、tuned-ppd サービスを制限する追加のルールが SELinux ポリシーに追加されています。この更新前は、このサービスは unconfined_service_t という SELinux ラベルを持った状態で実行されていました。これは、CIS Server Level 2 ベンチマークの "SELinux によって制限されていないデーモンが存在しないことを確認する" というルールに違反していました。この更新により、このサービスが制限されるようになり、SELinux enforcing モードで正常に実行されるようになりました。
Keylime がバージョン 7.12.1 にリベースされました
Keylime パッケージがアップストリームバージョン 7.12.1 にリベースされました。主な修正と機能拡張は次のとおりです。
- バージョン 7.12.0 への更新時に発生するレジストラーコンポーネントの脆弱性を解決するために、CVE-2025-1057 に対するセキュリティー修正が実装されました。
- 名前付きメジャーブートポリシーのサポートが追加され、ポリシーの整理が容易になりました。
- Webhook 操作におけるリソース処理が修正されました。
- RFC 5280 に従って、X.509 v3 証明書および X.509 v2 証明書失効リスト (CRL) 標準に準拠するように証明書生成が修正されました。
SELinux で /dev/diag に特定のタイプが割り当てられるようになりました
この更新により、SELinux ポリシーで /dev/diag デバイスに diagnostic_device_t タイプが割り当てられるようになりました。これにより、SELinux はデバイスへのアクセスを適切に制御できます。
Jira:RHEL-95342[1]
OpenSSL PKCS #11 プロバイダーに Ex=RSA 暗号のサポートが追加されました
OpenSSL PKCS #11 プロバイダーの今回の更新により、非推奨の機能に依存せずに OpenSSL で PKCS #11 トークンを使用できるようになります。この代替手段により、サポートされていなかった RSA パディングモードの問題が解決され、RHEL 9 上のハードウェアセキュリティーモジュール (HSM) で Ex=RSA 暗号をシームレスに使用できるようになります。これにより、TLS ハンドシェイクの失敗が発生しなくなり、OpenSSL および PKCS #11 トークンを使用して TLS 1.2 接続を確立するときにセキュアな通信が提供されます。
新しいパッケージ: fips-provider-next
fips-provider-next パッケージは、次期バージョンの FIPS プロバイダーを提供します。このパッケージは、検証を受けるために National Institute of Standards and Technology (NIST) に提出されたものです。このパッケージはデフォルトではインストールされません。検証済みの OpenSSL FIPS プロバイダーである openssl-fips-provider パッケージが存在するためです。openssl-fips-provider から fips-provider-next に切り替えるには、以下を実行します。
# dnf swap openssl-fips-provider fips-provider-nextRsyslog の imuxsock に新しい ratelimit.discarded カウンターが追加されました
この更新により、Rsyslog の imuxsock モジュールに新しいカウンター ratelimit.discarded が追加されました。このカウンターは、Unix ソケットでのレート制限によりドロップされたメッセージの数を追跡します。この機能拡張により、管理者はレート制限によるメッセージ損失を可視化できるため、レート制限設定を微調整し、重要なログが破棄されるのを防ぐことができます。
Rsyslog の imfile に新しい deleteStateOnFileMove オプションが追加されました
この更新により、imfile モジュールに新しい deleteStateOnFileMove パラメーターが追加されました。このパラメーターは、モジュールレベルでも、操作ごとのオプションとしても利用できます。この機能拡張により、監視対象のログファイルがローテーションまたは移動されたときに、孤立した状態ファイルが spool/ ディレクトリーに蓄積される問題が解決されます。このパラメーターを有効にすると、ログファイルが移動されたときに、このような古いファイルを自動的にクリーンアップできるため、ディスク領域の浪費が防止され、管理が簡素化されます。
Jira:RHEL-92262[1]
4.3. サブスクリプションの管理
SCA が有効な組織に登録されたシステムのステータスが簡素化されました
この更新前は、Simple Content Access (SCA) が有効な組織にシステムが登録されている場合、subscription-manager status コマンドによって、Overall Status: Disabled および System Purpose Status: Disabled が報告されていました。このステータスはわかりにくく、エラーと誤解されることが多かったため、ステータスの報告が簡素化されました。現在は、Overall Status には Registered または Not registered のいずれかが報告されます。System Purpose Status は削除されました。
SCA の詳細は、Simple Content Access を参照してください。
Jira:RHEL-84890[1]
4.4. ソフトウェア管理
dnf4 を使用して DNF コマンドを実行できます
この更新により、dnf または dnf4 のいずれかを入力して DNF コマンドを実行できるようになりました。
DNF で RPM パッケージの RPMv6 署名を検証できます
耐量子計算機暗号はソフトウェアの整合性と提供元を保証するものです。しかし、量子コンピューティングにおいては、RSA などの標準的な非対称暗号化アルゴリズムはもはや有効ではありません。この更新により、新しい multisig DNF プラグインを使用して、標準の RPMv4 署名に加えて、RPM パッケージの RPMv6 署名を検証できるようになりました。RPMv6 署名は、ML-DSA などの耐量子計算機アルゴリズムに基づくことが可能です。
RPMv6 署名を検証するには、python3-dnf-plugin-multisig RPM パッケージを通じて multisig プラグインをインストールします。
gpgcheck オプションが True に設定されているリポジトリーからパッケージをインストール、再インストール、アップグレード、またはダウングレードするには、検証に成功することが必須です。
createrepo_c が zstd をサポートするようになりました
この機能拡張により、createrepo_c コマンドの Zstandard (zstd) 圧縮アルゴリズムのサポートが追加されました。その結果、createrepo_c が zstd で圧縮されたメタデータを読み取りおよび生成できるようになりました。
dnf が DNF の履歴で一時的なトランザクションをマークするようになりました
dnf history info コマンドが、トランザクションが永続的であったか一時的であったかを表示するようになりました。その結果、特に一時的なパッケージが多数あるシステムで、パッケージの変更を追跡しやすくなりました。
RPM がインストール中に元のパッケージのチェックサムを記録します
この更新により、RPM がインストール中に .rpm パッケージ全体の SHA256 および SHA512 ダイジェストを記録するようになりました。そのため、ユーザーは、RPM データベースからこれらのダイジェストを取得し、インストールされたパッケージが特定の .rpm ファイルに対応していることを確認できます。その結果、インストールされたパッケージセットが、DNF リポジトリーで使用可能なパッケージなど、既知の .rpm パッケージセットとビット単位で一致することを遡及的に検証することで、RHEL システムの整合性を向上させることができます。
インストールされたパッケージのパッケージダイジェストを出力するには、次のコマンドを使用します。
$ rpm -q --qf "[%{packagedigestalgos:hashalgo} %{packagedigests}\n]" <package_name>
新しい %_pkgverify_digests マクロを設定することで、データベースに記録されるダイジェストタイプをカスタマイズすることもできます。次に例を示します。
%_pkgverify_digests 8:10RPM が spec ファイルローカルなファイル属性と依存関係ジェネレーターをサポートするようになりました
ファイル属性とその依存関係ジェネレーターは、通常、別々のパッケージに同梱されるため、これらの属性を使用するパッケージをビルドする前にインストールする必要があります。しかし、場合によっては、ファイル属性を同梱するパッケージのビルド中にこの属性を有効にする必要があります。また、パッケージをビルドするためだけにファイル属性が必要で、属性をパッケージに同梱せずに済ませたいという場合もあります。
この更新により、次の手順を実行することで、spec ファイルローカルなファイル属性とジェネレーターを登録できるようになりました。
-
%_local_file_attrsマクロを定義します。%_local_file_attrsは、specファイルに直接登録する新しい属性名のコロン区切りリストを受け入れます。 -
各属性に対して、
%__NAME_providesや%__NAME_pathなどの 1 つ以上の依存関係ジェネレーターマクロを定義します。NAMEはローカルファイル属性の名前です。
これにより、RPM が、spec ファイルのビルド時に、依存関係の生成にファイル属性を使用するようになります。その結果、必ずしもインストール用ではないビルド時のファイル属性を作成することが可能になります。
たとえば、次の spec ファイルスニペットは、パッケージのソースにバンドルされている foobar.sh スクリプトを使用して、パッケージ化される各ファイルの provides を生成します。
Source1: foobar.sh
[...]
%define _local_file_attrs foobar
%define __foobar_provides %{SOURCE1}
%define __foobar_path .*新しい $releasever_major および $releasever_minor 変数
RHEL のマイナーバージョンではなく、メジャーバージョンごとにコンテンツを配布する Extra Packages for Enterprise Linux (EPEL) リポジトリーやその他のリポジトリーより適切にサポートするために、新しい $releasever_major および $releasever_minor 変数が利用可能になりました。これらの変数は、$releasever 変数または system-release(releasever_major) および system-release(releasever_minor) 仮想 Provides から自動的に導出されます。そのため、$releasever_major と $releasever_minor を使用して、RHEL の複数のメジャーバージョンまたはマイナーバージョンにまたがって機能するリポジトリー設定ファイルを作成できます。
4.5. シェルおよびコマンドラインツール
openCryptoki がバージョン 3.25.0 で提供されます
openCryptoki パッケージはバージョン 3.25.0 で提供されます。以下のサポートが追加されました。
EP11:
- PKCS#11 v3.0 の SHA3 および SHA3-HMAC メカニズム
- PKCS#11 v3.0 の RSA-OAEP 用の SHA3 メカニズムおよび MGF
- PKCS#11 v3.0 の RSA-PKCS および ECDSA メカニズムの SHA3 バリアント
- C_CreateObject を使用した不透明なセキュア鍵 Blob のインポート
ICA/Soft:
- PKCS#11 v3.0 SHAKE 鍵導出
- CKM_AES_KEY_WRAP[_*] メカニズム
- CKM_ECDH_AES_KEY_WRAP メカニズム
- AES-GCM による鍵ラッピング
CCA:
- CCA AES CIPHER セキュア鍵タイプ
- CKM_ECDH1_DERIVE メカニズム
- s390x および非 s390x プラットフォーム上の新しい CCA バージョン
- シングルパート操作専用の CKM_AES_GCM
- CCA/Soft/ICA: CKM_RSA_AES_KEY_WRAP メカニズム
- P11KMIP: PKCS#11 鍵を KMIP サーバーにインポートおよびエクスポートするためのツールが追加されました。
- ICA: libica が FIPS モードであるかどうかに応じてメカニズムをレポートします。
Jira:RHEL-73344[1]
GIMP が 3.0.4 にリベースされました
GNU Image Manipulation Program (GIMP) が、RHEL 9.7 で安定版のアップストリームバージョン 3.0.4 にリベースされました。
Jira:RHEL-40106[1]
4.6. インフラストラクチャーサービス
RHEL に dyninst バージョン 13.0.0 が搭載されました
dyninst フレームワークがアップストリームバージョン 13.0.0 にリベースされました。このバージョンでは、次の機能拡張が提供されています。
- AMD GPU バイナリーのサポートが向上しました。
- x86 命令と C++ DWARF 構造の解析が改善されました。
詳細は、アップストリームのドキュメント を参照してください。
RHEL に SystemTap バージョン 5.3 が搭載されました
SystemTap がバージョン 5.3 にリベースされました。マルチスレッド解析機能により初期化時間が数秒短縮され、起動のパフォーマンスが向上しました。
elfutils がバージョン 0.193 にリベースされました
elfutils 0.193 が RHEL 9.7 で利用可能になりました。この更新の主な変更点は次のとおりです。
-
debuginfodが、Web API において CORS (Web アプリケーションからのアクセス) をサポートし、--corsオプションを提供するようになりました。新しい--listen-addressオプションを使用すると、HTTP リッスンソケットを特定の IPv4 または IPv6 アドレスにバインドできます。debuginfodクライアントは、ダウンロードしたファイルと一緒にx-debuginfod-*HTTP ヘッダーをキャッシュするようになりました。 -
libdwライブラリーに、dwarf_languageおよびdwarf_language_lower_bound関数が追加されました。また、DWARF6 言語メタデータのサポートが強化され、Nim、Dylan、Algol68、V、および Mojo の新しい言語定数も追加されました。dwarf_srclang関数は、DWARF6 言語定数と上位互換性があります。 -
実験的なインターフェイスである
libdwfl_stacktraceは、スタックサンプルをアンワインドしてコールチェーンに変換し、複数のプロセスの ELF データをキャッシュできます。このインターフェイスは、まずperf_eventsスタックのサンプルデータをサポートし、テクノロジープレビューとして提供されます。 -
libelfライブラリーで、64K を超えるセクションを持つ ELF ファイルに対応するために、elf_scnshndxの実装がより堅牢になりました。 -
readelfツールによる破損した ELF データの処理が改善されました。--section-headersオプションの出力に、セクションフラグの意味を説明するキーが含まれるようになりました。
valgrind がアップストリームバージョン 3.25.1 にアップグレードされました
バージョン 3.24.0 (RHEL 9.6) からアップストリームバージョン 3.25.1 (RHEL 9.7) へのアップグレードにより、次の主な機能拡張が提供されます。
- zstd によって圧縮されたデバッグセクションのサポートが追加されました。
- Linux システムコール (landlock*、io_pgetevents、open_tree、move_mount、fsopen、fsconfig、fsmount、fspick、userfaultfd) のサポートの拡張。
-
ファイル記述子のトラッキング強化:
--track-fds=yesおよび--track-fds=allが、継承されたファイル記述子に、標準入力、標準出力、および標準エラーと同じ動作を適用します。 -
新しいオプション
--modify-fds=high(--track-fds=yesとともに使用) は、最初に大きい番号の記述子を割り当てることで、記述子の再利用に関する問題の検出を支援します。 -
Helgrind の設定: ロックされていないミューテックスに対して
pthread_cond_signalおよびpthread_cond_broadcastを呼び出した場合の警告が、--check-cond-signal-mutex=yes|no(デフォルト: no) によって制御されるようになりました。
アーキテクチャー固有の機能拡張:
-
新しい IBM Z (
s390x) NNPA ハードウェアのサポート。
valgrind パッケージが柔軟なインストールのためにサブパッケージに分割されました
この更新前は、valgrind パッケージにおいて、すべてのコンポーネントが 1 つのパッケージに含まれていました。その結果、必要のない機能をインストールする必要がありました。
この更新により、valgrind パッケージは複数のサブパッケージに分割されました。その結果、valgrind のコア機能、後処理スクリプト、GDB 統合、ドキュメントなど、必要なコンポーネントのみをインストールできるようになりました。
Jira:RHEL-75468[1]
Valkey 8 が利用可能になりました
高度なキーバリューストアである Valkey 8 が RHEL で利用可能になりました。これはデータ構造サーバーとして機能し、キーに次のようなさまざまなデータ型を格納できます。
- 文字列
- ハッシュ
- リスト
- セット
- ソート済みセット
Valkey はクライアントと完全に互換性があり、Redis の代替として機能します。
Jira:RHEL-89978[1]
fs.protected_regular および fs.protected_fifos sysctls パラメーターがデフォルトで有効になります
以前、一部のデータスプーフィング攻撃を困難にするために、RHEL 9 カーネルに fs.protected_regular および fs.protected_fifos sysctls パラメーターが追加されました。現在、これらのパラメーターはデフォルトで有効になります。これにより、インストールのセキュリティーが向上します。これらの sysctls パラメーターを無効にするには、/etc/sysctl.d/60-protected.conf ファイルに次の行を追加してください。
-
fs.protected_regular = 0 -
fs.protected_fifos = 0
Jira:RHEL-50534[1]
BrowseOptionsUpdate ディレクティブが RHEL で利用可能になりました
BrowseOptionsUpdate ディレクティブは、デフォルトの印刷オプションのソースと更新頻度を決定します。このディレクティブは、システムがオプションをローカルシステムから取得するか、リモート印刷サーバーから取得するかを指定します。さらに、オプションをサービスの起動時に更新するか、一定の間隔で更新するか、まったく更新しないかを指定します。
必要な動作を実現するために、BrowseOptionsInterval ディレクティブとその値を /etc/cups/cups-browsed.conf ファイルに追加できるようになりました。このディレクティブには以下の値を指定できます。
-
None(デフォルト): 以前のセッションから作成されたローカルファイルが、デフォルトのオプションを読み込みます。 -
Static:cups-browsedサービスが、起動時にリモートサーバーからデフォルトのオプションを取得します。 -
Dynamic: システムが、/etc/cups/cups-browsed.confファイルで定義されているBrowseInterval値に従ってデフォルトオプションを更新します。
注記: BrowseOptionsInterval ディレクティブの値を変更した後は、サービスを再起動する必要があります。
Jira:RHEL-6519[1]
RHEL 10 では gpsd がバージョン 3.26.1 で提供されます
RHEL 10 では、gpsd tools パッケージがバージョン 3.26.1 で提供されます。このバージョンでは、u-blox レシーバーのサポートが強化されています。
Jira:RHEL-90132[1]
4.7. ネットワーク
Nmstate が、PCI アドレスに基づいてネットワークインターフェイスに設定を割り当てることが可能になりました
この機能拡張により、Nmstate を使用して、デバイス名ではなく PCI アドレスに基づいてネットワークインターフェイスを設定できるようになりました。クラスター内のノード全体で一貫した設定を実現するには、この機能を使用してください。詳細は、デバイスパスを指定して nmstatectl を使用して動的 IP アドレスによるイーサネット接続を設定する および デバイスパスを指定した nmstatectl を使用して静的 IP アドレスによるイーサネット接続を設定する を参照してください。
Nmstate のボンディング設定が最適化設定をサポートするようになりました
この機能拡張により、Nmstate API が次のボンディングオプションをサポートするようになりました。
-
lacp_active: Linux カーネルが Link Aggregation Control Protocol Data Unit (LACPDU) フレームを定期的に送信するかどうかを定義します。この設定は 802.3ad ボンディングモードでのみ使用できます。 -
ns_ip6_target:arp_intervalパラメーターを 0 より大きい値に設定した場合に、IPv6 監視ピアとして使用する IPv6 アドレスをリストします。
その結果、管理者はこれらの設定を使用してネットワークボンディングを最適化し、安定した接続、効率的な帯域幅、および IPv6 との互換性を確保できます。
nmtui がループバックインターフェイスの設定をサポートするようになりました
NetworkManager は、nmcli ユーティリティーを使用したループバックインターフェイスの設定を以前からサポートしていました。この機能拡張により、nmtui アプリケーションに同じ機能が追加されました。その結果、ループバックインターフェイスで IP アドレスとルートを設定できるようになりました。
NetworkManager-libreswan プラグインが Libreswan のデフォルト値の使用をサポートするようになりました
この機能拡張により、Libreswan VPN 接続プロファイルの no-nm-default プロパティーを true に設定することで、NetworkManager のデフォルト値ではなく、Libreswan の値を使用できるようになりました。これにより、ネイティブ Libreswan 用に定義された設定との互換性が確保されます。その結果、たとえば、サブネット間のトンネルを設定できるようになりました。
NetworkManager が、IPv6 プレフィックスの委譲を使用する場合に、ダウンストリームインターフェイスの固定サブネット ID をサポートするようになりました
この機能拡張により、IPv6 プレフィックスの委譲を使用するときに、NetworkManager でダウンストリームインターフェイスに固定のサブネット ID を指定できるようになりました。以前のリリースでは、システムを再起動すると、ダウンストリームインターフェイスのサブネット ID が変更される可能性がありました。サブネット ID が固定されている場合、RHEL ホストを再起動しても、ダウンストリームネットワーク内のデバイスに割り当てられた IPv6 アドレスは変更されません。
nm-initrd-generator に NBFT パーサーが追加されました
NVMe Boot Firmware Table (NBFT) は、ACPI テーブルを使用して、ファームウェアがプリブート環境からネットワークとストレージの設定を直接オペレーティングシステムに渡す標準的な方法です。nm-initrd-generator ユーティリティーは、このパーサーを使用してこの設定を自動的に検出して適用し、必要な接続を手動設定不要で作成します。この実装は、dracut の 95nvmf モジュールに代わるものであり、より効率的で堅牢なブートシーケンスを実現するために、systemd の自動化を利用します。
Nmstate が、ネットワークインターフェイスの FEC の設定をサポートするようになりました
この機能拡張により、Nmstate を使用して、RS-FEC、Base-R、Disabled などの前方誤り訂正 (FEC) モードをインターフェイスに適用できるようになりました。これらの設定は、再送信せずにエラーを検出および修正することで、データ転送の信頼性を向上させるうえで重要です。これにより、手動で設定したり、プラットフォーム固有のツールを使用したりせずに、Nmstate を使用して FEC 設定を適用できるようになりました。
Jira:RHEL-80725[1]
Nmstate が mtu および quickack ルートオプションをサポートするようになりました
この機能拡張により、Nmstate を使用して mtu および quickack ルートオプションを設定できるようになりました。これらの設定は、最大転送単位がデフォルトと異なる際にネットワークパフォーマンスを最適化する場合や、TCP 確認応答の動作をチューニングする場合に重要です。これにより、ネットワークトラフィックの動作をより正確に制御できるようになりました。
mlx5 ドライバーが対称 OR-XOR RSS ハッシュをサポートするようになりました
この機能拡張により、Receive Side Scaling (RSS) のデフォルトの変換 (xfrm) が symmetric-or-xor になりました。
この新しいデフォルトにより、ethtool ユーティリティーを使用して rx-flow-hash 設定を変更する際に、次のいずれかの操作が必要になります。
-
rx-flow-hashを、対称ハッシュと互換性のある値 (sdfn、sd、またはfn) に設定します。 異なる
rx-flow-hash値を設定する前に、xfrmをnoneに設定します。以下に例を示します。# ethtool -X enp0s1 xfrm none # ethtool -N enp0s1 rx-flow-hash udp4 n
Jira:RHEL-73517[1]
ModemManager がバージョン 1.22 にリベースされました
ModemManager パッケージがアップストリームバージョン 1.22 にアップグレードされましたこのバージョンにはバグ修正と追加デバイスのサポートが含まれています。
変更点の完全なリストは、アップストリームのリリースノート を参照してください。
Nmstate が、VLAN インターフェイスの Egress および Ingress 優先度マッピングをサポートするようになりました
NetworkManager は、VLAN インターフェイスのトラフィック優先度マッピングの設定を以前からサポートしていました。この機能拡張により、Nmstate ライブラリーが、Egress および Ingress 優先度の Quality of Service (QoS) マッピングルールも処理できるようになりました。その結果、Nmstate を使用して VLAN を作成し、双方向の優先度マッピングを定義できるようになり、トラフィックをより正確かつ効率的に管理できるようになりました。
Nmstate は、インターフェイス名の代わりに MAC アドレスを使用してルートを設定することをサポートするようになりました
Nmstate を使用すると、インターフェイスの MAC アドレスにネットワーク接続を割り当てることで、その接続を作成できます。この機能拡張により、ルーティング設定の next-hop-interface パラメーターでインターフェイス名の代わりにプロファイル名を使用できるようになりました。この機能を使用すると、インターフェイス名を知らなくても静的ルートを作成できます。
新しいネットワークパケットドロップの理由と MIB カウンター
カーネルのネットワークスタックが、ネットワークパケットをドロップするときに、より詳細な理由を提供するようになりました。また、この機能拡張により、LINUX_MIB_PAWS_TW_REJECTED と LINUX_MIB_PAWS_OLD_ACK という 2 つの新しい管理情報ベース (MIB) カウンターが追加されます。その結果、ネットワークの問題のデバッグと診断が容易になりました。
Jira:RHEL-88890[1]
fwctl サブシステムがカーネルに追加されました
カーネルロックダウン機能が有効な場合、セキュリティー上の理由から、カーネルは /sys/ ディレクトリー内の resource0 ファイルや PCI 設定空間へのアクセスを許可しません。fwctl カーネルサブシステムは、mlx5 ネットワークインターフェイスコントローラーなど、ソフトウェア定義デバイスのファームウェアとの通信を管理します。このサブシステムは、標準化されたセキュアなリモートプロシージャーコール (RPC) インターフェイスを確立します。このインターフェイスにより、ユーザー空間アプリケーションが、診断、設定、更新のためにデバイスファームウェアとやり取りできるようになります。新しいサブシステムの導入に加えて、mstflint ユーティリティーも fwctl サブシステムを使用するようになりました。このユーティリティーは、これらのセキュアな環境で完全に機能します。
Jira:RHEL-86016[1]
ice ドライバーが、関連付けられた VF のためにベクトルを解放する目的で、PF の MSI-X ベクトル使用量を削減することをサポートするようになりました
この機能拡張により、Physical Function (PF) に割り当てられた Message Signaled Interrupts eXtended (MSI-X) ベクトルを削減し、関連付けられた Virtual Function (VF) のために十分な数のベクトルを確保できるようになりました。詳細は、Reducing the MSI-X vector usage for a physical function to free vectors for associated virtual functions を参照してください。
Jira:RHEL-63642[1]
iproute がバージョン 6.14.0 にリベースされました
iproute パッケージがアップストリームバージョン 6.14.0 に更新されました。
主な機能拡張:
-
ip nexthopコマンドが 16 ビットのnexthop重み付けに対応しました。 -
ip link rmnetコマンドがフラグ処理に対応しました。 -
ip lwtunnelコマンドが 'tunsrc' 属性の設定と取得に対応しました。 -
ip monitorコマンドに、マルチキャストアドレスの監視 (ip monitor maddress) のサポートが追加されました。 -
ip ruleコマンドが 'dscp' セレクターに対応しました。 -
ip ruleコマンドがフローラベルに対応しました。 -
ip routeコマンドが IPv6 フローラベルに対応しました。 -
ip addressコマンドとip link showコマンドが、'down' フィルターに対応しました。 -
tc flowerフィルターがトンネルメタデータのマッチングに対応しました。 -
tc fqキューイング規則が、TCA_FQ_OFFLOAD_HORIZON属性に対応しました。 -
tcユーティリティーが、IEEE 802.1Q-2018 標準で指定されている Time-Sensitive Networking (TSN) のHold/Releaseメカニズムに対応しました。 -
rdma monitorコマンドに、Remote Direct Memory Access (RDMA) イベントの監視のサポートが追加されました。 -
vdpaユーティリティーが MAC アドレスの設定に対応しました。 - いくつかの man ページが改善されました。
主なバグ修正:
- いくつかのメモリーリークが修正されました。
-
不必要に厳しいエラーを防ぐために、
ip netconfコマンドのエラーチェックが修正されました。 -
/etc/iproute2/ディレクトリー内のカスタムiproute2設定が期待どおりに機能するようになりました。
4.8. カーネル
RHEL 9.7 のカーネルバージョン
Red Hat Enterprise Linux 9.7 には、カーネルバージョン 5.14.0-611.5.1 が同梱されています。
virtio デバイスのサポートが追加されました
この更新前は、KVM ゲスト内の virtio デバイスが、すべて generic-ccw タイプとしてリスト表示されていました。この機能拡張により、lszdev コマンドを使用して、どのデバイスタイプがどのデバイス番号に接続されているかを簡単に特定できるようになりました。
# lszdev
TYPE ID ON PERS NAMES
virtio-balloon 0.0.0007 yes no
virtio-blk 0.0.0000 yes no vda
virtio-console 0.0.0004 yes no
virtio-gpu 0.0.0002 yes no
virtio-input 0.0.0005 yes no
virtio-input 0.0.0006 yes no
virtio-net 0.0.0001 yes no enc1
virtio-scsi 0.0.0003 yes no
virtio-vsock 0.0.0008 yes no
また、この機能拡張により、Red Hat Enterprise Linux 9.4 および 9.6 を対象とした chpstat に関する追加の修正も導入されます。これにより、レポート (s390utils および s390-tools) の DPU 使用率のスケーリングが改善されます。
Jira:RHEL-73342[1]
kpatch-dnf プラグインが更新され、カーネル管理が改善されました
この更新前は、kpatch-dnf プラグインで、カーネルのアップグレードと kpatch のサポート状況の整合性が取れていませんでした。その結果、管理者は kpatch でサポートされていないカーネルをインストールまたはアップグレードするおそれがありました。これにより、サポートされていないカーネルを実行し、システムの安定性が低下するリスクが高まっていました。
この更新により、kpatch-dnf プラグインが更新され、管理者が kpatch でサポートされているカーネル更新に集中できるようになりました。その結果、システムのアップグレードの信頼性が向上し、全体的な安定性が向上します。
Jira:RHEL-85579[1]
kernel において Arm SPE のサポートが Neoverse-V2 および Cortex CPU に拡張されました
kernel の Arm SPE 機能のサポートが拡張され、Neoverse-V2 および Cortex CPU が含まれるようになりました。その結果、ユーザーは、Neoverse-V2 および Cortex CPU 上でワークロードを実行する際に、Arm SPE 機能にアクセスして、可観測性と分析を強化できるようになりました。
Jira:RHEL-60216[1]
kernel での Intel Arrow Lake U RAPL エネルギーイベントのサポート
この更新前は、Intel Arrow Lake U マイクロアーキテクチャーは、kernel パッケージの RAPL (Running Average Power Limit) エネルギーパフォーマンスカウンターをサポートしていませんでした。その結果、ユーザーは標準の perf ツールを使用して Arrow Lake U システムのエネルギー消費を監視または測定することができませんでした。
この更新により、kernel パッケージで、Arrow Lake U を対象とした RAPL エネルギーイベントのサポートが追加されました。perf ツールは、Arrow Lake U プラットフォームの電力消費イベントを識別します。ユーザーは、CPU コア、GPU、パッケージ、システムドメインのエネルギー使用量を監視できるようになりました。
Jira:RHEL-53585[1]
kernel にコアエネルギーカウンターのサポートが追加されました
カーネルが AMD CPU のコアごとのエネルギー測定をサポートするようになりました。Power Management Unit (PMU) が power_core PMU と energy-core イベントを公開するため、ユーザーは CPU コアごとのエネルギー消費量を監視できます。この機能拡張は、AMD のコアごとのエネルギーカウンター機能に合わせて行われたものです。
Jira:RHEL-52654[1]
Perf による Intel Clearwater Forest コアカウンターのサポート
この更新前は、perf コアカウンターを使用して Intel Clearwater Forest CPU 上のハードウェアイベントを監視することはできませんでした。この更新により、perf パッケージが Clearwater Forest Performance Monitoring Unit (PMU) を認識するようになりました。perf は、フロントエンドバウンド、バックエンドバウンド、リタイアリング、スロットなどの Topdown Level 1 メトリクスを含む、名前付きコアイベントを提供します。また、perf は、このマイクロアーキテクチャー上でアーキテクチャープロセスイベントベースのサンプリング (PEBS) を使用して、選択されたイベントの低オーバーヘッドサンプリングを提供します。その結果、コアカウンターデータを収集し、Clearwater Forest システムでトップダウン分析を実行できるようになります。
Jira:RHEL-47454[1]
アダプティブ PEBS により、Intel Panther Lake 上の perf でカウンタースナップショットのサポートが有効になりました
この更新前は、Linux カーネルの perf パフォーマンスイベントデータを収集するために、ソフトウェアベースのサンプル読み取りに依存していました。この方法では、イベントがオーバーフローした後にカウンターを読み取ると、わずかなタイミングのずれと追加のオーバーヘッドが発生していました。この更新により、Intel Panther Lake CPU で、アダプティブ PEBS によるカウンタースナップショットが利用できるようになります。このハードウェア機能により、カーネルは、PEBS フォーマットバージョン 6 を使用して、プログラマブルカウンター、固定機能カウンター、およびパフォーマンスメトリクスを PEBS レコードに直接記録します。
その結果、カウンタースナップショットは、ソフトウェアサンプル読み取りに代わる、より正確かつ低オーバーヘッドな手法となりました。これにより、パフォーマンスの監視および分析能力が向上します。
Jira:RHEL-47444[1]
Intel Trace Hub が Intel Panther Lake をサポートするようになりました
この更新により、Panther Lake プラットフォーム (P、H、U) 用の Intel Trace Hub デバイス ID が追加されました。Panther Lake ベースのシステムでは、デバッグおよびトレースに Intel Trace Hub 機能を使用できます。
Jira:RHEL-47424[1]
Intel Clearwater Forest の Perf uncore イベントのサポート
この更新前は、Intel Clearwater Forest マイクロアーキテクチャーで uncore イベントの監視を利用できませんでした。この更新により、perf パッケージは Clearwater Forest システム上での uncore イベント監視をサポートするようになりました。その結果、ユーザーはサポートされているハードウェア上で詳細なパフォーマンス分析とデバッグを実行できるようになりました。
Jira:RHEL-45095[1]
Intel Arrow Lake H マイクロアーキテクチャーのサポートが intel_th に追加されました
この更新前は、Intel Trace Hub が Arrow Lake H NPK デバイス ID を認識していませんでした。そのため、このハードウェアを使用するシステムのトレースおよびデバッグ機能が制限されていました。この更新により、intel_th パッケージが Intel Trace Hub において Intel Arrow Lake H マイクロアーキテクチャーをサポートするようになりました。そのため、ユーザーは Arrow Lake H プラットフォーム上で強化されたトレース機能とデバッグ機能を利用できます。
Jira:RHEL-20110[1]
kernel で Intel Arrow Lake H の PerfMon サポートが有効になりました
この更新により、kernel パッケージは、Intel Arrow Lake H マイクロアーキテクチャー上で、Core、Uncore、Cstate、および MSR 機能に対する PerfMon サポートを提供するようになりました。その結果、perf ツールを使用して、Arrow Lake H システムに固有のパフォーマンスメトリクスを監視および分析できるようになりました。
Jira:RHEL-20094[1]
仮想環境およびクラウド環境での pstore 機能の強化
クラッシュやパニックに関する情報を永続的に保存する pstore カーネル機能が、仮想化環境やクラウドプラットフォームで使いやすくなりました。このリリースでは、システムの実行中に、efi_pstore.pstore_disable=0 カーネルパラメーターを使用せずに、pstore の EFI 変数の使用を有効にできます。
$ echo "N" > /sys/module/efi_pstore/parameters/pstore_disable
この機能拡張により、pstore のアクティブ化とクラッシュ後のデータ取得が簡素化されます。これにより、ACPI ERST 方式が使用できない環境でのトラブルシューティングとシステムの信頼性が向上します。
Jira:RHEL-2564[1]
問題となるレイテンシーをより良く追跡するために、rteval のデフォルトの測定モジュールが rtla timerlat になりました
この機能拡張により、問題となる遅延の原因を簡単に特定できるようになりました。目的の cyclictest 測定モジュールは、rteval.config ファイルを使用して選択できます。
Jira:RHEL-97540[1]
KVM モジュールがリアルタイムカーネルパッケージに統合されました
この更新により、Realtime Kernel をベース RHEL のデプロイメントオプションにするという決定に合わせて、RHEL の Realtime Kernel 用 KVM モジュールパッケージの生成が削除されます。この変更により、KVM モジュールが Realtime Kernel パッケージに直接統合され、個別の kernel-rt-kvm パッケージが不要になるため、デプロイメントプロセスが合理化されます。その結果、RHEL に Realtime Kernel をデプロイする際のセットアップ作業がよりシームレスで効率的になり、全体的なユーザーエクスペリエンスが向上します。
Jira:RHEL-76757[1]
kernel が Shadow Stack (SHSTK) Ring 3 カーネルをサポートするようになりました
この更新前は、kernel パッケージが x86_64 アーキテクチャーにおいて Ring 3 の Shadow Stack (SHSTK) をサポートしていませんでした。その結果、ユーザー空間アプリケーションがコントロールフローハイジャック攻撃に対して脆弱になることがありました。
この更新により、kernel パッケージに、Ring 3 の Control-flow Enforcement Technology (CET) Shadow Stack のサポートが導入されました。この機能拡張により、アプリケーションから直接変更できない、ハードウェアによって強制的に適用されるセカンダリースタックが提供されます。その結果、サポートされている Intel Sapphire Rapids プロセッサー上で動作するアプリケーションで、ユーザー空間におけるコントロールフロー攻撃に対する保護が強化されます。
Jira:RHEL-15599[1]
python-drgn がバージョン 0.0.31 にリベースされました
python-drgn がバージョン 0.0.31 にリベースされました。この更新では、いくつかの機能拡張と新機能が導入されています。
-
debuginfodのサポートが追加されました。これにより、debuginfod サーバーからデバッグ情報を自動的に取得できるようになりました。 - 拡張性と統合機能が向上した新しいモジュール API。
- デバッグシンボルなしでのカーネルスタックのアンワインド。これにより、デバッグシンボルが利用できない場合でも、スタックトレースを生成できます。
変更の完全なリストは、アップストリームの変更ログを参照してください。
crash が 9.0.0 にリベースされました
ライブシステムおよび各種のダンプファイル用のカーネル分析ユーティリティーを提供する crash パッケージが、アップストリームバージョン 9.0.0 にリベースされました。このバージョンでは、いくつかの修正と機能強化が行われています。主なものは次のとおりです。
-
内部の
gdbデータベースがバージョン 16.2 に更新されました。 -
crashユーティリティーがクロスコンパイルをサポートするようになりました。
AMD CPU におけるコアごとのエネルギー追跡 (RAPL perf イベント) のサポート
この機能拡張により、コア RAPL カウンターのサポートが追加されました。その結果、AMD システムでは、パッケージレベルの電力情報に加えて、コアレベルの電力情報も測定できるようになりました。
Jira:RHEL-23496[1]
デフォルト設定で rng-tools のジッターエントロピーソースが無効になります
rng-tools のジッターエントロピーソースがデフォルトで無効になりました。最新の CPU は、通常、ハードウェアのエントロピーソースを備えています。また、ほとんどの仮想マシンは、仮想ホストから提供されるエントロピーソースとして /dev/hwrng デバイスを利用できます。このような環境では、ジッターエントロピーソースにより、CPU サイクルが無駄に消費されます。ハードウェアエントロピーソースのない古いハードウェアの場合は、/etc/sysconfig/rngd でジッターエントロピーソースを明示的に有効にできます。
その結果、rngd デーモンが、ハードウェアエントロピーソースを持つシステム上で CPU サイクルを無駄に消費しなくなりました。
NVMf-FC kdump が IBM Power でサポートされるようになる
NVMf-FC kdump は、kexec-tools を実行するために IBM Power システムをサポートするようになりました。これにより、NVMe ストレージデバイスを使用してファイバーチャネルネットワーク経由でシステムメモリーダンプをキャプチャーし、クラッシュダンプデータのストレージに高速かつ低遅延でアクセスできるようになります。
Jira:RHEL-11471[1]
4.9. ブートローダー
Microsoft によって署名された shim により aarch64 のセキュアブートが有効になりました
64 ビット ARM アーキテクチャー用の shim パッケージは、Microsoft UEFI CA を信頼するプラットフォームでセキュアブートをデフォルトで有効にするために、Microsoft によって署名されています。これにより、ARM のブートパスが x86 と整合され、カスタムの PK、KEK、または db エントリーを追加する必要がなくなります。
この更新前は、64 ビット ARM アーキテクチャー上の RHEL 9 は、Microsoft の UEFI 信頼チェーンに依存するクラウドおよびベンダープラットフォーム上でセキュアブートを使用できませんでした。これにより、Google Compute Engine などにおいて、コンプライアンスに準拠したデプロイが妨げられていました。
RHEL 9.7 以降、64 ビット ARM アーキテクチャー上の RHEL 9 ではセキュアブートがデフォルトで機能します。ダイレクトブートパスとフォールバックブートパスが正常に機能し、関連する EFI バイナリーが正しく署名されています。
Jira:RHEL-18969[1]
4.10. ファイルシステムおよびストレージ
multipathd がファイルベースのソケットをサポートするようになりました
この更新により、multipathd デーモンは、抽象名前空間ソケットに加えて、ファイルベースソケット /run/multipathd.socket でもコマンドを待ち受けるようになりました。ユーザーは、新しいソケットファイルのバインドマウントを使用することで、コンテナー内からホストの multipathd デーモンと通信できます。
Jira:RHEL-78758[1]
自動 RAID チェックがデフォルトで有効になる
この更新により、raid-check サービスがデフォルトで有効になります。これにより、システムの起動後に raid-check.service が一定の間隔で自動的に実行され、手動による介入なしで定期的な RAID 整合性チェックが実行されます。
複数のデバイスが同時に故障した後でも LVM RAID がボリュームを修復します
この機能拡張により、lvconvert --repair /dev/VG-name/LV-name コマンドを使用して、失われた RAID デバイスをストライプ化 RAID (raid4、raid5、raid6) に再統合できるようになりました。この修復プロセスは、一時的に失われたデバイスの数が RAID レベルのフォールトトレランスを超えた場合でも機能します。そのため、デバイスが再認識され次第、回復が可能になります。修復する前に、ボリュームとその上のファイルシステムをアンマウントして非アクティブ化する必要があることに注意してください。
4.11. 高可用性およびクラスター
Podman コンテナーで etcd を管理するための新しいリソースエージェントが利用可能になりました
この更新前は、Red Hat High Availability に、Podman コンテナー内で稼働する etcd を管理するためのリソースエージェントが用意されていませんでした。
この機能拡張により、新しい podman-etcd リソースエージェントが追加されました。
その結果、Podman コンテナーで実行される etcd のリソースを作成および管理できるようになります。このエージェントは、Two Node OpenShift with Fencing (TNF) ソリューションに必要なコンポーネントです。
Filesystem リソースエージェントが aznfs ファイルシステムタイプをサポートするようになりました
この更新前は、クラスター内の Azure Network File System のファイル共有を管理するには、fstype=nfs を使用して Filesystem リソースエージェントを設定する必要がありました。この方法では、転送中の暗号化など、Azure 固有の機能がサポートされていませんでした。
この更新により、Filesystem リソースエージェントは、ファイルシステムタイプとして aznfs をサポートするようになりました。
その結果、Azure Network File System のファイル共有を管理するために、Filesystem リソースの作成時に fstype=aznfs を設定できるようになりました。これにより、Azure 固有の機能のサポートが可能になります。この機能を使用するには、Microsoft リポジトリーの aznfs クライアントパッケージをすべてのクラスターノードにインストールする必要があることに注意してください。
Oracle Database 23ai がクラスターリソースとしてサポートされるようになりました
この更新前は、Oracle データベースのリソースエージェントが Oracle Database 23ai リリースでの使用についてテストされていませんでした。したがって、このバージョンは、Pacemaker クラスター内の高可用性リソースとしてサポートされていませんでした。
この更新により、既存の Oracle リソースエージェントが、Oracle Database 23ai で正常にテストおよび検証済みのものになりました。
その結果、Pacemaker は Oracle Database 23ai インスタンスの管理をサポートするようになりました。これにより、このバージョンの完全にテストされた高可用性構成が可能になりました。
Jira:RHEL-85220[1]
fence_sbd エージェントが SBD デバイスを自動的に検出できるようになりました
この更新前は、fence_sbd リソースを設定するときに、devices パラメーターを使用して SBD デバイスパスを明示的に指定する必要がありました。
この更新により、fence_sbd エージェントがシステムからデバイス設定を取得できるようになりました。
そのため、fence_sbd リソースの作成時に devices パラメーターを設定しなかった場合、エージェントが /etc/sysconfig/sbd ファイル内の SBD_DEVICE 変数で指定されたデバイスを自動的に使用します。
ウォッチドッグデバイスのリストで提供される情報がより詳細なものになりました
この更新前は、利用可能なウォッチドッグデバイスをリスト表示する場合、出力に /dev/watchdog0 などのデバイスパスしか表示されませんでした。そのため、管理者が同じシステム上の複数のデバイスを区別することが困難でした。
この更新により、出力に各ウォッチドッグのデバイスパス、ID、およびドライバーが含まれるようになりました。これにより、正しいデバイスを簡単に特定して選択できます。
最後のフェンシングデバイスを削除する前に pcs がユーザーに警告します
この更新前は、ユーザーがクラスターから最後のフェンシングデバイスを無効化または削除することを、pcs が警告なしで許可していました。これにより、意図せずクラスターが STONITH も SBD フェンシングも設定されていないサポート対象外の状態になることがありました。
この機能拡張により、すべてのフェンスメカニズムが誤って削除されるのを防ぐために、安全チェックが pcs に組み込まれました。
その結果、クラスターからフェンシングがなくなる操作を実行しようとすると、pcs がデフォルトでエラーを表示し、変更をブロックするようになりました。たとえば、SBD が無効なときに最後の STONITH リソースを削除しようとすると、この問題が発生します。必要に応じて、この安全チェックを無効にして強制的に変更することができます。
pcs node attribute および pcs node utilization コマンドが、複数の出力形式をサポートするようになりました
以前は、pcs node attribute コマンドと pcs node utilization コマンドの出力は、人間が判読できるプレーンテキスト形式でのみ表示されていました。この形式は、機械による解析や設定の簡単な複製には適していませんでした。
この機能拡張により、pcs node attribute コマンドと pcs node utilization コマンドに新しい --output-format オプションが追加されました。
その結果、設定済みのノードの属性と使用率を、以下に示す 3 つの形式のいずれかで表示できるようになりました。
-
text: 出力をプレーンテキストで表示します。これがデフォルトの形式です。 -
json: 出力を機械可読な JSON 形式で表示します。これはスクリプト作成や自動化に役立ちます。 -
cmd: 出力を一連のpcsコマンドとして表示します。これを使用して、別のシステムで同じ設定を再現できます。
pcs alert config コマンドが複数の出力形式をサポートするようになりました
以前は、pcs alert config コマンドは、人間が判読できるプレーンテキスト形式でのみ出力を表示していました。この形式は、機械による解析や設定の簡単な複製には適していませんでした。
この機能拡張により、pcs alert config コマンドに新しい --output-format オプションが追加されました。
その結果、設定済みのアラートを、以下に示す 3 つの形式のいずれかで表示できるようになりました。
-
text: 出力をプレーンテキストで表示します。これがデフォルトの形式です。 -
json: 出力を機械可読な JSON 形式で表示します。これはスクリプト作成や自動化に役立ちます。 -
cmd: 出力を一連のpcsコマンドとして表示します。これを使用すると、別のシステムで同じアラート設定を再現できます。
pcs が CIB の潜在的な問題を自動的に検証するようになりました
以前は、pcs ユーティリティーは Cluster Information Base (CIB) に対して高度な検証チェックを自動的に実行していませんでした。そのため、日常的な操作中に特定のクラスターの誤った設定が検出されないことがありました。
この機能拡張により、pcs が更新され、Pacemaker の CIB 検証ツールがワークフローに統合されました。
その結果、pcs status、pcs cluster edit、または pcs cluster cib-push コマンドを実行すると、pcs が自動的に検証チェックを実行し、結果を表示するようになりました。
pcs が提供する CIB 更新の失敗に関するエラーメッセージがより詳細なものになりました
以前は、pcs cluster edit コマンドまたは pcs cluster cib-push コマンドの使用時に CIB 更新が失敗すると、Pacemaker によって一般的なエラーメッセージが表示されていました。失敗の具体的な理由は説明されていなかったため、無効な設定のトラブルシューティングが困難でした。
この機能拡張により、pcs は、CIB プッシュが失敗したときに Pacemaker から詳細な検証チェックを要求するように更新されました。
その結果、CIB 更新が拒否されたときに、pcs は設定の問題点を説明する具体的なエラーメッセージを表示するようになりました。
クラスターの名前を変更するための新しい pcs コマンドが利用可能になりました
以前は、pcs コマンドを使用して既存のクラスターの名前を変更できませんでした。管理者は一連の手動手順を実行する必要がありましたが、これは複雑でエラーが発生する可能性がありました。
この機能拡張により、pcs cluster rename コマンドが導入されました。
その結果、既存のクラスターの名前を簡単に変更できるようになりました。クラスターの名前を変更するには、次のコマンドを実行します。
pcs cluster rename <new-name>Nutanix AHV 仮想化用の新しいフェンスエージェントが利用可能になりました
以前は、Red Hat High Availability Add-On が Nutanix Acropolis Hypervisor (AHV) 環境専用のフェンスエージェントを提供していませんでした。
この機能拡張により、fence_nutanix エージェントが追加されます。
その結果、Nutanix AHV プラットフォーム上で稼働するクラスターノードに対して STONITH を設定できるようになり、完全にサポートされた高可用性デプロイメントが可能になります。
Jira:RHEL-68321[1]
pcs resource meta コマンドがバンドルをサポートするようになり、ゲストノードの誤設定を防ぐように改善されました
以前は、pcs resource meta コマンドはバンドルリソースのメタ属性の管理をサポートしていませんでした。さらに、このコマンドでは、ユーザーがゲストノードの接続パラメーターを誤って変更するのを防ぐことができず、リソースの設定ミスが発生する可能性がありました。
この機能拡張により、pcs resource meta コマンドが書き換えられました。
その結果、pcs resource meta を使用してバンドルリソースのメタ属性を更新できるようになりました。これに加えて、このコマンドをゲストノードで使用する際に、接続パラメーターの意図しない変更を防ぎ、設定ミスの可能性を回避できるようになりました。
IPaddr2 リソースエージェントがネットワークリンクの障害を検出するようになりました
この更新前は、IPaddr2 リソースエージェントはネットワークインターフェイスのリンク状態を監視していませんでした。その結果、基盤となるインターフェイスが DOWN または LOWERLAYERDOWN 状態であっても、IPaddr2 リソースはノード上で成功と報告し続けていました。これにより、クラスターが別のノードでそのリソースを回復することが妨げられていました。
このリリースでは、IPaddr2 エージェントが強化され、インターフェイスのリンクステータスを確認できるようになりました。
その結果、ネットワークインターフェイスがダウンした場合に IPaddr2 リソースが正しく失敗し、適切なフェイルオーバーが可能になります。この新しいデフォルトの動作は、リソースの設定で check_link_status=false パラメーターを設定することで無効にできます。
Jira:RHEL-7688[1]
fence_aws エージェントが即時電源オフをサポートするようになりました
以前は、fence_aws エージェントが off または reboot アクションを実行すると、インスタンスのグレースフルシャットダウンがトリガーされていました。これにより、ノードの電源がすぐにオフにならないため、フェンシングプロセスに遅延が発生していました。
この更新により、fence_aws エージェントに新しい skip_os_shutdown パラメーターが追加されました。このパラメーターは、Y-stream リリースではデフォルトで有効になっており、Z-stream リリースではデフォルトで無効になっています。
その結果、skip_os_shutdown が true に設定されている場合、fence_aws エージェントはグレースフルシャットダウンを回避し、インスタンスの即時ハード電源オフを実行します。
HAProxy が 2.8 にリベースされました
HAProxy パッケージが、アップストリームの Long-Term Support (LTS) バージョン 2.8 にリベースされました。この更新の主な変更点は次のとおりです。
- 以前の 2.4 LTS リリースが 2026 年第 2 四半期にライフサイクル終了 (EOL) を迎えた後の、RHEL 9 のセキュリティー更新および重要な修正。
- バージョン 2.4 から 2.8 の間にアップストリームで導入された、安定性、パフォーマンス、機能面での数多くの改善点。
変更の完全なリストは、HAProxy の Web ページ を参照してください。
Jira:RHEL-74039[1]
4.12. 動的プログラミング言語、Web サーバー、およびデータベースサーバー
PostGIS 拡張機能が PostgreSQL 16 で利用可能になりました
この機能拡張により、PostgreSQL 16 に PostGIS 拡張機能が追加されました。この拡張機能により、PostgreSQL が地理オブジェクトをサポートするようになりました。その結果、リレーショナルデータベース内でのマッピング、地理位置情報、距離計算などの地理情報システム (GIS) アプリケーションの空間クエリーと分析が可能になりました。
Jira:RHEL-81603[1]
4.13. コンパイラーおよび開発ツール
glibc が、高度なスケジューラーオプションとして sched_setattr と sched_getattr をサポートするようになりました
以前の glibc では、<sched.h> で定義された関数を通じて、限られた Linux スケジューラーオプションしか利用できませんでした。この制限により、アプリケーションが高度なスケジューリング機能にアクセスするには、直接のシステムコールまたは Linux カーネルヘッダーを使用する必要がありました。
この機能拡張により、sched_setattr および sched_getattr の拡張可能なスケジューラー設定メカニズムが、glibc の <sched.h> ヘッダーファイルを通じて利用可能になりました。この変更には、SCHED_DEADLINE などの追加のスケジューリングポリシーのサポートも含まれます。
その結果、アプリケーションは、直接のシステムコールやカーネル固有のヘッダーに依存することなく、より幅広いスケジューリングオプションを選択できるようになりました。これにより、開発者の移植性と柔軟性が向上します。
Jira:RHEL-56627[1]
glibc pthread_gettid_np 関数が libc_nonshared.a に追加されました
以前は、glibc の pthread_t ハンドルから Linux タスクまたはスレッド ID (TID) を取得する直接的な方法がありませんでした。新しく実装された pthread_gettid_np 関数は、_GNU_SOURCE が定義されているときに <pthread.h> で宣言されます。この関数により、sched_setattr を使用するアプリケーションなど、TID を必要とするアプリケーションが、pthread_t ハンドルから直接 TID の値を取得できるようになりました。
その結果、アプリケーションは、pthread_t ハンドルから TID を取得した後に、TID を求める関数を使用できるようになりました。これにより、互換性が向上し、スレッド管理が簡素化されます。
inet_ntop と inet_pton に対する glibc の要塞化のサポートが追加されました
以前は、glibc の API である inet_ntop と inet_pton に、Source Fortification のサポートが含まれていませんでした。そのため、コンパイラーがプログラムを実行する前に一部のバッファーエラーを検出できませんでした。
この更新により、inet_ntop と inet_pton に属性アクセスアノテーションが追加され、コンパイラーがバッファーの誤用の可能性について警告できるようになりました。これらの API は、現在 Source Fortification の対象となっており、セキュリティーと信頼性が向上しました。
Jira:RHEL-44920[1]
GDB が IBM の z17 CPU アーキテクチャーをサポートするようになりました
gdb パッケージが強化され、IBM の z17 CPU アーキテクチャーで導入された新しいハードウェア命令を使用するバイナリーをサポートするようになりました。この更新により、開発者およびシステム管理者は、RHEL 9.7 上で、最新の IBM Z ハードウェア用にコンパイルされたアプリケーションをデバッグできるようになります。
Jira:RHEL-50069[1]
GCC Toolset15 が利用可能になりました
この更新により、gcc-toolset-15 が RHEL 9.7 で利用できるようになりました。このツールセットには、サポートされている最新バージョンの GCC と関連ユーティリティーが含まれています。そのため、開発者は最新のコンパイラーテクノロジーを使用して、アプリケーションをビルド、テスト、デプロイできます。
Jira:RHEL-81741[1]
ppc64le における -fpatchable-function-entry の ELFv2 ABI のサポート
以前は、gcc の -fpatchable-function-entry オプションが、ppc64le アーキテクチャー上の ELFv2 ABI をサポートしていませんでした。そのため、この ABI に対して誤った場所に NOP 命令が生成されていました。この問題により、ELFv2 をターゲットとする場合に、このオプションを正しく使用できませんでした。
この更新により、-fpatchable-function-entry オプションを ppc64le で使用して ELFv2 ABI 用のプログラムを作成できるようになりました。これにより、NOP が正しく配置されるようになり、このプラットフォーム上でビルドするユーザーにとっての互換性が向上しました。
Jira:RHEL-75806[1]
llvm-toolset が LLVM 20 にリベースされました
llvm-toolset が LLVM 20 に更新されました。これにより、C、C++、および Rust のワークフロー全体にわたり、コード生成の改善、パフォーマンスの最適化、言語フロントエンドとライブラリーサポートの拡張が提供されます。このリベースに伴い、RHEL 内の依存コンポーネントとの整合性も確保されています。これには、rust、annobin、bcc、bpftrace、qt5-qttools、および mesa のリビルドが含まれます。ビルドは llvm-20.1.8-3.el9 で検証済みです。
主な変更点は次のとおりです。
-
ppc64leの修正を含むバックエンドの改善 - 全般的なパフォーマンスと信頼性を向上させるために、Clang および LLVM パスの最適化と診断機能を強化
- LLVM 20 との互換性を確保するために、関係各所が連携してパッケージを再ビルドすることにより、ツールチェーンエコシステムを更新
- このストリームの ARM および MIPS に関するアップストリームの方針に従って、古いターゲットの非推奨化を継続
複数の動的リンカー名前空間を持つアプリケーションをデバッグするための _r_debug 拡張のサポートが改善されました
glibc パッケージに、複数の名前空間をサポートするために、バックポートされた _r_debug 拡張が含まれるようになりました。以前は、実行中のプロセスにアタッチしたり、コアダンプを分析したりするときに、アプリケーションが dlmopen または監査モジュールで複数の名前空間を使用している場合、GDB などのデバッガーが、ロードされたすべての共有オブジェクトを表示できませんでした。
この更新により、最近のバージョンの GDB で、すべての動的リンカー名前空間の共有オブジェクトを表示できるようになりました。これにより、包括的なデバッグおよび分析機能が提供されます。
Jira:RHEL-101986[1]
glibc の例外処理パフォーマンスの向上
この更新前は、大規模なアプリケーションでの例外処理が遅かったため、特にユーザー数が多い環境や例外が頻繁に発生する環境で、パフォーマンスに影響が出ていました。これは、_Unwind_Find_FDE から呼び出される __dl_iterate_phdr 関数で費やされる時間が原因でした。
この更新により、glibc の例外処理アルゴリズムが改善され、例外処理の速度が向上しました。この更新では、GLIBC_2.35 の一部として、__epoll_pwait2_time64、__memcmpeq、_dl_find_object、epoll_pwait2、posix_spawn_file_actions_addtcsetpgrp_np、posix_spawnattr_tcgetpgrp_np、posix_spawnattr_tcsetpgrp_np などの新しいシンボルが ABI に導入されています。
メモリー割り当て失敗時における glibc qsort の動作の強化
メモリー割り当てが失敗すると、glibc パッケージの qsort 関数と qsort_r 関数は、ヒープソートフォールバックを使用します。この変更により、無効な比較関数の処理が改善され、メモリー割り当てが失敗した場合のパフォーマンスがより予測可能なものになります。
フォールバックが安定ソートではないため、等しい要素が異なる順序で現れる可能性があります。C 言語の標準規格では、安定性は要求されていません。
gdb がバージョン 16.3 にリベースされました
RHEL 9.7 における gdb バージョン 16.3 への更新により、次の主な機能拡張が提供されます。
- Intel MPX のサポートが削除されました。
- Intel の Linear Address Masking (LAM) や aarch64 の Memory Tagging Extension (MTE) など、タグ付きデータポインターのサポートが追加されました。
- パフォーマンス向上のために、バックグラウンド DWARF 読み取りが有効になりました。
Intel Process Trace (
record btrace) の強化:-
set record btrace pt event-tracingによって非同期イベント出力が有効になりました -
Ptwrite ペイロードが、
RecordAuxiliaryオブジェクトとして Python でアクセスできるようになりました。
-
Python 統合の強化:
-
停止イベントに、MI の "*stopped" イベントを反映した
details属性が含まれるようになりました。 -
gdb.Progspace()がオブジェクトを直接作成しなくなりました。オブジェクトは他の API を使用して取得する必要があります。 -
gdb.Inferiorおよびgdb.InferiorThreadオブジェクトにユーザー定義属性を追加できます。 -
新しいイベントソース
gdb.tui_enabledが導入されました。 -
現在の記録のトレースデータをクリアする
gdb.record.clearが追加されました。 - 見つからない objfiles とデバッグ情報を処理するためのモジュールが追加されました。
-
新しいクラス
gdb.missing_debug.MissingDebugInfoをサブクラス化して、不足しているデバッグ情報を処理できます。 -
新しい属性
gdb.Symbol.is_artificial。 - 複数のドメインにわたるシンボル検索用の新しい定数。
-
新しい関数
gdb.notify_mi(NAME, DATA)により、カスタムの非同期通知が発行されます。 -
値の内容を読み書きするための新しい属性
gdb.Value.bytes。 -
CTRL-C 割り込みをシミュレートするための
gdb.interruptが追加されました。 -
新しい属性
gdb.InferiorThread.ptid_stringにより、ターゲット ID が提供されます。
-
停止イベントに、MI の "*stopped" イベントを反映した
Debug Adapter Protocol (DAP) の変更:
- "scopes" リクエストが更新され、グローバル変数と最後の戻り値が含まれるようになりました。
- "launch" および "attach" リクエストはいつでも使用でき、"configurationDone" 後に有効になります。
- "variables" リクエストが人工的なシンボルを返さなくなりました。
- "process" イベントと "cancel" リクエストのサポートが追加されました。
- "attach" リクエストでプログラムの指定がサポートされるようになりました。
- スタイル設定、言語フレームの不一致に関する警告、見つからない objfile のハンドラー、および関数呼び出しのタイムアウト用の新しいコマンドが導入されました。
-
いくつかのコマンドが強化され、名前が変更されました。これには、
disassembleのエラー処理の改善や、set unwindonsignalからset unwind-on-signalへの名前変更が含まれます。 -
リモートパケットのサポートが拡張されました。これには、ファイルステータスおよびメモリーフェッチ用の新しいパケット、および
cloneなどの新しいストップ停止理由が含まれます。 - スレッドごとのイベントレポートオプションと、アドレスタギングのチェック機能が導入されました。
AMD GPU 用の pmda が、グローバルの GPU データ収集のために有効化されました
この更新前は、完全なサポートに必要な特定の機能がカーネルに欠けていたため、AMD GPU 用の PMDA (Performance Co-Pilot メトリクスエージェント) を RHEL で利用できませんでした。
この更新により、ユーザーは pcp-pmda-amdgpu パッケージを使用して、AMD GPU 上のグローバルの GPU データを RHEL で収集できるようになりました。
glibc に IBM Z z17 の初期サポートが追加されました
glibc の動的ローダーが強化され、IBM z17 CPU またはその固有機能の検出がサポートされるようになりました。その結果、IBM z17 向けに最適化されたライブラリーが /usr/lib64/glibc-hwcap/z17/ ディレクトリーにインストールされている場合、z17 システムに自動的にロードされるようになりました。この更新により、IBM Z z17 プラットフォームのハードウェア互換性とパフォーマンスが向上します。
Jira:RHEL-50086[1]
Rust Toolset がバージョン 1.88.0 にリベースされました
RHEL 9.7 には、Rust Toolset バージョン 1.88.0 が同梱されています。この更新には、次の主な機能拡張が含まれています。
- Rust 2024 Edition が安定版になりました。これは、大幅な言語変更を可能にするメジャーオプトインリリースであり、これまでにリリースされた最大のエディションです。
-
2024 エディションでは
letチェーンを活用できます。これにより、if条件とwhile条件内でletステートメントを&&を使用してスムーズに連鎖させることができるため、ネストを減らし、可読性を向上できます。 -
ハイパフォーマンスコンピューティング向けに、ターゲット機能を有効にすると、safe Rust から複数の
std::arch組み込み関数を直接呼び出すことができます。これにより、特定の CPU 機能に直接アクセスできます。 -
asyncクロージャーがサポートされ、非同期プログラミング用のファーストクラスのソリューションが提供されるようになりました。これらのクロージャーにより、キャプチャーからの借用が可能になり、AsyncFn トレイトを使用して高階関数シグネチャーを適切に表現できるようになります。 -
トレイトのアップキャストにより、トレイトオブジェクトへの参照をそのスーパートレイトへの参照に変換できるようになりました、これにより、特に
Anyトレイトを使用する一般的なパターンが簡素化されます。 - Cargo がキャッシュを自動的に消去し、1 - 3 カ月間アクセスされていない古いダウンロードファイルを削除するようになりました。これにより、ディスク領域の管理が容易になります。
Rust Toolset は Rolling Application Stream であり、Red Hat は最新バージョンのみをサポートします。詳細は、Red Hat Enterprise Linux Application Streams ライフサイクル ドキュメントを参照してください。
tzdata に NEWS ファイルが含まれるようになりました
この更新により、タイムゾーンデータの変更に関する正確な記述を提供するために、tzdata パッケージに、リリースごとに NEWS ファイルが含まれるようになりました。その結果、変更内容を詳細に確認できるようになります。ユーザーは、含まれている NEWS ファイルを確認して、更新の変更内容を把握できます。
Jira:RHEL-105043[1]
メトリクスロールが Apache Spark メトリクスの収集とエクスポートをサポートするようになりました
以前は、ユーザーはメトリクスロールを使用して Apache Spark メトリクスを直接収集またはエクスポートすることはできませんでした。この更新により、rhel-system-roles パッケージに、Apache Spark からメトリクスを収集および更新するためのサポートが追加されました。次の 2 つの新しいブールパラメーターが導入されました。
-
metrics_into_spark: false これにより、Spark へのメトリクス値のエクスポートが有効になります。 -
metrics_from_spark: false これにより、Spark からのメトリクスの収集が有効になります。
Spark からメトリクスを取得し、メトリクス情報を Spark に送信できるようになり、Spark ワークロードの統合および監視機能が向上しました。
4.14. Identity Management
ipa-healthcheck が証明書の有効期限切れについて警告するようになりました
この更新により、ipa-healthcheck ツールは、ユーザーが提供した HTTP、DS、および PKINIT 証明書の有効期限を評価し、有効期限の 28 日前に警告を発するようになりました。これは、証明書の有効期限が見落とされ、ダウンタイムが発生する可能性を防ぐためです。
Jira:RHELDOCS-20303[1]
ansible-freeipa が 1.15.1 にリベースされました
Red Hat Identity Management (IdM) 環境を管理するためのモジュールとロールを提供する ansible-freeipa パッケージが、バージョン 1.13.2 から 1.15.1 にリベースされました。この更新には、次の機能拡張が含まれています。
-
ansible-freeipaのansible-freeipa-collectionサブパッケージが、Red Hat Ansible Automation Hub (RH AAH) によって提供されるredhat.rhel_idmコレクションの名前空間および名前と互換性を持つようになりました。RPM コレクションサブパッケージをインストールした場合、AAH のロールとモジュールを参照する Playbook を実行できるようになりました。内部的には、RPM コレクションサブパッケージの名前空間と名前が使用されることに注意してください。
Jira:RHELDOCS-21029[1]
レガシーシステムとの互換性を保つために、IdM が Linux の UID 上限までの UID をサポートするようになりました
この更新により、最大 4,294,967,293 (2^32-1) までのユーザー ID とグループ ID を使用できるようになりました。これにより、IdM の最大値が Linux の UID 上限値と一致するようになりました。これは、標準の IdM の範囲 (2,147,483,647 まで) では不十分となるまれなケースで役立ちます。具体的には、完全な 32 ビット POSIX ID 空間を必要とするレガシーシステムと並行して IdM をデプロできるようになります。
標準的なデプロイメントでは、IdM は subID 用に 2,147,483,648 - 4,294,836,223 の範囲を予約します。2^31 から 2^32-1 までの UID 範囲を使用するには、subID 機能を無効にする必要があるため、最新の Linux 機能と競合します。
2^32-1 までの UID を有効にするには、以下を実行します。
subID 機能を無効にします。
$ ipa config-mod --addattr ipaconfigstring=SubID:Disable既存の subID 範囲を削除します。
$ ipa idrange-del <id_range>IdM サーバーで、内部 DNA プラグイン設定が正しく削除されていることを確認します。
# ipa-server-upgrade- 2^31 から 2^32-1 までの空間を含む新しいローカル ID 範囲を追加します。IdM がユーザーとグループの SID を適切に生成できるように、この新しい範囲の RID ベースを定義してください。
subID 機能を無効にできるのは、subID がまだ割り当てられていない場合だけです。
Jira:RHEL-84277[1]
krbLastSuccessfulAuth が有効な場合、Healthcheck が警告を表示します
ipaConfigString 属性で krbLastSuccessfulAuth 設定を有効にすると、多数のユーザーが同時に認証する場合にパフォーマンスの問題が発生する可能性があります。したがって、この設定はデフォルトでは無効になっています。この更新により、krbLastSuccessfulAuth が有効になっている場合、パフォーマンスの問題が発生する可能性があることを警告するメッセージを Healthcheck が表示するようになりました。
IdM 間の移行が利用可能になりました
以前はテクノロジープレビューとして提供されていた IdM 間の移行が、このリリースで完全にサポートされるようになりました。ipa-migrate コマンドを使用すると、SUDO ルール、HBAC、DNA 範囲、ホスト、サービスなど、すべての IdM 固有のデータを、ある IdM サーバーから別の IdM サーバーに移行できます。これは、たとえば、IdM を開発環境またはステージング環境から実稼働環境に移行する場合に役立ちます。
Jira:RHELDOCS-19500[1]
samba がバージョン 4.22.4 にリベースされました
samba パッケージがアップストリームバージョン 4.22.4 に更新されました。このバージョンでは、バグ修正および機能拡張が行われていますが、特に注目すべき点は次のとおりです。
- Samba が、サーバーメッセージブロックバージョン 3 (SMB3) ディレクトリーリースに対応しました。この機能拡張により、クライアントがディレクトリーリストをキャッシュできるようになり、ネットワークトラフィックが削減され、パフォーマンスが向上します。
-
Samba が、従来のポート 389 UDP メソッドの代わりに、TCP ベースの LDAP または LDAPS を使用してドメインコントローラー (DC) 情報を問い合わせる機能に対応しました。この機能拡張により、ファイアウォールで制限された環境との互換性が向上します。
client netlogon ping protocolパラメーター (デフォルト値:CLADP) を使用してプロトコルを設定できます。 次の設定パラメーターが削除されました。
-
nmbd_proxy_logon: この設定は、Samba が独自の NetBIOS over TCP/IP (NBT) サーバーを導入する前に、NetLogon 認証要求を Windows NT4 プライマリードメインコントローラー (PDC) に転送するために使用されていました。 -
cldap port: Connectionless Lightweight Directory Access Protocol (CLDAP) は常に UDP ポート 389 を使用します。また、Samba コードではこのパラメーターが一貫して使用されていなかったため、動作に一貫性がありませんでした。 -
fruit:posix_rename:vfs_fruitモジュールのこのオプションは、Windows クライアントで問題を引き起こす可能性があるため削除されました。MacOS では、ネットワークマウント上での.DS_Storeファイルの作成を防ぐための回避策として、defaults write com.apple.desktopservices DSDontWriteNetworkStores trueコマンドを使用してください。
-
Samba 4.11 以降はサーバーメッセージブロックバージョン 1 (SMB1) プロトコルが非推奨となり、今後のリリースで削除されることに注意してください。
Samba を起動する前に、データベースファイルをバックアップしてください。Samba は、smbd、nmbd、または winbind サービスが起動すると、tdb データベースファイルを自動的に更新します。Red Hat は、tdb データベースファイルのダウングレードをサポートしていません。
Samba を更新した後、testparm ユーティリティーを使用して /etc/samba/smb.conf ファイルを確認します。
389-ds-base がバージョン 2.7.0 にリベースされました
389-ds-base パッケージがバージョン 2.7.0 に更新されました。
dsctl healthcheck が、メンバーシップ属性に対する部分文字列インデックスの作成について警告するようになりました
メンバーシップ属性を含むエントリーは通常、多数のメンバーを持つグループです。値セットを変更する場合、単一のメンバーの削除などの小さな変更の場合でも、部分文字列インデックスのコストは非常に高くなります。現在、部分文字列インデックスタイプを追加すると、dsctl healthcheck は、メンバーシップ属性の部分文字列インデックスのコストが高くなる可能性があることを警告し、次のエラーメッセージを表示します。
DSMOLE0002。メンバーシップ属性に部分文字列インデックスが設定されている場合、大規模なグループからのメンバーの削除に時間がかかることがあります。
Jira:RHEL-81141[1]
属性の一意性を検索するための Attribute Uniqueness プラグインのカスタムマッチングルール
この更新により、Attribute Uniqueness プラグインの設定で、一意性を強制する属性のマッチングルールを指定できるようになりました。これは、属性の構文を case exact や case ignore からオーバーライドする場合などに使用できます。
プラグイン設定で、属性とそのマッチングルールを次のように指定してください。
uniqueness-attribute-name: <attribute>:<Matching rule OID>:
この更新前は、case exact 構文で属性 cn を使用した場合、比較する 2 つの値の大文字と小文字が異なると、Attribute Uniqueness プラグインは一致する値を検出できませんでした。現在は、管理者がマッチングルールを設定して case ignore に設定できるため、プラグインによって値が一致すると認識されます。
uniqueness-attribute-name: cn:caseIgnoreMatch:Jira:RHEL-109034[1]
cockpit-session-recording が 20-1.el9 にリベースされました
cockpit-session-recording パッケージが、アップストリームバージョン 20-1.el9 にリベースされました。これは、Cockpit Web インターフェイスを通じて実行されるユーザーセッションを記録するパッケージです。このパッケージは、PatternFly 6 ユーザーインターフェイスシステムデザインに移行されました。
ACME サーバーに ES256 署名アルゴリズムのサポートが追加されました
以前は、Automatic Certificate Management Environment (ACME) サーバーは、JSON Web Key (JWK) 検証用の ES256 署名アルゴリズムをサポートしていませんでした。このアルゴリズムのサポートが欠けていたため、Caddy Web サーバーなどの特定のクライアントが、証明書を正常に取得できませんでした。
この更新により、ACME サーバーが強化され、JWK 検証用の ES256 署名アルゴリズムがサポートされるようになりました。
その結果、サーバーは Caddy Web サーバーなどの ES256 を使用するクライアントと相互運用できるようになりました。これにより、クライアントが証明書を正常に取得して、セキュアな HTTPS 通信を確立できるようになりました。
HSM は IdM で完全にサポートされるようになる
Hardware Security Modules (HSM) が、Identity Management (IdM) で完全にサポートされるようになりました。IdM 認証局 (CA) および Key Recovery Authority (KRA) のキーペアと証明書を HSM に保存できます。これにより、秘密鍵マテリアルに物理的なセキュリティーが追加されます。
IdM は、HSM のネットワーク機能を利用してマシン間で鍵を共有し、レプリカを作成します。HSM は、ほとんどの IdM 操作に目に見える影響を与えることなく、追加のセキュリティーを提供します。低レベルのツールを使用する場合、証明書とキーの処理方法は異なりますが、ほとんどのユーザーはシームレスに使用できます。
既存の CA または KRA を HSM ベースのセットアップに移行することはサポートされていません。HSM 上のキーを使用して CA または KRA を再インストールする必要があります。
以下が必要です。
- サポートされている HSM。
- HSM Public-Key Cryptography Standard (PKCS) #11 ライブラリー。
- 利用可能なスロット、トークン、トークンのパスワード。
HSM にキーが保存されている CA または KRA をインストールするには、トークン名と PKCS #11 ライブラリーへのパスを指定する必要があります。以下に例を示します。
ipa-server-install -r EXAMPLE.TEST -U --setup-dns --allow-zone-overlap --no-forwarders -N --auto-reverse --random-serial-numbers -–token-name=HSM-TOKEN --token-library-path=/opt/nfast/toolkits/pkcs11/libcknfast.so --setup-kraJira:RHELDOCS-21376[1]
4.15. デスクトップ
UBI ベースの Toolbox コンテナーで OpenGL と Vulkan がデフォルトでサポートされています
OpenGL と Vulkan は、更新された UBI ベースのツールボックスイメージから作成された Toolbox コンテナー内でデフォルトで動作するようになりました。これは RHEL Workstation ホストでの動作と同じです。これには、Mesa が提供するフリーソフトウェアドライバーのみが含まれ、NVIDIA などのプロプライエタリーなドライバーは含まれません。
Toolbx コンテナーは、RHEL Workstation 環境をレプリケートすることを目的としています。以前は、OpenGL および Vulkan のサポートを有効にするには、ユーザーが Mesa 関連のパッケージを手動でインストールする必要がありました。これは直感的ではなく、ドキュメント化もされていませんでした。
その結果、OpenGL および Vulkan アプリケーションが、追加の設定なしで Toolbox コンテナー内で動作できるようになり、使いやすさとホストシステムとの一貫性が向上します。
Low Disk Space 通知に Web コンソールのマウントポイントが含まれるようになりました
複数のボリュームが同じ名前を持つ場合、Low Disk Space 通知にマウントポイントが含まれます。この機能拡張により、より多くの容量を必要としているファイルシステムに関するあいまいさが軽減されます。
Jira:RHEL-11910[1]
4.16. Web コンソール
cockpit がバージョン 344 にリベースされました
cockpit パッケージがバージョン 344 にリベースされました。RHEL 9.6 のバージョン 334 と比較して、次のような多くの改善と修正が行われています。
- UI を改善し、PatternFly 6 デザインシステムに基づく新しいスタイルに変更しました。
- ストレージコンポーネントに、SMART (Self-Monitoring, Analysis and Reporting Technology) 標準と Stratis 3.8 以降のプール形式のサポートを追加しました。
- 仮想マシンコンポーネントのグラフィカル VNC、コントロール VNC、およびシリアルコンソールを改善しました。
- ネットワークコンポーネントに WireGuard VPN の IPv6 アドレスのサポートを追加しました。
-
すべての Web コンソールページを、
branding.cssスタイルシートファイルを通じて、自社ブランドのデザインにカスタマイズできます。
新しいサブパッケージ: cockpit-ws-selinux
cockpit_ws プロセスの SELinux ポリシーは、別のサブパッケージ cockpit-ws-selinux で提供されます。これにより、SELinux がインストールされていないシステムで RHEL Web コンソールを実行した場合に、コンソールが失敗することがなくなります。この変更が必要だった理由は、パッケージマネージャーが selinux_policy パッケージを依存関係としてインストールしてしまうためです。詳細は、システム上の cockpit_ws_selinux(8) man ページを参照してください。
4.17. Red Hat Enterprise Linux システムロール
ad_integration RHEL システムロールが、SSSD ドメインセクションの命名を制御し、重複を統合できるようになりました
この更新により、ユーザーは、ad_dyndns_update および ad_integration_sssd_custom_settings パラメーターによって管理される、ドメインまたはレルム固有の設定用の SSSD 設定ファイルで使用するセクションの名前を制御できるようになりました。デフォルトでは、ad_integration ロールは ad_integration_realm 変数の小文字版を使用します。しかし、ユーザーが ad_integration_realm の実際の大文字/小文字をそのまま使用する必要がある場合は、新しいオプション ad_integration_sssd_realm_preserve_case = true を使用すると、レルムの大文字/小文字の区別を保持できます。これにより、SSSD 設定ファイル内に、そのレルムのセクションが複数存在することになる可能性があります。複数のセクションのすべての設定を、選択したセクションに統合するには、新しい ad_integration_sssd_remove_duplicate_sections 設定を使用します。これにより、ad_integration システムロールが、SSSD 設定ファイル内のドメインおよびレルムセクションを正しく管理できるようになります。
Jira:RHEL-99089[1]
journald RHEL システムロールがディスク領域を監視できるようになりました
この更新により、journald.conf ジャーナルサービスで SystemKeepFree オプションを設定して、システムジャーナルの最大サイズを設定できるようになりました。これにより、システム全体の安定性とパフォーマンスが向上します。その結果、journald_system_keep_free 変数を使用してサイズ制限を設定できるようになりました。値はメガバイト単位で指定します。デフォルト値はありません。デフォルトでは、journald のデフォルト値が使用されます。
Jira:RHEL-95874[1]
metrics ロールが追加の PCP ドメインの有効化をサポートするようになりました
この更新により、rhel-system-roles パッケージで、metrics RHEL システムロールに metrics_optional_domains 変数が導入されました。ユーザーは、metrics ロールによって自動的に管理されるドメインに加えて、アクティブ化する追加の PCP ドメインのリストを指定できます。その結果、ユーザーは特定のユースケースに必要なドメインを有効にできるようになり、データの収集と監視の柔軟性が向上します。
Jira:RHEL-104659[1]
journald の最大保持期間パラメーターを設定するための変数 MaxRetention を導入しました
この更新により、ユーザーは journald の最大保持期間パラメーターを設定し、時間に基づいてジャーナルファイルを削除できるようになりました。この機能拡張により、特定のデータ保持ポリシーに従ってログデータを柔軟に管理できるようになりました。その結果、時間ベースのログ削除とサイズベースのログ削除の両方が可能になります。これは、データ保持要件への準拠に役立ち、過剰なログの保存を防ぐことでシステム全体のパフォーマンスを向上させます。
Jira:RHEL-102637[1]
podman ロールがあらゆる TOML 準拠の設定ファイルを生成するようになりました
この更新前は、現在の Jinja ベースのフォーマッターが、podman のあらゆる側面を設定するために必要なテーブルやインラインテーブルなど、多くの TOML 機能をサポートしていませんでした。この機能拡張により、単純な Jinja テンプレートではなく、正式な TOML フォーマッターを使用することで、TOML のすべての機能がサポートされるようになりました。その結果、podman ロールは、podman が使用できるあらゆる TOML 準拠の設定ファイルを生成できるようになりました。
podman ロールは、古いフォーマッターのいくつかの機能を維持する必要があります。そのため、TOML フォーマッターはデフォルトで無効になっています。古いフォーマッターを使用する必要があるユースケースや、新しく改良されたフォーマッターを使用するためにインベントリーデータを変換する方法については、README ファイルを参照してください。
すべての場合に新しい TOML フォーマッターを使用するには、podman_use_new_toml_formatter を true に設定します。
podman_use_new_toml_formatter: truefirewall RHEL システムロールが、他のサービスもサポートするようになりました
この機能拡張により、firewall RHEL システムロールを使用して firewalld サービス定義を作成するときに、他のサービスを含めることができるようになりました。たとえば、http サービスと https サービスを含むサービス webserver を作成できます。その後、webserver サービスを有効にすると、firewalld が http および https サービスで定義されたポートを開きます。詳細は、firewalld RHEL システムロールを使用したカスタム firewalld サービスの作成 を参照してください。
rhel-system-roles でデフォルトのカーネルを設定する機能
以前は、ユーザーはシステムの起動時にどのカーネルをデフォルトとして設定するかを指定できませんでした。この制限により、管理者は自動化の際にデフォルトのカーネル選択を容易に管理することができませんでした。
この更新により、rhel-system-roles パッケージで、新しい default オプションを使用してデフォルトのブートローダーカーネルを設定できるようになりました。ユーザーは、カーネル設定で default ブールパラメーターを設定することで、単一のカーネルをデフォルトとして指定できます。システムは、デフォルトとしてマークできるカーネルが 1 つだけであることを検証し、必要に応じて grubby --set-default を使用して選択を適用します。
この機能拡張により、RHEL でカーネルバージョンを管理する際の柔軟性が向上し、自動化が簡素化されます。
メトリクスロールが Apache Spark メトリクスの収集とエクスポートをサポートするようになりました
以前は、ユーザーはメトリクスロールを使用して Apache Spark メトリクスを直接収集またはエクスポートすることはできませんでした。この更新により、rhel-system-roles パッケージに、Apache Spark からメトリクスを収集およびエクスポートするためのサポートが追加されました。次の 2 つの新しいブールパラメーターが導入されました。
-
metrics_into_spark: false これにより、Spark へのメトリクス値のエクスポートが有効になります。 -
metrics_from_spark: false これにより、Spark からのメトリクスの収集が有効になります。
Spark からメトリクスを取得し、メトリクス情報を Spark に送信できるようになり、Spark ワークロードの統合および監視機能が向上しました。
rhel-system-roles.timesync ロールの使用時に、chronyd サービスを IPv4 のみで動作させることが可能になりました
この更新により、ノード上で IPv6 が無効な場合に、ユーザーが chronyd 設定をカスタマイズできるようになりました。この機能拡張により、2 つの選択肢が提供されます。1 つは timesync ロールに設定を追加して IPv6 を無効にする方法、もう 1 つは chronyd の OPTIONS 値を設定するためのパラメーターを渡す方法です。これらの方法により、rhel-system-roles.timesync ロールの使用時に、chronyd サービスを IPv4 のみで動作させることが可能になりました。これにより、IPv6 が無効な環境で時刻同期の正確性と安定性が向上します。
4.18. 仮想化
virtio-mem が IBM Z で利用可能になりました
この更新により、準仮想化メモリーデバイスである virtio-mem を IBM Z ハードウェアで使用できるようになりました。virtio-mem を使用すると、仮想マシンのホストメモリーを動的に追加または削除できます。
Jira:RHEL-72976[1]
IBM Z ホスト用の新しいコマンド: virsh hypervisor-cpu-models
この更新により、virsh hypervisor-cpu-models コマンドが導入されました。IBM Z アーキテクチャーでこのコマンドを使用すると、ハイパーバイザーが認識する CPU モデルを表示できます。
Jira:RHEL-11435[1]
IBM Z ゲスト向けのパフォーマンスが強化された PCI 変換
この更新により、IBM Z ホスト上の仮想マシン (VM) が、PCI デバイスに対して ID-mapped 型のダイレクトメモリーアクセス (DMA) を使用できるようになりました。この機能により、PCI デバイスパススルーのパフォーマンスが大幅に向上します。この機能を使用するには、システムを次のように設定する必要があることに注意してください。
-
仮想マシンのカーネルコマンドラインで
iommu.passthrough=1パラメーターを設定する必要があります。 - 仮想マシンのメモリーが NUMA ノードに完全にピニングされている必要があります。
- RHEL ホストシステムで論理パーティション (LPAR) を使用しないでください。
Jira:RHEL-11431[1]
64 ビット ARM ホスト上の仮想マシンの新機能
64 ビット ARM アーキテクチャー (aarch64) を使用する RHEL ホスト上の仮想マシンでは、次の機能がサポートされるようになりました。
- ライブスナップショット
次のオプションを使用したプリコピーマイグレーション:
- TLS 暗号化および XBZRLE 圧縮
- ダーティー率の監視
- 自動収束
次のオプションを使用したマルチ FD マイグレーション:
- TLS 暗号化および XBZRLE 圧縮
- 自動収束
- ゼロコピー
次のオプションを使用したポストコピーマイグレーション:
- TLS 暗号化および XBZRLE 圧縮
- 復元
- プリエンプション
-
virtiofsを使用したライブマイグレーション - RHEL 10.1 から RHEL 9.7 への後方移行
Jira:RHELDOCS-20781[1]
新しい QEMU 設定パラメーター: migrate_tls_priority
この更新により、/etc/libvirt/qemu.conf ファイルで migrate_tls_priority パラメーターを設定できるようになりました。このパラメーターを使用すると、仮想マシンのライブマイグレーション時に TLS に関する QEMU の問題を回避できます。ご使用の環境でデフォルト設定が機能しない場合は、設定すべき推奨値を入手するために、Red Hat カスタマーサポートにお問い合わせください。
Jira:RHEL-73319[1]
4.19. クラウド環境の RHEL
RHEL 上の OTel コレクターが TPM デバイスをサポートするようになりました
RHEL 上の OpenTelemetry (OTel) コレクターが、Trusted Platform Module (TPM) デバイスをサポートするようになりました。この機能により、OTel Collector は TPM デバイスから Transport Layer Security (TLS) 証明書を読み取ることができます。
Jira:RHELDOCS-20446[1]
対象となる RHEL イメージの自動登録の強化
この更新により、対象マーケットプレイスの対象イメージに基づいて作成された RHEL インスタンスが、Red Hat Update Infrastructure (RHUI) ではなく、Red Hat コンテンツ配信ネットワーク (CDN) からコンテンツと更新を自動的に受信するようになりました。RHUI リポジトリーはデフォルトでオフになっています。
これにより、サブスクライブ済み RHEL インスタンスのユーザーが、最新の更新内容に自動的にアクセスできるようになります。
詳細は、自動登録について を参照してください。
Jira:RHELDOCS-21241[1]
新しいパッケージ: azure-vm-utils
この更新により、Microsoft Azure 上のゲストオペレーティングシステムとして RHEL 9 を使用するエクスペリエンスを最適化するためのユーティリティー群と udev ルール集を提供する azure-vm-utils パッケージが追加されました。
Jira:RHEL-88789[1]
Azure 機密仮想マシンで RHEL が利用可能になりました
RHEL 機密仮想マシン (CVM) イメージを使用して、Microsoft Azure 上で RHEL CVM を作成して実行できます。このイメージは、Azure の Confidential OS ディスク暗号化機能により、完全なディスク暗号化をサポートしています。
Jira:RHELPLAN-139800[1]
4.20. サポート性
sos が、サポート診断の改善のために Satellite メトリクスファイルを収集するようになりました
sos の foreman-installer プラグインが、/var/lib/foreman-maintain/ ディレクトリーにある satellite_metrics.yml ファイルを収集するようになりました。これにより、Satellite のどの機能がどの程度使用されているかを把握できます。
4.21. コンテナー
新しい rhel9/valkey-8 コンテナーイメージが RHEL で一般提供になりました
新しく利用可能になった rhel9/valkey-8 コンテナーイメージでは、アトミック操作が可能であり、文字列、ハッシュ、リスト、セット、ソート済みセットなどのさまざまなデータ型がサポートされています。このイメージは、インメモリーのデータセットを使用するため、高いパフォーマンスを実現します。このデータセットは、ディスクに保存することも、ログにコマンドを付加することで保存することもできます。
Jira:RHELDOCS-20639[1]
再現可能なコンテナービルドのサポートが向上しました
再現可能なビルドにより、特定の入力セットから一貫して同じ出力が生成されるようになります。この機能拡張は、これまでコンテナーイメージビルドの再現性を複雑にしていたいくつかの要因に対処するものです。-source-date-epoch と -rewrite-timestamp を使用すると、ビルドの再現性が向上し、$SOURCE_DATE_EPOCH の設定や検索などの一般的なプラクティスとの整合性が向上します。ただし、完全な再現性を保証することはできません。
Podman RESTFUL API の新しいアーティファクトエンドポイント
Podman RESTFUL API に新しいアーティファクトエンドポイントが追加され、OCI アーティファクトをプログラムによって管理できるようになりました。この機能拡張により、OCI アーティファクトの操作を既存のシステムやスクリプトに統合することが容易になります。
Container Tools パッケージが更新されました
Podman、Buildah、Skopeo、crun、runc ツールを含む、更新された Container Tools RPM メタパッケージを利用できます。Buildah パッケージはバージョン v1.41.0 に更新され、Skopeo はバージョン 1.20.0 に更新されました。
Podman リリース v5.6 には、以前のバージョンに対する次の主なバグ修正と機能拡張が含まれています。
-
Quadlet を管理するための新しいコマンドセットとして、
podman quadlet install(現在のユーザーに新しい Quadlet をインストールする)、podman quadlet list(インストールされている Quadlet をリスト表示する)、podman quadlet print(Quadlet ファイルの内容を出力する)、およびpodman quadlet rm(Quadlet を削除する) が追加されました。 -
podman kube playコマンドは、io.podman.annotations.cpuset/$ctrnameおよびio.podman.annotations.memory-nodes/$ctrnameアノテーションを使用して、コンテナーの実行を特定の CPU コアと特定のメモリーノードに制限できます。 -
podman kube playコマンドは、Pod YAML のlifecycle.stopSignalフィールドをサポートしており、コンテナーを停止するために使用するシグナルを指定できます。 -
podman volume importコマンドとpodman volume exportコマンドは、リモート Podman クライアントで使用できます。 -
podman volume createコマンドは、ボリュームの作成に使用する UID と GID を設定するための 2 つの新しいオプション--uidと--gidを受け入れます。 -
podman secret createコマンドに新しいオプション--ignoreが追加されました。これにより、指定した名前のシークレットがすでに存在する場合でもコマンドが成功するようになりました。 -
podman pullコマンドに、プルポリシーを設定するための新しいオプション--policyが追加されました。 -
podman updateコマンドに、特定のコンテナーを指定する代わりに最新のコンテナーを更新するための新しいオプション--latestが追加されました。 -
アーティファクトを操作するための API エンドポイント一式が追加されました。これには、アーティファクトの検査 (
GET /libpod/artifacts/{name}/json)、すべてのアーティファクトのリスト表示 (GET /libpod/artifacts/json)、アーティファクトのプル (POST /libpod/artifacts/pull)、アーティファクトの削除 (DELETE /libpod/artifacts/{name})、リクエストボディーに含まれる tar ファイルからのアーティファクトの追加 (または既存のアーティファクトへの追加) (POST /libpod/artifacts/add)、レジストリーへのアーティファクトのプッシュ (/libpod/artifacts/{name}/push)、およびアーティファクトの内容の取得 (GET /libpod/artifacts/{name}/extract) が含まれます。 -
OCI アーティファクトの内容の一部またはすべてをディスク上の場所にコピーするための新しいコマンド
podman artifact extractが追加されました。 -
podman create、podman run、podman pod createの--mountオプションは、OCI アーティファクトをコンテナーにマウントするための新しいマウントタイプ--mount type=artifactをサポートしています。 -
podman artifact addコマンドは、既存のアーティファクトに新しいファイルを追加する--appendと、アーティファクトに追加するファイルの MIME タイプを指定する--file-typeという 2 つの新しいオプションを備えています。 -
podman artifact rmコマンドに、ローカルストア内のすべてのアーティファクトを削除する新しいオプション--allが追加されました。 -
podman kube generateコマンドとpodman kube playコマンドは、新しいアノテーションio.podman.annotation.pids-limit/$containernameをサポートしています。これにより、kube generateとkube playを実行しても、コンテナーの PID 制限が保持されます。 -
Quadlet の
.containerユニットは、Memory=(作成されたコンテナーの最大メモリーを設定する)、ReloadCmd(systemdExecReloadを介してコマンドを実行する)、およびReloadSignal(systemdExecReloadを介して指定されたシグナルでコンテナーを強制終了する) の 3 つの新しいキーをサポートしています。 -
Quadlet の
.container、.image、および.buildユニットは、Retry(失敗時にイメージのプルを再試行する回数) とRetryDelay(再試行間の遅延) という 2 つの新しいキーをサポートしています。 -
Quadlet の
.podユニットは、Pod のホスト名を設定するための新しいキーHostName=をサポートしています。 -
Quadlet ファイルは、
Installセクションで新しいオプションUpheldByをサポートするようになりました。これは systemd のUpholdsオプションに相当するものです。 -
systemd 依存関係として指定された Quadlet ユニットの名前が自動的に変換されます。たとえば、
Wants=my.containerは有効です。
主な変更点の詳細は、アップストリームのリリースノート を参照してください。
ADD および COPY 命令が、--link オプションをサポートするようになりました
Buildah と Podman が、Containerfiles 内の ADD および COPY 命令の --link フラグをサポートするようになりました。このフラグを使用すると、ビルドされるイメージに新しいコンテンツが独立したレイヤーとして追加されます。
新しいコンテナーイメージが利用可能になりました
Red Hat Ecosystem Catalog に、以下の新しいコンテナーイメージが登録されています。
-
ubi-stig: STIG によるハードニングが適用された Universal Base Image。コンテナー化されたアプリケーション、ミドルウェア、およびユーティリティーのセキュアな基盤となります。 -
valkey-8: コンテナーとして利用できる高度なキーバリューストア。インメモリデータセットを使用して優れたパフォーマンスを実現します。鍵には、文字列、ハッシュ、リスト、セット、およびソートセットを含めることができるため、データ構造サーバーと呼ばれています。 -
gcc-toolset-15-toolchain: C および C++ アプリケーションの構築に使用される必須のライブラリーとツールを含むベースイメージ。 -
nodejs-24: さまざまな Node.js 24 アプリケーションとフレームワークを構築および実行するためのベースプラットフォームを提供します。これは Chrome の JavaScript ランタイムを基盤としています。イベント駆動型のノンブロッキング I/O モデルを通じて高速でスケーラブルなネットワークアプリケーションを容易に実現します。データ集約型のリアルタイム分散アプリケーションに最適です。 -
nodejs-24-minimal: さまざまな Node.js 24 アプリケーションとフレームワークを実行するためのベースプラットフォームを提供します。これは Chrome の JavaScript ランタイムを基盤としています。イベント駆動型のノンブロッキング I/O モデルを通じて高速でスケーラブルなネットワークアプリケーションを容易に実現します。データ集約型のリアルタイム分散アプリケーションに最適です。 -
dotnet-100、dotnet-100-aspnet、dotnet-100-runtime: ベースバージョン、ASP.NET バージョン、ランタイムバージョンを含む .NET 100 イメージが利用可能になりました。
Jira:RHELDOCS-21211[1]
RHEL Image Mode が、実行時のルートレベルのディレクトリーとシンボリックリンクの作成をサポートするようになりました
このリリースでは、RHEL Image Mode を使用して、システムのデプロイ後にルートレベルのディレクトリーとシンボリックリンクを作成してから、ファイルシステムを読み取り専用モードに戻すことができます。その結果、ファイルシステムの要件がそれぞれ異なる複数のデプロイメント環境で、単一のベースイメージを使用できるようになります。
Jira:RHELDOCS-21230[1]
bootc-image-builder がデフォルトでローカルコンテナーストレージを使用します
このリリースでは、bootc-image-builder ツールはデフォルトでローカルモードで動作するようになりました。つまり、リモートレジストリーからコンテナーイメージをプルしなくなりました。ディスクイメージをビルドするには、ディスクイメージをビルドする前に、システムのローカルコンテナーレジストリーにベース bootc コンテナーイメージを事前にロードする必要があります。自動イメージプルに依存する既存のワークフローがある場合は、そのワークフローを更新する必要があります。この変更により、ビルドプロセス中の外部ネットワークへの依存が減り、セキュリティーが向上します。
Jira:RHELDOCS-21218[1]
4.22. RHEL Lightspeed
コマンドラインアシスタントが Image Mode for RHEL をサポートするようになりました
この機能拡張により、Containerfile をカスタマイズして command-line-assistant パッケージを追加し、コンテナーイメージからディスクイメージを作成し、そのイメージを使用してシステムを起動できるようになりました。その結果、システムイメージにコマンドラインアシスタントがプリインストールされた状態になります。コマンドラインアシスタントは、subscription-manager でシステムを登録した後に使用できるようになります。
Jira:RHELDOCS-20546[1]
コマンドラインアシスタントの入力コンテキスト制限が 32KB に増加しました
この更新前は、コマンドラインアシスタントには 2 KB の入力コンテキスト制限があり、入力がこの制限を超えると機能しませんでした。その結果、ユーザーエクスペリエンスが制限され、2 KB の入力コンテキスト制限により十分なログ分析が不可能でした。このリリースでは、コマンドラインアシスタントの入力コンテキスト制限が 2 KB から 32 KB に増加されました。その結果、コマンドラインアシスタントがより大きな入力コンテキストをサポートするようになり、ログ分析と潜在的な問題の検出が向上しました。
Jira:RHELDOCS-20421[1]
RHEL Lightspeed コマンドラインアシスタントのエラー処理と終了コードが改善されました
この機能拡張により、コマンドラインアシスタントで、次のようなエラー処理と終了コードが改善されました。
- CLA 実行時に発生する可能性のあるさまざまな種類のエラーに応じた異なるエラーメッセージを出力します。
- 実際の原因に応じたエラーメッセージを出力し、ログに記録します。
- 問題の種類に応じた異なるコードを実装しました。
Jira:RHELDOCS-21313[1]
コマンドラインアシスタントの -w オプションで現在の出力が表示されます
この更新前は、現在の enable-capture モードを使用せずに -w オプションを使用しようとすると、コマンドラインアシスタントによって以前のセッションの出力が誤って表示されていました。この更新により、-w オプションから出力が行われる前に、ターミナルキャプチャーログファイルが能動的に検証されるようになりました。その結果、前述の問題が修正され、表示される出力が正確になりました。
Jira:RHELDOCS-21315[1]
第5章 外部カーネルパラメーターへの重要な変更
この章では、システム管理者向けに、Red Hat Enterprise Linux 9.7 で配布されるカーネルの重要な変更点の概要を説明します。これらの変更には、たとえば、追加または更新された proc エントリー、sysctl と sysfs のデフォルト値、ブートパラメーター、カーネル設定オプション、または注目すべき動作の変更などが含まれます。
新しいカーネルパラメーター
arm64.nompam=
[ARM64] Memory Partitioning And Monitoring のサポートを無条件に無効にします。
indirect_target_selection=
[X86、Intel] Intel CPU における Indirect Target Selection (ITS) バグに対する緩和策を制御します。IBPB の修正には、マイクロコードの更新も必要です。
可能な値:
on - 緩和策を有効にします (デフォルト)。off - 緩和策を無効にします。force - ITS のバグを強制的に適用し、デフォルトの緩和策をデプロイします。vmexit - CPU が ITS のゲスト/ホスト間の分離に関する部分の影響を受ける場合にのみ、緩和策をデプロイします。stuff - retpoline がデプロイされている場合に、RSB-fill 緩和策もデプロイします。そうでない場合は、デフォルトの緩和策をデプロイします。
ドキュメント /admin-guide/hw-vuln/indirect-target-selection.rst を参照してください。
pcie.notph
[PCIE] PCIE_TPH カーネル設定パラメーターが有効な場合、このカーネルブートオプションを使用して、PCIe TLP Processing Hints のサポートをシステム全体で無効にできます。
rcutree.csd_lock_suppress_rcu_stall=
[KNL] CSD ロックの待機が長引いている場合に、RCU CPU ストール警告を 1 行だけ表示します。
rcuscale.kfree_by_call_rcu=
[KNL] CONFIG_RCU_LAZY=y でビルドされたカーネルで、kfree_rcu() の代わりに call_rcu() をテストします。
rcuscale.kfree_mult=
[KNL] サイズが kfree_obj のオブジェクトを割り当てる代わりに、kfree_mult * sizeof(kfree_obj) のいずれかを割り当てます。デフォルトは 1 です。
rcuscale.scale_type=
[KNL] テストする RCU 実装を指定します。
rcutorture.stall_cpu_repeat=
[KNL] ストールシーケンスを繰り返す回数。rcutorture.stall_cpu_repeat=3 の場合、ストールシーケンスは 4 回実行されます。
refscale.lookup_instances=
[KNL] SLAB_TYPESAFE_BY_RCU テストの形式に使用するデータ要素の数。負の数を指定すると、符号を反転させたものに nr_cpu_ids を掛けた値が使用されます。一方、ゼロを指定すると、nr_cpu_ids が使用されます。
smp.panic_on_ipistall=
[KNL] 指定されたミリ秒数を超えて csd_lock_timeout が続いた場合、システムをパニック状態にします。デフォルトでは、CSD ロックの取得に必要なだけ時間をかけることが許可されます。この値に 300000 を指定すると、5 分間のタイムアウトが指定されます。
spectre_bhi=
[X86] Branch History Injection (BHI) の緩和策を制御します。
on - (デフォルト) 必要に応じて HW または SW 緩和策を有効にします。これにより、カーネルがシステムコールと仮想マシンの両方から保護されます。vmexit - HW 緩和策が利用できないシステムで、vmexit 時にのみ SW 緩和策を有効にします。このようなシステムでは、ホストカーネルは仮想マシンを発生源とする BHI 攻撃から保護されますが、syscall 攻撃に対しては依然として脆弱である可能性があります。off - 緩和策を無効にします。
tsa=
[X86] AMD CPU に対する Transient Scheduler Attacks の緩和策を制御します。詳細は、任意の検索エンジンで以下を検索してください。
Technical guidance for mitigating transient scheduler attacks。off - 緩和策を無効にします。on - 緩和策を有効にします (デフォルト)。user - ユーザー/カーネル間の遷移にのみ緩和策を適用します。vm - ゲスト/ホスト間の遷移にのみ緩和策を適用します。
削除されたカーネルパラメーター
clocksource.max_cswd_read_retries=
[KNL] 外部の遅延が原因で clocksource_watchdog() の再試行が発生した際に、クロックが不安定とマークされるまでに行われる再試行の回数。デフォルトは 2 回の再試行です。つまり、テスト対象のクロックの読み取りが 3 回試行されます。
disable_cpu_apicid=
[X86、APIC、SMP] 形式: <int>。ブート時に無効にすべき当該 CPU の初期 APIC ID 番号。主に kdump のセカンドカーネルで使用され、BSP を無効にするために使用されます。その目的は、AP から BSP に INIT を送信することで発生するシステムのリセットやハングを防ぎつつ、複数の CPU を起動させることです。
カーネルパラメーターの変更
nohz_full=
[KNL] 単一のタスクの実行中にティックを無効にします。また、RCU コールバックのオフロードするなどして、他のカーネルノイズも無効にします。これは nohz_full パラメーターと同等です。残りの 1Hz ティックは、ワークキューにオフロードされます。ユーザーはこのワークキューを、グローバルの sysfs インターフェイスを通じて、ハウスキーピング用 CPU に割り当てる必要があります。
mce=
[X86-64] ドキュメント /arch/x86/x86_64/boot-options.rst を参照してください。
mem_encrypt=
[X86-64] メモリー暗号化をアクティブ化できる条件の詳細は、ドキュメント /virt/kvm/x86/amd-memory-encryption.rst を参照してください。
mitigations=
[ALL] mitigations=off を選択することは、以下の項目をオフにすることと同じです。
nokaslr が指定されている場合、kpti=0 [ARM64]gather_data_sampling=off [X86]indirect_target_selection=off [X86]kvm.nx_huge_pages=off [X86]l1tf=off [X86]mds=off [X86]meltdown=off [X86]mmio_stale_data=off [X86]pcid=off [X86]pti=off [X86]spectre_v1=off [X86]spectre_v2=off [X86]tsx=off [X86]tsx_async_abort=off [X86]uhi=off [X86]
pci=config_acs=
[PCI] 形式: <ACS flags>@<pci_dev>[; …]
各ビットの値:
0 - 強制的に無効化 1 - 強制的に有効化 x - 変更なし。たとえば、pci=config_acs=10x@pci:0:0 と指定した場合、ACS をサポートしているすべてのデバイスに対して、P2P Request Redirect を有効にし、Translation Blocking を無効にし、Source Validation を電源投入時またはファームウェアによって設定された状態のまま維持します。
これにより、デバイス間の分離が削除され、より多くのデバイスが IOMMU グループに追加される可能性があります。
pirq=
[SMP、APIC] ドキュメント /arch/x86/i386/IO-APIC.rst を参照してください。
prot_virt=
[S390] ハイパーバイザーから分離された保護対象の仮想マシンのホスティングを有効にします (ハードウェアがサポートしている場合)。有効にすると、Kernel Address Space Layout Randomization が無効な場合でも、デフォルトのカーネルベースアドレスがオーバーライドされる可能性があります。形式: <bool>
sev=
[X86-64] ドキュメント /arch/x86/x86_64/boot-options.rst を参照してください。
spectre_v2_user=
[X86] ユーザー空間における Spectre バリアント 2 の緩和策を制御します。on を選択すると、ユーザー空間タスク間の攻撃に対する緩和策も有効になります。特定の緩和策を選択しても、ユーザーの緩和策が強制的に有効になるわけではありません。off を選択すると、カーネルとユーザー空間の保護の両方が無効になります。
rcutorture.stall_cpu_irqsoff=
[KNL] 設定されている場合、ストール中の割り込みを無効にします。ただし、これはセット内の最初のストールにのみ適用されます。
新しい sysctl パラメーター
timer_migration
ゼロ以外の値に設定すると、アイドル状態の CPU が低電力状態をより長時間維持できるように、アイドル状態の CPU からタイマーを移行することを試みます。デフォルト: 1
第6章 デバイスドライバー
6.1. 新しいドライバー
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| SNP SVSM vTPM Driver | tpm_svsm | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| 仮想 CPU 周波数ドライバー | virtual-cpufreq | 64 ビット ARM アーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| AMD AE4DMA ドライバー | ae4dma | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| AMD PassThru DMA driver | ptdma | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| fwctl デバイスファームウェアアクセスフレームワーク | fwctl | |
| mlx5 ConnectX fwctl ドライバー | mlx5_fwctl |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| Chrontel ch7006 TV エンコーダードライバー | ch7006 | 64 ビット ARM アーキテクチャー、IBM Power Systems、AMD および Intel 64 ビットアーキテクチャー |
| QEMU によってエミュレートされたデバイス用の Cirrus ドライバー | cirrus-qemu | 64 ビット ARM アーキテクチャー、IBM Power Systems、AMD および Intel 64 ビットアーキテクチャー |
| カーネル内 DRM クライアント | drm_client_lib | |
| NXP Semiconductors TDA998X HDMI Encoder | tda998x | 64 ビット ARM アーキテクチャー |
| パネルバックライトのオーバーライドに関する特異な動作への対策 | drm_panel_backlight_quirks | 64 ビット ARM アーキテクチャー、IBM Power Systems、AMD および Intel 64 ビットアーキテクチャー |
| Silicon Image sil164 TMDS トランスミッタードライバー | sil164 | 64 ビット ARM アーキテクチャー、IBM Power Systems、AMD および Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| Intel® Intel THC Hardware Driver | intel-thc | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Intel® QuickI2C Driver | intel-quicki2c | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Intel® QuickSPI Driver | intel-quickspi | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| Conexant cx231xx ベースの USB ビデオデバイスドライバー - 0.0.3 | cx231xx | 64 ビット ARM アーキテクチャー、IBM Power Systems、AMD および Intel 64 ビットアーキテクチャー |
| Conexant CX25840 オーディオ/ビデオデコーダードライバー | cx25840 | 64 ビット ARM アーキテクチャー、IBM Power Systems、AMD および Intel 64 ビットアーキテクチャー |
| cx23415/6/8 ドライバー | cx2341x | 64 ビット ARM アーキテクチャー、IBM Power Systems、AMD および Intel 64 ビットアーキテクチャー |
| 各種 TV および TV+FM ラジオチューナー用デバイスドライバー | tuner | 64 ビット ARM アーキテクチャー、IBM Power Systems、AMD および Intel 64 ビットアーキテクチャー |
| i2c Hauppauge eeprom デコーダードライバー | tveeprom | 64 ビット ARM アーキテクチャー、IBM Power Systems、AMD および Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| Linux 用 Intel® MLD ワイヤレスドライバー | iwlmld | 64 ビット ARM アーキテクチャー、AMD および Intel 64 ビットアーキテクチャー |
| Geschwister Schneider Technologie- Entwicklungs- und Vertriebs UG 用のソケット CAN デバイスドライバー。USB2.0 から CAN へのインターフェイスおよび bytewerk.org candleLight USB CAN インターフェイス。 | gs_usb | 64 ビット ARM アーキテクチャー、IBM Power Systems、AMD および Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| AMD 3D V-Cache Performance Optimizer Driver | amd_3d_vcache | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Intel Extended Capabilities 補助バスドライバー | intel-vsec | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Intel Oaktrail Platform ACPI Extras - 0.4ac1 | intel-oaktrail | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Intel On Demand (SDSi) ドライバー | intel-sdsi | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Intel TPMI enumeration module | intel-vsec_tpmi | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Intel TPMI PLR Driver | intel-plr_tpmi | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| ISH ISHTP eclite クライアント opregion ドライバー | intel-ishtp_eclite | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| ACPI SMO88xx デバイスに対する lis3lv02d i2c クライアントのインスタンス化 | dell-lis3lv02d | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| TPMI Power Domains Mapping | intel-tpmi_power_domains | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| ARM SCMI 電源ドメインドライバー | scmi_pm_domain | 64 ビット ARM アーキテクチャー |
| ARM SCPI 電源ドメインドライバー | scpi_pm_domain | 64 ビット ARM アーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| Thunderbolt3 USB Type-C Alternate Mode | typec_thunderbolt | 64 ビット ARM アーキテクチャー、IBM Power Systems、AMD および Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 対象アーキテクチャー |
|---|---|---|
| Virtio-mem ドライバー | virtio_mem | IBM Z |
6.2. 更新されたドライバー
| 説明 | 名前 | 現行バージョン | 対象アーキテクチャー |
|---|---|---|---|
| Intel NPU (Neural Processing Unit) 用ドライバー | intel_vpu | 1.0.0 (5.14.0-611.5.1.el9_7.x86_64) | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 現行バージョン | 対象アーキテクチャー |
|---|---|---|---|
| DELL システムの BIOS イメージを更新するためのドライバー | dell_rbu | 3.3 | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| 説明 | 名前 | 現行バージョン | 対象アーキテクチャー |
|---|---|---|---|
| Broadcom MegaRAID SAS Driver | megaraid_sas | 07.734.00.00-rc1 | 64 ビット ARM アーキテクチャー、IBM Power Systems、AMD および Intel 64 ビットアーキテクチャー |
| Cisco FCoE HBA Driver | fnic | 1.8.0.2 | AMD アーキテクチャーおよび Intel 64 ビットアーキテクチャー |
| Driver for Microchip Smart Family Controller | smartpqi | 2.1.34-035 | 64 ビット ARM アーキテクチャー、IBM Power Systems、AMD および Intel 64 ビットアーキテクチャー |
| Emulex LightPulse ファイバーチャネル SCSI ドライバー | lpfc | 0:14.4.0.9 | 64 ビット ARM アーキテクチャー、IBM Power Systems、AMD および Intel 64 ビットアーキテクチャー |
| LSI MPT Fusion SAS 3.0 Device Driver | mpt3sas | 52.100.00.00 | 64 ビット ARM アーキテクチャー、IBM Power Systems、AMD および Intel 64 ビットアーキテクチャー |
| MPI3 Storage Controller Device Driver | mpi3mr | 8.15.0.5.50 |
第7章 バグ修正
ここでは、ユーザーに重大な影響を与えるバグで、Red Hat Enterprise Linux 9.7 で修正されたものを説明します。
7.1. インストーラーおよびイメージの作成
VDO 論理ボリュームが存在する場合にインストールが失敗しなくなりました
この更新前は、ユーザーが dm_vdo カーネルモジュールのないシステムで既存の Logical Volume Manager Virtual Data Optimizer (LVM VDO) ボリュームを削除しようとすると、RHEL のインストールが失敗していました。この更新により、VDO がサポートされていないシステムで LVM VDO ボリュームを削除しても、インストールが成功するようになりました。
Jira:RHEL-8008[1]
インストーラーが BOOTIF ブート引数を適用するようになりました
以前は、RHEL インストーラーは BOOTIF=<MAC> ブート引数を無視し、使用可能なすべてのネットワークインターフェイスをアクティブ化していました。この修正により、インストールプログラムは BOOTIF 引数を適切に処理し、インストールプロセス中に指定されたネットワークデバイスだけをアクティブ化するようになりました。
Jira:RHEL-78272[1]
7.2. セキュリティー
SSH 接続の失敗時に詳細なヘルプメッセージが表示されなくなりました
この更新前は、SSH 接続が失敗すると、一般的な SSH エラーと Red Hat ヘルプへのリンクを含むメッセージが表示されていました。その結果、エラー出力のヘルプメッセージにより、ユーザースクリプトや自動化が動作しなくなっていました。この更新により、SSH がログレベル debug1 以上で実行された場合にのみ、ヘルプメッセージが表示されるようになりました。その結果、エラー出力にデフォルトで予期しないメッセージが含まれなくなりました。
Jira:RHEL-104580[1]
OpenSC が逆参照前のメモリー解放を回避するようになりました
この更新前は、OpenSC が公開鍵を読み取る際に、逆参照によってメンバーが解放されていました。これにより、メモリーに保存された値の予期しない動作が発生しました。この更新により、逆参照前にメモリーを解放することが回避されるようになりました。その結果、OpenSC が公開鍵の読み取りを正しく処理するようになりました。
RPM データベースを繰り返し更新しても、fapolicyd が原因でデータベースがクラッシュしなくなりました
この更新前は、fapolicyd が enforcing モードのときに RPM データベースを繰り返し更新すると、バスエラー (SIGBUS) が発生し、RPM データベースが予期せず終了していました。このリリースでは、RPM データベースの更新に対する fapolicyd の SIGBUS の保護が強化されました。その結果、fapolicyd を有効にして RPM データベースを繰り返し更新しても、データベースがクラッシュしなくなりました。
Jira:RHEL-63090[1]
fapolicyd-cli --file add が、通常以外のファイルの処理時に失敗しなくなりました
この更新前は、fapolicyd-cli --file add コマンドを実行しても、ソケットなどの通常以外のファイルを含むディレクトリーを、信頼データベースに追加できませんでした。この更新により、問題が解決され、上記の状況で fapolicyd-cli --file add が失敗しなくなりました。
7.3. サブスクリプションの管理
subscription-manager は端末に不要なテキストを保持しなくなる
RHEL 9.1 以降、subscription-manager は操作の処理中に進行状況情報を表示します。以前は、一部の言語 (通常は非ラテン語) では、操作の終了後に進行状況メッセージがクリーンアップされませんでした。この更新により、操作の終了時にすべてのメッセージが適切にクリーンアップされます。
以前に進行状況メッセージを無効にしたことがある場合は、次のコマンドを入力して再度有効にできます。
# subscription-manager config --rhsm.progress_messages=1Jira:RHELPLAN-137234[1]
7.4. ソフトウェア管理
dnf download --url でパッケージ URL が正しく報告されるようになりました
この更新前は、dnf download --url コマンドを使用してパッケージ URL を取得すると、xml:base 属性ではなく、リポジトリーメタデータの場所を基準としたパッケージアドレスを DNF が誤って報告していました。
この更新により、DNF はパッケージ URL を割り出すときに xml:base 属性を考慮するようになりました。その結果、dnf download --url で正しいパッケージ URL が報告されるようになりました。
Jira:RHEL-71125[1]
7.5. シェルおよびコマンドラインツール
イメージモードのデプロイ環境で、/var/lib/tftpboot ディレクトリーがデフォルトで作成されます
以前は、イメージモードのデプロイ環境で、tftp-server パッケージをインストールしても /var/lib/tftpboot ディレクトリーが作成されませんでした。これは、既存のイメージモードのデプロイ環境にパッケージを追加した際に、/var ディレクトリーへの変更が適用されないために発生していました。
この更新により、すべてのイメージモードのデプロイ環境で /var/lib/tftpboot ディレクトリーが自動的に作成されます。
Jira:RHEL-77491[1]
top -u コマンドは、プロセスをメモリー順に並べ替えるときに、少なくとも 1 つのプロセスを表示するようになりました
以前は、-u <user> パラメーターを指定して top コマンドを実行する際に、user がコマンドを実行しているユーザーと異なっていた場合、プロセスをメモリー順に並べ替えるために M キーを押すとすべてのプロセスが消えていました。この更新により、top コマンドは、プロセスをメモリー順に並べ替えるときに、少なくとも 1 つのプロセスを表示するようになりました。
カーソルの位置を保持するため、すべてのプロセスが表示されるわけではありません。結果を上にスクロールすると、残りのプロセスが表示されます。
7.6. インフラストラクチャーサービス
chronyc reload sources コマンドが、ホスト名で指定されたソースを正しく処理できるようになりました
以前は、chronyd の chronyc reload sources コマンドが、chrony.conf ファイルで指定された sourcedir ディレクトリーからソースを誤って再ロードしていました。この動作は、1 つのホスト名が複数の IP アドレスに解決される場合に chronyd が重複したソースを登録する原因となっていました。その結果、ソースの数が予期せず増加していました。
この更新により、chronyc reload sources コマンドがホスト名で指定されたソースを正しく処理するようになりました。その結果、ソースを再ロードしても、使用されるソースの数が変わらなくなりました。
DAV リポジトリーの場所が正規表現の一致を使用して設定されている場合に httpd が正常に動作します
以前は、Apache HTTP Server で正規表現の一致 (LocationMatch など) を使用して Distributed Authoring and Versioning (DAV) リポジトリーを設定すると、mod_dav httpd モジュールがパス名からリポジトリーのルートを特定できませんでした。その結果、httpd は、サードパーティープロバイダー (たとえば、Subversion の mod_dav_svn モジュール) からのリクエストを処理できませんでした。
この更新により、httpd.conf ファイルに新しい DavBasePath ディレクティブが導入されました。これにより、リポジトリーのルートパスを明示的に指定できるようになりました。以下に例を示します。
<LocationMatch "^/repos/">
DAV svn
DavBasePath /repos
SVNParentPath /var/www/svn
</LocationMatch>
その結果、正規表現の一致を使用して DAV リポジトリーの場所を設定した場合に、httpd が要求を正しく処理できるようになりました。
DAV リポジトリーの場所が正規表現の一致を使用して設定されている場合に httpd が正常に動作します
以前は、Apache HTTP Server で正規表現の一致 (LocationMatch など) を使用して Distributed Authoring and Versioning (DAV) リポジトリーが設定されている場合、mod_dav および httpd モジュールがパス名からリポジトリーのルートを特定できませんでした。その結果、httpd は、サードパーティープロバイダー (たとえば、Subversion の mod_dav_svn モジュール) からのリクエストを処理できませんでした。
この更新により、httpd.conf ファイルの新しい DavBasePath ディレクティブを使用して、リポジトリーのルートパスを指定できるようになりました。以下に例を示します。
<LocationMatch "^/repos/">
DAV svn
DavBasePath /repos
SVNParentPath /var/www/svn
</LocationMatch>
これにより、DAV リポジトリーの場所が正規表現の一致を使用して設定されている場合でも、httpd はリクエストを正常に処理します。
DBD::MySQL ドライバーが、caching_sha2_password が有効な MySQL 8 サーバーへの TLS 暗号化接続を確立するのに失敗しなくなりました
以前のリリースでは、perl-DBD-MySQL パッケージが libmariadb ライブラリーに誤ってリンクされていました。そのため、次の条件がすべて当てはまる場合、Perl アプリケーションが接続を確立できませんでした。
- アプリケーションが MySQL 8 サーバーに接続している。
-
MySQL サーバー設定で
caching_sha2_passwordオプションが有効になっている。 -
接続で
DBI→connect with mysql_ssl=1オプションが使用されている。
この更新により、ドライバーが libmysql-client に対してリンクされました。その結果、Perl アプリケーションは、上記の状況で TLS 暗号化接続の確立に失敗しなくなりました。
7.7. ネットワーク
/etc/iproute2/ 内のカスタム iproute2 設定が期待どおりに動作します
以前は、RHEL 9.6 に更新すると、iproute2 パッケージによってデフォルトの設定が /usr/share/iproute2/ ディレクトリーに保存されていました。また、/etc/iproute2/ にカスタム設定がある場合、更新時に関連するファイルの名前が変更され、.rpmsave 接尾辞が追加されていました。その結果、カスタム設定が適用されていませんでした。RHEL 9.7 バージョンの iproute2 パッケージに更新すると、パッケージ内のインストールスクリプトがカスタム設定ファイルの名前を変更しなくなります。また、/etc/iproute2/ に .rpmsave 接尾辞を持つファイルが検出された場合、スクリプトがこの接尾辞を削除します。その結果、カスタム設定が期待どおりに再び機能するようになります。
iproute2 のデフォルト設定は /usr/share/iproute2/ に残ることに注意してください。
実行時に SR-IOV VF の数を減らしてもカーネルがパニックを起こさなくなりました
以前のリリースでは、次の条件がすべて当てはまる場合、Linux カーネルがパニックを起こすことがありました。
- ホストの Input-Output Memory Management Unit (IOMMU) が有効化されている。
- ネットワークドライバーがページプールを使用している。
- このドライバーを使用するネットワークインターフェイスの Single Root I/O Virtualization (SR-IOV) Virtual Function (VF) の数を減らした。
この更新により、カーネルが、ページプールに属している DMA マッピングされたメモリーページを追跡するようになりました。VF の削除などによりページプールが破棄されると、メモリーページの DMA マッピングが解除されます。これにより、VF が削除された後にメモリーページをアンマップしようとする試みが防止されます。その結果、実行時に SR-IOV VF の数を減らしてもカーネルがパニックを起こさなくなりました。
Jira:RHEL-76845[1]
xtables モジュールが再び非推奨として指定されました
この更新前は、iptables、ip6tables、arptables、ebtables、および ip_set ドライバーが、誤ってメンテナンス対象外として指定されていました。その結果、RHEL が Unmaintained driver is detected: <driver> という警告をログに記録していました。このリリースで、上記のドライバーは再び非推奨として指定されました。その結果、システムが誤ったサポート状況の警告を報告しなくなりました。
xdp-loader features コマンドが期待どおりに動作するようになりました
xdp-loader ユーティリティーは、libbpf の以前のバージョンに対してコンパイルされていました。その結果、xdp-loader features はエラーで失敗していました。
Cannot display features, because xdp-loader was compiled against an old version of libbpf without support for querying features.
このユーティリティーは、正しい libbpf バージョンに対してコンパイルされるようになりました。その結果、コマンドは期待どおりに動作するようになりました。
Mellanox ConnectX-5 アダプターが DMFS モードで動作する
以前は、イーサネットスイッチデバイスドライバーモデル (switchdev) モードを使用しているときに、ConnectX-5 アダプターのデバイス管理フローステアリング (DMFS) モードで設定されていると、mlx5 ドライバーが失敗していました。したがって、以下のエラーメッセージが表示されていました。
mlx5_core 0000:5e:00.0: mlx5_cmd_out_err:780:(pid 980895): DELETE_FLOW_TABLE_ENTRY(0x938) op_mod(0x0) failed, status bad resource(0x5), syndrome (0xabe70a), err(-22)
その結果、ConnectX-5 アダプターのファームウェアバージョンを 16.35.3006 以降に更新すると、エラーメッセージは表示されなくなります。
Jira:RHEL-9897[1]
VMware vCenter が、実行中の RHEL 仮想マシンから SATA ディスクを正しく削除できるようになりました
以前は、VMWare vCenter インターフェイスを使用して、VMware ESXi ハイパーバイザー上で実行中の RHEL 9 ゲストから SATA ディスクを削除しても、ディスクが完全に削除されませんでした。ディスクは機能しなくなり、vCenter インターフェイスではディスクがゲストから消えましたが、SCSI インターフェイスではディスクがゲストに接続されていることが引き続き検出されていました。 この更新により、SCSI インターフェイスで、接続が解除された状態のディスクが正しく表示されるようになりました。
Jira:RHEL-79914[1]
7.8. カーネル
パフォーマンスの低下を防ぐために、stalld スケジューリングポリシーのリグレッションを修正しました
この更新前は、stalld スケジューリングポリシーの変更が原因で、Node Tuning Operator の CI が正常に動作していませんでした。この変更により、サービスは起動後に SCHED_FIFO ではなく SCHED_OTHER に戻るようになっていました。その結果、リアルタイムワークロードのパフォーマンスが低下し、PR をマージできないことがありました。この更新により、systemd ユニットファイルで stalld の優先度が 10 に設定され、stalld が SCHED_FIFO で確実に動作するようになりました。これにより、期待される動作が復元され、リアルタイムワークロードのパフォーマンスが向上します。
osnoise/cpus に、コンマ区切りの長い CPU のリストを設定できるようになりました
この更新前は、無効な引数エラーが発生するため、osnoise/cpus にコンマ区切りの長い CPU リストを設定することができませんでした。この制限は、レイテンシーのデバッグとトラブルシューティングに影響を与えていました。このリリースでは、RTLA レイテンシーのデバッグとトラブルシューティングを強化するために、osnoise/cpus にコンマ区切りの長い CPU リストを入力できるようになりました。
Jira:RHEL-94317[1]
aarch64 システムにおける irqbalance サービスのバッファーオーバーフロー
以前は、特定の aarch64 マシンで irqbalance サービスを実行すると、バッファーオーバーフローによりサービスがクラッシュすることがありました。その結果、割り込みが CPU 間で適切に分散されなかったため、レイテンシーの影響を受けやすいワークロードでパフォーマンスの低下が発生する場合がありました。この更新により、irqbalance サービスのバッファーオーバーフローの問題が修正されました。
その結果、irqbalance サービスが確実に実行され、割り込みが期待どおりに分散されるようになりました。これにより、レイテンシーの影響を受けやすいワークロードのパフォーマンスが向上します。
rtla timerlat が起動時に osnoise 停止トレーシングのしきい値をリセットしない
この更新前は、stop_tracing フラグをクリアせずに rtla timerlat を複数回使用すると、RTLA が不整合な状態のままになっていました。その結果、-a、-T、または -i オプションでトレーシングの停止が要求されないと、トレースが正しく停止しませんでした。これにより、RTLA が終了すべきでないときに終了していたため、不正確なデータが報告されていました。この更新により、rtla-timerlat が停止トレーシング用の変数をリセットし、早期終了を防止するようになりました。その結果、プログラムの安定性が向上しました。
Jira:RHEL-86051[1]
rtla timerlat が、100 個以上の CPU を搭載したシステムで高頻度サンプリングを処理できるようになりました
この更新前は、tracefs のバッファー処理が不十分だったため、100 個を超える CPU を搭載したシステムで、rtla timerlat が 100 us 周期以上の timerlat サンプルを処理できませんでした。その結果、サンプルがドロップされ、timerlat の測定値が不正確になり、リアルタイムのパフォーマンス分析に影響が及んでいました。このリリースでは、timerlat のサンプルが測定 CPU 上で直接収集され、バッファーオーバーフローの問題が解消されます。その結果、rtla timerlat はコア数の多いシステムで正確な測定値を提供し、信頼性の高いリアルタイムパフォーマンス分析を可能にします。
Jira:RHEL-77358[1]
7.9. ファイルシステムおよびストレージ
パスがオフライン状態のデバイスを multipathd が監視できるようになりました
この更新前は、一部のデバイスへのパスがオフライン状態のときにユーザーがマルチパスデバイスを作成すると、multipathd デーモンがデバイスまたはそのパスを監視しませんでした。その結果、パスが機能しなくなると、再び使用可能になってもパスは復元しませんでした。この更新により、multipathd デーモンがマルチパスデバイスとそのオフラインパスを監視するようになりました。また、multipathd は、マルチパスデバイスがオンラインになると、そのパスをマルチパスデバイスに追加します。
VDO ドライバーが、null ポインター逆参照によってクラッシュしなくなりました。
この更新前は、特定のタイミング条件下で VDO デバイスに新規データと重複データを混合して書き込むと、ダングリングポインターが残っていました。その結果、null ポインター逆参照とシステムクラッシュが発生していました。このリリースでは、ダングリングポインターの問題が修正されました。その結果、VDO ドライバーが動作を継続し、ユーザーデータを保存するようになりました。
RHEL インストールプログラムが破損した LVM シンボリュームを削除します
以前は、破損した LVM シンボリュームが存在するとストレージ設定エラーが発生し、インストールプロセスがブロックされていました。この修正により、RHEL インストールプログラムが破損したシンボリュームを検出して削除するようになりました。その結果、ユーザーがインストールプロセスに手動で介入する必要がなくなります。
/etc/fstab にマウントポイントとして NVMe-FC デバイスを追加すると、システムが正常に起動する
以前は、nvme-cli nvmf-autoconnect systemd サービスの既知の問題により、Non-volatile Memory Express over Fibre Channel (NVMe-FC) デバイスを /etc/fstab ファイルのマウントポイントとして追加すると、システムが起動できませんでした。その結果、システムは緊急モードに入っていました。この更新により、NVMe-FC デバイスをマウントした際に、システムが問題なく起動するようになりました。
Jira:RHEL-8171[1]
7.10. 高可用性およびクラスター
target-role 値が大文字でないことが原因で pcs コマンドが失敗しなくなりました
この更新前は、リソースの target-role メタ属性が、Stopped ではなく stopped のように大文字でない値に設定されていた場合、pcs がクラスターのステータスを解析できませんでした。この解析エラーにより、pcs status query resource コマンドと、pcs resource delete などのリソースを削除するコマンドが失敗していました。
この更新により、pcs のクラスターステータス解析ロジックがより柔軟になりました。
その結果、リソースに大文字の値が不適切に設定された target-role メタ属性がある場合でも、pcs コマンドは正しく機能します。
fence_ibm_powervs がプレーンテキストのトークンファイルをサポートするようになりました
この更新前は、fence_ibm_powervs エージェントは JSON 形式のファイルからのみ認証トークンを読み取ることができました。プレーンテキストファイルからトークンを読み取ることはできませんでした。
この更新により、エージェント内のファイル読み取りロジックが修正されました。
その結果、fence_ibm_powervs エージェントは、JSON またはプレーンテキスト形式のトークンファイルを使用できるようになりました。
起動または停止時間が長い systemd リソースが正しく処理されるようになりました
この更新前は、Pacemaker は systemd リソースの起動および停止アクションの結果を、一定のタイムアウトを使用してポーリングしていました。リソースの起動または停止にこのタイムアウトよりも長い時間がかかった場合、Pacemaker は誤ってリソースを失敗とマークしていました。
この更新により、Pacemaker は systemd からの DBus メッセージを待ち受け、起動または停止アクションが完了したときに通知を受け取るようになりました。
その結果、Pacemaker は長時間実行される systemd サービスのステータスを正しく検出するようになり、タイムアウトによってリソースが失敗とマークされなくなりました。
Jira:RHEL-86143[1]
クォーラムが失われたときに、Pacemaker Remote ノードが不必要にフェンスされなくなりました
この更新前は、特定のクラスター設定において、Pacemaker Remote ノードのパーティションがクォーラムを失ったときに、ノードがフェンスされることがありました。これは、そのノードを管理しているリソースが、クォーラムを持つ別のノード上で安全に再起動できる場合でも発生していました。この動作により、Pacemaker Remote ノードで実行されているサービスに不要なダウンタイムが発生していました。
この更新により、この動作を制御するための新しいクラスタープロパティー fence-remote-without-quorum が導入されました。
その結果、fence-remote-without-quorum=false (デフォルトは true) が設定されており、かつリモートノードを管理しているリソースがクォーラムを持つノード上で回復できる場合に、Pacemaker がそのノードをフェンスしなくなりました。これにより、サービスの可用性が向上します。
Jira:RHEL-84018[1]
fence_kubevirt がノードの電源を即座にオフにします
この更新前は、fence_kubevirt エージェントがノードのグレースフルシャットダウンを実行していました。これにより、ノードの電源がすぐにオフにならないため、フェンシングプロセスに遅延が発生していました。
このリリースでは、エージェントが即時のグレースフルでないシャットダウンを要求するように変更されました。
その結果、fence_kubevirt エージェントの使用時に、ノードの電源が即座にオフになるようになりました。
fence_sbd が、個々の SBD デバイスの障害に対してより耐性を持つようになりました
以前は、設定されている 1 つ以上の SBD デバイスが初期チェックに失敗すると、fence_sbd エージェントが終了し、操作が失敗していました。これにより、他の SBD デバイスが健全であっても、フェンシング操作を完了できませんでした。
この更新により、エージェントのエラー処理が改善されました。
その結果、fence_sbd エージェントは問題のある SBD デバイスのエラーをログに記録し、残りの健全なデバイスでフェンシング操作を続行するようになりました。これにより、SBD フェンシングの信頼性が向上しました。
Jira:RHEL-13088[1]
7.11. コンパイラーおよび開発ツール
glibc の監査モジュールにおける再帰的な dlopen の呼び出しのサポートが強化されました
以前は、監査モジュールからの再帰的な dlopen の呼び出しにより、glibc の dl-open.c で、r_state == RT_CONSISTENT アサーションエラーが発生することがありました。その結果、監査モジュールがアクティブなときにアプリケーションが予期せず終了していました。この更新により、dlopen 呼び出しの実行中に、動的リンカーがその内部データ構造の整合性を、より早い段階で報告するようになりました。その結果、監査モジュールの再帰的な dlopen 操作が、より多くのケースでサポートされるようになりました。
glibc: 監査モードでの初期 TLS 割り当て中にアプリケーションがクラッシュする
以前は、監査モードで、プロセスの起動中にメインの malloc が初期化される前に、メインの realloc 関数を使用して、スレッドローカルストレージ (TLS) 管理に関連する内部データ構造が割り当てられていました。その結果、malloc によって割り当てられていないメモリーに対して realloc が呼び出されると、アプリケーションがクラッシュしていました。
この更新により、起動プロセスが完了するまで、動的リンカーが malloc と realloc のスタブまたは最小限の実装を使用するようになりました。初期 TLS 割り当て中にアプリケーションがクラッシュしなくなりました。
Jira:RHEL-71922[1]
glibc: ctype.h マクロが、複数の libc.so を持つマルチスレッドプログラムで、セグメンテーション違反を引き起こしていました
以前は、audit または dlmopen によって作成されたセカンダリー C ライブラリーコピー内の <ctype.h> の内部状態が、pthread_create で作成されたスレッドの初期化に失敗していました。その結果、セカンダリースレッドおよび名前空間で <ctype.h> の機能を直接的または間接的に使用すると、プログラムがクラッシュしていました。
この更新により、セカンダリースレッドおよび名前空間の C ロケールを参照するように、<ctype.h> の内部状態が初期化されるようになりました。その結果、上記のような状況で <ctype.h> 由来の機能を使用しても、クラッシュが発生しなくなりました。
glibc の監査ロギングが、完全なオブジェクトライフサイクルの追跡を提供するようになりました
以前は、glibc の動的リンカーが、セカンダリー名前空間において、先に la_objopen を呼び出さずに、プロキシー ld.so リンクマップに対して la_objclose を呼び出していました。そのため、共有オブジェクトを追跡するために la_objopen に依存するツールにとって、オブジェクトのライフサイクルに関する報告が不完全なものになっていました。
追跡を確立するために la_objopen に依存している監査ツールは、プロキシーリンクマップを確実に監視できませんでした。そのため、監視能力に不足が生じ、アンロードイベントが誤って解釈される可能性がありました。
この更新により、glibc の動的リンカーは、セカンダリー名前空間内のプロキシー ld.so を含め、該当するリンクマップに対して la_objopen を生成するようになりました。これにより、監査インターフェイスのシーケンスの一貫性が確保されます。
その結果、監査機能が、一貫した la_objopen および la_objclose のペアを使用して、プロキシーリンクマップをそのライフサイクル全体にわたって追跡できるようになりました。これにより、監査ツールと診断の信頼性が向上します。
glibc を監査モードで実行しても、特定のプログラムがクラッシュしなくなりました
この更新前は、LD_AUDIT モードの glibc 動的リンカーは、リンカーがメインの malloc サブシステムを初期化する前に、メインの calloc 関数を使用して内部データ構造を割り当てることがありました。そのため、プログラムの起動時にプロセスが calloc 関数で予期せず終了することがありました。この更新により、プロセスの起動シーケンスが変更されました。その結果、起動時に使用される内部の malloc 実装を使用して、メインの malloc 関数に切り替える前に calloc メモリー割り当てが行われるようになりました。その結果、動的リンカーが監査モードを使用している場合でも、プログラム実行時に、起動中に calloc 関数内でプログラムがクラッシュしなくなりました。
Jira:RHEL-48820[1]
glibc の stdio フラッシュの問題が修正されました
この更新前は、glibc の特定の stdio ストリームにおいて、バッファリングされた読み取りを行った後に正しい位置へシークして戻ろうとすると、fclose の実行中に処理が失敗することがありました。その際、シーク不可能な入力に対して、期待される ESPIPE ではなく EINVAL が返されていました。その結果、パイプやその他のシーク不可能な記述子に対して fclose を使用するアプリケーションでは、予期しないエラーが発生する場合がありました。これにより、I/O のクリーンアップが失敗し、ファイルの位置指定動作に一貫性がなくなることがありました。
この更新により、glibc は、バイトの読み取り後に lseek が 0 を返した場合、ESPIPE エラーを生成するようになりました。これにより、fclose がシーク不可能な状態を意図どおりに無視するようになり、動作を検証するためのテストインフラストラクチャーの変更 (xdup など) がサポートされるようになりました。その結果、fclose およびそれに関連する stdio 操作が、シーク不可能なストリームに対して一貫して動作するようになりました。これにより、バッファリングされた I/O に依存するアプリケーションで、エラーが起きる状況が減り、信頼性が向上しました。
Jira:RHEL-68805[1]
popen と fork を並行して呼び出しても、アプリケーションでデッドロックが発生しなくなりました
この更新前は、マルチスレッドアプリケーションが別々のスレッドで popen と fork を呼び出し、かつ popen が内部ロックを保持している間に fork が発生すると、子プロセスがロックされた状態を継承することがありました。子プロセスが再度 popen を呼び出した場合には、デッドロックが発生することがありました。
この更新により、glibc が fork 全体の関連するロック状態を解放し、後続の popen 呼び出しがブロックされることなく続行されるようになりました。その結果、popen がマルチスレッドの fork 呼び出し後にデッドロックにならなくなり、サポートされているアーキテクチャーのプロセスの信頼性と入出力動作が向上しました。
Jira:RHEL-59712[1]
go-rpm-macros の Golist コマンドラインパーサーの修正
この更新前は、コマンドラインパーサーの置き換えにより、Golist が特定のファイルを正しく処理していませんでした。その結果、一部のプログラムのビルドが失敗していました。この更新により、Golist に元のコマンドラインパーサーが復元されました。
その結果、Golist が必要なすべてのファイルを正しく処理し、プログラムが期待どおりにビルドされるようになりました。
7.12. Identity Management
ipa-cacert-manage install で重複した CA サブジェクトが許可されるようになりました
以前は、IdM がサブジェクトの重複を禁止していたため、ipa-cacert-manage install を使用して、サブジェクトは同一だが秘密鍵が異なる CA 証明書を追加しようとすると、subject public key info mismatch というメッセージが表示されて失敗していました。
この更新により、その制限が緩和され、ipa-cacert-manage install が重複した CA サブジェクトを受け入れるようになりました。ただし、次の制限が残っています。
- 信頼フラグが異なる証明書を追加することはできません。
- CA が同じニックネームを共有している必要があります。
- すべての CA に Authority Key Identifier (AKI) 拡張が必要です。これが存在しないと、信頼チェーンの予期しない動作が発生します。
Jira:RHEL-30658[1]
新しく作成されたユーザーパスワードポリシーが正しく表示されます
この更新前は、Class of Service (CoS) テンプレートの cosAttribute 属性に、operational-default 修飾子ではなく operational 修飾子が設定されていました。その結果、サブツリーパスワードポリシーとユーザーパスワードポリシーの両方が存在する場合に、pwdpolicysubentry 属性が、ユーザーパスワードポリシーではなくサブツリーパスワードポリシーを参照していました。このリリースでは、CoS テンプレートは operational-default 修飾子を使用します。そのため、ユーザーポリシーが正しく表示されます。
この問題は、実際のパスワードポリシーロジックではなく、ポリシーの表示にのみ影響していました。
Jira:RHEL-109892[1]
IP アドレスにワイルドカードを使用する RootDN Access Control プラグインが失敗しなくなりました
この更新前は、RootDN Access Control プラグインの設定で、ワイルドカードを使用した IP アドレスを設定しようとすると、Invalid IP address エラーが発生して設定が失敗していました。このリリースでは、検証機能が更新されました。その結果、ワイルドカードを使用した値の設定が失敗しなくなりました。
Jira:RHEL-109889[1]
Directory Server の Web コンソールで Databases メニューが期待どおりに開きます
この更新前は、作成したデータベース名に間違った接尾辞構文が含まれている (たとえば、名前に dc= が含まれている) 場合、Directory Server Web コンソールで Databases メニューを開くことができませんでした。この更新により、Directory Server は、バックエンドの作成中にマッピングツリーの作成が失敗した場合でも、孤立したバックエンドの発生を防ぐために、ロールバック機能を使用するようになりました。その結果、Databases メニューが期待どおりに開くようになりました。
Jira:RHEL-109885[1]
nsslapd-referral を追加しても Directory Server が失敗しなくなりました
この更新前は、リファラルを使用するように Directory Server を設定しようとすると、ページ化された検索結果の処理が不適切であったために、サーバーが失敗していました。
この更新により、検索結果コードが LDAP_REFERRAL の場合、ページ化された検索結果が正しい値を返すようになり、サーバーが失敗しなくなりました。
Jira:RHEL-107585[1]
NDN キャッシュが無効な場合でも Directory Server の監視情報を期待どおりに利用できます
この更新前は、Normalized DN (NDN) キャッシュが無効な場合、バックエンドの get-tree コマンドの失敗が適切に処理されないため、dsconf <instance_name> monitor dbmon コマンドがエラーで失敗していました。このリリースでは、バックエンドの作成中にツリーの作成が失敗した場合に孤立したバックエンドの発生を防ぐために、ロールバック機能が追加されました。その結果、Directory Server の監視情報が期待どおりに返されるようになりました。
Jira:RHEL-107005[1]
Directory Server が、特定のノード配下にある子エントリーの数を正しく表示するようになりました
この更新前は、numSubordinates 属性と numTombstoneSubordinates 属性がインポート中に誤って計算されていました。その結果、特定のノード配下にある子エントリーの数を比較すると、間違った値が表示されていました。
この更新により、Directory Server は numSubordinates と numTombstoneSubordinates を正しく計算するようになりました。
Jira:RHEL-104593[1]
Directory Server の Web コンソールにサーバーのバージョンが表示されるようになりました
この更新前は、Web コンソールの Server Settings>General Settings に、サーバーバージョンが表示されませんでした。この更新により、サーバーのバージョンが正しく表示されるようになりました。
Jira:RHEL-104591[1]
NDN キャッシュの操作中に Directory Server が失敗しなくなりました
この更新前は、389-ds-base の Rust 依存関係で使用されていた arc-swap ライブラリーにより、NDN キャッシュの操作中に Directory Server で障害が発生することがありました。このリリースでは、Directory Server は、arc-swap ライブラリーを含まない更新版の Rust 依存関係 (concread) 0.5.7 を使用します。その結果、Directory Server で障害が発生しなくなりました。
Jira:RHEL-95444[1]
Directory Server が、ネストされたグループのメンバーシップを正しく表示するようになりました
この更新前は、次の条件が揃うと、Directory Server が特定エントリーの memberOf 属性の値を誤って表示していました。
- エントリーが複数のネストされたレベルを持つグループのメンバーである
- グループが、メンバーシップ関係において、複数のパスを持つ他の異なるグループに含まれている
この更新により、memberOf 識別名 (DN) 値が体系的に追加され、グループ内のエントリーメンバーシップが正しく表示されるようになりました。
Jira:RHEL-89753[1]
389-ds-base が LMDB のオフラインインポート中に失敗しなくなりました
この更新前は、ワーカースレッドが、別のプロセスによるエントリーへの書き込みが完了する前にそのエントリーを読み取ると、競合状態が発生していました。その結果、Lightning Memory-Mapped Database Manager (LMDB) バックエンドを使用するインスタンスでオフラインインポートを実行すると、セグメンテーション違反が発生していました。
この更新により、Directory Server が、エントリーを書き込む前にワーカーキューをロックすることで、スレッドセーフなアクセスを保証するようになり、LMDB オフラインインポート中にサーバーが失敗しなくなりました。
Jira:RHEL-89745[1]
dsconf がレプリケーション監視情報を正しく返します
この更新前は、0 で始まるレプリカ (010 や 020 など) を使用してサプライヤーが設定されている場合、dsconf <instance_name> replication monitor コマンドで、遅延時間またはレプリケーションステータスに関する情報を取得できませんでした。
この更新により、Replica Update Vector (RUV) 内でレプリカ ID を処理する際に、レプリカ ID の先頭にある重要でないゼロ (0) が無視されるようになりました。その結果、dsconf <instance_name> replication monitor が期待どおりの情報を提供します。
Jira:RHEL-89736[1]
ipa-healthcheck が replica busy 状態を無視するようになりました
この更新前は、サプライヤーが 2 つ以上あるトポロジーで、サプライヤーが別のノードから更新を受信しているときに、ipa-healthcheck ツールによってレプリカ合意ステータスに関するエラーが報告されていました。これは通常のレプリケーション状況です。このリリースでは、レプリカがビジー状態のときに ipa-healthcheck がエラーを報告しなくなりました。
Directory Server が読み取り専用モードで正常に起動します
この更新前は、読み取り専用モードを設定すると Directory Server が起動しませんでした。この更新により、nsslapd-readonly 属性が正しく処理され、サーバーが期待どおりに読み取り専用モードで起動するようになりました。
廃止された /var/log/tallylog ログファイルの作成が削除されました
この更新前は、pam.conf ファイルの古い設定により、/var/log/tallylog ファイルが作成されていました。現在は、廃止された pam_tally に代わる pam_faillock がシステムで使用されるため、/var/log/tallylog ファイルは不要になりました。
この更新により、pam.conf が更新され、古いログファイルの作成に関する指示が削除されました。
7.13. デスクトップ
デフォルトの GDM セッション定義によってカスタム定義がオーバーライドされなくなりました
この更新前は、/usr/ ディレクトリーの GNOME Display Manager (GDM) セッションの優先度が、/etc/ のセッションよりも高くなっていました。その結果、/usr/ のカスタムセッション定義によって /etc/ の定義がオーバーライドされていました。このリリースでは、/etc/ のセッションの優先度が高くなりました。そのため、カスタム定義の優先度が、GDM セッション設定 で定義されたとおりに正しく機能します。
7.14. Red Hat Enterprise Linux システムロール
encryption_key がマスクされなくなりました
この更新前は、encryption_key パラメーターが誤って no_log とマークされていました。これにより、鍵ファイルのパスがプレースホルダー文字列に置き換えられ、ディスクの暗号化が機能しなくなっていました。この更新により、encryption_key パラメーターに no_log フラグが付かなくなり、鍵ファイルを使用してディスク暗号化を正常に実行できるようになりました。
Jira:RHEL-104676[1]
RAID が無効な設定やサポートされていない設定に対して明確なエラーを報告するようになりました
この更新前は、無効な RAID レベルや不十分なディスクを指定しても、明確なエラーが発生しませんでした。そのため、アレイの作成が失敗するか、作成の一貫性が失われていました。その結果、エラーメッセージが不明瞭になり、RAID セットアップの信頼性が低下していました。このリリースでは、アレイの作成前に RAID パラメーターが検証され、最小ディスク数が適用されます。その結果、明確なエラーが発生し、不十分なディスクで RAID を作成しようとすると、作成がブロックされます。
この修正により、非推奨の process_device_numbers ヘルパーも削除され、代わりに unify_raid_level が使用されるようになりました。さらに、RAID レベルが無効な場合やディスクが不十分な場合に対する障害テストも追加されました。
Jira:RHEL-104891[1]
LVM RAID が暗号化されたデバイスとパーティションが設定されたデバイスをサポートするようになりました
この更新前は、LVM RAID のコードで、raid_disks に指定されたディスクがすべての LVM RAID 構成において PV の親デバイスであると想定されていました。この想定は、暗号化されたデバイスやパーティションが設定されたデバイスには当てはまりませんでした。その結果、暗号化された LUKS レイヤーによって追加のストレージレイヤーが追加されたとき、または親デバイスなしで直接パーティションが使用されたときにエラーが発生していました。このリリースでは、LVM RAID の PV の解決処理が改善され、暗号化されたデバイスとパーティションが設定されたデバイスがサポートされるようになりました。その結果、基礎となるディスクの代わりに PV パーティションを指定できるようになりました。
また、この修正により、見つからない、または無効な RAID ディスクエントリーに対するエラー処理も追加され、安定性を確保するための関連するテストも導入されています。
Jira:RHEL-95885[1]
ボリュームのわずかなサイズの不一致が、ロールによる誤った報告を引き起こすことがなくなりました
この更新前は、ボリュームを作成またはサイズ変更するときに、要求されたサイズと実際のサイズの間の差が最大 2% まで許容されていました。この調整は、ボリュームをプールの使用可能な空き領域に収めるためのものでした。その結果、ロールを再度実行したときにサイズが一致せず、ロールは何か変更があったと誤って想定していました。このリリースでは、サイズがわずかに違う場合に、変更があったと誤解されることがなくなりました。その結果、ロールが正しい状態を報告するようになりました。
Jira:RHEL-82825[1]
postfix RHEL システムロールが、IPv6 インターフェイスが無効かどうかを自動検出します
デフォルトの postfix 設定は、inet_interfaces = localhost 設定を使用します。この設定は、IPv4 と IPv6 の両方のインターフェイスを含む、localhost に解決されるすべてのインターフェイスを待ち受けるよう postfix に指示します。この更新前は、ホスト上で IPv6 が無効になっていると問題が発生していました。その場合、postfix ロールと、postconf などのコマンドラインツールがエラーを返していました。また、ロール全体が失敗していました。このリリースでは、ロールによって IPv6 が無効かどうかが確認されます。無効な場合は、postfix が IPv4 インターフェイスのみを使用するように、ロールによって inet_protocols = ipv4 が設定されます。その結果、IPv6 が無効な場合でも postfix ロールが機能するようになりました。
Jira:RHEL-103889[1]
timesync RHEL システムロールが、/etc/sysconfig/chronyd からデフォルト設定 OPTIONS="-F 2" を削除しなくなりました
この更新前は、timesync システムロールによって、chronyd サービスのデフォルトの OPTIONS= 設定が "" に置き換えられていました。その結果、デフォルトの OPTIONS="-F 2" 設定が削除され、chronyd のセキュリティーが低下していました。このリリースでは、OPTIONS のデフォルト設定として -F 2 が追加され、ユーザーがこの設定をオーバーライドまたは拡張できるようになりました。その結果、timesync ロールは、ユーザーによるカスタマイズを許可しながら、正しいセキュリティー設定を適用するようになりました。
Jira:RHEL-88299[1]
rhel-system-roles における、値を持つカーネルオプションの削除が改善されました
以前は、ユーザーがキーのみを指定した場合、key=value 形式で指定されたカーネルブートオプションを削除できず、不要なブートパラメーターが永続化され、カーネルオプションの名前による管理が一貫性を欠いた状態になっていました。この更新により、mod_boot_args 関数の正規表現が更新され、カーネルオプションと値を正しくマッチさせて削除するようになりました。また、正しい動作を確認するための自動テストが追加されました。
その結果、カーネルオプションは、key=value 形式で設定されている場合でも、名前によって確実に削除できるようになりました。これにより、正確な設定が確保され、システム管理が向上します。
Jira:RHEL-101678[1]
GSSAPIIndicators が sshd ロールに追加されました
Generic Security Services Application Programming Interface (GSS-API) を設定するための新しい設定オプション GSSAPIIndicators が RHEL 10 に追加されました。この更新により、GSSAPIIndicators 設定オプションが sshd RHEL システムロールに追加されます。その結果、RHEL システムロールを使用して RHEL 10 システムで GSSAPIIndicators を設定できるようになりました。
Jira:RHEL-107049[1]
bootloader ロールがブール型または null 型の値を拒否します
この更新前は、ユーザーは value: on や value: yes などの値が文字列 "on" または "yes" に変換されることを想定して、値を指定することができました。しかし、YAML はこれらを YAML ブール型 として扱い、文字列 "True" として書き込みます。そのため、YAML ブール型の処理を知らないユーザーは、"on" や "off" などの値を設定できませんでした。この更新により、bootloader RHEL システムロールが、ブール型または null 型の値を拒否するようになりました。そのため、ユーザーは、このような YAML ブール型の値を、引用符で囲んだ文字列の形で入力し、ブートローダー設定に書き込む必要があります。また、この情報で Readme が更新されました。
Jira:RHEL-107015[1]
sudo ロールがエイリアス値を解析する際にハングしなくなりました
この更新前は、Cmnd_Alias などのエイリアス値では等号 = の両側にスペースを入れる必要がないことが、sudo RHEL システムロールの正規表現で考慮されていませんでした。その結果、正規表現の処理が終了しなくなり、ロールがハングしたように見えていました。この更新により、sudoers ファイルの仕様にあるフィールドの eBNF 定義に正規表現が準拠していることをロールが確認するようになりました。その結果、= の前後にスペースがあってもなくても、エイリアス値が正しく解析されるようになりました。
Jira:RHEL-106733[1]
複数のユーザーを指定しても、リソースが間違ったユーザーに関連付けられることがなくなりました
この更新前は、複数のユーザーを管理するときに、__podman_user および __podman_user_home_dir 変数値のファクトと変数が混在していたため、ユーザーデータの汚染が発生していました。その結果、複数のユーザー間でユーザーデータが混在し、各ユーザーに誤った設定ファイルが使用されていました。このリリースでは、__podman_user および __podman_user_home_dir のファクトと変数の混在を回避することで、ユーザーデータの分離が維持されます。その結果、複数のユーザーのユーザーデータが分離され、リソース管理の一貫性が向上します。
Jira:RHEL-105095[1]
selinux ロールが、Ansible チェックモードの未定義の tempdir パスに起因するエラーを生成しなくなりました
この更新前は、Ansible チェックモードで tempdir パスが定義されておらず、__selinux_item.path が未定義になることがありました。その結果、チェックモードの実行中、selinux RHEL システムロールで、さまざまな変数が未定義であるというエラーが発生していました。この更新により、tempdir.path を定義する必要があるタスクをロールがスキップするようになり、変数が未定義のケースを処理できるようになりました。その結果、ロールはチェックモードで正しく動作するようになりました。
Jira:RHEL-103575[1]
ha_cluster RHEL システムロールが必要とする際に、/var/lib/pcsd ディレクトリーが利用可能であることが確認されます
この更新前は、pcs のインストール中に /var/lib/pcsd ディレクトリーが作成されていました。しかし、最近のバージョンでは、pcsd サービスの起動時に systemd サービスによってこのディレクトリーが作成されます。そのため、ロールがディレクトリーにアクセスしようとしたときにディレクトリーが存在しない場合があり、実行時にエラーが発生したり失敗したりすることがありました。
この更新により、ロールが /var/lib/pcsd ディレクトリーを使用する前に、そのディレクトリーが存在することを明示的に確認するようになりました。その結果、ディレクトリーの欠落による実行時の問題が防止され、ロール実行の信頼性が向上します。
Jira:RHEL-101663[1]
redhat.rhel_system_roles コレクションの使用時に、互換性のない Ansible バージョンに関する警告が表示されなくなりました
この更新前は、redhat.rhel_system_roles コレクションの meta/runtime.yml ファイルで {{requires_ansible: ">=2.15.0"}} が指定されていました。しかし、RHEL 9 に含まれているのは ansible-core 2.14 です。そのため、Playbook でこのコレクションを使用すると、Ansible によって Collection redhat.rhel_system_roles does not support Ansible version 2.14.x という警告が表示されていました。この更新により、meta/runtime.yml ファイルが {{requires_ansible: ">=2.14.0"}} を使用するように変更されました。その結果、コレクションが原因で警告が表示されなくなりました。
Jira:RHEL-94444[1]
selinux ロールがカーネルの SELinux パラメーターを永続的に設定します
この更新前は、selinux RHEL システムロールが、SELinux の状態を無効に、または無効から変更するときに、カーネル SELinux パラメーターを設定していませんでした。その結果、SELinux の状態の変更が再起動後も保持されませんでした。この更新により、ロールが SELinux の状態を無効に、または無効から変更するときに、カーネル SELinux パラメーターが正しく設定されるようになりました。そのため、SELinux の状態を無効に、または無効から変更した場合に、変更が再起動後も維持されます。
Jira:RHEL-93296[1]
systemd ロールが宛先へのパスを作成する際にファイルのベース名を使用します
この更新前は、ユーザーがネストされたディレクトリー内のファイルまたはテンプレートソースを指定すると、systemd RHEL システムロールが、宛先ファイルのベース名ではなく、パス全体を使用していました。その結果、ファイルとテンプレートが同じディレクトリー構造で宛先に配置されていました。しかし、この配置方法は systemd によってサポートされていません。このリリースでは、ロールはネストされたディレクトリー内の宛先ファイルにベース名を使用します。その結果、ユーザーはロールを使用してネストされたディレクトリーを使用できるようになりました。
ad_integration ロールでパッケージのインストールを柔軟に行えるようになりました
以前は、ad_integration ロールは、realmd、sssd-ad、adcli など、__ad_integration_packages にリストされている多数の必須パッケージのインストールを常に試行していました。このロールの外部にある設定の管理、事前に作成されたイメージ、イミュータブルなシステムなどにより、外部システムがパッケージ管理を行っている環境では、このステップは冗長であり、望ましくないものでした。
この更新により、ユーザーは他の手段でパッケージのインストールを管理でき、このロールをドメインに参加させるだけで済むようになりました。これにより、柔軟性が向上します。主な機能拡張は次のとおりです。
-
新しい変数: ロールによってパッケージをインストールするかどうかを制御する新しいブール変数
ad_integration_manage_packagesが導入されました。 -
デフォルト値: 下位互換性を確保するために、デフォルト値は
defaults/main.ymlでtrueに設定されています。このロールを使用する既存の Playbook は、変更なしでこれまでどおり機能し続けます。 -
条件付きタスク:
tasks/main.ymlの "Ensure required packages are installed" タスクにwhen: ad_integration_manage_packages | bool条件が追加されました。フラグがtrue(デフォルト) の場合にのみタスクが実行されるようになりました。 -
ドキュメント:
README.mdを更新して、新しいad_integration_manage_packages変数を追加し、その目的とデフォルト値の説明を記載しました。
Jira:RHEL-88314[1]
証明書の変更後、qdevice デーモンが自動的に再起動するようになりました
以前は、クォーラムデバイスデーモン (qnetd) とクラスターノード (qdevice) 間の通信に使用される TLS 証明書を更新した後、qdevice デーモンが自動的に再起動しませんでした。デーモンは古い証明書を引き続き使用するため、クォーラムデバイスとの通信が失敗していました。
この更新により、証明書が変更された後、クラスターノード上の qdevice デーモンが自動的に再起動するようになりました。これにより、新しい証明書がすぐに読み込まれ、クォーラムデバイスとの通信が維持されます。
Jira:RHEL-88251[1]
ha_cluster RHEL システムロールが、システム全体の HTTP プロキシーが設定されている場合に機能するようになりました
以前は、システム全体の HTTP プロキシーが設定されている場合、ha_cluster RHEL システムロールは、unix ソケットを介した pcsd デーモンとのローカル通信にプロキシーを誤って使用しようとしていました。これにより、ロールが失敗していました。
このリリースでは、pcsd とのローカル通信でプロキシーの使用を明示的に無効にするようにロールが変更されました。
その結果、システム全体の HTTP プロキシーが定義されているシステムで、ha_cluster RHEL システムロールが期待どおりに動作するようになりました。
Jira:RHEL-88241[1]
network RHEL システムロールのルーティングルールの検証が正しくないことによるエラーが表示されなくなりました
この更新前は、network RHEL システムロールの検証部分で、NM.IPRoutingRule クラスではなく、最上位の NM モジュールでルーティングルール属性が誤ってチェックされていました。これにより検証が失敗し、ロールにエラーが表示されていました。この更新により、ロールが API を正しく使用するようになり、誤った検証エラーが表示されなくなりました。
ブール型のオプションの値が TOML ファイルで正しくレンダリングされるようになりました
以前は、フォーマッターのコードがブール値を正しい文字列表現に変換していなかったため、ブール型のオプションが不適切に処理されていました。この修正により、ブール値が小文字の文字列に適切に変換され、TOML ファイルで正しくレンダリングおよび処理されるようになります。
ブール型のオプションが TOML ファイルで正しく記述および処理されるようになりました
この更新前は、TOML 形式にフォーマットするコードがブール値を正しい文字列表現に変換していなかったため、ブール型のオプションが正しく処理されませんでした。
この更新により、ブール型のオプションを文字列に変換してから小文字 (TOML における正しいブール形式) に変換するようになりました。これにより、TOML ファイルがブール型のオプションを正しく書き込み、処理できるようになりました。
podman RHEL システムロールが、認証ファイルや設定ファイルの管理時に changed: true を報告しません
この更新前は、podman RHEL システムロールは、認証ファイルと設定ファイルの両方を管理する場合、実行のたびに親パスのモードを変更していました。これは、さまざまな設定ファイルと認証ファイルの共通の親パスに、2 つの異なるモードを使用していたためです。
この修正により、ロールは親パスに対して一貫したモードを使用するようになったため、不必要に changed: true を報告しなくなりました。
Podman ロールが UNREACHABLE エラーで失敗しなくなりました
以前は、非 root ユーザーの linger を無効にすると、podman ロールはユーザーの状態が closing ステータスになるまで十分に待機していませんでした。その後、podman ロールは、強制的にキャンセルするために systemd-logind を再起動していました。一部のシステムでは、これにより、root のセッションを強制終了するタイマーが起動していました。そのため、sshd セッションが終了し、Ansible プレイが UNREACHABLE エラーで失敗していました。
この修正により、システムはユーザーが closing 状態になるまでより長時間待機し、絶対に必要な場合にのみ logind を再起動するようになりました。その結果、リソースを削除するときにロールが UNREACHABLE エラーで失敗することはなくなりました。
network RHEL システムロールが、より堅牢なインターフェイス識別方法を使用するようになりました
この更新前は、ネットワークインターフェイスにインターフェイス名と MAC アドレスの両方が指定されている場合、検証プロセスでインターフェイス名を使用した検索と MAC アドレスを使用した検索の 2 つの個別の検索が実行されていました。そのため、検証が失敗することがありました。MAC アドレスによる検索は、永続的なハードウェア MAC アドレスではなく、インターフェイスの現在の MAC アドレスとマッチする可能性があるためです。
この更新により、検証ロジックが改善されました。network ロールは、ネットワークデバイスを検索する際に、インターフェイス名だけを識別子として使用します。その後、そのインターフェイスに関連付けられた MAC アドレスを取得し、検証のためにユーザーが指定した MAC アドレスと比較します。この方式により、信頼性が向上します。インターフェイス名は一意のカーネル識別子であり、一時的な MAC アドレスの変更による不一致を防ぐことができるためです。
systemd ロールが、1 回の実行でユニットをマスク解除して起動します
この更新前は、ユニットがマスクされている場合、systemd RHEL システムロールがサービスの有効化と起動に失敗していました。これは、ロールがユニットのマスクを先に解除できなかったためです。その結果、ユーザーはロールを 2 回実行する必要がありました。このリリースでは、systemd ロールがサービスを正しくマスク解除して起動するため、2 回実行する必要がなくなりました。
7.15. 仮想化
AMD SEV-SNP が有効な仮想マシンでローカル kdump が失敗しなくなりました
この更新前は、Secure Nested Paging (SNP) 機能が有効な AMD Secure Encrypted Virtualization (SEV) を使用する RHEL 10 仮想マシン (VM) で、ローカル kdump が失敗していました。その結果、AMD SEV-SNP が有効な仮想マシンでは、カーネルクラッシュダンプを取得できませんでした。
このリリースでは、基盤となるコードが修正されました。その結果、AMD SEV-SNP が有効な仮想マシンでローカル kdump が失敗しなくなりました。
Jira:RHEL-10019[1]
--migrate-disks-detect-zeroes オプションが仮想マシン移行で失敗しなくなりました
この更新前は、RHEL 10 で仮想マシン (VM) を移行するときに、--migrate-disks-detect-zeroes オプションが機能せず、指定されたディスクに対してゼロブロック検出が実行されないまま、移行が続行されることがありました。この問題は QEMU のバグによって発生していました。そのバグとは、ミラーリングジョブがパンチホール操作に依存していたために、宛先ファイルがスパースファイルになるというものでした。
このリリースでは、QEMU が修正されました。これにより、すべてゼロであると宛先システムが読み取った場合、かつイメージをさらにスパース化するための追加処理が行われていない場合に、スパース性が維持されるようになりました。その結果、仮想マシンの移行で --migrate-disks-detect-zeroes オプションが期待どおりに機能するようになりました。
不整合な破棄 I/O 要求を送信する仮想マシンが、discard_granularity が設定されていない場合でも一時停止しなくなりました
この更新前は、ホストカーネルが不整合な破棄 I/O 要求を失敗させていました。QEMU はそのような失敗に対応するために、werror= policy パラメーターを使用していました。werror が stop: werror=stop に設定されている場合、破棄要求が失敗し、仮想マシン (VM) が一時停止していました。その結果、この状況を修正して仮想マシンを再開することができませんでした。
このリリースでは、QEMU が更新され、不整合な破棄 I/O 要求をサイレントに無視するようになりました。これにより、正しい discard_granularity 値を持たないゲストが一時停止しなくなりました。その結果、discard_granularity が設定されていない場合でも、破棄 I/O 要求を送信する仮想マシンが一時停止しなくなりました。ただし、不整合が発生した際に、破棄要求を無視するのではなく、破棄要求が本来の効果を発揮できるように、discard_granularity の値を設定することを推奨します。
Jira:RHEL-86032[1]
開いているファイルが大量にある共有ディレクトリーにアクセスしても virtiofsd がクラッシュしなくなりました
この更新前は、開いているファイルが大量にある virtiofs 共有ディレクトリーに仮想マシン (VM) からアクセスすると、Too many open files エラーが発生して操作が失敗し、virtiofsd プロセスがクラッシュすることがありました。
このリリースでは、基盤となるコードが修正されました。その結果、仮想マシンから多数のファイルが開いている virtiofs 共有ディレクトリーにアクセスすると、仮想マシンでエラーが発生する可能性はありますが、virtiofsd プロセスはクラッシュしなくなり、仮想マシンで virtiofs 共有ディレクトリーにアクセスできる状態が維持されるようになりました。
Jira:RHEL-87161[1]
ESXi 上の RHEL 9 ゲストをカスタマイズしてもネットワークの問題が発生しなくなりました
以前は、VMware ESXi ハイパーバイザー上の RHEL 9 ゲストオペレーティングシステムのカスタマイズが、NetworkManager キーファイルに対して正しく機能しませんでした。その結果、ゲストがそのようなキーファイルを使用している場合、IP アドレスやゲートウェイなどのネットワーク設定が正しいものになりませんでした。この問題は修正され、上記の状況で NetworkManager キーファイルによってネットワークの問題が発生することはなくなりました。
Jira:RHELPLAN-106947[1]
仮想マシンに RHEL をインストールするための予想されるシステムディスクをインストールプログラムが表示するようになる
以前は、virtio-scsi デバイスを使用して仮想マシンに RHEL をインストールすると、device-mapper-multipath のバグにより、これらのデバイスがインストールプログラムに表示されない可能性がありました。その結果、インストール時に、シリアルセットを持つデバイスとシリアルセットを持たないデバイスがある場合、シリアルセットを持つすべてのデバイスを multipath コマンドが要求していました。このため、仮想マシンに RHEL をインストールするために必要なシステムディスクをインストールプログラムが検出できませんでした。
この更新により、multipath はシリアル番号のないデバイスを World Wide Identifier (WWID) がないものとして正しく設定し、それらを無視するようになりました。インストール時に、multipath は multipathd がマルチパスデバイスのバインドに使用するデバイスのみを要求し、インストールプログラムは仮想マシンに RHEL をインストールするための予想されるシステムディスクを表示します。
Jira:RHELPLAN-66975[1]
AMD EPYC CPU を搭載したホストで v2v 変換を行った後、Windows ゲストの起動がより安定する
virt-v2v ユーティリティーを使用して、Windows 11 または Windows Server 2022 をゲスト OS として使用する仮想マシン (VM) を変換した後、以前は仮想マシンの起動に失敗していました。これは、AMD EPYC シリーズ CPU を使用するホストで発生していました。現在、基礎となるコードが修正され、仮想マシンは説明した状況で期待どおりに起動します。
Jira:RHELPLAN-147926[1]
nodedev-dumpxml が、特定の仲介デバイスの属性を正しくリストする
この更新より前は、nodedev-dumpxml ユーティリティーは、nodedev-create コマンドを使用して作成された仲介デバイスの属性を正しくリストしませんでした。この問題は修正され、nodedev-dumpxml が該当する仲介デバイスの属性を適切に表示するようになりました。
Jira:RHELPLAN-139536[1]
virtqemud または libvirtd を再起動した後、virtiofs デバイスをアタッチできるようになる
以前は、virtqemud サービスまたは libvirtd サービスを再起動すると、virtiofs ストレージデバイスをホスト上の仮想マシン (VM) に接続できなくなりました。このバグは修正されており、説明されているシナリオで期待どおりに virtiofs デバイスをアタッチできるようになりました。
Jira:RHELPLAN-119912[1]
IBM Z 上の virtio-gpu で blob リソースが正しく動作するようになる
以前は、virtio-gpu デバイスは IBM Z システム上の blob メモリーリソースと互換性がありませんでした。その結果、IBM Z ホスト上で virtio-gpu を使用して仮想マシン (VM) を設定し、blob リソースを使用すると、仮想マシンにグラフィカル出力がありませんでした。
この更新により、virtio デバイスにオプションの blob 属性が追加されました。blob を on に設定すると、デバイス内の blob リソースが使用できるようになります。これにより、virtio-gpu デバイスで説明した問題が防止され、ゲストとホスト間のピクセルデータのコピーが削減または排除されるため、ディスプレイパスも高速化されます。blob リソースのサポートには QEMU バージョン 6.1 以降が必要であることに注意してください。
virtio-win ドライバーを再インストールしても、ゲストの DNS 設定がリセットされなくなる
以前、Windows ゲストオペレーティングシステムを使用する仮想マシンでは、ネットワークインターフェイスカード (NIC) の virtio-win ドライバーを再インストールまたはアップグレードすると、ゲストの DNS 設定がリセットされていました。その結果、Windows ゲストのネットワーク接続が失われる場合がありました。
この更新により、上記の問題が修正されました。したがって、virtio-win の最新バージョンを再インストールまたはアップグレードすると、問題は発生しなくなります。ただし、virtio-win の以前のバージョンからアップグレードしても問題は解決されず、Windows ゲストで DNS リセットが引き続き発生する可能性があることに注意してください。
Jira:RHEL-1860[1]
VNC ビューアーが、ramfb のライブマイグレーション後に仮想マシンディスプレイを正しく初期化する
この更新により、仮想マシン (VM) のプライマリーディスプレイとして設定できる ramfb フレームバッファーデバイスが強化されます。以前は、ramfb は移行できなかったため、ramfb を使用する仮想マシンではライブマイグレーション後に空白の画面が表示されていました。現在、ramfb は、ライブマイグレーションと互換性があります。その結果、移行が完了すると仮想マシンデスクトップが表示されます。
7.16. クラウド環境の RHEL
KVM 仮想化と OVMF を使用するネストされた仮想マシンが、AMD EPYC プロセッサーを使用する Azure または Hyper-V 環境で正常に起動するようになりました
以前は、AMD EPYC プロセッサーを使用する Microsoft Azure または Hyper-V 環境の KVM 仮想化が有効な RHEL 仮想マシンで、Open Virtual Machine Firmware (OVMF) を使用するネストされた仮想マシン (VM) を実行すると、起動に失敗していました。仮想マシンが起動に失敗し、次のログメッセージが出力されていました。
Code=qemu-kvm: ../hw/core/cpu-sysemu.c:76 Aborted (core dumped) .この更新により、問題が修正され、ネストされた仮想マシンが前述の状況で期待どおりに起動するようになりました。
Jira:RHEL-29919[1]
7.17. サポート性
coredump プラグインが、収集する coredump ファイルの数を正しく制限するようになりました
以前は、coredump プラグインが coredumpctl dump の出力を収集していました。これにより、不要かつ巨大なアーカイブが作成されることがありました。この更新により、プラグインはデフォルトで最新の 3 つの coredump ファイルを収集するようになりました。また、プラグインは引き続き coredumpctl info からのサマリー情報を提供し、収集されたダンプをそれぞれのメタデータエントリーにマッピングするのに役立つシンボリックリンクを含んでいます。
ユーザーは、executable オプションを使用して、収集されたダンプをさらにフィルタリングできます。このオプションは、coredumpctl list の EXE フィールドに適用された大文字と小文字を区別しない Python 正規表現を受け入れます。さらに、dumps オプションを使用して、直近のコアダンプの数を制限することもできます。
Jira:RHEL-62972[1]
sos report 内のプラグインオプションのオーバーライドによって、/etc/sos/sos.conf またはプリセットで設定された無関係のオプションが無効にならなくなりました
以前は、特定のプラグイン設定を指定する -k オプションを使用して sos report コマンドを実行すると、sos ユーティリティーが、/etc/sos/sos.conf またはプリセットで定義された他の有効なプラグインオプションを誤って無視していました。これにより、グローバル設定やユーザー定義のプリセットが、設定ファイルの [plugin_options] セクションまたはプリセットで正しく設定されているにもかかわらず、暗黙的に無効化されるという状況が発生していました。
この動作は、Red Hat ナレッジベースソリューション 1418303 に記載されているように、完全な System Activity Reporter (SAR) データを収集しようとしているお客様に影響していました。実行時に -k オプションが使用されると、sar.all_sar 設定が off に戻り、結果としてデータ収集が不完全になっていました。
この更新により、sos ツールが -k フラグで指定されたオプションと、設定ファイルで定義されたオプションを正しくマージするようになりました。これにより、無関係のプラグインオプションが保持され、期待どおりに適用されるようになりました。この修正により、一貫性が回復され、包括的な SAR データ収集を設定した場合に確実にデータが収集されます。
Jira:RHEL-67097[1]
sos-audit パッケージに必要な GPLv2 LICENSE ファイルが含まれるようになりました
以前は、sos-audit パッケージは、常に sos プロジェクトの一部であり、ライセンスを含む同じ SRPM からビルドされていました。一方、そこからビルドされた sos-audit RPM パッケージは、メインの sos RPM とは別にインストールできました。そのため、sos-audit サブパッケージのみをインストールするユーザーは、ライセンスを容易に利用できませんでした。このライセンスの欠如は、RHEL 8 および RHEL 9 の現行リリースに至るまでの全バージョンの sos-audit に影響していました。
この更新により、sos-audit パッケージに GPLv2 LICENSE ファイルが正しく含まれるようになりました。
iscsi プラグインが sosreport でプレーンテキストの CHAP 認証情報を収集しなくなりました
以前は、sos の iscsi プラグインは、レポート生成時に iscsi 設定ファイル内の機密性の高い CHAP 認証情報をプレーンテキストのまま収集しており、セキュリティーリスクを引き起こしていました。この更新により、iscsi プラグインが変更され、機密フィールドが隠されるようになりました。これにより、収集された出力から CHAP ユーザー名とパスワードが確実に削除または除外されるようになりました。
Jira:RHEL-81187[1]
THP プラグインが、Transparent Huge Page の状態を正確に反映するために完全な設定を収集するようになりました
以前は、sos のメモリープラグインが、Transparent Huge Page (THP) の状態を判断するために、/sys/kernel/mm/transparent_hugepage/ から enabled ファイルのみを収集していました。しかし、最近のカーネルの動作の変更により、この方法では不十分になりました。たとえば、shmem_enabled が [always] に設定されているのに enabled が [never] に設定されている場合、共有メモリーセグメントに対して THP が無効になっているように見えても、実際にはアクティブになる可能性があります。
この更新により、THP プラグインは /sys/kernel/mm/transparent_hugepage/ 配下にあるすべての関連ファイルを収集するようになり、THP がどのように、どこで有効化されているかを完全に正確に把握できるようになりました。
Jira:RHEL-81634[1]
ユーザーごとの SSH 設定がデフォルトで無効になりました
以前は、sos の ssh プラグインが、デフォルトですべてのローカルユーザーの .ssh ディレクトリーから詳細情報を収集していました。その結果、特にローカルユーザー数が多い環境では、実行時間が大幅に長くなっていました。この更新により、ssh プラグインはデフォルトでユーザーごとの .ssh 設定データを収集しなくなりました。ユーザー設定を収集するには、ssh.userconfs=on を設定して明示的に有効にしてください。
sos 4.10 バージョンの sos collect コマンドが xz/bz2 tar アーカイブを生成しなくなりました
この更新前は、sos collect コマンドは tar.xz や tar.bz2 などの圧縮された tar アーカイブを返していました。このリリースでは、sos collect は圧縮された tar アーカイブではなく、非圧縮の tar アーカイブを生成します。これにより、時間とリソースを節約できます。
Jira:RHELDOCS-21013[1]
7.18. コンテナー
podman events コマンドのイベントログが利用可能になりました
以前は、journald ドライバーのエラーによりネットワークイベント属性を保存できなかったため、ネットワークイベントはログに含まれませんでした。この更新により、podman events が network create イベントと network rm イベントを表示するようになりました
モード 0755 のマウントターゲットに親ディレクトリーを作成できるようになりました
この更新前は、quay.io/buildah/stable:v1 v1.41.3 において --mount パラメーターの権限の処理が変更されたために、ビルドの失敗が発生していました。以前は、UID を引数として指定すると、シークレットに誤った権限が設定されていました。その結果、buildah の更新後に、権限が誤っていたため、ユーザーがビルドシークレットにアクセスできませんでした。
このリリースでは、Buildah は、mount の代わりに secret-permissions を使用して、Buildah v1.41.3 のシークレットの権限を更新します。その結果、Buildah は、--mount パラメーターで UID 引数を使用するときに、シークレットの期待される権限を正しく設定するようになりました。これにより、マウントの失敗が解決されました。
7.19. RHEL Lightspeed
存在しないチャット履歴を削除しようとすると、コマンドラインアシスタントにわかりやすいエラーメッセージが表示されます
この更新前は、存在しないチャット履歴をユーザーが削除しても、エラーメッセージが表示されませんでした。この機能拡張により、このような場合に表示されるエラーメッセージが実装されました。
Jira:RHELDOCS-21314[1]
名前のないチャットに説明を追加すると警告が表示されます
この更新前は、チャットの名前を指定せずにチャットに説明を追加しても、エラーメッセージが表示されず、カスタムの説明を含むチャットも表示されませんでした。この更新により、このような場合にコマンドラインアシスタントが警告を表示するようになりました。
Jira:RHELDOCS-21316[1]
c history がデフォルトで完全な履歴を表示します
この更新前は、オプションなしで c history コマンドを実行しても履歴が返されず、ユーザーの混乱を招いていました。この更新により、--all がデフォルトのオプションとして追加されました。その結果、c history コマンドだけで、すべての履歴を簡単に表示できるようになりました。
Jira:RHELDOCS-21317[1]
無効なクエリーに対してコマンドラインアシスタントがエラーを表示しなくなりました
この更新前は、応答のターミナル出力のデータ構造が正しくなかったため、処理不可能というエラーメッセージがユーザークエリーに対して表示されていました。この機能拡張により、チャットインターフェイスのターミナル出力構造に積極的な修正が加えられました。これにより、コマンドラインアシスタントが無効なクエリーリクエストに対してエラーを表示しなくなり、ユーザーエクスペリエンスが向上しました。
Jira:RHELDOCS-21318[1]
ターミナルの再起動後に対話型シェルが正しく起動します
この更新前は、ユーザーの .bashrc ファイルに .bashrc.d ディレクトリーへの参照が含まれていなかったため、source コマンドが CLA 統合スクリプトを検出できませんでした。その結果、ユーザーが対話型シェルにアクセスできませんでした。この更新により、シェル統合に必要なファイルを確実にロードするためのチェックが追加されました。その結果、ターミナルを再起動すると対話型シェルが起動するようになりました。
Jira:RHELDOCS-21319[1]
query.py のバックエンドのタイムアウトが正しく機能します
この更新前は、query.py スクリプトでバックエンドのタイムアウトを延長しても、正しく機能しませんでした。スクリプトは引き続き 30 秒ごとにタイムアウトメッセージを生成していました。これは、内部タイムアウトがデフォルトで 30 秒に設定されたままであったためです。この機能拡張により、/etc/xdg/command-line-assistant/config.toml ファイルでバックエンドのタイムアウトを設定することで、適切な値に延長できるようになりました。これにより、応答時間が改善されます。
Jira:RHELDOCS-21320[1]
cla chat を引数なしで実行するとヘルプが表示されます
この更新前は、追加の入力を行わずに cla chat を使用すると、対話型の AI アシスタンスを期待していても応答が得られなかったため、ユーザーにとって分かりにくい状況になっていました。この更新により、引数なしで cla chat を使用すると、コマンドラインアシスタントがヘルプを表示し、入力の追加が必要であることを示すようになりました。これにより、CLA の対話モードのユーザーエクスペリエンスが向上しました。
Jira:RHELDOCS-21322[1]
第8章 テクノロジープレビュー
ここでは、Red Hat Enterprise Linux 9 で利用可能なテクノロジープレビューのリストを提示します。
テクノロジープレビューに対する Red Hat のサポート範囲の詳細は、テクノロジープレビューのサポート範囲 を参照してください。
8.1. インストーラーおよびイメージの作成
RHEL インストール用の NVMe over TCP がテクノロジープレビューとして利用可能になる
このテクノロジープレビューにより、ファームウェアの設定後、NVMe over TCP ボリュームを使用して RHEL をインストールできるようになりました。Installation Destination 画面からディスクを追加するときに、NVMe Fabrics Devices セクションで NVMe 名前空間を選択できます。
Jira:RHEL-10216[1]
起動可能な OSTree ネイティブコンテナーのインストールがテクノロジープレビューとして利用可能になる
ostreecontainer キックスタートコマンドが、Anaconda でテクノロジープレビューとして利用できるようになりました。このコマンドを使用すると、OCI イメージにカプセル化された OSTree コミットから、オペレーティングシステムをインストールできます。キックスタートインストールを実行する場合、ostreecontainer とともに次のコマンドが利用できます。
- graphical、text、または cmdline
- ostreecontainer
- clearpart、zerombr
- autopart
- part
- logvol、volgroup
- reboot および shutdown
- lang
- rootpw
- sshkey
-
bootloader -
--appendオプションパラメーターを指定する形でのみ使用できます。 - user
user コマンド内でグループを指定する場合、ユーザーアカウントはコンテナーイメージ内にすでに存在するグループにのみ割り当てることができます。ここにリストされていないキックスタートコマンドを ostreecontainer コマンドと併用することもできます。ただし、それらのコマンドがパッケージベースのインストールと同じように期待どおり動作する保証はありません。
ただし、次のキックスタートコマンドの ostreecontainer との併用はサポートされていません。
- %packages (必要なパッケージがコンテナーイメージにすでに存在している必要があります)
-
url (インストール用に
stage2イメージを取得する必要がある場合 (PXE インストールなど) は、キックスタートファイル内でstage2の url を指定する代わりに、カーネルでinst.stage2=を使用します) - liveimg
- vnc
- authconfig および authselect (代わりにコンテナーイメージで関連する設定を提供します)
- module
- repo
- zipl
- zfcp
部分的なキックスタートファイルを使用する対話形式のインストールでは、起動可能な OSTree ネイティブコンテナーのインストールはサポートされません。
注記: マウントポイントをカスタマイズする場合は、マウントポイントを /mnt ディレクトリー内に定義し、マウントポイントディレクトリーがコンテナーイメージの /var/mnt 内に存在することを確認する必要があります。
Jira:RHEL-2250[1]
Anaconda の bootupd / bootupctl によるブートローダーのインストールおよび設定が、テクノロジープレビューとして利用可能になる
ostreecontainer キックスタートコマンドが Anaconda でテクノロジープレビューとして利用可能になったため、このコマンドを使用して、OCI イメージにカプセル化された OSTree コミットからオペレーティングシステムをインストールできます。Anaconda は、キックスタートで明示的なブートローダー設定がなくても、コンテナーイメージに含まれる bootupd / bootupctl ツールを使用して、ブートローダーのインストールおよび設定を自動的に調整します。
Jira:RHEL-17205[1]
s390x 上のコンテナーベースのデプロイメントがテクノロジープレビューとして利用可能になりました
テクノロジープレビューとして、RHEL インストールプログラムが、ostreecontainer キックスタートコマンドを使用して、s390x アーキテクチャー上でイメージモードのブート可能なコンテナーをデプロイできるようになりました。この機能拡張により、以前の制限が解消され、サポートされているアーキテクチャー間で一貫したデプロイ方法が確保されます。ユーザーは、コンテナーベースのワークフローを使用して、s390x システムへのインストールを自動化できるようになりました。
8.2. セキュリティー
RHEL の暗号化された DNS がテクノロジープレビューとして利用可能になる
暗号化された DNS を有効にすると、DNS-over-TLS (DoT) を使用する DNS 通信を保護できます。暗号化された DNS (eDNS) は、セキュアでないプロトコルにフォールバックすることなく、すべての DNS トラフィックをエンドツーエンドで暗号化し、ゼロトラストアーキテクチャー (ZTA) の原則に準拠します。
eDNS を使用して新規インストールを実行するには、カーネルコマンドラインを使用して DoT 対応 DNS サーバーを指定します。これにより、インストールプロセス中、起動時、およびインストールされたシステム上で暗号化された DNS がアクティブになります。カスタム CA 証明書バンドルが必要な場合は、キックスタートファイルの %certificate セクションを使用してのみインストールできます。現在、カスタム CA バンドルはキックスタートインストールを通じてのみインストールできます。
既存のシステムで、eDNS のローカル DNS リゾルバー (unbound) を管理する新しい DNS プラグイン dnsconfd を使用するように NetworkManager を設定します。カーネル引数を追加して、初期ブートプロセス用に eDNS を設定し、必要に応じてカスタム CA バンドルをインストールします。
さらに、Identity Management (IdM) のデプロイメントでは、統合 DNS サーバーが DoT をサポートしているため、暗号化された DNS も使用できます。
詳細は、暗号化された DNS を使用したシステム DNS トラフィックの保護 を参照してください。
Jira:RHELDOCS-20059[1]、Jira:RHEL-67913
新しいパッケージ: fips-provider-next (テクノロジープレビュー)
この更新により、新しい FIPS プロバイダーがテクノロジープレビューとして追加されました。これは、FIPS 認定を取得するのに先駆けて、将来採用されるコードを先行公開するものです。
Jira:RHEL-96056[1]
gnutls がテクノロジープレビューとして kTLS を使用するようになる
更新された gnutls パッケージは、テクノロジープレビューとして、暗号化チャネルでのデータ転送を加速するためにカーネル TLS (kTLS) を使用できます。kTLS を有効にするには、modprobe コマンドを使用して tls.ko カーネルモジュールを追加し、次の内容を含むシステム全体の暗号化ポリシー用の新しい設定ファイル /etc/crypto-policies/local.d/gnutls-ktls.txt を作成します。
[global]
ktls = true
現在のバージョンは、TLS KeyUpdate メッセージによるトラフィックキーの更新をサポートしていません。これは、AES-GCM 暗号スイートのセキュリティーに影響を与えることに注意してください。詳細は、RFC 7841 - TLS 1.3 ドキュメントを参照してください。
Jira:RHELPLAN-128129[1]
OpenSSL クライアントが、テクノロジープレビューとして QUIC プロトコルを使用できる
OpenSSL は、テクノロジープレビューとして OpenSSL バージョン 3.2.2 にリベースすることで、クライアント側で QUIC トランスポート層ネットワークプロトコルを使用できます。
Jira:RHELDOCS-18935[1]
io_uring インターフェイスがテクノロジープレビューとして利用可能
io_uring は、新しく効果的な非同期 I/O インターフェイスであり、現在テクノロジープレビューとして利用可能です。デフォルトでは、この機能は無効にされています。このインターフェイスを有効にするには、kernel.io_uring_disabled sysctl 変数を次のいずれかの値に設定します。
0-
すべてのプロセスは通常どおり
io_uringインスタンスを作成できます。 1-
io_uringの作成は、特権のないプロセスに対しては無効化されています。呼び出しプロセスにCAP_SYS_ADMIN機能による特権が与えられていない限り、io_uring_setupは-EPERMエラーで失敗します。既存のio_uringインスタンスは引き続き使用できます。 2-
io_uringの作成は、すべてのプロセスで無効化されています。io_uring_setupは常に-EPERMで失敗します。既存のio_uringインスタンスは引き続き使用できます。これはデフォルト設定です。
この機能を使用するには、匿名 i ノードで mmap システムコールを有効にするための SELinux ポリシーの更新バージョンも必要です。
io_uring コマンドパススルーを使用すると、アプリケーションは nvme などの基盤となるハードウェアにコマンドを直接発行できます。
Jira:RHEL-11792[1]
8.3. RHEL for Edge
テクノロジープレビューとして、FDO が SQL バックエンドからの Owner Voucher の保存とクエリーを提供するようになる
このテクノロジープレビューでは、SQL バックエンドから Owner Voucher を保存およびクエリーするために、FDO manufacturer-server、onboarding-server、および rendezvous-server が利用できます。その結果、FDO サーバーのオプションで、認証情報やその他のパラメーターとともに SQL データストアを選択して、Owner Voucher を保存できるようになります。
Jira:RHELDOCS-17752[1]
8.4. シェルおよびコマンドラインツール
RHEL 9.7 では、aarch64 上の ReaR をテクノロジープレビューとして利用できます
RHEL 9.7 では、64 ビット ARM アーキテクチャー (aarch64) 用の Relax and Recover (ReaR) パッケージがテクノロジープレビューとして導入されています。ReaR は、バックアップからシステムを復元するために使用できる起動可能なイメージを生成する障害復旧ツールです。現在、aarch64 上の ReaR では、ISO、USB、PXE の各出力方式を使用できます。
ReaR の詳細は、記事 What is Relax and Recover(ReaR) and how to use it for disaster recovery? を参照してください。
Jira:RHEL-56045[1]
8.5. インフラストラクチャーサービス
libabigail: 柔軟な配列変換の警告抑制がテクノロジープレビューとして利用可能になる
テクノロジープレビューとして、バイナリーを比較するときに、次の抑制仕様を使用して、真のフレキシブル配列に変換された偽のフレキシブル配列に関連する警告を抑制できます。
[suppress_type]
type_kind = struct
has_size_change = true
has_strict_flexible_array_data_member_conversion = trueJira:RHEL-16629[1]
8.6. ネットワーク
NIC への IPsec カプセル化のオフロードがテクノロジープレビューとして利用可能になる
今回の更新で、IPsec パケットオフロード機能がカーネルに追加されました。以前は、暗号化をネットワークインターフェイスコントローラー (NIC) にオフロードすることしかできませんでした。今回の機能拡張により、カーネルは IPsec カプセル化プロセス全体を NIC にオフロードし、ワークロードを軽減できるようになりました。
IPsec カプセル化プロセスを NIC にオフロードすると、カーネルによるこのようなパケットの監視およびフィルタリング機能も低下することに注意してください。
Jira:RHEL-88552[1]
KTLS がテクノロジープレビューとして利用可能になる
RHEL では、Kernel Transport Layer Security (KTLS) がテクノロジープレビューとして提供されます。KTLS は、AES-GCM 暗号化のカーネルで対称暗号化アルゴリズムまたは複号アルゴリズムを使用して TLS レコードを処理します。KTLS には、この機能を提供するネットワークインターフェイスコントローラー (NIC) に TLS レコード暗号化をオフロードするインターフェイスも含まれています。
カーネル TLS オフロードの特定のユースケースについては、より高いサポートステータスが適用される場合があることに注意してください。
Jira:RHEL-88551[1]
systemd-resolved サービスがテクノロジープレビューとして利用可能になる
systemd-resolved サービスは、ローカルアプリケーションに名前解決を提供します。このサービスは、DNS スタブリゾルバー、LLMNR (Link-Local Multicast Name Resolution)、およびマルチキャスト DNS リゾルバーとレスポンダーのキャッシュと検証を実装します。
systemd-resolved は、サポートされていないテクノロジープレビューであることに注意してください。
NetworkManager と Nmstate API が MACsec ハードウェアオフロードをサポートする
ハードウェアが MACsec ハードウェアオフロードをサポートしている場合は、NetworkManager と Nmstate API の両方を使用してこの機能を有効にできます。その結果、暗号化などの MACsec 操作を CPU からネットワークインターフェイスコントローラーにオフロードできるようになります。
この機能は、サポートされていないテクノロジープレビューであることに注意してください。
NetworkManager で HSR および PRP インターフェイスを設定できる
高可用性 Seamless Redundancy (HSR) と Parallel Redundancy Protocol (PRP) は、単一のネットワークコンポーネントの障害に対してシームレスなフェイルオーバーを提供するネットワークプロトコルです。どちらのプロトコルもアプリケーション層に対して透過的です。すなわち、メインパスと冗長パス間の切り替えはユーザーが認識することなく非常に迅速に行われるため、ユーザーが通信の中断やデータの損失を経験することはありません。NetworkManager サービスで nmcli ユーティリティーと DBus メッセージシステムを使用して、HSR および PRP インターフェイスの有効化および設定を行うことができます。
パケットオフロードモードでの UDP カプセル化がテクノロジープレビューとして利用可能になる
IPsec パケットオフロードを使用すると、ワークロードを軽減するために、カーネルが IPsec カプセル化プロセス全体を NIC にオフロードできます。この更新により、パケットオフロードモード時に ipsec トンネルの User Datagram Protocol (UDP) カプセル化をサポートすることで、パケットオフロードが改善されました。
Jira:RHEL-30141[1]
Soft-iWARP ドライバーがテクノロジープレビューとして利用可能になる
Soft-iWARP(siw) は、Linux 用のソフトウェア、インターネットワイドエリア RDMA プロトコル (iWARP)、カーネルドライバーです。Soft-iWARP は、インターネットプロトコル (TCP/IP) ネットワークスタック上で iWARP プロトコルスイートを実装します。このプロトコルスイートはソフトウェアで完全に実装されており、特定のリモートダイレクトメモリーアクセス (RDMA) ハードウェアを必要としません。Soft-iWARP を使用すると、標準のイーサネットアダプターを備えたシステムが iWARP アダプターまたは他のシステムに接続でき、すでに Soft-iWARP がインストールされている別のシステムに接続できます。
Jira:RHELPLAN-102815[1]
TuneD 用のソケット API がテクノロジープレビューとして利用可能になる
UNIX ドメインソケットを通じて TuneD を制御するためのソケット API がテクノロジープレビューとして利用可能になりました。ソケット API は D-Bus API と 1 対 1 でマッピングされ、D-Bus が利用できない場合に代替通信方法を提供します。ソケット API を使用すると、TuneD デーモンを制御してパフォーマンスを最適化したり、さまざまなチューニングパラメーターの値を変更したりできます。ソケット API はデフォルトでは無効になっていますが、tuned-main.conf ファイルで有効にできます。
Jira:RHELPLAN-129881[1]
rvu_af、rvu_nicpf、および rvu_nicvf がテクノロジープレビューとして利用可能
次のカーネルモジュールは、Marvell OCTEON TX2 インフラストラクチャープロセッサーファミリーのテクノロジープレビューとして利用できます。
rvu_af- Marvell OcteonTX2 RVU 管理機能ドライバー
rvu_nicpf- Marvell OcteonTX2 NIC 物理機能ドライバー
rvu_nicvf- Marvell OcteonTX2 NIC 仮想機能ドライバー
Jira:RHELPLAN-108169[1]
Segment Routing over IPv6 (SRv6) はテクノロジープレビューとして利用可能
RHEL カーネルは、テクノロジープレビューとして Segment Routing over IPv6 (SRv6) を提供します。この機能を使用すると、エッジコンピューティングのトラフィックフローを最適化したり、データセンターのネットワークプログラマビリティーを向上したりできます。ただし、最も重要な使用例は、5G デプロイメントシナリオにおけるエンドツーエンド (E2E) ネットワークスライシングです。この領域では、SRv6 プロトコルは、特定のアプリケーションまたはサービスのネットワーク要件に対処するために、プログラム可能なカスタムネットワークスライスとリソース予約を提供します。同時に、このソリューションは単一目的のアプライアンスにデプロイでき、より小さい計算フットプリントのニーズを満たします。
Jira:RHELPLAN-154595[1]
kTLS がバージョン 6.12 に更新される
Kernel Transport Layer Security (KTLS) 機能はテクノロジープレビューです。RHEL 9.6 では、kTLS を 6.12 アップストリームバージョンに更新しました。
Jira:RHELPLAN-153754[1]
PRP および HSR プロトコルがテクノロジープレビューとして利用可能になる
この更新では、次のプロトコルを提供する hsr カーネルモジュールが追加されます。
- Parallel Redundancy Protocol (PRP)
- 高可用性 Seamless Redundancy (HSR)
これらのプロトコルは IEC 62439-3 規格で定義されており、この機能を使用することで、イーサネットネットワークにおいてゼロタイムリカバリーの冗長性を設定できます。
Jira:RHELDOCS-20472[1]
8.7. カーネル
python-drgn がテクノロジープレビューとして利用可能になる
python-drgn パッケージは、プログラマビリティーを重視した高度なデバッグユーティリティーを提供します。Python コマンドラインインターフェイスを使用して、ライブカーネルとカーネルダンプの両方をデバッグできます。さらに、python-drgn は、デバッグタスクを自動化し、Linux カーネルの複雑な分析を実行するためのスクリプト機能を提供します。
Jira:RHEL-6973[1]
IAA 暗号ドライバーがテクノロジープレビューとして利用可能になる
Intel® In-Memory Analytics Accelerator (Intel® IAA) は、プリミティブな分析機能とともに、非常にスループットの高い圧縮と展開を提供するハードウェアアクセラレーターです。
RHEL 9.4 では、圧縮および展開の操作を CPU からオフロードする iaa_crypto ドライバーがテクノロジープレビューとして導入されました。このドライバーは、RFC 1951 に記載されている DEFLATE 圧縮標準と互換性のある圧縮および展開をサポートします。iaa_crypto ドライバーは、高レベル圧縮デバイス (zswap など) の下のレイヤーとして機能するように設計されています。
IAA 暗号ドライバーの詳細は、以下を参照してください。
Jira:RHEL-20145[1]
RHEL カーネルの Neural Processing Unit (NPU) カーネルが、Intel Arrow Lake ベースのシステムでテクノロジープレビューとして利用可能になる
RHEL 9.6 では、カーネルに Neural Processing Unit (NPU) がテクノロジープレビューとして導入されています。NPU は、システム上の人工知能 (AI) および機械学習 (ML) タスクに使用される特殊なチップです。RHEL 9.6 のカーネルには、Intel NPU 用の初期ドライバーと、AI/ML タスクで NPU を使用するために必要なサポートインフラストラクチャーが含まれています。
Jira:RHEL-38583[1]
ARM64 上の Red Hat Enterprise Linux for Real Time がテクノロジープレビューとして利用可能になる
このテクノロジープレビューにより、Red Hat Enterprise Linux for Real Time が ARM64 に対応しました。ARM64 は、4k および 64k ARM カーネルの両方で ARM (AARCH64) 上で有効化されます。
Jira:RHELDOCS-19635[1]
NVMe/TCP からのブートがテクノロジープレビューとして利用可能になりました
NVMe-TCP 経由で SAN から起動するシステムでは、kdump を使用してクラッシュダンプを NVMe 名前空間に書き込むことができます。この更新により、kdump が NVMe 名前空間にダンプを生成する際に発生していた障害が修正されました。その結果、このようなシステムでパニックのダンプが正常に生成されるようになりました。これにより、SAN ベースの環境での復元が改善され、ダウンタイムが短縮されます。
Jira:RHEL-33413[1]
8.8. ファイルシステムおよびストレージ
NVMe-oF Discovery Service 機能がテクノロジープレビューとして利用可能になる
NVMexpress.org Technical Proposals (TP) 8013 および 8014 で定義されている NVMe-oF Discovery Service の機能は、テクノロジープレビューとして利用できます。これらの機能をプレビューするには、nvme-cli 2.0 パッケージを使用して、TP-8013 または TP-8014 を実装する NVMe-oF ターゲットデバイスにホストを割り当てます。TP-8013 および TP-8014 の詳細は、https://nvmexpress.org/specifications/ Web サイトの NVM Express 2.0 Ratified TP を参照してください。
Jira:RHELPLAN-102321[1]
nvme-stas パッケージがテクノロジープレビューとして利用可能になる
Linux の Central Discovery Controller (CDC) クライアントである nvme-stas パッケージがテクノロジープレビューとして利用できるようになりました。これは、非同期イベント通知 (AEN)、自動化された NVMe サブシステム接続制御、エラー処理とレポート、および Automatic (zeroconf) 手動設定を処理します。
このパッケージは、Storage Appliance Finder (stafd) と Storage Appliance Connector (stacd) の 2 つのデーモンで構成されています。
Jira:RHELPLAN-58357[1]
TLS を使用した NVMe/TCP がテクノロジープレビューとして利用可能になる
事前共有キー (PSK) で設定された TLS を使用した、TCP (NVMe/TCP) 経由の Non-volatile Memory Express (NVMe) ネットワークトラフィックの暗号化が、RHEL 9.6 でテクノロジープレビューとして追加されました。手順については、事前共有キーによる TLS を使用した NVMe/TCP ホストの設定 を参照してください。
Jira:RHEL-9301[1]
xfs_scrub ユーティリティーがテクノロジープレビューとして利用可能になる
テクノロジープレビューとして xfs_scrub ユーティリティーを使用すると、マウントされた XFS ファイルシステム上のすべてのメタデータを確認できます。これは、マウントされていない XFS ファイルシステムの xfs_repair -n コマンドと同様に機能します。詳細は、システムの xfs_scrub(8) man ページを参照してください。現在、RHEL 10 カーネルではスクラブ機能のみが使用可能であり、オンライン修復は有効になっていないことに注意してください。
Jira:RHELDOCS-21350[1]
8.9. 動的プログラミング言語、Web サーバー、およびデータベースサーバー
新しい nodejs:22 モジュールストリームがテクノロジープレビューとして利用可能に
新しいモジュールストリームの nodejs:22 がテクノロジープレビューとして利用できるようになりました。今後の更新では、完全にサポートされる Node.js 22 の長期サポート (LTS) バージョンが提供される予定です。
RHEL 9.5 に含まれる Node.js 22 には、RHEL 9.3 以降で利用可能な Node.js 20 に比べて、多数の新機能、バグ修正、セキュリティー修正、およびパフォーマンスの改善を提供します。
主な変更点は、以下のとおりです。
-
V8JavaScript エンジンがバージョン 12.4 にアップグレードされました。 -
V8 Maglevコンパイラーは、これを利用可能なアーキテクチャー (AMD および Intel 64 ビットアーキテクチャーと 64 ビット ARM アーキテクチャー) でデフォルトで有効になりました。 -
Maglevは、短命の CLI プログラムのパフォーマンスを向上させます。 -
npmパッケージマネージャーが、バージョン 10.8.1 にアップグレードされました。 -
node --watchモードは現在安定していると見なされます。watchモードでは、監視対象ファイルの変更によりNode.jsプロセスが再起動されます。 -
WebSocketのブラウザー互換実装は現在、安定していると見なされ、デフォルトで有効になっています。その結果、外部依存関係なしで Node.js への WebSocket クライアントが利用できるようになります。 -
Node.jsには、package.jsonからのスクリプトを実行するための実験的な機能が含まれるようになりました。この機能を使用するには、node --run <script-in-package.json>コマンドを実行します。
nodejs:22 モジュールストリームをインストールするには、次のように入力します。
# dnf module install nodejs:22
nodejs20 ストリームからアップグレードする場合は、新しいストリームへの切り替え を参照してください。
nodejs Application Streams のサポート期間の詳細は、Red Hat Enterprise Linux Application Streams のライフサイクル を参照してください。
jmc-core および owasp-java-encoder がテクノロジープレビューとして利用可能になる
RHEL 9 は、AMD および Intel 64 ビットアーキテクチャー用のテクノロジープレビューとして、jmc-core および owasp-java-encoder パッケージとともに配布されます。
jmc-core は、Java Development Kit (JDK) Mission Control のコア API を提供するライブラリーです。これには、JDK Flight Recording ファイルの解析および書き込み用のライブラリーや、Java Discovery Protocol (JDP) による Java Virtual Machine (JVM) 検出のライブラリーが含まれます。
owasp-java-encoder パッケージは、Java の高パフォーマンスな低オーバーヘッドコンテキストエンコーダーのコレクションを提供します。
RHEL 9.2 以降、jmc-core および owasp-java-encoder は CodeReady Linux Builder (CRB) リポジトリーで使用できるため、明示的に有効にする必要があることに注意してください。詳細は、CodeReady Linux Builder 内でコンテンツを有効にして利用する方法 を参照してください。
Jira:RHELPLAN-88788[1]
新しい nodejs:24 モジュールストリームがテクノロジープレビューとして利用可能になりました
新しい nodejs:24 モジュールストリームが、Red Hat Enterprise Linux 9.7 のテクノロジープレビューとして利用可能です。今回の更新で導入される Node.js 24 は、RHEL 9.6 に含まれる Node.js 22 と比較して、新機能、バグ修正、セキュリティー更新、パフォーマンス向上を提供します。
nodejs:24 モジュールをインストールするには、次のように入力します。
# dnf module install nodejs:24
nodejs Application Streams のサポート期間の詳細は、Red Hat Enterprise Linux Application Streams のライフサイクル を参照してください。
8.10. コンパイラーおよび開発ツール
eu-stacktrace がテクノロジープレビューとして利用可能になる
バージョン 0.192 以降、elfutils パッケージを通じて配布されている eu-stacktrace ユーティリティーは、テクノロジープレビュー機能として利用できます。eu-stacktrace は、elfutils ツールキットのアンワインドライブラリーを使用して、フレームポインターのないスタックサンプルデータをアンワインドするサンプリングプロファイラーをサポートするプロトタイプユーティリティーです。
Jira:RHELDOCS-19072[1]
8.11. Identity Management
IdM デプロイメントにおける DNS over TLS (DoT) がテクノロジープレビューとして利用可能になる
DNS over TLS (DoT) を使用した暗号化された DNS が、Identity Management (IdM) デプロイメントのテクノロジープレビューとして利用できるようになりました。DNS クライアントと IdM DNS サーバー間のすべての DNS クエリーと応答を暗号化できるようになりました。
この機能を使い始めるには、IdM サーバーとレプリカの ipa-server-encrypted-dns パッケージをインストールし、IdM クライアントの ipa-client-encrypted-dns パッケージをインストールします。管理者は、インストール中に --dns-over-tls オプションを使用して DoT を有効にできます。
IdM は、Unbound をローカルキャッシュリゾルバーとして設定し、BIND を DoT 要求を受信するように設定します。この機能は、コマンドラインインターフェイス (CLI) および IdM の非対話型インストールを通じて利用できます。
DoT を設定するために、IdM サーバー、レプリカ、クライアント、および統合 DNS サービスのインストールユーティリティーに新しいオプションが追加されました。
-
--dot-forwarderは、アップストリーム DoT 対応 DNS サーバーを指定します。 -
--dns-over-tls-keyと--dns-over-tls-certは、DoT 証明書を設定します。 -
--dns-policyは、暗号化されていない DNS へのフォールバックを許可するか、厳密な DoT の使用を強制するかのどちらかを行う DNS セキュリティーポリシーを設定します。
デフォルトでは、IdM は、暗号化されていない DNS へのフォールバックを許可する、relaxed DNS ポリシーを使用します。新しい --dns-policy オプションを enforced 設定で使用することで、暗号化のみの通信を強制できます。
また、新しい DoT オプションを指定した ipa-dns-install を使用して統合 DNS サービスを再設定することにより、既存の IdM デプロイメントで DoT を有効にすることもできます。
詳細は、IdM での DoT による DNS の保護 を参照してください。
Jira:RHEL-67913[1]、Jira:RHELDOCS-20059
DNSSEC が IdM でテクノロジープレビューとして利用可能になる
統合 DNS のある Identity Management (IdM) サーバーは、DNS プロトコルのセキュリティーを強化する DNS に対する拡張セットである DNS Security Extensions (DNSSEC) を実装するようになりました。IdM サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。
DNSSEC で DNS ゾーンを保護する場合は、以下のドキュメントを参照することが推奨されます。
統合 DNS のある IdM サーバーは、DNSSEC を使用して、他の DNS サーバーから取得した DNS 回答を検証することに注意してください。これが、推奨される命名方法に従って設定されていない DNS ゾーンの可用性に影響を与える可能性があります。
Jira:RHELPLAN-121751[1]
DoT による暗号化された DNS が、IdM の ansible-freeipa インストールでテクノロジープレビューとして利用可能になりました
Ansible を使用して、DNS クライアントと Identity Management (IdM) DNS サーバー間のすべての DNS クエリーと応答を暗号化できるようになりました。DNS over TLS (DoT) による暗号化された DNS は、RHEL 10 から IdM 環境でテクノロジープレビューとして利用可能になりました。RHEL 10.1 では、この機能は freeipa.ansible_freeipa コレクションのテクノロジープレビューとして利用できます。
ansible-freeipa を使用して IdM のデプロイ時に DoT を有効にするには、次のオプションを使用します。
-
新しいサーバー場合は、
freeipa.ansible_freeipa.ipaserverロールとともにipaserver_dns_over_tlsを使用します。 -
レプリカの場合は、
freeipa.ansible_freeipa.ipareplicaロールとともにipareplica_dns_over_tlsを使用します。 -
アップストリームの DoT 対応 DNS サーバーを指定するには、
dot_forwarderを使用します。 -
DoT の証明書を設定するには、
dns_over_tls_keyとdns_over_tls_certを使用します。
さらに、dns_policy 変数を設定して DoT のみの通信を強制し、暗号化されていない DNS へのフォールバックを許可するデフォルトの動作をオーバーライドすることもできます。
Jira:RHELDOCS-20258[1]
ACME がテクノロジープレビューとして利用可能になる
Automated Certificate Management Environment (ACME) サービスが、テクノロジープレビューとして Identity Management (IdM) で利用可能になりました。ACME は、自動化識別子の検証および証明書の発行に使用するプロトコルです。この目的は、証明書の有効期間を短縮し、証明書のライフサイクル管理での手動プロセスを回避することにより、セキュリティーを向上させることです。
RHEL では、ACME サービスは Red Hat Certificate System (RHCS) PKI ACME レスポンダーを使用します。RHCS ACME サブシステムは、IdM デプロイメントのすべての認証局 (CA) サーバーに自動的にデプロイされますが、管理者が有効にするまでリクエストに対応しません。RHCS は、ACME 証明書を発行する際に acmeIPAServerCert プロファイルを使用します。発行された証明書の有効期間は 90 日です。ACME サービスの有効化または無効化は、IdM デプロイメント全体に影響します。
ACME は、すべてのサーバーが RHEL 8.4 以降を実行している IdM デプロイメントでのみ有効にすることが推奨されます。以前の RHEL バージョンには ACME サービスが含まれていないため、バージョンが混在するデプロイメントで問題が発生する可能性があります。たとえば、ACME のない CA サーバーは、異なる DNS サブジェクト代替名 (SAN) を使用しているため、クライアント接続が失敗する可能性があります。
現在、RHCS は期限切れの証明書を削除しません。ACME 証明書は 90 日後に期限切れになるため、期限切れの証明書が蓄積され、パフォーマンスに影響を及ぼす可能性があります。
IdM デプロイメント全体で ACME を有効にするには、
ipa-acme-manage enableコマンドを使用します。# ipa-acme-manage enable The ipa-acme-manage command was successfulIdM デプロイメント全体で ACME を無効にするには、
ipa-acme-manage disableコマンドを使用します。# ipa-acme-manage disable The ipa-acme-manage command was successfulACME サービスがインストールされ、有効または無効であるかを確認するには、
ipa-acme-manage statusコマンドを使用します。# ipa-acme-manage status ACME is enabled The ipa-acme-manage command was successful
Jira:RHELPLAN-121754[1]
8.12. デスクトップ
64 ビット ARM アーキテクチャーの GNOME がテクノロジープレビューとして利用可能になる
GNOME デスクトップ環境は、テクノロジープレビューとして 64 ビット ARM アーキテクチャーで利用できます。
RDP を使用して 64 ビット ARM サーバー上のデスクトップセッションに接続できるようになりました。その結果、グラフィカルアプリケーションを使用してサーバーを管理できます。
64 ビット ARM では、限定されたグラフィカルアプリケーションのセットを使用できます。以下に例を示します。
- Mozilla Firefox Web ブラウザー
-
Red Hat Subscription マネージャー (
subscription-manager-cockpit) -
ファイアウォール設定 (
firewall-config) -
ディスク使用状況アナライザー (
baobab)
Mozilla Firefox を使用すると、サーバー上の Cockpit サービスに接続できます。
Jira:RHELPLAN-27394[1]
テクノロジープレビューとして利用可能な IBM Z アーキテクチャー用の GNOME
GNOME デスクトップ環境は、テクノロジープレビューとして IBM Z アーキテクチャーで利用できます。
RDP を使用して IBM Z サーバー上のデスクトップセッションに接続できるようになりました。その結果、グラフィカルアプリケーションを使用してサーバーを管理できます。
IBM Z では、限定されたグラフィカルアプリケーションのセットを使用できます。たとえば、次のようになります。
- Mozilla Firefox Web ブラウザー
-
Red Hat Subscription マネージャー (
subscription-manager-cockpit) -
ファイアウォール設定 (
firewall-config) -
ディスク使用状況アナライザー (
baobab)
Mozilla Firefox を使用すると、サーバー上の Cockpit サービスに接続できます。
Jira:RHELPLAN-27737[1]
8.13. Web コンソール
RHEL Web コンソールで WireGuard 接続を管理できるようになる
RHEL 9.4 以降では、RHEL Web コンソールを使用して WireGuard VPN 接続を作成および管理できます。なお、WireGuard テクノロジーとその Web コンソール統合は、どちらもサポート対象外のテクノロジープレビューです。
Jira:RHELDOCS-17520[1]
8.14. 仮想化
RHEL ホストで TDX がテクノロジープレビューとして利用可能になりました
テクノロジープレビューとして、RHEL ホストで Trust Domain Extensions (TDX) を有効にできます。TDX はハードウェアベースのセキュリティー機能です。仮想マシンに強力なメモリー暗号化および整合性保護機能を提供し、仮想マシンをハイパーバイザーやその他のシステムソフトウェアから分離します。
TDX は Intel CPU でのみ利用可能です。
Jira:RHEL-111840[1]
RHEL ホストで SEV-SNP がテクノロジープレビューとして利用可能になりました
テクノロジープレビューとして、RHEL ホストで Secure Encrypted Virtualization‑Secure Nested Paging (SEV‑SNP) を有効にできます。SEV‑SNP はハードウェアベースのセキュリティー機能です。仮想マシンに強力なメモリー暗号化および整合性保護機能を提供し、仮想マシンをハイパーバイザーやその他のシステムソフトウェアから分離します。
SEV-SNP は AMD CPU でのみ利用可能です。この機能をホスト上で設定するには、snphost パッケージを使用する必要があります。
Jira:RHELDOCS-19756[1]
入れ子仮想マシンの作成
入れ子 KVM 仮想化は、RHEL 9 で Intel、AMD64、および IBM Z ホストで実行している KVM 仮想マシン用のテクノロジープレビューとして提供されます。この機能を使用すると、物理 RHEL 9 ホストで実行中の RHEL 7、RHEL 8、または RHEL 9 仮想マシンがハイパーバイザーとして機能し、独自の仮想マシンをホストできます。
Jira:RHELDOCS-17040[1]
KVM 仮想マシン用の AMD SEV、SEV-ES、および SEV-SNP
RHEL 9 は、テクノロジープレビューとして、KVM ハイパーバイザーを使用する AMD EPYC ホストマシンに、セキュア暗号化仮想化 (SEV) 機能を提供します。仮想マシンで有効になっている場合は、SEV が仮想マシンのメモリーを暗号化して、ホストから仮想マシンへのアクセスを防ぎます。これにより、仮想マシンのセキュリティーが向上します。
さらに、強化された SEV (Encrypted State) バージョンの SEV (SEV-ES) もテクノロジープレビューとして提供されます。SEV-ES は、仮想マシンの実行が停止すると、すべての CPU レジスターの内容を暗号化します。これにより、ホストが仮想マシンの CPU レジスターを変更したり、そこから情報を読み取ったりできなくなります。
RHEL 9.5 以降では、Secure Nested Paging (SEV-SNP) 機能もテクノロジープレビューとして提供されます。SNP は、メモリー整合性保護を改善することで SEV と SEV-ES を強化します。これにより、データの再生やメモリーの再マッピングなどのハイパーバイザーベースの攻撃を防ぐことができます。
SEV および SEV-ES は、第 2 世代の AMD EPYC CPU (コードネーム Rome) 以降のみで動作することに注意してください。同様に、SEV-SNP は第 4 世代 AMD EPYC CPU (コード名 Genoa) 以降でのみ動作します。また、RHEL 9 には SEV、SEV-ES、SEV-SNP 暗号化が含まれていますが、SEV、SEV-ES、SEV-SNP のセキュリティーアテステーションとライブマイグレーションは含まれていないことに注意してください。
Jira:RHELPLAN-65217[1]
64 ビット ARM 上の CPU クラスター
テクノロジープレビューとして、CPU トポロジーで複数の 64 ビット ARM CPU クラスターを使用する KVM 仮想マシンを作成できるようになりました。
Jira:RHEL-7043[1]
新しいパッケージ: trustee-guest-components
この更新により、テクノロジープレビューとして trustee-guest-components パッケージが追加されました。これにより、機密仮想マシンが自身を証明し、Trustee サーバーから機密リソースを取得できるようになります。
Jira:RHEL-68141[1]
8.15. コンテナー
podman-machine コマンドはサポート対象外です。
仮想マシンを管理するための podman-machine コマンドは、テクノロジープレビューとしてのみ利用可能です。代わりに、コマンドラインから直接 Podman を実行してください。
Jira:RHELDOCS-16861[1]
新しい rhel9/rhel-bootc コンテナーイメージがテクノロジープレビューとして利用可能になる
rhel9/rhel-bootc コンテナーイメージが、テクノロジープレビューとして Red Hat Container Registry で利用できるようになりました。RHEL のブート可能なコンテナーイメージを使用すると、コンテナーとまったく同じように、オペレーティングシステムを構築、テスト、およびデプロイできます。RHEL のブート可能コンテナーイメージは、機能拡張により、既存のアプリケーションの Universal Base Images (UBI) とは異なるものとなっています。すなわち、RHEL のブート可能コンテナーイメージには、カーネル、initrd、ブートローダー、ファームウェアなど、起動に必要な追加コンポーネントが含まれています。既存のコンテナーイメージに変更はありません。詳細は、Red Hat Ecosystem Catalog を参照してください。
Jira:RHELDOCS-17803[1]
zstd:chunked の部分プルがテクノロジープレビューとして利用可能になる
zstd:chunked 形式で圧縮されたコンテナーイメージの変更された部分のみをプルできるため、ネットワークトラフィックと必要なストレージが削減されます。/etc/containers/storage.conf ファイルに enable_partial_images = "true" 設定を追加することで、部分的なプルを有効にすることができます。この機能はテクノロジープレビューとして利用できます。
podman artifact コマンドがテクノロジープレビューとして利用可能になる
コマンドラインレベルで OCI アーティファクトを使用するために使用できる podman artifact コマンドが、テクノロジープレビューとして利用できます。詳細は、man ページを参照してください。
Podman と Docker API の互換性がテクノロジープレビューとして利用可能になりました
Podman は、テクノロジープレビューとして次の Docker API バージョンをサポートしています。
- Docker API 1.41
- Docker API 1.43
第9章 非推奨の機能
非推奨のデバイスは完全にサポートされています。つまり、非推奨のデバイスはテストおよび保守されています。デバイスが非推奨になっても、Red Hat Enterprise Linux 9 内でのサポート状況は変わりません。ただし、非推奨のデバイスは、次のメジャーバージョンのリリースではサポートされない可能性が高く、最新または今後のメジャーバージョンの新規 RHEL デプロイメントには推奨されません。
特定のメジャーリリースにおける非推奨機能の最新情報は、そのメジャーリリースの最新版のリリースノートを参照してください。サポート期間の詳細は、Red Hat Enterprise Linux のライフサイクル および Red Hat Enterprise Linux アプリケーションストリームのライフサイクル を参照してください。
パッケージが非推奨となり、使用の継続が推奨されない場合があります。特定の状況下では、製品からパッケージが削除されることがあります。その場合には、製品のドキュメントで、非推奨となったパッケージと同様、同一、またはより高度な機能を提供する最近のパッケージが指定され、詳しい推奨事項が記載されます。
RHEL 8 には存在するが RHEL 9 では 削除 された機能は、RHEL 9 を導入する際の考慮事項 を参照してください。
9.1. インストーラーおよびイメージの作成
非推奨のキックスタートコマンド
以下のキックスタートコマンドが非推奨になりました。
-
timezone --ntpservers -
timezone --nontp -
logging --level -
%packages --excludeWeakdeps -
%packages --instLangs -
%anaconda -
pwpolicy -
nvdimm
特定のオプションだけがリスト表示されている場合は、基本コマンドおよびその他のオプションは引き続き利用でき、非推奨ではないことに注意してください。キックスタートファイルで非推奨のコマンドを使用すると、ログに警告が出力されます。inst.ksstrict 起動オプションを使用して、非推奨のコマンド警告をエラーにすることもできます。
Jira:RHELPLAN-60153[1]
initial-setup パッケージが非推奨になる
initial-setup パッケージは、Red Hat Enterprise Linux 9.3 で非推奨になり、次の RHEL メジャーリリースで削除される予定です。代わりに、グラフィカルユーザーインターフェイスの gnome-initial-setup を使用します。
Jira:RHELDOCS-16393[1]
inst.geoloc ブートオプションの provider_hostip 値と provider_fedora_geoip 値が非推奨になる
inst.geoloc= ブートオプションの GeoIP API を指定した provider_hostip 値と provider_fedora_geoip 値が非推奨になる代わりに、geolocation_provider=URL オプションを使用して、インストールプログラム設定ファイルに必要な位置情報を設定できます。inst.geoloc=0 オプションを使用して位置情報を無効にすることもできます。
Jira:RHELPLAN-168262[1]
Anaconda の組み込みヘルプが非推奨になる
Anaconda のインストール時に利用可能な、全 Anaconda ユーザーインターフェイスのスポークおよびハブの組み込みドキュメントは非推奨になりました。代わりに、Anaconda ユーザーインターフェイスは自己記述型になり、ユーザーは今後の RHEL メジャーリリースで公式の RHEL ドキュメント を参照できます。
Jira:RHELDOCS-17309[1]
NVDIMM デバイスのサポートが非推奨になる
以前は、インストールプログラムにより、インストール中に NVDIMM デバイスを再設定することができました。キックスタートおよび GUI インストール中の NVDIMM デバイスに対する当該サポートは非推奨になり、次の RHEL メジャーリリースで削除される予定です。セクターモードの NVDIMM デバイスは、インストールプログラムで引き続き表示され、使用可能です。
インストール環境でドライバー更新ディスクから更新されたドライバーをロードできない
インストールの初期 RAM ディスクから同じドライバーがすでにロードされている場合、ドライバー更新ディスクからの新しいバージョンのドライバーがロードされない場合があります。そのため、ドライバーの最新バージョンをインストール環境に適用できません。
回避策: modprobe.blacklist= カーネルコマンドラインオプションを inst.dd オプションと一緒に使用します。たとえば、ドライバー更新ディスクから virtio_blk ドライバーの更新バージョンが確実にロードされるようにするには、modprobe.blacklist=virtio_blk を使用し、通常の手順を続行してドライバー更新ディスクからドライバーを適用します。その結果、システムはドライバーの更新バージョンをロードし、それをインストール環境で使用できるようになります。
9.2. セキュリティー
crypto-policies の X25519-MLKEM768 が非推奨となり、MLKEM768-X25519 という値へのエイリアスになりました
システム全体の暗号化ポリシーの X25519-MLKEM768 値が非推奨となり、MLKEM768-X25519 という値へのエイリアスになりました。これにより、結合順序が統一され、どちらの表記も機能するようになりました。
Keylime ポリシー管理スクリプトが非推奨となり、keylime-policy に置き換えられる
RHEL 9.6 では、Keylime は keylime-policy ツールとともに提供されており、以下のポリシー管理スクリプトを置き換えます。
-
keylime_convert_runtime_policy -
keylime_create_policy -
keylime_sign_runtime_policy -
create_mb_refstate -
create_allowlist.sh
これらのスクリプトは非推奨となり、RHEL の今後のメジャーバージョンでは削除される予定です。
Jira:RHELDOCS-19815[1]
脆弱性スキャンアプリケーションにおける OVAL の非推奨化
OpenSCAP スイートによって処理される宣言型セキュリティーデータを提供する Open Vulnerability Assessment Language (OVAL) データ形式は非推奨となり、今後のメジャーリリースで削除される予定です。Red Hat は、OVAL の後継である Common Security Advisory Framework (CSAF) 形式で宣言型セキュリティーデータを引き続き提供します。
詳細は、OVAL v2 Announcement を参照してください。
代わりに、RHEL 脆弱性サービスとして Red Hat Lightspeed を使用することもできます。詳細は、RHEL システムでのセキュリティー脆弱性の評価および監視 を参照してください。
Jira:RHELDOCS-17532[1]
libgcrypt が非推奨になる
libgcrypt パッケージによって提供される Libgcrypt 暗号化ライブラリーは非推奨となり、今後のメジャーリリースで削除される可能性があります。代わりに、(Red Hat ナレッジベース) のアーティクル記事 RHEL core cryptographic components に記載されているライブラリーを使用してください。
Jira:RHELDOCS-17508[1]
fips-mode-setup が非推奨になる
システムを FIPS モードに切り替える fips-mode-setup ツールが RHEL 9 で非推奨になりました。ただし、引き続き fips-mode-setup コマンドを使用して FIPS モードが有効かどうかを確認することは可能です。
FIPS 140 に準拠したシステムを運用するには、次のいずれかの方法でシステムを FIPS モードでインストールします。
-
RHEL のインストール中に、カーネルコマンドラインに
fips=1オプションを追加します。詳細は、「インストールメディアからの RHEL の対話型インストール」するドキュメントの ブートオプションのカスタマイズ の章を参照してください。 -
ブループリントの
[customizations]セクションにfips=yesディレクティブを追加して、RHEL Image Builder で FIPS 対応イメージを作成します。 -
bootc-image-builderツールを使用してディスクイメージを作成するか、bootc install-to-diskツールを使用してシステムをインストールし、Image Mode for RHEL の使用 に関するドキュメントの 例 に従った Containerfile でfips=1カーネルコマンドラインフラグを追加して、システム全体の暗号化ポリシーをFIPSに切り替えます。
fips-mode-setup ツールは次のメジャーリリースで削除される予定です。
引数なしでの update-ca-trust の使用が非推奨になる
以前は、update-ca-trust コマンドは、入力された引数に関係なく、システム認証局 (CA) ストアを更新していました。この更新では、CA ストアを更新するための extract サブコマンドが導入されました。--output 引数を使用して、CA 証明書を展開するロケーションを指定することもできます。以前のバージョンの RHEL との互換性のため、-o または --help 以外の引数を指定して、あるいは引数を指定せずに update-ca-trust を入力して CA ストアを更新することは、RHEL 9 の期間中は引き続きサポートされますが、次のメジャーリリースでは削除されます。update-ca-trust extract への呼び出しを更新します。
Jira:RHEL-54695[1]
Stunnel クライアントの信頼されたルート証明書ファイルを指す CAfile が非推奨になる
Stunnel がクライアントモードで設定されている場合、CAfile ディレクティブは、BEGIN TRUSTED CERTIFICATE 形式の信頼されたルート証明書を含むファイルを指すことができます。このメソッドは非推奨となり、今後のメジャーバージョンで削除される可能性があります。今後のバージョンでは、stunnel は、BEGIN TRUSTED CERTIFICATE 形式をサポートしていない関数に CAfile ディレクティブの値を渡します。したがって、CAfile = /etc/pki/tls/certs/ca-bundle.trust.crt を使用する場合は、ロケーションを CAfile = /etc/pki/tls/certs/ca-bundle.crt に変更します。
Jira:RHEL-52317[1]
DSA および SEED アルゴリズムが NSS で非推奨になる
Digital Signature Algorithm (DSA) は、National Institute of Standards and Technology (NIST) によって作成され、現在は NIST によって完全に非推奨となっており、Network Security Services (NSS) 暗号化ライブラリーでも非推奨となっています。代わりに、RSA、ECDSA、EdDSA などのアルゴリズムを使用できます。
Korea Information Security Agency (KISA) によって作成され、以前にアップストリームで無効化されていた SEED アルゴリズムは、NSS 暗号化ライブラリーで非推奨となっています。
Jira:RHELDOCS-19004[1]
pam_ssh_agent_auth が非推奨になる
pam_ssh_agent_auth パッケージは非推奨となり、今後のメジャーリリースで削除される可能性があります。
Jira:RHELDOCS-18312[1]
compat-openssl11 が非推奨になる
OpenSSL 1.1 の互換性ライブラリー compat-openssl11 は、現在非推奨となっており、将来のメジャーリリースで削除される可能性があります。OpenSSL 1.1 はアップストリームでメンテナンスされなくなりました。OpenSSL TLS ツールキットを使用するアプリケーションは、バージョン 3.x に移行する必要があります。
Jira:RHELDOCS-18480[1]
OpenSSL の SHA-1 で SECLEVEL=2 が非推奨になる
SECLEVEL=2 での SHA-1 アルゴリズムの使用は OpenSSL では非推奨となり、今後のメジャーリリースで削除される可能性があります。
Jira:RHELDOCS-18701[1]
OpenSSL Engines API が Stunnel で非推奨になる
Stunnel での OpenSSL Engines API の使用は非推奨となり、今後のメジャーリリースで削除される予定です。最も一般的な用途は、openssl-pkcs11 パッケージを介して PKCS#11 を使用するハードウェアセキュリティートークンにアクセスすることです。代わりに、新しい OpenSSL Providers API を使用する pkcs11-provider を使用できます。
Jira:RHELDOCS-18702[1]
OpenSSL Engines が非推奨になる
OpenSSL Engines は非推奨となり、今後削除される予定です。エンジンを使用する代わりに、pkcs11-provider を代替として使用できます。
Jira:RHELDOCS-18703[1]
GnuTLS で DSA が非推奨になる
Digital Signature Algorithm (DSA) は、GnuTLS セキュア通信ライブラリーで非推奨となり、RHEL の今後のメジャーバージョンで削除される予定です。DSA は、以前に National Institute of Standards and Technology (NIST) によって非推奨とされており、セキュアでないと考えられています。今後のバージョンとの互換性を確保するには、代わりに ECDSA を使用できます。
Jira:RHELDOCS-19224[1]
scap-workbench が非推奨になる
scap-workbench パッケージが非推奨となりました。scap-workbench グラフィカルユーティリティーは、単一のローカルシステムまたはリモートシステム上で設定および脆弱性スキャンを実行するように設計されています。代わりに、oscap コマンドを使用してローカルシステムの設定コンプライアンスをスキャンし、oscap-ssh コマンドを使用してリモートシステムをスキャンすることもできます。詳細は、設定コンプライアンススキャン を参照してください。
Jira:RHELDOCS-19028[1]
oscap-anaconda-addon が非推奨になる
グラフィカルインストールを使用してベースライン準拠の RHEL システムをデプロイする手段を提供していた oscap-anaconda-addon が非推奨となりました。代わりに、RHEL Image Builder OpenSCAP インテグレーションを使用して事前に強化されたイメージを作成 することで、特定の標準に準拠した RHEL イメージを構築できます。
Jira:RHELDOCS-19029[1]
SHA-1 は暗号化の目的で非推奨になる
暗号化を目的とした SHA-1 メッセージダイジェストの使用は、RHEL 9 では非推奨になりました。SHA-1 によって生成されたダイジェストは、ハッシュ衝突の検出に基づく多くの攻撃の成功例が記録化されているため、セキュアであるとは見なされません。RHEL コア暗号コンポーネントは、デフォルトで SHA-1 を使用して署名を作成しなくなりました。RHEL 9 のアプリケーションが更新され、セキュリティー関連のユースケースで SHA-1 が使用されないようになりました。
例外の中でも、HMAC-SHA1 メッセージ認証コードと Universal Unique Identifier (UUID) 値は、SHA-1 を使用して作成できます。これは、これらのユースケースが現在セキュリティーリスクをもたらさないためです。SHA-1 は、Kerberos や WPA-2 など、相互運用性および互換性に関する重要な懸念事項に関連する限られたケースでも使用できます。詳細は、RHEL 9 セキュリティーの強化ドキュメント の FIPS 140-3 に準拠していない暗号化を使用する RHEL アプリケーションのリスト を参照してください。
既存またはサードパーティーの暗号署名を検証するために SHA-1 を使用する必要がある場合は、次のコマンドを入力して有効にできます。
# update-crypto-policies --set DEFAULT:SHA1
または、システム全体の暗号化ポリシーを LEGACY ポリシーに切り替えることもできます。LEGACY は、セキュアではない他の多くのアルゴリズムも有効にすることに注意してください。
Jira:RHELPLAN-110763[1]
fapolicyd.rules が非推奨になる
実行ルールの許可と拒否を含むファイルの /etc/fapolicyd/rules.d/ ディレクトリーは、/etc/fapolicyd/fapolicyd.rules ファイルを置き換えます。fagenrules スクリプトは、このディレクトリー内のすべてのコンポーネントルールファイルを /etc/fapolicyd/compiled.rules ファイルにマージするようになりました。/etc/fapolicyd/fapolicyd.trust のルールは引き続き fapolicyd フレームワークによって処理されますが、下位互換性を確保するためのみに使用されます。
Jira:RHELPLAN-112355[1]
RHEL 9 で SCP が非推奨になる
SCP (Secure Copy Protocol) には既知のセキュリティー脆弱性があるため、非推奨となりました。SCP API は RHEL 9 ライフサイクルで引き続き利用できますが、システムセキュリティーが低下します。
-
scpユーティリティーでは、SCP はデフォルトで SSH ファイル転送プロトコル (SFTP) に置き換えられます。 - OpenSSH スイートは、RHEL 9 では SCP を使用しません。
-
libsshライブラリーで SCP が非推奨になりました。
Jira:RHELPLAN-99136[1]
OpenSSL では、FIPS モードでの RSA 暗号化にパディングが必要
OpenSSL は、FIPS モードでのパディングなしの RSA 暗号化をサポートしなくなりました。パディングを使用しない RSA 暗号化は一般的ではないため、ほとんど使用されません。RSA (RSASVE) によるキーのカプセル化はパディングを使用しませんが、引き続きサポートされていることに注意してください。
Jira:RHELPLAN-148207[1]
OpenSSL で Engines API が非推奨になる
OpenSSL 3.0 TLS ツールキットでは、Engines API が非推奨になりました。エンジンインターフェイスはプロバイダー API に置き換えられました。アプリケーションと既存のエンジンのプロバイダーへの移行が進行中です。非推奨の Engines API は、今後のメジャーリリースで削除される可能性があります。
Jira:RHELDOCS-17958[1]
openssl-pkcs11 が非推奨になる
非推奨になった OpenSSL エンジンのプロバイダー API への継続的な移行の一環として、pkcs11-provider パッケージが openssl-pkcs11 パッケージ (engine_pkcs11) を置き換えます。openssl-pkcs11 パッケージは非推奨になりました。openssl-pkcs11 パッケージは、今後のメジャーリリースで削除される可能性があります。
Jira:RHELDOCS-16716[1]
RHEL 8 および 9 OpenSSL 証明書および署名コンテナーが非推奨になる
Red Hat Ecosystem Catalog の ubi8/openssl および ubi9/openssl リポジトリーで利用可能な OpenSSL ポータブル証明書および署名コンテナーは、需要が低いため非推奨になりました。
Jira:RHELDOCS-17974[1]
SASL の Digest-MD5 が非推奨になる
Simple Authentication Security Layer (SASL) フレームワークの Digest-MD5 認証メカニズムは非推奨になり、将来のメジャーリリースでは cyrus-sasl パッケージから削除される可能性があります。
Jira:RHELPLAN-94096[1]
/etc/system-fips が非推奨になる
/etc/system-fips ファイルを通じて FIPS モードを示すためのサポートは削除されました。そのため、このファイルは今後の RHEL バージョンには含まれません。FIPS モードで RHEL をインストールするには、システムのインストール時に fips=1 パラメーターをカーネルコマンドラインに追加します。/proc/sys/crypto/fips_enabled ファイルを表示することで、RHEL が FIPS モードで動作しているかどうかを確認できます。
Jira:RHELPLAN-103232[1]
libcrypt.so.1 が非推奨になる
libcrypt.so.1 ライブラリーは現在非推奨であり、RHEL の将来のバージョンで削除される可能性があります。
Jira:RHELPLAN-106338[1]
OpenSSL は、FIPS モードで明示的な曲線パラメーターを受け入れない
明示的な曲線パラメーターを指定した楕円曲線暗号化パラメーター、秘密鍵、公開鍵、および証明書は、FIPS モードでは機能しなくなりました。FIPS 承認の曲線の 1 つを使用する ASN.1 オブジェクト識別子を使用して曲線パラメーターを指定することは、FIPS モードでも機能します。
Jira:RHELPLAN-113856[1]
OpenSSL が FIPS モードで X9.31 パディングを使用した RSA 署名を拒否するようになる
X9.31 RSA 署名が FIPS 186-5 標準から削除されたました。そのため、OpenSSL が FIPS モードで X9.31 パディングを使用した RSA 鍵による署名または署名検証をサポートしなくなりました。
Jira:RHELPLAN-139207[1]
9.3. RHEL for Edge
Ignition は、Image Mode for RHEL for Edge イメージで非推奨になりました。
ブートプロセスの初期段階で Simplified Installer、AMI、および VMDK RHEL for Edge イメージタイプにユーザー設定を注入するために使用される Ignition ツールは、RHEL 9 で非推奨となり、今後のメジャーリリースで削除される可能性があります。
Jira:RHELDOCS-19754[1]
9.4. サブスクリプションの管理
いくつかの subscription-manager モジュールが非推奨になる
Red Hat サブスクリプションサービスの顧客エクスペリエンスが簡素化され、Red Hat Hybrid Cloud Console と Simple Content Access によるアカウントレベルのサブスクリプション管理に移行したため、次のモジュールは非推奨となり、今後のメジャーリリースで削除される予定です。
-
addons -
attach -
auto-attach -
import -
remove -
redeem -
role -
service-level -
syspurpose addons -
usageこれらの移行の詳細は、アーティクル記事 Transition of Red Hat’s subscription services to the Red Hat Hybrid Cloud Console を参照してください。
9.5. ソフトウェア管理
数字なしの %patch 構文が非推奨になる
zero-th パッチを適用するために %patch 0 の省略形として数値を指定せずに %patch ディレクティブを使用することは非推奨となりました。したがって、%patch を使用する場合は、警告メッセージが表示され、明示的な構文 (例: zero-th パッチを適用するための %patch 0 または %patch -P 0) を使用するように提案されます。
Jira:RHELDOCS-19810[1]
DNF debug プラグインが非推奨になる
dnf debug-dump コマンドと dnf debug-restore コマンドを含む DNF debug プラグインは非推奨となり、次の RHEL メジャーリリースで dnf-plugins-core パッケージから削除されます。
Jira:RHELDOCS-18592[1]
libreport のサポートが非推奨になる
libreport ライブラリーのサポートは非推奨となり、次の RHEL メジャーリリースで DNF から削除されます。
Jira:RHELDOCS-18593[1]
9.6. シェルおよびコマンドラインツール
dump からの dump ユーティリティーが非推奨になる
ファイルシステムのバックアップに使用される dump ユーティリティーが非推奨になり、RHEL 9 では使用できなくなります。
RHEL 9 では、使用方法に基づいて、tar、dd、または bacula のバックアップユーティリティーを使用することが推奨されています。これにより、ext2、ext3、および ext4 のファイルシステムで完全で安全なバックアップが提供されます。
dump パッケージの restore ユーティリティーは、RHEL 9 で引き続き利用可能で、サポートされており、restore パッケージとして利用できます。
Jira:RHELPLAN-94704[1]
Bacula の SQLite データベースバックエンドが非推奨になりました
Bacula バックアップシステムは、複数のデータベースバックエンド (PostgreSQL、MySQL、および SQLite) をサポートしていました。SQLite バックエンドに非推奨となり、RHEL の今後のリリースではサポートされなくなります。代わりに、他のバックエンド (PostgreSQL または MySQL) に移行し、新しいデプロイメントでは SQLite バックエンドを使用しないでください。
sysstat パッケージの %vmeff メトリクスが非推奨になる
ページ再利用効率を測定する sysstat パッケージの %vmeff メトリクスは、将来の RHEL メジャーバージョンではサポートされなくなります。sysstat は、新しいカーネルバージョンで提供されるすべての関連する /proc/vmstat 値を解析しないため、sar -B コマンドによって返される %vmeff 列の値は正しくありません。
/proc/vmstat ファイルから %vmeff 値を手動で計算できます。詳細は、Why the sar(1) tool reports %vmeff values beyond 100 % in RHEL 8 and RHEL 9? を参照してください。
Jira:RHELDOCS-17015[1]
ReaR 設定ファイルでの TMPDIR 変数の設定が非推奨になる
export TMPDIR=… などのステートメントを使用して、/etc/rear/local.conf または /etc/rear/site.conf ReaR 設定ファイルで TMPDIR 環境変数を設定することは非推奨となりました。
ReaR 一時ファイルのカスタムディレクトリーを指定するには、ReaR を実行する前にシェル環境で変数をエクスポートします。たとえば、export TMPDIR=… ステートメントを実行してから、同じシェルセッションまたはスクリプトで rear コマンドを実行します。
Jira:RHELDOCS-18049[1]
RHEL 9 で cgroupsv1 が非推奨になる
cgroups は、プロセス追跡、システムリソースの割り当て、およびパーティション設定に使用されるカーネルサブシステムです。systemd サービスマネージャーは、cgroups v1 モードと cgroups v2 モードでの起動をサポートします。Red Hat Enterprise Linux 9 では、デフォルトのモードは v2 です。Red Hat Enterprise Linux 10 では、systemd は cgroups v1 モードでの起動をサポートせず、cgroups v2 モードのみが利用可能になります。
Jira:RHELDOCS-17545[1]
9.7. インフラストラクチャーサービス
インフラストラクチャーサービスではさまざまなパッケージが非推奨になる
以下のパッケージは RHEL 9 では非推奨となり、今後の RHEL メジャーバージョンでは配布されません。
-
sendmail -
libotr -
mod_security -
spamassassin -
redis -
dhcp -
xsane
Jira:RHEL-22385[1]
9.8. ネットワーク
BIND auto-dnssec パラメーターが非推奨となりました
RHEL 9.7 以降、BIND auto-dnssec パラメーターは非推奨となりました。これは今後のリリースで削除される予定です。代わりに、dnssec-policy パラメーターを使用して、完全な Key and Signing Policy (KASP) を指定してください。これにより、関連するすべての設定を単一の直感的なブロックにまとめることができます。
dnssec-policy への移行に関する詳細は、BIND 9 アップストリームドキュメントの DNSSEC Key and Signing Policy を参照してください。
Jira:RHELDOCS-21505[1]
ipset が非推奨になる
RHEL 9 では、ipset ユーティリティーが非推奨となり、今後のメジャーリリースで削除される予定です。Red Hat は、現在のリリースのライフサイクル中にバグ修正とこの機能に対するバグ修正やサポートを提供しますが、この機能は機能拡張の対象外となります。ipset の代わりに、nftables セット機能を使用できます。
Jira:RHELDOCS-20146[1]
Soft-iWARP ドライバーが非推奨になる
RHEL 9 では、サポート対象外のテクノロジープレビューとして Soft-iWARP ドライバーが提供されます。RHEL 9.5 以降では、このドライバーは非推奨となり、RHEL 10 では削除されます。
Jira:RHELDOCS-18699[1]
dhcp-client パッケージが非推奨になる
以前は、dhcp-client パッケージの DHCP クライアントを使用するように、RHEL 9 の NetworkManager を設定することができました。しかし、dhclient ユーティリティーを使用するオプションは現在非推奨になっています。使用すると、NetworkManager の起動時に警告が表示されます。前述のように NetworkManager を設定するには、内部の DHCP ライブラリーに切り替えてください。RHEL 10 では、dhcp-client パッケージは利用できなくなり、dhclient ユーティリティーを使用するように設定されたアプリケーションは、代わりに内部の DHCP ライブラリーを使用するようになります。
perl(Mail::Sender) モジュールが非推奨になる
perl(Mail::Sender) モジュールは非推奨となり、次のメジャーリリースでは代替品なしで削除されます。その結果、net-snmp-perl パッケージの checkbandwidth スクリプトは、ホストまたはインターフェイスの帯域幅の高レベル/低レベルに達したときに、メールアラートの送信をサポートしなくなります。
Jira:RHELDOCS-18959[1]
libdb が非推奨になる
RHEL 9 は現在、LGPLv2 ライセンスで配布される Berkeley DB (libdb) バージョン 5.3.28 を提供しています。アップストリームの Berkeley DB バージョン 6 は、より厳しい AGPLv3 ライセンスで利用できます。
libdb パッケージは、RHEL 9 で非推奨となり、今後の RHEL のメジャーバージョンでは利用できない可能性があります。
また、RHEL 9 では、libdb から暗号アルゴリズムが削除され、RHEL 9 では複数の libdb 依存関係が削除されています。
libdb のユーザーは、別の鍵値データベースに移行することが推奨されます。詳細は、以下の Red Hat ナレッジベースの記事を参照してください。
Jira:RHELPLAN-67314[1]
RHEL 9 でネットワークチームが非推奨になる
teamd サービスおよび libteam ライブラリーは、Red Hat Enterprise Linux 9 では非推奨になり、次回のメジャーリリースでは削除される予定です。代替として、ネットワークチームの代わりにボンディングを設定します。
Red Hat は、機能が類似するボンディングとチームの機能を 2 つ管理しなくてもいいように、カーネルベースのボンディングに注力しています。ボンディングコードは、顧客の採用率が高く、堅牢で、活発なコミュニティー開発が行われています。その結果、ボンディングコードは拡張、更新されます。
ボンディングにチームを移行する方法は、Migrating a network team configuration to network bond を参照してください。
Jira:RHELPLAN-69554[1]
ifcfg 形式の NetworkManager 接続プロファイルが非推奨になる
RHEL 9.0 以降では、ifcfg 形式の接続プロファイルは非推奨になりました。次の RHEL メジャーリリースでは、この形式のサポートが削除されます。ただし、RHEL 9 では、既存のプロファイルを変更すると、NetworkManager は引き続きこの形式で既存のプロファイルを処理および更新します。
デフォルトでは、NetworkManager は接続プロファイルをキーファイル形式で /etc/NetworkManager/system-connections/ ディレクトリーに保存するようになりました。ifcfg 形式とは異なり、キーファイル形式は、NetworkManager が提供するすべての接続設定をサポートします。キーファイル形式とプロファイルの移行方法の詳細は、NetworkManager connection profiles in keyfile format を参照してください。
Jira:RHELPLAN-58745[1]
firewalld の iptables バックエンドが非推奨になりました
RHEL 9 では、iptables フレームワークは非推奨になりました。結果として、iptables バックエンドと firewalld の direct interface も非推奨になりました。direct interface の代わりに、firewalld のネイティブ機能を使用して必要なルールを設定できます。
Jira:RHELPLAN-122745[1]
firewalld のロックダウン機能が非推奨になる
firewalld のロックダウン機能は非推奨になりました。理由は、root として実行中のプロセスが自身を許可リストに追加するのを防げないためです。ロックダウン機能は、今後の RHEL メジャーリリースで削除される可能性があります。
connection.master、connection.slave-type、connection.autoconnect-slaves プロパティーが非推奨になる
Red Hat では、差別的な表現を含まない言葉の使用に取り組んでいます。したがって、connection.master、connection.slave-type、connection.autoconnect-slaves プロパティーの名前が変更されました。下位互換性を確保するために、古いプロパティー名を新しいプロパティー名にマップするエイリアスが作成されました。
-
connection.masterはconnection.controllerのエイリアスです -
connection.slave-typeはconnection.port-typeのエイリアスです -
connection.autoconnect-slavesは、connection.autoconnect-portsのエイリアスです
connection.master、connection.slave-type、および connection.autoconnect-slaves エイリアスは非推奨となり、今後の RHEL バージョンでは削除されることに注意してください。
Jira:RHEL-17619[1]
PF_KEYv2 カーネル API が非推奨になる
アプリケーションは、PV_KEYv2 および新しい netlink API を使用して、カーネルの IPsec 実装を設定できます。PV_KEYv2 はアップストリームで積極的に保守されておらず、最新の暗号、オフロード、拡張シーケンス番号サポートなどの重要なセキュリティー機能が欠けています。その結果、RHEL 9.3 以降、PV_KEYv2 API は非推奨となり、次の RHEL メジャーリリースで削除される予定です。アプリケーションでこのカーネル API を使用する場合は、代替として最新の netlink API を使用するように移行してください。
Jira:RHEL-1015[1]
RHEL 9 で ATM カプセル化が非推奨になる
非同期転送モード (ATM) カプセル化により、ATM アダプテーションレイヤー 5(AAL-5) のレイヤー 2(ポイントツーポイントプロトコル、イーサネット) またはレイヤー 3(IP) 接続が可能になります。Red Hat は、RHEL 7 以降 ATM NIC ドライバーのサポートを提供していません。ATM 実装のサポートは RHEL 9 で廃止されています。これらのプロトコルは現在、ADSL テクノロジーをサポートし、メーカーによって段階的に廃止されているチップセットのみで使用されています。したがって、ATM カプセル化は Red Hat Enterprise Linux 9 では非推奨です。
詳細は、PPP Over AAL5、Multiprotocol Encapsulation over ATM Adaptation Layer 5、および Classical IP and ARP over ATM を参照してください。
Jira:RHELPLAN-113659[1]
クライアントサイドおよびサーバーサイドの DHCP パッケージが非推奨になる
Internet Systems Consortium (ISC) は、2022 年末をもって ISC DHCP のメンテナンスを終了することを発表しました。そのため、Red Hat は、RHEL 9 でのクライアントサイドおよびサーバーサイドの DHCP パッケージの使用を非推奨とし、今後の RHEL メジャーバージョンでは配布しないことを決定しました。ユーザーは、dhcpcd や ISC Kea などの利用可能な代替手段への移行を準備する必要があります。
Jira:RHELDOCS-17135[1]
9.9. カーネル
kexec-tools の kexec_load システムコールが非推奨になる
2 番目のカーネルをロードする kexec_load システムコールは、将来の RHEL リリースではサポートされなくなります。kexec_file_load システムコールは kexec_load に代わるもので、現在はすべてのアーキテクチャーのデフォルトのシステムコールです。
詳細は、Is kexec_load supported in RHEL9? を参照してください。
Jira:RHELPLAN-129876[1]
subscription-manager register の非推奨の --token オプションは、2024 年 11 月末に機能しなくなる
subscription-manager register コマンドの非推奨の --token=<TOKEN> オプションは、2024 年 11 月末以降はサポート対象の認証方法ではなくなります。デフォルトのエンタイトルメントサーバー subscription.rhsm.redhat.com では、トークンベースの認証が許可されなくなります。したがって、subscription-manager register --token=<TOKEN> を使用すると、次のエラーメッセージが表示されて登録が失敗します。
Token authentication not supported by the entitlement server
システムを登録するには、サポート対象の他の認可方法を使用します。たとえば、subscription-manager register コマンドにペアのオプション --username / --password または --org / --activationkey を含めます。
Jira:RHELPLAN-146101[1]
9.10. ファイルシステムおよびストレージ
ブロック変換テーブルドライバーのサポートが非推奨になる
ブロック変換テーブルドライバー (btt.ko) のサポートは非推奨となり、今後の RHEL メジャーリリースでは削除される予定です。Red Hat は、現在のリリースライフサイクル中に、セクターモードを使用して Non-Volatile Dual In-line Memory Modules (NVDIMM) の名前空間を設定するためのバグ修正とサポートを提供します。ただし、今後この機能は機能拡張されず、削除される予定です。
Jira:RHELDOCS-19716[1]
nvme_core.multipath パラメーターが非推奨になる
RHEL 9.6 では、nvme_core.multipath パラメーターは非推奨となり、今後のリリースで削除される予定です。Red Hat は、現在のリリースライフサイクル中にこの機能のバグ修正とサポートを提供しますが、この機能は機能拡張されなくなり、今後のメジャーリリースから削除される予定です。
Jira:RHELDOCS-19809[1]
NVMe デバイスのサポートが lsscsi パッケージで非推奨になる
Non-volatile Memory Express (NVMe) デバイスのサポートは非推奨となり、今後の RHEL メジャーリリースでは lsscsi パッケージから削除される予定です。代わりに、nvme-cli、lsblk、blkid などのネイティブツールを使用してください。
Jira:RHELDOCS-19068[1]
NVMe デバイスのサポートが sg3_utils パッケージで非推奨になる
Non-volatile Memory Express (NVMe) デバイスのサポートは非推奨となり、今後の RHEL メジャーリリースでは sg3_utils パッケージから削除される予定です。代わりにネイティブツール (nvme-cli) を使用できます。
Jira:RHELDOCS-19069[1]
lvm2-activation-generator およびその生成されたサービスが RHEL 9.0 で削除される
lvm2-activation-generator プログラムとその生成されたサービス lvm2-activation、lvm2-activation-early、および lvm2-activation-net は、RHEL 9.0 で削除されています。サービスをアクティベートするために使用される lvm.conf event_activation 設定は機能しなくなりました。ボリュームグループを自動アクティブ化する唯一の方法は、イベントベースのアクティブ化です。
Jira:RHELPLAN-107107[1]
RHEL 9 で永続メモリー開発キット (pmdk) とサポートライブラリーが非推奨になる
pmdk は、システム管理者とアプリケーション開発者の永続メモリーデバイスの管理とアクセスを簡素化するためのライブラリーとツールのコレクションです。pmdk およびサポートライブラリーは、RHEL 9 で非推奨になりました。これには、-debuginfo パッケージも含まれます。
pmdk によって生成された以下の一覧のバイナリーパッケージ (nvml ソースパッケージを含む) が非推奨になりました。
-
libpmem -
libpmem-devel -
libpmem-debug -
libpmem2 -
libpmem2-devel -
libpmem2-debug -
libpmemblk -
libpmemblk-devel -
libpmemblk-debug -
libpmemlog -
libpmemlog-devel -
libpmemlog-debug -
libpmemobj -
libpmemobj-devel -
libpmemobj-debug -
libpmempool -
libpmempool-devel -
libpmempool-debug -
pmempool -
daxio -
pmreorder -
pmdk-convert -
libpmemobj++ -
libpmemobj++-devel -
libpmemobj++-doc
Jira:RHELDOCS-16432[1]
md-linear、md-faulty、および md-multipath モジュールが非推奨になる
以下の MD RAID カーネルモジュールが非推奨となり、今後の RHEL メジャーリリースで削除される予定です。
-
CONFIG_MD_LINEARまたはmd-linear: 複数のドライブを連結し、1 つのメンバーディスクがいっぱいになったときに、すべてのディスクがいっぱいになるまで、データが次のディスクに書き込まれるようにします。 -
CONFIG_MD_FAULTYまたはmd-faulty: 読み取りまたは書き込みエラーを時々返すブロックデバイスをテストします。 -
CONFIG_MD_MULTIPATHまたはmd-multipath: 個々の LUN (ディスクドライブ) への複数の I/O パスをサポートしているハードウェアを活用できます。md-multipathは、ハードウェア障害または個々のパスの飽和が発生した場合でも、データの可用性を確保します。
Jira:RHEL-30730[1]
VDO sysfs パラメーターが非推奨になる
Virtual Data Optimizer (VDO) sysfs パラメーターは非推奨となり、今後の RHEL メジャーリリースで削除される予定です。log_level を除き、kvdo モジュールのすべてのモジュールレベルの sysfs パラメーターが削除されます。個々の dm-vdo ターゲットでは、VDO に固有のすべての sysfs パラメーターも削除されます。すべての DM ターゲットに共通するパラメーターには変更はありません。現在、削除されたモジュールレベルのパラメーターを更新することによって設定されている dm-vdo ターゲットの設定値は、変更できなくなります。
dm-vdo ターゲットの統計情報と設定値は、sysfs 経由ではアクセスできなくなります。しかし、これらの値は、dmsetup message stats、dmsetup status、および dmsetup table の dmsetup コマンドを使用して引き続きアクセスできます。
9.11. 高可用性およびクラスター
非推奨の高可用性機能
以下の機能は Red Hat Enterprise Linux 9.5 で非推奨となり、次のメジャーリリースで削除される予定です。これらの機能を使用してシステムを設定しようとすると、pcs コマンドラインインターフェイスによって警告が表示されます。
-
順序の制約における
scoreパラメーターの設定 -
バンドルでの
rktコンテナーエンジンの使用 -
upstartおよびnagiosリソースのサポート -
Pacemaker ルールを設定するための
monthdays、weekdays、weekyears、yearsdays、およびmoonの日付指定オプション -
Pacemaker ルールを設定するための
yearsdaysとmoonの期間オプション
Resilient Storage Add-On が非推奨になる
Red Hat Enterprise Linux (RHEL) Resilient Storage Add-On は、RHEL 9 時点で非推奨になりました。Resilient Storage Add-On は、Red Hat Enterprise Linux 10 および RHEL 10 以降のリリースではサポートされなくなります。RHEL Resilient Storage Add-On は、以前のバージョンの RHEL (7、8、9) で、および各バージョンのメンテナンスサポートライフサイクル中は引き続きサポートされます。
Jira:RHELDOCS-19022[1]
9.12. コンパイラーおよび開発ツール
Grafana、PCP、grafana-pcp では Redis が Valkey に置き換えられる
Redis キーバリューストアは非推奨となり、RHEL の次のメジャーバージョンでは Valkey に置き換えられます。その結果、Grafana、PCP、および grafana-pcp プラグインは、RHEL 10 では Redis ではなく Valkey を使用してデータを保存します。
Jira:RHELDOCS-18207[1]
llvm-doc の HTML コンテンツが非推奨になる
llvm-doc パッケージの HTML コンテンツは、今後の RHEL リリースで削除され、llvm.org のオンラインドキュメントを指す単一の HTML ファイルに置き換えられます。ネットワークにアクセスできない llvm-doc のユーザーは、LLVM ドキュメントにアクセスするための別の方法が必要になります。
Jira:RHELDOCS-19013[1]
Go の FIPS モードの openssl 3.0 で、2048 未満のサイズの鍵が非推奨となりました
2048 ビット未満の鍵サイズは openssl 3.0 で非推奨となり、Go の FIPS モードでは機能しなくなりました。
Jira:RHELPLAN-129104[1]
Go の FIPS モードで、一部の PKCS1 v1.5 モードが非推奨になる
一部の PKCS1 v1.5 モードは、FIPS-140-3 で暗号化が承認されておらず、無効になっています。Go の FIPS モードでは機能しなくなります。
Jira:RHELPLAN-123778[1]
32 ビットパッケージが非推奨になる
32 ビットの multilib パッケージに対するリンクは非推奨になりました。*.i686 パッケージは Red Hat Enterprise Linux 9 のライフサイクル期間中はサポートされ続けますが、RHEL の次のメジャーバージョンでは削除されます。
Jira:RHELDOCS-17917[1]
9.13. Identity Management
dnssec-enable: no; オプションが非推奨になる
/etc/named/ipa-options-ext.conf ファイルの dnssec-enable: no; オプションは非推奨となり、RHEL の今後のメジャーバージョンで削除される予定です。DNS Security Extensions (DNSSEC) はデフォルトで有効になっており、無効にすることはできません。dnssec-validation: no; オプションは引き続き利用可能です。
Jira:RHELDOCS-20464[1]
389-ds-base の nsslapd-subtree-rename-switch が非推奨になりました
この更新前は、データベース内のサブツリー間でエントリーを移動できないように Directory Server を設定できました。安定性の問題のため、この機能は非推奨となり、RHEL の今後のメジャーリリースで削除される予定です。
サブツリー間のエントリーの移動を無効にするために、nsslapd-subtree-rename-switch パラメーターを使用しないでください。代替策として、アクセス制御命令 (ACI) を作成することにより、エントリーの移動を無効にできます。
Jira:RHELDOCS-20337[1]
pam_console モジュールが非推奨になる
RHEL 9.5 では、pam_console モジュールが非推奨となり、今後のリリースで削除される予定です。pam_console モジュールは、物理コンソールまたは端末にログインしたユーザーにファイル権限と認証機能を付与し、コンソールのログインステータスとユーザーの存在に基づいてこれらの権限を調整します。pam_console の代わりに、systemd-logind システムサービスを使用することもできます。設定の詳細は、logind.conf(5) の man ページを参照してください。
Jira:RHELDOCS-18158[1]
OpenDNSSec の SHA-1 が非推奨になる
OpenDNSSec は、SHA-1 アルゴリズムを使用したデジタル署名および認証レコードのエクスポートに対応しています。SHA-1 アルゴリズムの使用に対応しなくなりました。RHEL 9 リリースでは、OpenDNSSec の SHA-1 が非推奨になり、今後のマイナーリリースで削除される可能性があります。また、OpenDNSSec のサポートは、Red Hat Identity Management との統合に限定されます。OpenDNSSec はスタンドアロンでは対応していません。
Jira:RHELPLAN-88246[1]
SSSD 暗黙的なファイルプロバイダードメインが、デフォルトで無効化される
/etc/shadow などのローカルファイルからユーザー情報を取得し、/etc/groups からのグループ情報をグループ化する SSSD 暗黙的 files プロバイダードメインが、デフォルトで無効になりました。
SSSD を使用してローカルファイルからユーザーおよびグループ情報を取得するには、次のコマンドを実行します。
SSSD を設定します。以下のいずれかのオプションを選択します。
sssd.conf設定ファイルでid_provider=filesを使用して、ローカルドメインを明示的に設定します。[domain/local] id_provider=files ...sssd.conf設定ファイルでenable_files_domain=trueを設定して、filesプロバイダーを有効にします。[sssd] enable_files_domain = true
ネームサービススイッチを設定します。
# authselect enable-feature with-files-providerユーザー情報のキャッシュと同期を復元するために、シンボリックリンクを作成して、
shadow-utilsとsssd_cacheの統合を有効にします。# ln -s /usr/sbin/sss_cache /usr/sbin/sss_cache_shadow_utils
Jira:RHELPLAN-100639[1], Jira:RHEL-56352
SSSD files プロバイダーは非推奨に
SSSD files プロバイダーは Red Hat Enterprise Linux (RHEL) 9 で非推奨になりました。files プロバイダーは、RHEL の将来のリリースから削除される可能性があります。
Jira:RHELPLAN-139805[1]
9.14. SSSD
ad_allow_remote_domain_local_groups オプションが非推奨になる
sssd.conf の ad_allow_remote_domain_local_groups オプションは、Red Hat Enterprise Linux (RHEL) 9.6 では非推奨となりました。ad_allow_remote_domain_local_groups オプションは、RHEL の今後のリリースから削除される可能性があります。
Jira:RHELDOCS-19455[1]
sss_ssh_knownhostsproxy ツールが非推奨になる
sss_ssh_knownhostsproxy は非推奨となり、RHEL 10 ではより効率的なツールに置き換えられます。sss_ssh_knownhostsproxy は、RHEL 9 では下位互換性のために保持され、RHEL 10 では削除されます。ssh KnownHostsCommand オプションのサポートは、今後のリリースで追加される予定です。
Jira:RHELDOCS-19115[1]
AD および IdM の enumeration 機能が非推奨になる
enumeration 機能を使用すると、Active Directory (AD)、Identity Management (IdM)、および LDAP プロバイダーに対して、引数なしで getent passwd または getent group コマンドを使用することで、すべてのユーザーまたはグループをリスト表示できます。Red Hat Enterprise Linux (RHEL) 9 では、AD および IdM の enumeration 機能のサポートが非推奨となりました。RHEL 10 では、AD および IdM の enumeration 機能は削除されます。
libsss_simpleifp サブパッケージが非推奨になる
libsss_simpleifp.so ライブラリーを提供する libsss_simpleifp サブパッケージは、Red Hat Enterprise Linux (RHEL) 9 で非推奨になりました。libsss_simpleifp サブパッケージは、RHEL の今後のリリースから削除される可能性があります。
Samba で SMB1 プロトコルが非推奨になる
Samba 4.11 以降、セキュアでない Server Message Block バージョン 1 (SMB1) プロトコルは非推奨となり、今後のリリースでは削除される予定です。
セキュリティーを向上させるために、デフォルトでは、Samba サーバーおよびクライアントユーティリティーで SMB1 が無効になっています。
Jira:RHELDOCS-16612[1]
9.15. デスクトップ
Firefox と Thunderbird の Flatpak イメージが非推奨になる
RHEL 9 でテクノロジープレビューとして利用できる rhel9/firefox-flatpak および rhel9/thunderbird-flatpak Flatpak イメージは非推奨となり、RHEL 10 バージョンに置き換えられます。
Jira:RHEL-91106[1]
Evince が非推奨になる
GNOME デスクトップのドキュメントビューアーである Evince は非推奨となり、今後のメジャーリリースで削除される予定です。
Jira:RHELDOCS-19889[1]
power-profile-daemon が非推奨になる
power-profile-daemon パッケージは非推奨となり、tuned-ppd パッケージに置き換えられました。RHEL 9.6 の新規インストールでは、tuned-ppd パッケージがデフォルトでインストールされます。
以前のバージョンから RHEL 9.6 に更新されたシステムの場合、power-profile-daemon はインストールされたままになります。更新された RHEL 9.6 バージョンで tuned-ppd を使用する必要がある場合は、手動でインストールします。
# dnf install tuned-ppdパッケージがインストールされていることを確認するには、次のコマンドを入力します。
# rpm -q tuned-ppd
tuned-ppd-2.25.1-1.el9.noarchTotem メディアプレーヤーが非推奨になる
Totem メディアプレーヤーは RHEL 9.5 で非推奨となり、今後のメジャーリリースでは削除される予定です。
Jira:RHELDOCS-19050[1]
power-profiles-daemon が非推奨になる
GNOME で電源モード設定を提供する power-profiles-daemon パッケージは非推奨となり、今後のメジャーリリースで削除される予定です。
GNOME の電源モード設定の代わりに Tuned を使用できます。power-profiles-dameon の代替として、tuned-ppd API 変換デーモンを使用できます。
Jira:RHELDOCS-19093[1]
gedit が非推奨になる
Red Hat Enterprise Linux のデフォルトのグラフィカルテキストエディターである gedit は非推奨となり、今後のメジャーリリースで削除される予定です。代わりに、GNOME テキストエディターを使用してください。
Jira:RHELDOCS-19149[1]
Qt 5 ライブラリーが非推奨になる
Qt 5 ライブラリーは非推奨となり、今後のメジャーリリースで削除される予定です。Qt 5 ライブラリーは、新しい機能とより優れたサポートを備えた Qt 6 ライブラリーに置き換えられました。
詳細は、Porting to Qt 6 を参照してください。
Jira:RHELDOCS-19133[1]
WebKitGTK が非推奨になる
WebKitGTK Web ブラウザーエンジンは非推奨となり、今後のメジャーリリースで削除される予定です。
その結果、WebKitGTK に依存するアプリケーションを構築できなくなります。Mozilla Firefox 以外のデスクトップアプリケーションでは、Web コンテンツを表示できなくなりました。RHEL 10 では代替の Web ブラウザーエンジンは提供されていません。
Jira:RHELDOCS-19171[1]
Evolution が非推奨になる
Evolution は、統合されたメール、カレンダー、連絡先管理、および通信機能を提供する GNOME アプリケーションです。アプリケーションとそのプラグインは非推奨となり、今後のメジャーバージョンで削除される予定です。Flathub などのサードパーティーソースで代替品を見つけることができます。
Jira:RHELDOCS-19147[1]
Festival が非推奨になる
Festival スピーチシンセサイザーは非推奨となり、今後のメジャーバージョンでは削除される予定です。
代わりに、Espeak NG スピーチシンセサイザーを使用できます。
Jira:RHELDOCS-19139[1]
Eye of GNOME が非推奨になる
Eye of GNOME (eog) イメージビューアーアプリケーションは、RHEL 9 で非推奨になりました。
代わりに、Loupe アプリケーションを使用できます。
Jira:RHELDOCS-19135[1]
Cheese が非推奨になる
Cheese カメラアプリケーションは非推奨となり、今後のメジャーバージョンでは削除される予定です。
代わりに、スナップショットアプリケーションを使用できます。
Jira:RHELDOCS-19137[1]
Devhelp が非推奨になる
API ドキュメントの参照と検索用のグラフィカル開発者ツールである Devhelp は非推奨となり、今後のメジャーバージョンで削除される予定です。特定のアップストリームプロジェクトで API ドキュメントをオンラインで見つけることができるようになりました。
Jira:RHELDOCS-19154[1]
GTK 3 ベースの gtkmm が非推奨になる
gtkmm は、GTK グラフィカルツールキット用の C++ インターフェイスです。GTK 3 をベースにした gtkmm バージョンは、そのすべての依存関係とともに非推奨となり、今後のメジャーバージョンで削除される予定です。RHEL 10 で gtkmm にアクセスするには、GTK 4 に基づく gtkmm バージョンに移行します。
Jira:RHELDOCS-19143[1]
Inkscape が非推奨になる
Inkscape ベクターグラフィックエディターは非推奨となり、今後のメジャーバージョンで削除される予定です。
Jira:RHELDOCS-19151[1]
GTK 2 が非推奨になる
レガシー GTK 2 ツールキットと、以下の関連パッケージが非推奨になりました。
-
adwaita-gtk2-theme -
gnome-common -
gtk2 -
gtk2-immodules -
hexchat
現在、他にも複数のパッケージが GTK 2 に依存しています。今後の RHEL メジャーリリースで非推奨パッケージへの依存が発生しないよう、これらのパッケージは変更されました。
GTK 2 を使用するアプリケーションを維持する場合、Red Hat は、アプリケーションを GTK 4 に移植することを推奨します。
Jira:RHELPLAN-131882[1]
LibreOffice が非推奨になる
LibreOffice RPM パッケージは非推奨となり、今後の RHEL メジャーリリースで削除される予定です。LibreOffice は、RHEL 7、8、および 9 のライフサイクル全体を通じて引き続き完全にサポートされます。
Red Hat は、RPM パッケージの代わりに、The Document Foundation が提供する次のいずれかのソースから LibreOffice をインストールすることを推奨します。
- Flathub リポジトリーの公式 Flatpak パッケージ: https://flathub.org/apps/org.libreoffice.LibreOffice
- 公式 RPM パッケージ: https://www.libreoffice.org/download/download-libreoffice/
Jira:RHELDOCS-16300[1]
Inkscape および LibreOffice Flatpak イメージが非推奨になる
テクノロジープレビューとして利用可能な rhel9/inkscape-flatpak および rhel9/libreoffice-flatpak Flatpak イメージは非推奨になりました。
Red Hat は、これらのイメージに代わる次の代替手段を推奨します。
-
rhel9/inkscape-flatpakを置き換えるには、inkscapeRPM パッケージを使用します。 -
rhel9/libreoffice-flatpakを置き換えるには、LibreOffice 非推奨化に関するリリースノート を参照してください。
Jira:RHELDOCS-17102[1]
TigerVNC が非推奨になる
TigerVNC リモートデスクトップソリューションが非推奨になりました。これは、今後の RHEL メジャーリリースで削除され、別のリモートデスクトップソリューションに置き換えられます。
TigerVNC は、RHEL 9 で Virtual Network Computing (VNC) プロトコルのサーバーおよびクライアント実装を提供します。
次のパッケージは非推奨です。
-
tigervnc -
tigervnc-icons -
tigervnc-license -
tigervnc-selinux -
tigervnc-server -
tigervnc-server-minimal -
tigervnc-server-module
Connections アプリケーション (gnome-connections) は代替の VNC クライアントとして引き続きサポートされますが、VNC サーバーは提供されません。
Jira:RHELDOCS-17782[1]
9.16. グラフィックインフラストラクチャー
PulseAudio デーモンが非推奨になる
PulseAudio デーモンとそのパッケージ pulseaudio および alsa-plugins-pulseaudio は非推奨となり、今後のメジャーリリースで削除される予定です。
PulseAudio クライアントライブラリーとツールは非推奨となっていないことに注意してください。この変更は、システム上で実行されるオーディオデーモンにのみ影響します。
代わりに、RHEL 9.0 以降のデフォルトのオーディオデーモンでもある PipeWire オーディオシステムを使用することもできます。PipeWire は PulseAudio API の実装も提供します。
Jira:RHELDOCS-19080[1]
Motif が非推奨になる
アップストリームの Motif コミュニティーでの開発は非アクティブであるため、Motif ウィジェットツールキットは RHEL で非推奨になりました。
開発バリアントおよびデバッグバリアントを含む、以下の Motif パッケージが非推奨になりました。
-
motif -
openmotif -
openmotif21 -
openmotif22
さらに、motif-static パッケージが削除されました。
Red Hat は、GTK ツールキットを代替として使用することを推奨します。GTK は Motif と比較してメンテナンス性が高く、新機能を提供します。
Jira:RHELPLAN-98983[1]
Intel vGPU 機能が削除されました
以前は、テクノロジープレビューとして、物理 Intel GPU デバイスを、mediated devices と呼ばれる複数の仮想デバイスに分割することができました。続いて、これらの仲介デバイスは、仮想 GPU として複数の仮想マシンに割り当てることができました。その結果、これらの仮想マシンは単一の物理 Intel GPU のパフォーマンスを共有しましたが、この機能と互換性があるのは一部の Intel GPU のみでした。
RHEL 9.3 以降、Intel vGPU 機能は完全に削除されました。
Jira:RHELPLAN-157294[1]
9.17. Red Hat Enterprise Linux システムロール
mssql_accept_microsoft_odbc_driver_17_for_sql_server_eula 変数が非推奨となりました
RHEL の今後のメジャー更新では、ロールが mssql_tools バージョン 17 および 18 の odbc ドライバーをインストールできるようになるため、mssql_accept_microsoft_odbc_driver_17_for_sql_server_eula 変数は mssql システムロールでサポートされなくなります。したがって、代わりにバージョン番号なしの mssql_accept_microsoft_odbc_driver_for_sql_server_eula 変数を使用する必要があります。
重要: バージョン番号 mssql_accept_microsoft_odbc_driver_17_for_sql_server_eula の非推奨の変数を使用する場合、ロールによって、新しい変数 mssql_accept_microsoft_odbc_driver_for_sql_server_eula を使用するように通知されます。ただし、非推奨の変数は引き続き機能します。
podman RHEL システムロールの非推奨となった変数: container_image_user および container_image_password
container_image_user および container_image_password 変数は非推奨となりました。RHEL の今後のメジャーリリースでは、これらの変数は削除されます。代わりに、podman_registry_username および podman_registry_password 変数を使用できます。
詳細は、/usr/share/doc/rhel-system-roles/podman/ ディレクトリー内のリソースを参照してください。
Jira:RHELDOCS-18803[1]
RHEL 9 ノードでチームを設定すると、network システムロールが非推奨の警告を表示する
ネットワークチーミング機能は、RHEL 9 では非推奨になりました。その結果、RHEL 8 制御ノードで network RHEL システムロールを使用して RHEL 9 ノードでネットワークチームを設定すると、非推奨の警告が表示されます。
Jira:RHELPLAN-95747[1]
9.18. 仮想化
特定の IBM z16 CPU 機能が非推奨になりました
この更新により、IBM z16 KVM 仮想マシン用の te および cte CPU 機能が非推奨になりました。なお、CPU モデルが host-model である仮想マシンを IBM z16 ホストから IBM z17 ホストに移行する場合、CPU 機能の設定を調整する必要はありません。
Jira:RHEL-89415[1]
ライブ仮想マシンダンプが非推奨となりました
virsh dump コマンドの --live オプションが非推奨となり、RHEL の今後のリリースで削除される予定です。削除後は、--live オプションを指定した virsh dump を使用して仮想マシンダンプを作成しようとすると、コマンドが失敗します。
iPXE に関連する NIC デバイスドライバーは RHEL 9 で非推奨になる
Internet Preboot eXecution Environment (iPXE) ファームウェアは、マシンをリモートで起動する必要がある環境でよく使用される、ネットワーク経由の各種起動オプションを提供します。これには、多数のデバイスドライバーも含まれています。以下は非推奨としてマークされており、RHEL 10 リリースで削除されます。
-
完全な
ipxe-romsサブ RPM パッケージ ipxe-bootimgs-x86サブ RPM パッケージからのデバイスドライバーを含むバイナリーファイル:-
/usr/share/ipxe/ipxe-i386.efi -
/usr/share/ipxe/ipxe-x86_64.efi -
/usr/share/ipxe/ipxe.dsk -
/usr/share/ipxe/ipxe.iso -
/usr/share/ipxe/ipxe.lkrn -
/usr/share/ipxe/ipxe.usb
-
代わりに、iPXE はプラットフォームファームウェアに依存して、ネットワークブート用の NIC ドライバーを提供するようになりました。/usr/share/ipxe/ipxe-snponly-x86_64.efi および /usr/share/ipxe/undionly.kpxe iPXE バイナリーファイルは ipxe-bootimgs パッケージの一部であり、プラットフォームファームウェアが提供する NIC ドライバーを使用します。
libvirtd が非推奨になる
モノリシック libvirt デーモン libvirtd は、RHEL 9 で非推奨になり、RHEL の将来のメジャーリリースで削除される予定です。ハイパーバイザーで仮想化を管理するために libvirtd を引き続き使用できることに注意してください。ただし、Red Hat では、新しく導入されたモジュラー libvirt デーモンに切り替えることを推奨します。手順と詳細は、RHEL 9 の仮想化の設定と管理 に関するドキュメントを参照してください。
Jira:RHELPLAN-113995[1]
Windows Server 2012 または Windows 8 をゲストオペレーティングシステムとして使用することはサポートされていません
Microsoft が以下のバージョンの Windows のサポートを終了したため、Red Hat もこれらのバージョンをゲストオペレーティングシステムとして使用することに対するサポートを終了しました。
- Windows 8
- Windows 8.1
- Windows Server 2012
- Windows Server 2012 R2
仮想マシンの内部スナップショットが非推奨になりました
内部 スナップショットメカニズムを使用するスナップショットの場合、仮想マシン (VM) スナップショットの作成と復元は非推奨となり、RHEL の今後のメジャーリリースでは削除される予定です。代わりに、外部 メカニズムでスナップショットを使用します。
詳細は、仮想マシンのスナップショットのサポート制限 を参照してください。
Jira:RHELDOCS-20135[1]
virt-manager が非推奨になる
Virtual Machine Manager アプリケーション (virt-manager) は非推奨になりました。RHEL Web コンソール (Cockpit) は、後続のリリースで置き換えられる予定です。したがって、GUI で仮想化を管理する場合は、Web コンソールを使用することが推奨されます。ただし、virt-manager で利用可能な機能によっては、RHEL Web コンソールで利用できない場合があります。
Jira:RHELPLAN-10304[1]
SHA1 ベースの署名を使用した SecureBoot イメージ検証が非推奨になる
UEFI (PE/COFF) 実行ファイルでの SHA1 ベースの署名を使用した SecureBoot イメージ検証の実行は非推奨になりました。代わりに、Red Hat は、SHA-2 アルゴリズムまたはそれ以降に基づく署名を使用することを推奨します。
Jira:RHELPLAN-69533[1]
仮想フロッピードライバーが非推奨になる
仮想フロッピーディスクデバイスを制御する isa-fdc ドライバーが非推奨になり、今後の RHEL ではサポートされなくなります。そのため、移行した仮想マシン (VM) との前方互換性を確保するために、Red Hat では、RHEL 9.7 でホストされている仮想マシンでフロッピーディスクデバイスを使用しないことを推奨しています。
Jira:RHELPLAN-81033[1]
qcow2-v2 イメージ形式が非推奨になりました
RHEL 9.7 で、仮想ディスクイメージの qcow2-v2 形式が非推奨になりました。この形式は、RHEL の将来のメジャーリリースでサポートされなくなります。また、RHEL 9.7 の Image Builder では、qcow2-v2 形式のディスクイメージを作成できません。
Red Hat では、qcow2-v2 の代わりに、qcow2-v3 の使用を推奨しています。qcow2-v2 イメージを、それ以降の形式に変換する場合は、qemu-img amend コマンドを使用します。
Jira:RHELPLAN-75969[1]
レガシー CPU モデルが非推奨になる
かなりの数の CPU モデルが非推奨になり、RHEL の将来のメジャーリリースで仮想マシン (VM) での使用がサポートされなくなります。非推奨のモデルは次のとおりです。
- Intel の場合: Intel Xeon 55xx および 75xx プロセッサーファミリー (Nehalem とも呼ばれます) より前のモデル
- AMD の場合: AMD Opteron G4 より前のモデル
- IBM Z の場合: IBM z14 より前のモデル
仮想マシンが非推奨の CPU モデルを使用しているかどうかを確認するには、virsh dominfo ユーティリティーを使用し、Messages セクションで次のような行を探します。
tainted: use of deprecated configuration settings
deprecated configuration: CPU model 'i486'Jira:RHELPLAN-114513[1]
RDMA ベースのライブマイグレーションが非推奨になる
この更新により、リモートダイレクトメモリーアクセス (RDMA) を使用した実行中の仮想マシンの移行は非推奨になりました。その結果、rdma 移行 URI を使用して RDMA 経由の移行を要求することは引き続き可能ですが、この機能は RHEL の今後のメジャーリリースではサポートされなくなります。
Jira:RHELPLAN-153267[1]
pmem デバイスパススルーが非推奨になる
この更新により、不揮発性メモリーライブラリー (nvml) パッケージは非推奨となり、RHEL の今後のメジャーバージョンでは削除される予定です。その結果、パッケージが削除された場合、永続メモリー (pmem) デバイスを仮想マシンに渡すことができなくなります。揮発性メモリーまたはファイルでバックアップした、エミュレートされた NVDIMM デバイスは引き続き使用できますが、永続的に設定することはできない点に注意してください。
virt-v2v を使用して RHEL 5 から Xen 仮想マシンを変換することが非推奨になる
virt-v2v ツールを使用して仮想マシンを RHEL 5 Xen ホストから KVM に変換することは非推奨となり、RHEL の今後のメジャーリリースでは削除される予定です。詳細は、Red Hat ナレッジベース を参照してください。
Jira:RHELDOCS-19193[1]
9.19. コンテナー
rsyslog コンテナーイメージが非推奨になる
rsyslog コンテナーイメージは非推奨となり、今後のメジャーリリースで削除される予定です。
Jira:RHELDOCS-19523[1]
runc コンテナーランタイムが非推奨になる
runc は非推奨となり、RHEL 10.0 では削除されます。RHEL 9 のデフォルトコンテナーランタイムは crun です。crun は、C 言語で書かれた高速および低メモリーフットプリントの OCI コンテナーランタイムです。crun バイナリーは runc バイナリーの最大 1/50 のサイズで、最大 2 倍の速度です。crun を使用して、コンテナーの実行時に最小限のプロセス数を設定することもできます。crun ランタイムは OCI フックもサポートしています。
podman-tests パッケージが非推奨になる
podman-tests パッケージが非推奨となりました。
nodejs-18 と nodejs-18-minimal が非推奨になる
nodejs-18 および nodejs-18-minimal コンテナーイメージは非推奨となり、今後は機能は更新されません。代わりに nodejs-22 と nodejs-22-minimal を使用してください。
Jira:RHELDOCS-20283[1]
ruby-31 コンテナーイメージが非推奨になる
ruby-31 コンテナーイメージが非推奨になり、今後は機能の更新を受けなくなる予定です。代わりに ruby-33 コンテナーイメージを使用してください。
Jira:RHELDOCS-20519[1]
php-81 コンテナーイメージが非推奨になる
php-81 コンテナーイメージが非推奨になり、今後は機能の更新を受けなくなる予定です。代わりに php-83 を使用してください。
Jira:RHELDOCS-20718[1]
Podman v5.0 の非推奨化
RHEL 9.5 では、Podman v5.0 で以下が非推奨となりました。
-
containers.confファイルに保存されているシステム接続とファームの情報が読み取り専用になりました。システム接続とファームの情報は、Podman のみが管理するpodman.connections.jsonファイルに保存されます。Podman は、[engine.service_destinations]や[farms]セクションなどの古い設定オプションを引き続きサポートします。必要に応じて手動で接続またはファームを追加できますが、podman system connection rmコマンドを使用してcontainers.confファイルから接続を削除することはできません。 -
slirp4netnsネットワークモードが非推奨となり、RHEL の今後のメジャーリリースで削除される予定です。pastaネットワークモードが、ルートレスコンテナーのデフォルトのネットワークモードです。 - ルートレスコンテナーの cgroups v1 が非推奨となり、RHEL の今後のメジャーリリースで削除される予定です。
Jira:RHELDOCS-19021[1]
runc コンテナーランタイムが非推奨になる
runc コンテナーランタイムは非推奨となり、RHEL の今後のメジャーリリースで削除される予定です。デフォルトのコンテナーランタイムは crun です。
Jira:RHELDOCS-19012[1]
RHEL 7 ホストでの RHEL 9 コンテナーの実行がサポート対象外
RHEL 7 ホストでは、RHEL 9 コンテナーの実行に対応していません。正常に動作するかもしれませんが、保証されません。
詳細は、Red Hat Enterprise Linux Container Compatibility Matrix を参照してください。
Jira:RHELPLAN-100087[1]
Podman 内の SHA1 ハッシュアルゴリズムが非推奨になる
ルートレスネットワーク namespace のファイル名を生成するために使用される SHA1 アルゴリズムは Podman ではサポートされなくなりました。したがって、Podman 4.1.1 以降に更新する前に起動されたルートレスコンテナーは、ネットワークに参加している場合は (slirp4netns を使用するだけでなく) 再起動して、アップグレード後に起動したコンテナーに接続できるようにする必要があります。
Jira:RHELPLAN-117005[1]
rhel9/pause が非推奨になる
rhel9/pause コンテナーイメージが非推奨になりました。
Jira:RHELPLAN-127619[1]
CNI ネットワークスタックが非推奨になる
Container Network Interface (CNI) ネットワークスタックは非推奨となり、RHEL の今後のマイナーリリースでは Podman から削除される予定です。以前は、コンテナーは DNS 経由のみで単一の Container Network Interface (CNI) プラグインに接続していました。Podman v.4.0 では、新しい Netavark ネットワークスタックが導入されました。Netavark ネットワークスタックは、Podman およびその他の Open Container Initiative (OCI) コンテナー管理アプリケーションとともに使用できます。Podman 用の Netavark ネットワークスタックは、高度な Docker 機能とも互換性があります。複数のネットワーク内のコンテナーは、それらのネットワークのいずれかにあるコンテナーにアクセスできます。
詳細は、CNI から Netavark へのネットワークスタックの切り替え を参照してください。
Jira:RHELDOCS-16756[1]
ネットワーク名としての pasta が非推奨になる
ネットワーク名の値としての pasta に関するサポートは非推奨になり、Podman の次のメジャーリリースであるバージョン 5.0 では使用できなくなります。pasta というネットワーク名の値は、podman run --network コマンドと podman create --network コマンドを使用して、Podman 内に一意のネットワークモードを作成するために使用できます。
Jira:RHELDOCS-17038[1]
BoltDB データベースバックエンドが非推奨になりました
BoltDB データベースバックエンドは、RHEL 9.4 以降では非推奨です。RHEL の今後のバージョンでは、BoltDB データベースバックエンドが削除され、Podman では利用できなくなります。Podman の場合は、RHEL 9.4 以降ではデフォルトとなっている SQLite データベースバックエンドを使用してください。
Jira:RHELDOCS-17495[1]
CNI ネットワークスタックが非推奨になる
Container Network Interface (CNI) ネットワークスタックは非推奨となり、今後のリリースでは削除される予定です。代わりに Netavark ネットワークスタックを使用してください。詳細は、CNI から Netavark へのネットワークスタックの切り替え を参照してください。
Jira:RHELDOCS-17518[1]
Podman v5.0 における今後の非推奨項目
RHEL 9.5 および RHEL 10.0 ベータ版でリリースされる予定の Podman v5.0 では、以下が非推奨になります。
- BoltDB データベースバックエンドは非推奨になります。新しい SQLite データベースバックエンドが利用可能になりました。
-
containers.confファイルは読み取り専用になります。システム接続とファーム情報は、Podman によってのみ管理されるpodman.connections.jsonファイルに保存されます。Podman は、[engine.service_destinations]や[farms]セクションなどの古い設定オプションを引き続きサポートします。必要に応じて手動で接続またはファームを追加することはできますが、podman system connection rmコマンドを使用してcontainers.confファイルから接続を削除することはできません。
RHEL 10.0 ベータ版では以下の変更が予定されています。
-
pastaネットワークモードは、ルートレスコンテナーのデフォルトのネットワークモードになります。slirp4netnsネットワークモードは非推奨となります。 - cgroupv1 は非推奨となります。
- CNI ネットワークスタックは非推奨となります。
Jira:RHELDOCS-17462[1]
rhel9/openssl が非推奨になる
rhel9/openssl コンテナーイメージが非推奨になりました。
Jira:RHELDOCS-18106[1]
9.20. 非推奨のパッケージ
このセクションでは、非推奨となり、将来バージョンの Red Hat Enterprise Linux には含まれない可能性があるパッケージのリストを示します。
RHEL 8 と RHEL 9 との間でパッケージを変更する場合は、RHEL 9 の導入における考慮事項 ドキュメントの パッケージの変更 を参照してください。
非推奨パッケージのサポート状況は、RHEL 9 内でも変更されません。サポート期間の詳細は、Red Hat Enterprise Linux のライフサイクル および Red Hat Enterprise Linux アプリケーションストリームのライフサイクル を参照してください。
次のパッケージは RHEL 9 で非推奨になりました。
- aacraid
- adwaita-gtk2-theme
- af_key
- anaconda-user-help
- aajohan-comfortaa-fonts
- adwaita-gtk2-theme
- adwaita-qt5
- anaconda-user-help
- ant-javamail
- apr-util-bdb
- aspnetcore-runtime-7.0
- aspnetcore-targeting-pack-6.0
- aspnetcore-targeting-pack-7.0
- atkmm
- atlas
- atlas-devel
- atlas-z14
- atlas-z15
- authselect-compat
- autoconf-latest
- autoconf271
- autocorr-af
- autocorr-bg
- autocorr-ca
- autocorr-cs
- autocorr-da
- autocorr-de
- autocorr-dsb
- autocorr-el
- autocorr-en
- autocorr-es
- autocorr-fa
- autocorr-fi
- autocorr-fr
- autocorr-ga
- autocorr-hr
- autocorr-hsb
- autocorr-hu
- autocorr-is
- autocorr-it
- autocorr-ja
- autocorr-ko
- autocorr-lb
- autocorr-lt
- autocorr-mn
- autocorr-nl
- autocorr-pl
- autocorr-pt
- autocorr-ro
- autocorr-ru
- autocorr-sk
- autocorr-sl
- autocorr-sr
- autocorr-sv
- autocorr-tr
- autocorr-vi
- autocorr-vro
- autocorr-zh
- avahi-autoipd
- babl
- bacula-client
- bacula-common
- bacula-console
- bacula-director
- bacula-libs
- bacula-libs-sql
- bacula-logwatch
- bacula-storage
- bind9.18-libs
- bitmap-fangsongti-fonts
- bnx2
- bnx2fc
- bnx2i
- bogofilter
- Box2D
- brasero-nautilus
- cairomm
- cheese
- cheese-libs
- clucene-contribs-lib
- clucene-core
- clutter
- clutter-gst3
- clutter-gtk
- cnic
- cockpit-composer
- cogl
- compat-hesiod
- compat-locales-sap
- compat-locales-sap-common
- compat-openssl11
- compat-paratype-pt-sans-fonts-f33-f34
- compat-sap-c++-12
- compat-sap-c++-13
- containernetworking-plugins
- containers-common-extra
- culmus-aharoni-clm-fonts
- culmus-caladings-clm-fonts
- culmus-david-clm-fonts
- culmus-drugulin-clm-fonts
- culmus-ellinia-clm-fonts
- culmus-fonts-common
- culmus-frank-ruehl-clm-fonts
- culmus-hadasim-clm-fonts
- culmus-miriam-clm-fonts
- culmus-miriam-mono-clm-fonts
- culmus-nachlieli-clm-fonts
- culmus-simple-clm-fonts
- culmus-stamashkenaz-clm-fonts
- culmus-stamsefarad-clm-fonts
- culmus-yehuda-clm-fonts
- curl-minimal
- daxio
- dbus-glib
- dbus-glib-devel
- devhelp
- devhelp-libs
- dhcp-client
- dhcp-common
- dhcp-relay
- dhcp-server
- dotnet-apphost-pack-6.0
- dotnet-apphost-pack-7.0
- dotnet-hostfxr-6.0
- dotnet-hostfxr-7.0
- dotnet-runtime-6.0
- dotnet-runtime-7.0
- dotnet-sdk-6.0
- dotnet-sdk-7.0
- dotnet-targeting-pack-6.0
- dotnet-targeting-pack-7.0
- dotnet-templates-6.0
- dotnet-templates-7.0
- double-conversion
- efs-utils
- enchant
- enchant-devel
- eog
- evince
- evince-libs
- evince-nautilus
- evince-previewer
- evince-thumbnailer
- evolution
- evolution-bogofilter
- evolution-data-server-ui
- evolution-data-server-ui-devel
- evolution-devel
- evolution-ews
- evolution-ews-langpacks
- evolution-help
- evolution-langpacks
- evolution-mapi
- evolution-mapi-langpacks
- evolution-pst
- evolution-spamassassin
- festival
- festival-data
- festvox-slt-arctic-hts
- firefox
- firefox
- firefox-x11
- flite
- flite-devel
- fltk
- flute
- firewire-core
- fontawesome-fonts
- gc
- gcr-base
- gdisk
- gedit
- gedit-plugin-bookmarks
- gedit-plugin-bracketcompletion
- gedit-plugin-codecomment
- gedit-plugin-colorpicker
- gedit-plugin-colorschemer
- gedit-plugin-commander
- gedit-plugin-drawspaces
- gedit-plugin-findinfiles
- gedit-plugin-joinlines
- gedit-plugin-multiedit
- gedit-plugin-sessionsaver
- gedit-plugin-smartspaces
- gedit-plugin-synctex
- gedit-plugin-terminal
- gedit-plugin-textsize
- gedit-plugin-translate
- gedit-plugin-wordcompletion
- gedit-plugins
- gedit-plugins-data
- ghc-srpm-macros
- ghostscript-x11
- git-p4
- gl-manpages
- glade
- glade-libs
- glibmm24
- gnome-backgrounds
- gnome-backgrounds-extras
- gnome-common
- gnome-logs
- gnome-photos
- gnome-photos-tests
- gnome-screenshot
- gnome-session-xsession
- gnome-shell-extension-panel-favorites
- gnome-shell-extension-updates-dialog
- gnome-terminal
- gnome-terminal-nautilus
- gnome-themes-extra
- gnome-tweaks
- gnome-video-effects
- google-noto-cjk-fonts-common
- google-noto-sans-cjk-ttc-fonts
- google-noto-sans-khmer-ui-fonts
- google-noto-sans-lao-ui-fonts
- google-noto-sans-thai-ui-fonts
- gspell
- gtksourceview4
- gtk2
- gtk2-devel
- gtk2-devel-docs
- gtk2-immodule-xim
- gtk2-immodules
- gtkmm30
- gtksourceview4
- gubbi-fonts
- gvfs-devel
- ha-openstack-support
- hexchat
- hesiod
- highcontrast-icon-theme
- http-parser
- ibus-gtk2
- initial-setup
- initial-setup-gui
- inkscape
- inkscape-docs
- inkscape-view
- iptables-devel
- iptables-libs
- iptables-nft
- iptables-nft-services
- iptables-utils
- iputils-ninfod
- ipxe-roms
- jakarta-activation2
- java-1.8.0-openjdk
- java-1.8.0-openjdk-demo
- java-1.8.0-openjdk-devel
- java-1.8.0-openjdk-headless
- java-1.8.0-openjdk-javadoc
- java-1.8.0-openjdk-javadoc-zip
- java-1.8.0-openjdk-src
- java-11-openjdk
- java-11-openjdk-demo
- java-11-openjdk-devel
- java-11-openjdk-headless
- java-11-openjdk-javadoc
- java-11-openjdk-javadoc-zip
- java-11-openjdk-jmods
- java-11-openjdk-src
- java-11-openjdk-static-libs
- java-17-openjdk
- java-17-openjdk-demo
- java-17-openjdk-devel
- java-17-openjdk-headless
- java-17-openjdk-javadoc
- java-17-openjdk-javadoc-zip
- java-17-openjdk-jmods
- java-17-openjdk-src
- java-17-openjdk-static-libs
- jboss-jaxrs-2.0-api
- jboss-logging
- jboss-logging-tools
- jdeparser
- jigawatts
- jigawatts-javadoc
- julietaula-montserrat-fonts
- kacst-art-fonts
- kacst-book-fonts
- kacst-decorative-fonts
- kacst-digital-fonts
- kacst-farsi-fonts
- kacst-fonts-common
- kacst-letter-fonts
- kacst-naskh-fonts
- kacst-office-fonts
- kacst-one-fonts
- kacst-pen-fonts
- kacst-poster-fonts
- kacst-qurn-fonts
- kacst-screen-fonts
- kacst-title-fonts
- kacst-titlel-fonts
- khmer-os-battambang-fonts
- khmer-os-bokor-fonts
- khmer-os-content-fonts
- khmer-os-fasthand-fonts
- khmer-os-freehand-fonts
- khmer-os-handwritten-fonts
- khmer-os-metal-chrieng-fonts
- khmer-os-muol-fonts
- khmer-os-muol-fonts-all
- khmer-os-muol-pali-fonts
- khmer-os-siemreap-fonts
- kmod-kvdo
- lasso
- libabw
- libadwaita-qt5
- libbase
- libblockdev-kbd
- libcanberra-gtk2
- libcdio-paranoia
- libcdio-paranoia-devel
- libcdr
- libcmis
- libdazzle
- libdb
- libdb-devel
- libdb-utils
- libdmx
- libepubgen
- libetonyek
- libexttextcat
- libfonts
- libformula
- libfreehand
- libgdata
- libgdata-devel
- libgnomekbd
- libiscsi
- libiscsi-utils
- liblangtag
- liblangtag-data
- liblayout
- libloader
- libmatchbox
- libmspub
- libmwaw
- libnsl2
- libnumbertext
- libodfgen
- liborcus
- libotr
- libpagemaker
- libpmem
- libpmem-debug
- libpmem-devel
- libpmem2
- libpmem2-debug
- libpmem2-devel
- libpmemblk
- libpmemblk-debug
- libpmemblk-devel
- libpmemlog
- libpmemlog-debug
- libpmemlog-devel
- libpmemobj
- libpmemobj++-devel
- libpmemobj++-doc
- libpmemobj-debug
- libpmemobj-devel
- libpmempool
- libpmempool-debug
- libpmempool-devel
- libpng15
- libpst-libs
- libqxp
- LibRaw
- libreoffice
- libreoffice-base
- libreoffice-calc
- libreoffice-core
- libreoffice-data
- libreoffice-draw
- libreoffice-emailmerge
- libreoffice-filters
- libreoffice-gdb-debug-support
- libreoffice-graphicfilter
- libreoffice-gtk3
- libreoffice-help-ar
- libreoffice-help-bg
- libreoffice-help-bn
- libreoffice-help-ca
- libreoffice-help-cs
- libreoffice-help-da
- libreoffice-help-de
- libreoffice-help-dz
- libreoffice-help-el
- libreoffice-help-en
- libreoffice-help-eo
- libreoffice-help-es
- libreoffice-help-et
- libreoffice-help-eu
- libreoffice-help-fi
- libreoffice-help-fr
- libreoffice-help-gl
- libreoffice-help-gu
- libreoffice-help-he
- libreoffice-help-hi
- libreoffice-help-hr
- libreoffice-help-hu
- libreoffice-help-id
- libreoffice-help-it
- libreoffice-help-ja
- libreoffice-help-ko
- libreoffice-help-lt
- libreoffice-help-lv
- libreoffice-help-nb
- libreoffice-help-nl
- libreoffice-help-nn
- libreoffice-help-pl
- libreoffice-help-pt-BR
- libreoffice-help-pt-PT
- libreoffice-help-ro
- libreoffice-help-ru
- libreoffice-help-si
- libreoffice-help-sk
- libreoffice-help-sl
- libreoffice-help-sv
- libreoffice-help-ta
- libreoffice-help-tr
- libreoffice-help-uk
- libreoffice-help-zh-Hans
- libreoffice-help-zh-Hant
- libreoffice-impress
- libreoffice-langpack-af
- libreoffice-langpack-ar
- libreoffice-langpack-as
- libreoffice-langpack-bg
- libreoffice-langpack-bn
- libreoffice-langpack-br
- libreoffice-langpack-ca
- libreoffice-langpack-cs
- libreoffice-langpack-cy
- libreoffice-langpack-da
- libreoffice-langpack-de
- libreoffice-langpack-dz
- libreoffice-langpack-el
- libreoffice-langpack-en
- libreoffice-langpack-eo
- libreoffice-langpack-es
- libreoffice-langpack-et
- libreoffice-langpack-eu
- libreoffice-langpack-fa
- libreoffice-langpack-fi
- libreoffice-langpack-fr
- libreoffice-langpack-fy
- libreoffice-langpack-ga
- libreoffice-langpack-gl
- libreoffice-langpack-gu
- libreoffice-langpack-he
- libreoffice-langpack-hi
- libreoffice-langpack-hr
- libreoffice-langpack-hu
- libreoffice-langpack-id
- libreoffice-langpack-it
- libreoffice-langpack-ja
- libreoffice-langpack-kk
- libreoffice-langpack-kn
- libreoffice-langpack-ko
- libreoffice-langpack-lt
- libreoffice-langpack-lv
- libreoffice-langpack-mai
- libreoffice-langpack-ml
- libreoffice-langpack-mr
- libreoffice-langpack-nb
- libreoffice-langpack-nl
- libreoffice-langpack-nn
- libreoffice-langpack-nr
- libreoffice-langpack-nso
- libreoffice-langpack-or
- libreoffice-langpack-pa
- libreoffice-langpack-pl
- libreoffice-langpack-pt-BR
- libreoffice-langpack-pt-PT
- libreoffice-langpack-ro
- libreoffice-langpack-ru
- libreoffice-langpack-si
- libreoffice-langpack-sk
- libreoffice-langpack-sl
- libreoffice-langpack-sr
- libreoffice-langpack-ss
- libreoffice-langpack-st
- libreoffice-langpack-sv
- libreoffice-langpack-ta
- libreoffice-langpack-te
- libreoffice-langpack-th
- libreoffice-langpack-tn
- libreoffice-langpack-tr
- libreoffice-langpack-ts
- libreoffice-langpack-uk
- libreoffice-langpack-ve
- libreoffice-langpack-xh
- libreoffice-langpack-zh-Hans
- libreoffice-langpack-zh-Hant
- libreoffice-langpack-zu
- libreoffice-math
- libreoffice-ogltrans
- libreoffice-opensymbol-fonts
- libreoffice-pdfimport
- libreoffice-pyuno
- libreoffice-sdk
- libreoffice-sdk-doc
- libreoffice-ure
- libreoffice-ure-common
- libreoffice-voikko
- libreoffice-wiki-publisher
- libreoffice-writer
- libreoffice-x11
- libreoffice-xsltfilter
- libreofficekit
- libreport
- libreport-anaconda
- libreport-cli
- libreport-filesystem
- libreport-gtk
- libreport-plugin-bugzilla
- libreport-plugin-reportuploader
- libreport-rhel-anaconda-bugzilla
- libreport-web
- librepository
- librevenge
- librevenge-gdb
- libserializer
- libsigc++20
- libsigsegv
- libsmbios
- libsoup
- libsoup-devel
- libstaroffice
- libstemmer
- libstoragemgmt-smis-plugin
- libteam
- libuser
- libuser-devel
- libvisio
- libvisual
- libwpd
- libwpe
- libwpe-devel
- libwpg
- libwps
- libxcrypt-compat
- libxklavier
- libXp
- libXp-devel
- libXScrnSaver
- libXScrnSaver-devel
- libXxf86dga
- libXxf86dga-devel
- libzmf
- lklug-fonts
- lohit-gurmukhi-fonts
- lpsolve
- man-pages-overrides
- mcpp
- memkind
- mesa-libGLw
- mesa-libGLw-devel
- mlocate
- mod_auth_mellon
- mod_jk
- mod_security
- mod_security-mlogc
- mod_security_crs
- motif
- motif-devel
- mythes
- mythes-bg
- mythes-ca
- mythes-cs
- mythes-da
- mythes-de
- mythes-el
- mythes-en
- mythes-eo
- mythes-es
- mythes-fr
- mythes-ga
- mythes-hu
- mythes-it
- mythes-lv
- mythes-nb
- mythes-nl
- mythes-nn
- mythes-pl
- mythes-pt
- mythes-ro
- mythes-ru
- mythes-sk
- mythes-sl
- mythes-sv
- mythes-uk
- navilu-fonts
- nbdkit-gzip-filter
- neon
- NetworkManager-initscripts-updown
- nginx
- nginx-all-modules
- nginx-core
- nginx-filesystem
- nginx-mod-devel
- nginx-mod-http-image-filter
- nginx-mod-http-perl
- nginx-mod-http-xslt-filter
- nginx-mod-mail
- nginx-mod-stream
- nispor
- nscd
- nvme-stas
- opal-firmware
- opal-prd
- opal-prd
- opal-utils
- openal-soft
- openchange
- openscap-devel
- openscap-python3
- openslp-server
- overpass-fonts
- paktype-naqsh-fonts
- paktype-tehreer-fonts
- pam_ssh_agent_auth
- pangomm
- pentaho-libxml
- pentaho-reporting-flow-engine
- perl-AnyEvent
- perl-B-Hooks-EndOfScope
- perl-Class-Accessor
- perl-Class-Data-Inheritable
- perl-Class-Singleton
- perl-Class-Tiny
- perl-Crypt-OpenSSL-Bignum
- perl-Crypt-OpenSSL-Random
- perl-Crypt-OpenSSL-RSA
- perl-Date-ISO8601
- perl-DateTime
- perl-DateTime-Format-Builder
- perl-DateTime-Format-ISO8601
- perl-DateTime-Format-Strptime
- perl-DateTime-Locale
- perl-DateTime-TimeZone
- perl-DateTime-TimeZone-SystemV
- perl-DateTime-TimeZone-Tzfile
- perl-DB_File
- perl-Devel-CallChecker
- perl-Devel-Caller
- perl-Devel-LexAlias
- perl-Digest-SHA1
- perl-Dist-CheckConflicts
- perl-DynaLoader-Functions
- perl-Encode-Detect
- perl-Eval-Closure
- perl-Exception-Class
- perl-File-chdir
- perl-File-Copy-Recursive
- perl-File-Find-Object
- perl-File-Find-Rule
- perl-HTML-Tree
- perl-Importer
- perl-Mail-AuthenticationResults
- perl-Mail-DKIM
- perl-Mail-Sender
- perl-Mail-SPF
- perl-MIME-Types
- perl-Module-Implementation
- perl-Module-Pluggable
- perl-namespace-autoclean
- perl-namespace-clean
- perl-Net-CIDR-Lite
- perl-Net-DNS
- perl-NetAddr-IP
- perl-Number-Compare
- perl-Package-Stash
- perl-Package-Stash-XS
- perl-PadWalker
- perl-Params-Classify
- perl-Params-Validate
- perl-Params-ValidationCompiler
- perl-Perl-Destruct-Level
- perl-Ref-Util
- perl-Ref-Util-XS
- perl-Scope-Guard
- perl-Specio
- perl-Sub-Identify
- perl-Sub-Info
- perl-Sub-Name
- perl-Switch
- perl-Sys-CPU
- perl-Sys-MemInfo
- perl-Test-LongString
- perl-Test-Taint
- perl-Variable-Magic
- perl-XML-DOM
- perl-XML-RegExp
- perl-XML-Twig
- pinfo
- pki-jackson-annotations
- pki-jackson-core
- pki-jackson-databind
- pki-jackson-jaxrs-json-provider
- pki-jackson-jaxrs-providers
- pki-jackson-module-jaxb-annotations
- pki-resteasy-client
- pki-resteasy-core
- pki-resteasy-jackson2-provider
- pki-resteasy-servlet-initializer
- plymouth-theme-charge
- pmdk-convert
- pmempool
- podman-plugins
- poppler-qt5
- postgresql-test-rpm-macros
- power-profiles-daemon
- pulseaudio-module-x11
- python-botocore
- python-gflags
- python-netifaces
- python-pyroute2
- python-qt5-rpm-macros
- python3-bind
- python3-chardet
- python3-lasso
- python3-libproxy
- python3-libreport
- python3-netifaces
- python3-nispor
- python3-py
- python3-pycdlib
- python3-pycurl
- python3-pyqt5-sip
- python3-pyrsistent
- python3-pysocks
- python3-pytz
- python3-pywbem
- python3-qt5
- python3-qt5-base
- python3-requests+security
- python3-requests+socks
- python3-scour
- python3-toml
- python3-tomli
- python3-tracer
- python3-wx-siplib
- python3.11
- python3.11-cffi
- python3.11-charset-normalizer
- python3.11-cryptography
- python3.11-devel
- python3.11-idna
- python3.11-libs
- python3.11-lxml
- python3.11-mod_wsgi
- python3.11-numpy
- python3.11-numpy-f2py
- python3.11-pip
- python3.11-pip-wheel
- python3.11-ply
- python3.11-psycopg2
- python3.11-pycparser
- python3.11-PyMySQL
- python3.11-PyMySQL+rsa
- python3.11-pysocks
- python3.11-pyyaml
- python3.11-requests
- python3.11-requests+security
- python3.11-requests+socks
- python3.11-scipy
- python3.11-setuptools
- python3.11-setuptools-wheel
- python3.11-six
- python3.11-tkinter
- python3.11-urllib3
- python3.11-wheel
- python3.12-PyMySQL+rsa
- qgnomeplatform
- qla4xxx
- qt5
- qt5-assistant
- qt5-designer
- qt5-devel
- qt5-doctools
- qt5-linguist
- qt5-qdbusviewer
- qt5-qt3d
- qt5-qt3d-devel
- qt5-qt3d-doc
- qt5-qt3d-examples
- qt5-qtbase
- qt5-qtbase-common
- qt5-qtbase-devel
- qt5-qtbase-doc
- qt5-qtbase-examples
- qt5-qtbase-gui
- qt5-qtbase-mysql
- qt5-qtbase-odbc
- qt5-qtbase-postgresql
- qt5-qtbase-private-devel
- qt5-qtbase-static
- qt5-qtconnectivity
- qt5-qtconnectivity-devel
- qt5-qtconnectivity-doc
- qt5-qtconnectivity-examples
- qt5-qtdeclarative
- qt5-qtdeclarative-devel
- qt5-qtdeclarative-doc
- qt5-qtdeclarative-examples
- qt5-qtdeclarative-static
- qt5-qtdoc
- qt5-qtgraphicaleffects
- qt5-qtgraphicaleffects-doc
- qt5-qtimageformats
- qt5-qtimageformats-doc
- qt5-qtlocation
- qt5-qtlocation-devel
- qt5-qtlocation-doc
- qt5-qtlocation-examples
- qt5-qtmultimedia
- qt5-qtmultimedia-devel
- qt5-qtmultimedia-doc
- qt5-qtmultimedia-examples
- qt5-qtquickcontrols
- qt5-qtquickcontrols-doc
- qt5-qtquickcontrols-examples
- qt5-qtquickcontrols2
- qt5-qtquickcontrols2-devel
- qt5-qtquickcontrols2-doc
- qt5-qtquickcontrols2-examples
- qt5-qtscript
- qt5-qtscript-devel
- qt5-qtscript-doc
- qt5-qtscript-examples
- qt5-qtsensors
- qt5-qtsensors-devel
- qt5-qtsensors-doc
- qt5-qtsensors-examples
- qt5-qtserialbus
- qt5-qtserialbus-devel
- qt5-qtserialbus-doc
- qt5-qtserialbus-examples
- qt5-qtserialport
- qt5-qtserialport-devel
- qt5-qtserialport-doc
- qt5-qtserialport-examples
- qt5-qtsvg
- qt5-qtsvg-devel
- qt5-qtsvg-doc
- qt5-qtsvg-examples
- qt5-qttools
- qt5-qttools-common
- qt5-qttools-devel
- qt5-qttools-doc
- qt5-qttools-examples
- qt5-qttools-libs-designer
- qt5-qttools-libs-designercomponents
- qt5-qttools-libs-help
- qt5-qttools-static
- qt5-qttranslations
- qt5-qtwayland
- qt5-qtwayland-devel
- qt5-qtwayland-doc
- qt5-qtwayland-examples
- qt5-qtwebchannel
- qt5-qtwebchannel-devel
- qt5-qtwebchannel-doc
- qt5-qtwebchannel-examples
- qt5-qtwebsockets
- qt5-qtwebsockets-devel
- qt5-qtwebsockets-doc
- qt5-qtwebsockets-examples
- qt5-qtx11extras
- qt5-qtx11extras-devel
- qt5-qtx11extras-doc
- qt5-qtxmlpatterns
- qt5-qtxmlpatterns-devel
- qt5-qtxmlpatterns-doc
- qt5-qtxmlpatterns-examples
- qt5-rpm-macros
- qt5-srpm-macros
- raptor2
- rasqal
- redis
- redis-devel
- redis-doc
- redland
- rpmlint
- runc
- saab-fonts
- sac
- satyr
- scap-workbench
- SDL2
- sendmail
- sendmail-cf
- sendmail-doc
- setxkbmap
- sgabios
- sgabios-bin
- sil-scheherazade-fonts
- spamassassin
- speech-tools-libs
- suitesparse
- sushi
- team
- teamd
- texlive-xdvi
- thai-scalable-fonts-common
- thai-scalable-garuda-fonts
- thai-scalable-kinnari-fonts
- thai-scalable-loma-fonts
- thai-scalable-norasi-fonts
- thai-scalable-purisa-fonts
- thai-scalable-sawasdee-fonts
- thai-scalable-tlwgmono-fonts
- thai-scalable-tlwgtypewriter-fonts
- thai-scalable-tlwgtypist-fonts
- thai-scalable-tlwgtypo-fonts
- thai-scalable-umpush-fonts
- thunderbird
- tigervnc
- tigervnc-icons
- tigervnc-license
- tigervnc-selinux
- tigervnc-server
- tigervnc-server-minimal
- tigervnc-server-module
- totem-pl-parser
- tracer-common
- ucs-miscfixed-fonts
- usb_modeswitch
- usb_modeswitch-data
- usbredir-server
- usermode-gtk
- webkit2gtk3
- webkit2gtk3-devel
- webkit2gtk3-jsc
- webkit2gtk3-jsc-devel
- wpebackend-fdo
- wpebackend-fdo-devel
- xmlrpc-c
- xmlsec1-gcrypt
- xmlsec1-gcrypt-devel
- xmlsec1-gnutls
- xmlsec1-gnutls-devel
- xorg-x11-drivers
- xorg-x11-drv-dummy
- xorg-x11-drv-evdev
- xorg-x11-drv-fbdev
- xorg-x11-drv-libinput
- xorg-x11-drv-v4l
- xorg-x11-drv-vmware
- xorg-x11-drv-wacom
- xorg-x11-drv-wacom-serial-support
- xorg-x11-server-common
- xorg-x11-server-utils
- xorg-x11-server-Xdmx
- xorg-x11-server-Xephyr
- xorg-x11-server-Xnest
- xorg-x11-server-Xorg
- xorg-x11-server-Xvfb
- xorg-x11-utils
- xorg-x11-xbitmaps
- xorg-x11-xinit
- xorg-x11-xinit-session
- xsane
- xsane-common
- xxhash
- xxhash-libs
- yajl
- yelp
- yelp-libs
- yp-tools
- ypbind
- ypserv
- zhongyi-song-fonts
第10章 既知の問題
ここでは、Red Hat Enterprise Linux 9.7 の既知の問題を説明します。
10.1. インストーラーおよびイメージの作成
キックスタートコマンドの auth および authconfig で AppStream リポジトリーが必要になる
インストール中に、キックスタートコマンドの auth および authconfig で authselect-compat パッケージが必要になります。auth または authconfig を使用したときに、このパッケージがないとインストールに失敗します。ただし、設計上、authselect-compat パッケージは AppStream リポジトリーでのみ使用可能です。
回避策: BaseOS リポジトリーおよび AppStream リポジトリーがインストールプログラムで使用できることを確認するか、インストール中にキックスタートコマンドの authselect を使用します。
Jira:RHELPLAN-10061[1]
Anaconda がアプリケーションとして実行されているシステムでの予期しない SELinux ポリシー
Anaconda がすでにインストールされているシステムでアプリケーションとして実行されている場合 (たとえば、–image anaconda オプションを使用してイメージファイルに別のインストールを実行する場合)、システムはインストール中に SELinux のタイプと属性を変更することを禁止されていません。そのため、SELinux ポリシーの特定の要素は、Anaconda が実行されているシステムで変更される可能性があります。
回避策: 実稼働システムでは Anaconda を実行しないでください。代わりに、一時的な仮想マシンで Anaconda を実行して、実稼働システムの SELinux ポリシーを変更しないようにします。boot.iso や dvd.iso からのインストールなど、システムインストールプロセスの一部として anaconda を実行しても、この問題の影響は受けません。
Jira:RHELPLAN-110940[1]
サードパーティーのツールを使用して作成した USB からインストールを起動する際に、Local Media のインストールソースが検出されない
サードパーティーのツールを使用して作成された USB から RHEL インストールを起動すると、インストールプログラムが Local Media インストールソースを検出できません (Red Hat CDN のみが検出されます)。
この問題は、デフォルトの起動オプション int.stage2= が iso9660 イメージ形式の検索を試みるためです。ただし、サードパーティーツールは、別の形式の ISO イメージを作成する可能性があります。
回避策: 以下のソリューションのいずれかを使用します。
-
インストールの起動時に
Tabキーをクリックしてカーネルコマンドラインを編集し、起動オプションinst.stage2=をinst.repo=に変更します。 - Windows で起動可能な USB デバイスを作成するには、Fedora Media Writer を使用します。
- Rufus などのサードパーティーツールを使用して起動可能な USB デバイスを作成する場合は、最初に Linux システムで RHEL ISO イメージを再生成し、サードパーティーのツールを使用して起動可能な USB デバイスを作成します。
指定の回避策を実行する手順の詳細は、Installation media is not auto-detected during the installation of RHEL 8.3 を参照してください。
Jira:RHELPLAN-53644[1]
USB CD-ROM ドライブが Anaconda のインストールソースとして利用できない
USB CD-ROM ドライブがインストールソースである場合に、キックスタートコマンド ignoredisk --only-use= を指定すると、インストールが失敗します。このような場合、Anaconda がこのソースディスクを検出できず、使用できません。
回避策: USB CD-ROM ドライブからインストールするには、harddrive --partition=sdX --dir=/ コマンドを使用します。その結果、インストールは失敗しなくなりました。
iso9660 ファイルシステムで、ハードドライブがパーティション設定されたインストールが失敗する
ハードドライブが iso9660 ファイルシステムでパーティションが設定されているシステムには、RHEL をインストールできません。これは、iso9660 ファイルシステムパーティションを含むハードディスクを無視するように設定されている、更新されたインストールコードが原因です。これは、RHEL が DVD を使用せずにインストールされている場合でも発生します。
回避策: インストールを開始する前に、以下のスクリプトをキックスタートファイルに追加して、ディスクをフォーマットします。
メモ: 回避策を実行する前に、ディスクで利用可能なデータのバックアップを作成します。wipefs は、ディスク内の全データをフォーマットします。
%pre
wipefs -a /dev/sda
%endその結果、インストールでエラーが発生することなく、想定どおりに機能します。
Anaconda が管理者ユーザーアカウントの存在の確認に失敗する
グラフィカルユーザーインターフェイスを使用して RHEL をインストールすると、管理者アカウントが作成されているかどうかを Anaconda が確認できません。その結果、管理者ユーザーアカウントがなくても、システムをインストールできてしまう可能性があります。
回避策: 管理者ユーザーアカウントを設定するか、root パスワードを設定して root アカウントをロック解除しておいてください。その結果、インストール済みシステムで管理タスクを実行できます。
Jira:RHELPLAN-110191[1]
新しい XFS 機能により、バージョン 5.10 よりも古いファームウェアを持つ PowerNV IBM POWER システムが起動しなくなる
PowerNV IBM POWER システムは、ファームウェアに Linux カーネルを使用し、GRUB の代わりに Petitboot を使用します。これにより、ファームウェアカーネルが /boot をマウントし、Petitboot が GRUB 設定を読み取り、RHEL を起動します。
RHEL 9 カーネルでは、XFS ファイルシステムに bigtime=1 機能および inobtcount=1 機能が導入されています。これは、バージョン 5.10 よりも古いファームウェアのカーネルが理解できません。
回避策: たとえば ext4 など、別のファイルシステムを /boot に使用できます。
Jira:RHELPLAN-94811[1]
インストールプロセスが応答しなくなることがある
RHEL をインストールすると、インストールプロセスが応答しなくなることがあります。/tmp/packaging.log ファイルは、最後に以下のメッセージを表示します。
10:20:56,416 DDEBUG dnf: RPM transaction over.回避策: インストールプロセスを再起動します。
Jira:RHELPLAN-118420[1]
rpm-ostree ペイロードをインストールすると、RHEL for Edge インストーラーイメージがマウントポイントの作成に失敗する
RHEL for Edge インストーラーイメージなどで使用される rpm-ostree ペイロードをデプロイする場合、インストールプログラムがカスタムパーティションの一部のマウントポイントを適切に作成しません。その結果、次のエラーが発生してインストールが停止します。
The command 'mount --bind /mnt/sysimage/data /mnt/sysroot/data' exited with the code 32.回避策:
- 自動パーティション設定スキームを使用し、手動でマウントポイントを追加しないでください。
-
マウントポイントは、
/varディレクトリー内のみに手動で割り当てます。たとえば、/var/my-mount-pointや、/、/boot、/varなどの標準ディレクトリーです。
その結果、インストールプロセスは正常に終了します。
ネットワークに接続されているが、DHCP または静的 IP アドレスが設定されていない場合、NetworkManager はインストール後に起動に失敗する
RHEL 9.0 以降、特定の ip= またはキックスタートネットワーク設定が設定されていない場合、Anaconda はネットワークデバイスを自動的にアクティブ化します。Anaconda は、イーサネットデバイスごとにデフォルトの永続的な設定ファイルを作成します。接続プロファイルには、ONBOOT と autoconnect の値が true に設定されています。その結果、インストールされたシステムの起動中に、RHEL がネットワークデバイスをアクティブ化し、networkManager-wait-online サービスが失敗します。
回避策: 以下のいずれかを実行します。
使用する 1 つの接続を除いて、
nmcliユーティリティーを使用してすべての接続を削除します。以下に例を示します。すべての接続プロファイルを一覧表示します。
# nmcli connection show不要な接続プロファイルを削除します。
# nmcli connection delete <connection_name><connection_name> を、削除する接続の名前に置き換えます。
特定の
ip=またはキックスタートネットワーク設定が設定されていない場合は、Anaconda の自動接続ネットワーク機能を無効にします。- Anaconda GUI で、Network & Host Name に移動します。
- 無効にするネットワークデバイスを選択します。
- Configure をクリックします。
- General タブで、Connect automatically with priority チェックボックスをオフにします。
- Save をクリックします。
Jira:RHELPLAN-130370[1]
キックスタートインストールでネットワーク接続の設定に失敗する
Anaconda は、NetworkManager API を通じてのみキックスタートネットワーク設定を実行します。Anaconda は、%pre キックスタートセクションの後にネットワーク設定を処理します。その結果、キックスタート %pre セクションの一部のタスクがブロックされます。たとえば、%pre セクションからのパッケージのダウンロードは、ネットワーク設定が利用できないため失敗します。
回避策:
-
たとえば、
%preスクリプトの一部としてnmcliツールを使用して、ネットワークを設定します。 -
インストールプログラムのブートオプションを使用して、
%preスクリプトのネットワークを設定します。
その結果、%pre セクションのタスクにネットワークを使用できるようになり、キックスタートインストールプロセスが完了します。
Jira:RHELPLAN-150080[1]
stig プロファイル修復でビルドされたイメージが FIPS エラーで起動に失敗する
FIPS モードは、RHEL Image Builder ではサポートされていません。xccdf_org.ssgproject.content_profile_stig プロファイル修復でカスタマイズされた RHEL Image Builder を使用すると、システムは次のエラーで起動に失敗します。
Warning: /boot//.vmlinuz-<kernel version>.x86_64.hmac does not exist
FATAL: FIPS integrity test failed
Refusing to continue
/boot ディレクトリーが別のパーティションにあるため、システムイメージのインストール後に fips-mode-setup --enable コマンドを使用して FIPS ポリシーを手動で有効にしても機能しません。FIPS が無効になっている場合、システムは正常に起動します。現在、使用可能な回避策はありません。
イメージのインストール後に、fips-mode-setup --enable コマンドを使用して、FIPS を手動で有効にすることができます。
ドライバーディスクメニューがコンソールでユーザー入力を表示できない
ドライバーディスクを使用して、カーネルコマンドラインで inst.dd オプションを使用して RHEL インストールを開始すると、コンソールにユーザー入力が表示されません。そのため、アプリケーションがユーザー入力に応答せず、応答を停止しているように見えますが、出力は表示されます。これはユーザーにはわかりにくい動作です。ただし、この動作は機能に影響を与えず、Enter を押すとユーザー入力が登録されます。
回避策: 予想される結果を確認するには、コンソールでユーザー入力が存在しないことを無視し、入力の追加が終了したら Enter を押します。
%packages セクションに systemd サービスファイルを含むパッケージがないため、キックスタートインストールが失敗する
キックスタートファイルで services --enabled=… ディレクティブを使用して systemd サービスを有効にし、指定したサービスファイルを含むパッケージが %packages セクションに含まれていない場合、RHEL のインストールプロセスは次のエラーで失敗します。
Error enabling service <name_of_the_service>
回避策: キックスタートの %packages セクションにあるサービスファイルに対応するパッケージを追加します。こうすることで、インストール中に期待されるサービスが有効になり、RHEL のインストールが完了します。
Jira:RHEL-9633[1]
ルートファイルシステムはデフォルトでは拡張されない
cloud-init を含まないベースコンテナーイメージを使用して、bootc-image-builder を使用して AMI または QCOW2 コンテナーイメージを作成すると、起動時にルートファイルシステムのサイズがプロビジョニングされた仮想ディスクのフルサイズまで動的に拡張されません。
回避策: 以下の使用可能なオプションのいずれかを適用します。
-
イメージに
cloud-initを含めます。 - コンテナーイメージにカスタムロジックを含めて、ルートファイルシステムを拡張します。次に例を示します。
/usr/bin/growpart /dev/vda 4
unshare -m bin/sh -c 'mount -o remount,rw /sysroot && xfs_growfs /sysroot'-
/var/lib/containersなどのセカンダリーファイルシステムに追加のスペースを使用するためのカスタムロジックを含めます。
デフォルトでは、物理ルートストレージは /sysroot パーティションにマウントされます。
署名されたコンテナーから ISO を構築できません
GPG または単純な署名付きコンテナーから ISO ディスクイメージをビルドしようとすると、次のようなエラーが発生します。
manifest - failed
Failed
Error: cannot run osbuild: running osbuild failed: exit status 1
2024/04/23 10:56:48 error: cannot run osbuild: running osbuild failed: exit status 1これは、システムがイメージソース署名を取得できないために発生します。
回避策: コンテナーイメージから署名を削除するか、派生コンテナーイメージをビルドします。たとえば、署名を削除するには、次のコマンドを実行します。
$ sudo skopeo copy --remove-signatures containers-storage:registry.redhat.io/rhel9/rhel-bootc:9.4 containers-storage:registry.redhat.io/rhel9/rhel-bootc:9.4
$ sudo podman run \
--rm \
-it \
--privileged \
--pull=newer \
--security-opt label=type:unconfined_t \
-v /var/lib/containers/storage:/var/lib/containers/storage \
-v ~/images/iso:/output \
quay.io/centos-bootc/bootc-image-builder \
--type iso --local \
registry.redhat.io/rhel9/rhel-bootc:9.4派生コンテナーイメージを構築し、それに単純な GPG 署名を追加しないようにするには、コンテナーイメージの署名 の製品ドキュメントを参照してください。
LVM としてマークされた Azure 上の RHEL イメージでは、デフォルトのレイアウトのサイズ変更が必要
Azure で system-reinstall-bootc または bootc install を使用する場合、LVM としてマークされた RHEL イメージでは、デフォルトのレイアウトのサイズを変更する必要があります。
回避策: RAW というラベルの付いた RHEL イメージを使用します。この場合、デフォルトのレイアウトのサイズを変更する必要はありません。
Jira:RHELDOCS-19945[1]
bootc-image-builder はプライベートレジストリーからのイメージの構築をサポートしていません
現在、bootc-image-builder を使用してプライベートレジストリーから取得されるベースディスクイメージを構築することはできません。
回避策: プライベートレジストリーをローカルホストにコピーしてから、以下の引数でイメージをビルドします。
-
--local -
localhost/<image name>:tagas the image
たとえば、イメージをビルドするには、次のようにします。
sudo podman run \
--rm \
-it \
--privileged \
--pull=newer \
--security-opt label=type:unconfined_t \
-v ./config.toml:/config.toml \
-v ./output:/output \
-v /var/lib/containers/storage:/var/lib/containers/storage \
registry.redhat.io/rhel9/bootc-image-builder:latest
--type qcow2 \
--local \
quay.io/<namespace>/<image>:<tag>Jira:RHELDOCS-18720[1]
レスキューモードでの SELinux の自動再ラベル付けにより、再起動ループが発生する可能性がある
rescue モードでファイルシステムにアクセスすると、次回の起動時に SELinux によってファイルシステムの自動再ラベル付けがトリガーされ、これは SELinux が permissive モードで実行されるまで継続されます。その結果、システムは /.autorelabel ファイルを削除できないため、rescue モードを終了した後に再起動の無限ループに陥る可能性があります。
回避策: 次回の起動時にカーネルコマンドラインに enforcing=0 を追加して、permissive モードに切り替えます。システムは予防措置として、rescue モードでファイルシステムにアクセスする際に、この問題が発生する可能性を知らせる警告メッセージを表示します。
暗号化された DNS とブートオプションのカスタム CA でホスト名の解決が失敗する
カーネルコマンドラインで inst.repo= または inst.stage2= ブートオプションを使用し、キックスタートファイルでリモートインストール URL、暗号化された DNS、カスタム CA 証明書を指定すると、インストールプログラムがキックスタートファイルを処理する前に install.img ステージ 2 イメージのダウンロードを試行します。その結果、ホスト名の解決が失敗し、ステージ 2 イメージを正常に取得する前にいくつかのエラーが表示されます。
回避策: カーネルコマンドラインではなく、キックスタートファイルでインストールソースを定義します。
LACP を使用したボンディングデバイスは動作可能になるまでに時間がかかり、サブスクリプション障害が発生する
カーネルのコマンドラインブートオプションとキックスタートファイルの両方を使用して LACP でボンディングデバイスを設定すると、initramfs ステージで接続が作成されますが、Anaconda で再アクティブ化されます。その結果、一時的な中断が発生し、rhsm キックスタートコマンドによるシステムサブスクリプションの失敗につながります。
回避策: ネットワークを稼働状態に保つために、キックスタートネットワーク設定に --no-activate を追加します。その結果、システムサブスクリプションは正常に完了します。
Jira:RHELDOCS-19852[1]
services キックスタートコマンドで firewalld サービスを無効にできない
Anaconda のバグにより、services --disabled=firewalld コマンドを実行しても、キックスタートで firewalld サービスを無効にできません。
回避策: 代わりに、firewall --disabled コマンドを使用します。これにより、firewalld サービスが適切に無効化されます。
ignoredisk コマンドが iscsi コマンドの前にある場合、キックスタートのインストールが unknown disk エラーで失敗する
ignoredisk コマンドが iscsi コマンドの前に配置されている場合、キックスタート方式を使用して RHEL をインストールすると失敗します。この問題は、iscsi コマンドがコマンド解析中に指定の iSCSI デバイスを接続する間、ignoredisk コマンドが同時にデバイスの仕様を解決するために発生します。iscsi コマンドによって iSCSI デバイス名が割り当てられる前に ignoredisk コマンドが iSCSI デバイス名を参照すると、インストールが "unknown disk" エラーで失敗します。
回避策: iSCSI ディスクを参照してインストールを正常に実行できるように、キックスタートファイルで iscsi コマンドを ignoredisk コマンドの前に配置してください。
ostreecontainer の使用時に /boot パーティションが作成されていない場合、インストールプログラムが失敗する
ostreecontainer キックスタートコマンドを使用して起動可能なコンテナーをインストールする場合、/boot パーティションが作成されていないとインストールは失敗します。この問題は、インストールプログラムがコンテナーのデプロイを続行するために専用の /boot パーティションを必要とするために発生します。
回避策: /boot パーティションがキックスタートファイルで定義されているか、インストールプロセス中に手動で作成されていることを確認します。
ディスク容量が不足すると、デプロイメントに失敗する可能性がある
十分な空きディスク容量がないパッケージモードシステムに bootc コンテナーイメージをデプロイすると、インストールエラーが発生し、システムが起動しなくなる可能性があります。デプロイ前に、イメージをインストールするための十分なディスク容量が利用可能であることを確認し、プロビジョニングする論理ボリュームを調整してください。
Jira:RHELDOCS-19948[1]
Anaconda は s390x および ppc64le アーキテクチャーでは正しく動作しない可能性がある
Image Mode for RHEL は、すでにサポートされている x86_64 および ARM アーキテクチャーに加えて、pp64le および s390x アーキテクチャーもサポートします。ただし、Anaconda は s390x および ppc64le アーキテクチャーでは正しく機能しない可能性があります。
Jira:RHELDOCS-19496[1]
reboot --kexec コマンドおよび inst.kexec コマンドが、予測可能なシステム状態を提供しない
キックスタートコマンド reboot --kexec またはカーネル起動パラメーター inst.kexec で RHEL インストールを実行しても、システムの状態が完全な再起動と同じになるわけではありません。これにより、システムを再起動せずにインストール済みのシステムに切り替えると、予期しない結果が発生することがあります。
kexec 機能は非推奨になり、Red Hat Enterprise Linux の今後のリリースで削除されることに注意してください。
Jira:RHELDOCS-20471[1]
bootc インストール時に十分なディスク領域の有無がチェックされるようになりました
以前は、インストール中に空き領域が不足すると、bootc のインストールが失敗し、システムが起動できなくなっていました。この更新により、bootc インストール時に、ホストのルートファイルシステムを上書きする前に、十分なディスク領域があるかどうかがチェックされるようになりました。その結果、bootc インストール中に領域が割り当てられない問題が解決され、システムが正しく起動するようになりました。
10.2. セキュリティー
PKCS #11 トークンが生の RSA または RSA-PSS 署名の作成をサポートしているかどうかを OpenSSL が検出しない
TLS 1.3 プロトコルには、RSA-PSS 署名のサポートが必要です。PKCS #11 トークンが生の RSA または RSA-PSS 署名をサポートしていない場合、キーが PKCS #11 トークンによって保持されている場合、OpenSSL ライブラリーを使用するサーバーアプリケーションは RSA キーを操作できません。これにより、上記のシナリオで TLS 通信に失敗します。
回避策: サーバーおよびクライアントを設定して、利用可能な TLS プロトコルのうち、最も高いバージョンとして TLS 1.2 を使用します。
Jira:RHELPLAN-50959[1]
OpenSSL が、生の RSA または RSA-PSS の署名に対応していない PKCS #11 トークンを誤って処理する
OpenSSL ライブラリーは、PKCS #11 トークンの鍵関連の機能を検出しません。したがって、生の RSA または RSA-PSS の署名に対応しないトークンで署名が作成されると、TLS 接続の確立に失敗します。
回避策: /etc/pki/tls/openssl.cnf ファイルの crypto_policy セクションの末尾にある .include 行の後に以下の行を追加します。
SignatureAlgorithms = RSA+SHA256:RSA+SHA512:RSA+SHA384:ECDSA+SHA256:ECDSA+SHA512:ECDSA+SHA384
MaxProtocol = TLSv1.2これにより、このシナリオで TLS 接続を確立できます。
Jira:RHELPLAN-48241[1]
特定の構文を使用すると、scp は自身にコピーされたファイルを空にする
scp ユーティリティーが Secure copy protocol (SCP) からよりセキュアな SSH ファイル転送プロトコル (SFTP) に変更されました。したがって、ある場所からファイルを同じ場所にコピーすると、ファイルの内容が消去されます。この問題は以下の構文に影響します。
scp localhost:/myfile localhost:/myfile
回避策: この構文を使用して、ソースの場所と同じ宛先にファイルをコピーしないでください。
この問題は、以下の構文に対して修正されました。
-
scp /myfile localhost:/myfile -
scp localhost:~/myfile ~/myfile
Jira:RHELPLAN-113842[1]
OSCAP Anaconda アドオンは、グラフィカルインストールで調整されたプロファイルをフェッチしない
OSCAP Anaconda アドオンには、RHEL グラフィカルインストールでセキュリティープロファイルの調整を選択または選択解除するオプションがありません。RHEL 8.8 以降、アドオンはアーカイブまたは RPM パッケージからインストールするときにデフォルトで調整を考慮しません。その結果、インストールでは、OSCAP に合わせたプロファイルを取得する代わりに、次のエラーメッセージが表示されます。
There was an unexpected problem with the supplied content.
回避策: 以下のように、キックスタートファイルの %addon org_fedora_oscap セクションでパスを指定する必要があります。次に例を示します。
xccdf-path = /usr/share/xml/scap/sc_tailoring/ds-combined.xml
tailoring-path = /usr/share/xml/scap/sc_tailoring/tailoring-xccdf.xmlその結果、OSCAP 調整プロファイルのグラフィカルインストールは、対応するキックスタート仕様のみで使用できます。
Ansible 修復には追加のコレクションが必要
ansible-core パッケージによる Ansible Engine の置き換えにより、RHEL サブスクリプションで提供される Ansible モジュールのリストが削減されました。これにより、scap-security-guide パッケージに含まれる Ansible コンテンツを使用する修復を実行するには、rhc-worker-playbook パッケージからのコレクションが必要です。
Ansible 修復の場合は、以下の手順を実行します。
必要なパッケージをインストールします。
# dnf install -y ansible-core scap-security-guide rhc-worker-playbook/usr/share/scap-security-guide/ansibleディレクトリーに移動します。# cd /usr/share/scap-security-guide/ansible追加の Ansible コレクションへのパスを定義する環境変数を使用して、関連する Ansible Playbook を実行します。
# ANSIBLE_COLLECTIONS_PATH=/usr/share/rhc-worker-playbook/ansible/collections/ansible_collections/ ansible-playbook -c local -i localhost, rhel9-playbook-cis_server_l1.ymlcis_server_l1を、システムを修正するプロファイルの ID に置き換えます。
これにより、Ansible コンテンツは正しく処理されます。
rhc-worker-playbook で提供されるコレクションのサポートは、scap-security-guide から取得する Ansible コンテンツの有効化だけに限定されます。
Keylime は連結された PEM 証明書を受け入れない
Keylime が単一のファイルに連結された PEM 形式の複数の証明書として証明書チェーンを受信すると、keylime-agent-rust Keylime コンポーネントは署名検証中に提供されたすべての証明書を正しく使用せず、TLS ハンドシェイクが失敗します。その結果、クライアントコンポーネント (keylime_verifier および keylime_tenant) は Keylime エージェントに接続できません。
回避策: 複数の証明書の代わりに、1 つの証明書のみを使用します。
Jira:RHELPLAN-157225[1]
Keylime は、ダイジェストがバックスラッシュで始まるランタイムポリシーを拒否する
ランタイムポリシーを生成する現在のスクリプト create_runtime_policy.sh は、SHA チェックサム関数 (sha256sum など) を使用してファイルダイジェストを計算します。ただし、入力ファイル名にバックスラッシュまたは \n が含まれている場合、チェックサム関数は出力のダイジェストの前にバックスラッシュを追加します。このような場合、生成されたポリシーファイルの形式は不正になります。不正な形式のポリシーファイルが提供されると、Keylime テナントは、エラーメッセージ me.tenant - ERROR - Response code 400: Runtime policy is malformatted (または同様のエラーメッセージ) を生成します。
回避策: sed -i 's/^\\//g' <malformed_file_name> コマンドを入力して、不正なポリシーファイルからバックスラッシュを手動で削除します。
Jira:RHEL-11867[1]
Keylime エージェントが更新後に verifier からのリクエストを拒否する
Keylime エージェント (keylime-agent-rust) の API バージョン番号が更新されると、エージェントは別のバージョンを使用するリクエストを拒否します。その結果、Keylime エージェントが verifier に追加されて更新されると、verifier は古い API バージョンを使用してエージェントに接続しようとします。エージェントはこのリクエストを拒否し、認証に失敗します。
回避策: エージェント (keylime-agent-rust) を更新する前に verifier (keylime-verifier) を更新します。その結果、エージェントが更新されると、verifier は API の変更を検出し、それに応じて保存されているデータを更新します。
Jira:RHEL-1518[1]
trustdb にファイルが見つからないため、fapolicyd が拒否される
fapolicyd が Ansible DISA STIG プロファイルとともにインストールされると、競合状態により trustdb データベースが rpmdb データベースと同期しなくなります。その結果、trustdb 内のファイルが見つからないと、システムで拒否が発生します。
回避策: fapolicyd を再起動するか、Ansible DISA STIG プロファイルを再度実行します。
Jira:RHEL-24345[1]
fapolicyd ユーティリティーは、変更されたファイルの実行を誤って許可する
正しくは、ファイルの IMA ハッシュはファイルに変更が加えられた後に更新され、fapolicyd は変更されたファイルの実行を阻止する必要があります。ただし、IMA ポリシーのセットアップと evctml ユーティリティーによるファイルハッシュの違いにより、これは起こりません。その結果、変更されたファイルの拡張属性で IMA ハッシュは更新されません。その結果、fapolicyd は、変更されたファイルの実行を誤って許可します。
Jira:RHEL-520[1]
MLDSA-87 で署名された RPM パッケージを FIPS モードでインストールできない
耐量子計算機暗号化 (PQC) アルゴリズムは、FIPS 検証済みのアルゴリズムではなく、FIPS プロバイダーでは使用できません。そのため、FIPS モードでは、MLDSA-87 PQC 鍵の RPM データベースへのインポートと PQC 署名の検証が失敗します。
回避策: FIPS モードでは、PQC 署名をサポートする DNF プラグインを無効にします。これにより、システムが FIPS モードで従来の署名を使用してパッケージを検証するようになります。
Jira:RHEL-111478[1]
OpenSSL で X.509 v1 証明書を作成できなくなる
RHEL 9.5 で導入された OpenSSL TLS ツールキット 3.2.1 で、openssl CA ツールを使用して X.509 バージョン 1 形式の証明書を作成できなくなりました。X.509 v1 形式は現在の Web 要件を満たしていません。
OpenSSH は認証前にタイムアウトを記録しなくなる
OpenSSH は、$IP port $PORT の認証前のタイムアウトをログに記録しません。Fail2Ban 侵入防止デーモンや同様のシステムが、これらのログ記録を mdre-ddos 正規表現で使用し、このタイプの攻撃を試みるクライアントの IP を禁止しなくなったため、これは重要かもしれません。現在、この問題に対する既知の回避策はありません。
NSS データベースのパスワードを更新すると ML-DSA のシードが破損する
ML-DSA 鍵の生成は、鍵を導出するのに十分なシードから始まります。ただし、後続の操作を高速化するために、鍵を拡張することもできます。NSS データベースに ML-DSA 鍵 (生成またはインポートしたもの) がある場合、拡張形式とシードの両方が保存されている可能性があります。NSS がデータベースの再暗号化を処理する方法にバグがあるため、データベースのパスワードを変更すると、シード属性が新しいパスワードに合わせて更新されません。その結果、以前のパスワードを知っていたとしても、シードの値は永久に失われます。
この問題を回避するには、パスワードを更新する前に鍵をエクスポートし、更新後に再度インポートします。
Jira:RHEL-127671[1]
デフォルトの SELinux ポリシーにより、制限のない実行ファイルがスタックを実行可能にする
SELinux ポリシーの selinuxuser_execstack ブール値のデフォルトの状態は on です。これは、制限のない実行ファイルがスタックを実行可能にすることを意味します。実行可能ファイルはこのオプションを使用しないでください。また、ハードコーディングされていない実行ファイルや攻撃の可能性を示している可能性があります。ただし、他のツール、パッケージ、およびサードパーティー製品との互換性のため、Red Hat はデフォルトポリシーのブール値を変更できません。シナリオがそのような互換性の側面に依存しない場合は、コマンド setsebool -P selinuxuser_execstack off を入力して、ローカルポリシーでブール値をオフにすることができます。
Jira:RHELPLAN-115609[1]
STIG プロファイルの SSH タイムアウトルールが誤ったオプションを設定する
OpenSSH の更新は、次の米国国防情報システム局のセキュリティー技術実装ガイド (DISA STIG) プロファイルのルールに影響を与えました。
-
RHEL 9 用 DISA STIG (
xccdf_org.ssgproject.content_profile_stig) -
RHEL 9 用、GUI の DISA STIG (
xccdf_org.ssgproject.content_profile_stig_gui)
これらの各プロファイルでは、次の 2 つのルールが影響を受けます。
Title: Set SSH Client Alive Count Max to zero
CCE Identifier: CCE-90271-8
Rule ID: xccdf_org.ssgproject.content_rule_sshd_set_keepalive_0
Title: Set SSH Idle Timeout Interval
CCE Identifier: CCE-90811-1
Rule ID: xccdf_org.ssgproject.content_rule_sshd_set_idle_timeout
SSH サーバーに適用すると、これらの各ルールは、以前のように動作しなくなったオプション (ClientAliveCountMax および ClientAliveInterval) を設定します。その結果、OpenSSH は、これらのルールで設定されたタイムアウトに達したときに、アイドル状態の SSH ユーザーを切断しなくなりました。
回避策: 解決策が開発されるまで、これらのルールは、DISA STIG for RHEL 9 および DISA STIG with GUI for RHEL 9 プロファイルから一時的に削除されました。
Jira:RHELPLAN-107318[1]
GnuPG は、crypto-policies によって許可されていない場合でも、SHA-1 署名の使用を誤って許可します
GNU Privacy Guard (GnuPG) 暗号化ソフトウェアは、システム全体の暗号化ポリシーで定義されている設定に関係なく、SHA-1 アルゴリズムを使用する署名を作成および検証できます。したがって、DEFAULT の暗号化ポリシーで暗号化の目的で SHA-1 を使用できます。これは、署名に対するこのセキュアではないアルゴリズムのシステム全体での非推奨とは一致しません。
回避策: SHA-1 を含む GnuPG オプションを使用しないでください。これにより、セキュアでない SHA-1 署名を使用して GnuPG がデフォルトのシステムセキュリティーを下げるのを防ぎます。
Jira:RHELPLAN-117566[1]
OpenSCAP のメモリー消費の問題
メモリーが限られているシステムでは、OpenSCAP スキャナが途中で停止するか、結果ファイルが生成されない可能性があります。この問題を回避するには、スキャンプロファイルをカスタマイズして、/ ファイルシステム全体の再帰を含むルールの選択を解除します。
-
rpm_verify_hashes -
rpm_verify_permissions -
rpm_verify_ownership -
file_permissions_unauthorized_world_writable -
no_files_unowned_by_user -
dir_perms_world_writable_system_owned -
file_permissions_unauthorized_suid -
file_permissions_unauthorized_sgid -
file_permissions_ungroupowned -
dir_perms_world_writable_sticky_bits
回避策: 関連する ナレッジベースのアーティクル記事 を参照してください。
Jira:RHELPLAN-145263[1]
キックスタートインストール時のサービス関連のルールの修正が失敗する場合があります。
キックスタートのインストール時に、OpenSCAP ユーティリティーで、サービス enable または disable 状態の修正が必要でないことが誤って表示されることがあります。これにより、OpenSCAP が、インストール済みシステムのサービスを非準拠状態に設定する可能性があります。
回避策: キックスタートインストール後にシステムをスキャンして修復できます。これにより、サービス関連の問題が修正されます。
Jira:RHELPLAN-44202[1]
CNSA 1.0 により FIPS:OSPP ホストの相互運用性が影響を受ける
OSPP サブポリシーは、Commercial National Security Algorithm (CNSA) 1.0 に準拠しています。これは、FIPS:OSPP ポリシーとサブポリシーの組み合わせを使用するホストの相互運用性に影響します。主に影響を受ける点は次のとおりです。
- RSA キーの最小サイズは 3072 ビットとすることが必要です。
- アルゴリズムネゴシエーションでは、AES-128 暗号、secp256r1 Elliptic Curve、および FFDHE-2048 グループがサポートされなくなりました。
Jira:RHEL-2735[1]
SELinux ポリシーにルールがないため、SQL データベースへの権限がブロックされる
SELinux ポリシーの権限ルールが欠落していると、SQL データベースへの接続がブロックされます。その結果、FIDO Device Onboard (FDO) サービスの fdo-manufacturing-server.service、fdo-owner-onboarding-server.service、および fdo-rendezvous-server.service が、PostgreSQL や SQLite などの FDO データベースに接続できません。したがって、システムは、所有権バウチャーの保存などの認証情報やその他のパラメーターにサポートされているデータベースを使用して FDO を起動することができません。
回避策: 次の手順を実行します。
local_fdo_update.cilという名前の新しいファイルを作成し、欠落している SELinux ポリシールールを入力します。(allow fdo_t etc_t (file (write))) (allow fdo_t fdo_conf_t (file (append create rename setattr unlink write ))) (allow fdo_t fdo_var_lib_t (dir (add_name remove_name write ))) (allow fdo_t fdo_var_lib_t (file (create setattr unlink write ))) (allow fdo_t krb5_keytab_t (dir (search))) (allow fdo_t postgresql_port_t (tcp_socket (name_connect))) (allow fdo_t sssd_t (unix_stream_socket (connectto))) (allow fdo_t sssd_var_run_t (sock_file (write)))ポリシーモジュールパッケージをインストールします。
# semodule -i local_fdo_update.cil
これにより、FDO が PostgreSQL データベースに接続できるようになります。また、SQLite データベースファイルの想定される配置先である /var/lib/fdo/ の SQLite 権限に関連する問題も修正されます。
Jira:RHEL-28814[1]
rpm-sequoia の PQC が crypto-policies で常に有効になる
RHEL 10.1 では、署名に使用されたアルゴリズムの 1 つがシステム全体の暗号化ポリシーで無効化されている場合、rpm-sequoia はデュアル署名された RPM パッケージの検証に失敗します。この問題は、耐量子計算機 (PQ) アルゴリズムが無効になっており、従来の暗号化と PQ 暗号化の両方で署名されたパッケージをインストールできないシステムでよく発生します。
システムの破損を防ぐために、rpm-sequoia の PQ アルゴリズムの有効化は、crypto-policies レベルでハードコードされています。その結果、crypto-policies の設定に関係なく、rpm-sequoia の PQ アルゴリズムが有効になります。
10.3. ソフトウェア管理
ローカルリポジトリーで createrepo_c を実行すると、重複した repodata ファイルが生成される
ローカルリポジトリーで createrepo_c コマンドを実行すると、repodata ファイルの重複コピーが生成されます。コピーの 1 つは圧縮されており、もう 1 つは圧縮されていません。
回避策: 回避策はありませんが、重複したファイルは無視しても問題ありません。createrepo_c コマンドは、createrepo_c を使用して作成されたリポジトリーに依存する要件と他のツールの違いにより、重複したコピーを生成します。
Jira:RHELPLAN-112860[1]
アップグレードによってアーキテクチャーを変更するパッケージのセキュリティー DNF アップグレードが失敗する
RHBA-2022:8295 アドバイザリーでリリースされた BZ#2108969 のパッチでは、次のリグレッションが導入されました。セキュリティフィルターを使用した DNF アップグレードは、アップグレードによってアーキテクチャが noarch に (逆もまた然り) 変更されたパッケージでは失敗します。その結果、システムが脆弱な状態になる可能性があります。
この問題を回避するには、セキュリティーフィルターを使用せずに通常のアップグレードを実行します。
Jira:RHELPLAN-128381[1]
10.4. シェルおよびコマンドラインツール
コンソール keymap を設定するには、最小限のインストールで libxkbcommon ライブラリーが必要である
RHEL 9 では、特定の systemd ライブラリーの依存関係が動的リンクから動的ロードに変換され、システムが実行時にライブラリーを開いて使用できるようになりました。今回の変更により、必要なライブラリーをインストールしない限り、このようなライブラリーに依存する機能は使用できなくなります。これは、最小限のインストール設定を使用するシステムにおけるキーボードレイアウトの設定にも影響します。その結果、localectl --no-convert set-x11-keymap gb コマンドに失敗します。
回避策: libxkbcommon ライブラリーをインストールします。
# dnf install libxkbcommonsysstat パッケージの %vmeff メトリクスに誤った値が表示される
sysstat パッケージは、ページ回収効率を測定するための %vmeff メトリクスを提供します。sysstat は、新しいカーネルバージョンで提供されるすべての関連する /proc/vmstat 値を解析しないため、sar -B コマンドによって返される %vmeff 列の値は正しくありません。
回避策: /proc/vmstat ファイルから %vmeff 値を手動で計算できます。詳細は、Why the sar(1) tool reports %vmeff values beyond 100 % in RHEL 8 and RHEL 9? を参照してください。
Service Location Protocol (SLP) は UDP を介した攻撃に対して脆弱である
OpenSLP は、プリンターやファイルサーバーなどのローカルエリアネットワーク内のアプリケーションに動的設定メカニズムを提供します。ただし、SLP は、インターネットに接続されたシステムで UDP を介した反射型/増幅型サービス拒否攻撃に対して脆弱です。SLP を使用すると、認証されていない攻撃者は、SLP 実装によって設定された制限なしで新しいサービスを登録できます。攻撃者は UDP を使用し、送信元アドレスをスプーフィングすることで、サービス一覧を要求し、スプーフィングされたアドレスにサービス拒否を作成できます。
外部の攻撃者が SLP サービスにアクセスできないようにするには、インターネットに直接接続されているなど、信頼できないネットワークで実行されているすべてのシステムで SLP を無効にします。
回避策: UDP および TCP ポート 427 でトラフィックをブロックまたはフィルタリングするようにファイアウォールを設定します。
Jira:RHEL-6995[1]
セキュアブートが有効になっている UEFI システム上の ReaR レスキューイメージは、デフォルト設定では起動に失敗する
rear mkrescue または rear mkbackup コマンドを使用した ReaR イメージの作成が失敗し、次のメッセージが表示されます。
grub2-mkstandalone may fail to make a bootable EFI image of GRUB2 (no /usr/*/grub*/x86_64-efi/moddep.lst file)
(...)
grub2-mkstandalone: error: /usr/lib/grub/x86_64-efi/modinfo.sh doesn't exist. Please specify --target or --directory.
不足しているファイルは、grub2-efi-x64-modules パッケージの一部です。このパッケージをインストールすると、エラーなしでレスキューイメージが正常に作成されます。UEFI セキュアブートが有効になっている場合は、レスキューイメージは署名されていないブートローダーを使用するため起動できません。
回避策: 次の変数を /etc/rear/local.conf または /etc/rear/site.conf ReaR 設定ファイルに追加します。
UEFI_BOOTLOADER=/boot/efi/EFI/redhat/grubx64.efi
SECURE_BOOT_BOOTLOADER=/boot/efi/EFI/redhat/shimx64.efi
提案された回避策を使用すると、grub2-efi-x64-modules パッケージのないシステムでもイメージを正常に生成でき、セキュアブートが有効になっているシステムで起動できるようになります。さらに、システムのリカバリー中に、リカバリーされたシステムのブートローダーは EFI shim ブートローダーに設定されます。
UEFI、Secure Boot、および shim bootloader の詳細は、ナレッジベースの記事 UEFI: what happens when booting the system を参照してください。
Jira:RHELDOCS-18064[1]
sar および iostat ユーティリティーによって生成された %util 列が無効
sar または iostat ユーティリティーを使用してシステム使用状況の統計情報を収集する場合、sar または iostat によって生成された %util 列に無効なデータが含まれることがあります。
Jira:RHEL-26275[1]
lsb-release バイナリーは RHEL 9 では利用できない
/etc/os-release の情報は、以前は lsb-release バイナリーを呼び出すことで入手できました。このバイナリーは redhat-lsb package に含まれていましたが、このパッケージは RHEL 9 では削除されました。現在は、/etc/os-release ファイルを読み取ることで、オペレーティングシステムに関する情報 (ディストリビューション、バージョン、コード名、関連するメタデータなど) を表示できるようになりました。このファイルは Red Hat が提供しており、このファイルに対する変更は redhat-release パッケージを更新するたびに上書きされます。ファイルの形式は KEY=VALUE であり、シェルスクリプトのデータを安全に取得できます。
Jira:RHELDOCS-16427[1]
10.5. インフラストラクチャーサービス
libotr は FIPS に準拠していない
libotr ライブラリーとオフザレコード (OTR) メッセージング用のツールキットは、インスタントメッセージングの会話にエンドツーエンドの暗号化を提供します。ただし、libotr ライブラリーは gcry_pk_sign() および gcry_pk_verify() 関数を使用しているため、連邦情報処理標準 (FIPS) に準拠していません。その結果、FIPS モードでは libotr ライブラリーを使用できません。
Jira:RHELPLAN-122108[1]
MariaDB および MySQL に不適切な Perl データベースドライバーを使用すると、予期しない結果が生じる可能性がある
MariaDB データベースは MySQL のフォークです。時間が経つにつれて、これらのサービスは独立して開発され、完全な互換性がなくなりました。これらの違いは Perl データベースドライバーにも影響します。したがって、Perl アプリケーションで DBD::mysql ドライバーを使用して MariaDB データベースに接続したり、DBD::MariaDB ドライバーを使用して MySQL データベースに接続したりすると、操作によって予期しない結果が生じる可能性があります。たとえば、ドライバーは読み取り操作から誤ったデータを返す可能性があります。このような問題を回避するには、データベースサービスに一致する Perl ドライバーをアプリケーションで使用します。
Red Hat は次のシナリオのみをサポートします。
-
MariaDB データベースと Perl
DBD::MariaDBドライバー -
MySQL データベースと Perl
DBD::mysqlドライバー
RHEL 8 には DBD::mysql ドライバーのみが含まれていることに注意してください。RHEL 9 にアップグレードしてから RHEL 10 にアップグレードする予定があり、アプリケーションで MariaDB データベースを使用している場合は、アップグレード後に perl-DBD-MariaDB パッケージをインストールし、DBD::MariaDB ドライバーを使用するようにアプリケーションを変更します。
詳細は、Red Hat ナレッジベースのソリューション記事 Support of MariaDB/MySQL cross-database connection from Perl db drivers を参照してください。
Jira:RHELDOCS-19728[1]
IBM Z 上で実行されている仮想マシンで、ホットプラグされたメモリーをデフォルトで利用できない
RHEL には、virtio-mem を使用して仮想マシン (VM) にメモリーをホットプラグするときにメモリーのオンライン化を自動的に設定する、デフォルトの udev ルールが用意されています。しかし、現在の udev ルールは、IBM Z 上で実行される仮想マシンを対象としていません。そのため、virtio-mem を使用して、IBM Z 上で実行されている仮想マシンにメモリーをホットプラグしても、そのメモリーを仮想マシンですぐに使用できません。
この問題を回避するには、仮想マシンで memhp_default_state=online カーネルパラメーターを設定し、仮想マシンを再起動します。以下に例を示します。
# grubby --update-kernel=ALL --args=memhp_default_state=onlineこれにより、ホットプラグされたメモリーが仮想マシンで使用できるようになります。
10.6. ネットワーク
kTLS は、TLS 1.3 の NIC へのオフロードをサポートしない
Kernel Transport Layer Security (kTLS) は、TLS 1.3 の NIC へのオフロードをサポートしていません。そのため、NIC が TLS オフロードをサポートしていても、TLS 1.3 によるソフトウェア暗号化が使用されます。
回避策: オフロードが必要な場合は TLS 1.3 を無効にします。その結果、TLS 1.2 のみをオフロードすることができます。TLS 1.3 が使用されている場合、TLS 1.3 をオフロードすることができないため、パフォーマンスが低下します。
Jira:RHELPLAN-96004[1]
セッションキーの更新に失敗すると、接続が切断される
Kernel Transport Layer Security (kTLS) プロトコルは、対称暗号で使用されるセッションキーの更新をサポートしていません。その結果、ユーザーはキーを更新することができず、接続が切断されてしまいます。
回避策: kTLS を無効にします。その結果、この回避策により、セッションキーを正常に更新できます。
Jira:RHELPLAN-99859[1]
ifcfg ファイルを使用したネットワークインターフェイスの名前変更に失敗する
RHEL 9 では、initscripts はデフォルトでインストールされません。その結果、ifcfg ファイルを使用したネットワークインターフェイスの名前変更に失敗します。
回避策: この問題を解決するには、Red Hat では udev ルールを使用するか、ファイルをリンクしてインターフェイスの名前を変更することを推奨しています。詳細は、一貫したネットワークインターフェイスデバイスの命名 および systemd.link(5) の man ページを参照してください。
推奨される方法のいずれも使用できない場合は、initscripts パッケージをインストールします。
Jira:RHELPLAN-100926[1]
initscripts パッケージがデフォルトでインストールされない
デフォルトでは、initscripts パッケージはインストールされません。これにより、ifup ユーティリティーおよび ifdown ユーティリティーが利用できません。
回避策: 別の方法として、nmcli connection up コマンドおよび nmcli connection down コマンドを使用して、接続を有効および無効にします。提案された代替案がうまくいかない場合は、問題を報告し、NetworkManager-initscripts-updown パッケージをインストールしてください。これは、ifup および ifdown ユーティリティー用の NetworkManager ソリューションを提供します。
Jira:RHELPLAN-121205[1]
iwl7260-firmware は、Intel Wi-Fi 6 AX200、AX210、および Lenovo ThinkPad P1 Gen 4 で Wi-Fi の問題を引き起こす
iwl7260-firmware または iwl7260-wifi ドライバーを RHEL 9.1 以降に提供されるバージョンに更新すると、ハードウェアが誤った状態になり、そのステータスを誤って報告する可能性があります。その結果、Intel Wi-Fi 6 カードが正常に機能しなくなり、次のエラーメッセージが表示される場合があります。
kernel: iwlwifi 0000:09:00.0: Failed to start RT ucode: -110
kernel: iwlwifi 0000:09:00.0: WRT: Collecting data: ini trigger 13 fired (delay=0ms)
kernel: iwlwifi 0000:09:00.0: Failed to run INIT ucode: -110回避策: 未確認ですが、システムの電源を完全に切ってから再度電源を入れることで回避できる可能性があります。再起動は行わないでください。
Jira:RHELPLAN-134771[1]
PF リセット中の DPLL 安定性の問題
Digital Phase-Locked Loop (DPLL) システムでは、初期化されていないミューテックスの使用や、特に Physical Function (PF) リセット中のピン位相調整の誤った処理など、いくつかの問題が発生しました。これらの問題により、DPLL とピン設定の管理が不安定になり、データ状態が一貫しなくなったり、接続の誤管理が発生したりしました。
回避策: この問題を解決するために、ミューテックスが適切に初期化され、PF リセット中にピン位相調整、DPLL データ、および接続状態を更新するメカニズムが修正されました。その結果、DPLL システムは正確な位相調整と一貫した接続状態によりリセット時に確実に動作するようになり、クロック同期の全体的な安定性が向上しました。
Jira:RHEL-36283[1]
10.7. カーネル
カーネルページサイズに依存する顧客アプリケーションは、ページサイズカーネルを 4k から 64k に移行するときに更新が必要になる場合がある
RHEL は、4k と 64k の両方のページサイズのカーネルと互換性があります。4K カーネルページサイズに依存する顧客アプリケーションは、4K から 64K ページサイズカーネルに移行するときに更新が必要になる場合があります。この既知の例には、jemalloc および依存アプリケーションが含まれます。
jemalloc メモリーアロケータライブラリーは、システムのランタイム環境で使用されるページサイズの影響を受けます。このライブラリーは、たとえば、--with-lg-page=16 または env JEMALLOC_SYS_WITH_LG_PAGE=16 (jemallocator Rust クレートの場合) で設定されている場合、4k および 64k ページサイズのカーネルと互換性があるように構築できます。その結果、ランタイム環境のページサイズと、jemalloc に依存するバイナリーのコンパイル時に存在したページサイズとの間に不一致が発生する可能性があります。その結果、jemalloc ベースのアプリケーションを使用すると、次のエラーが発生します。
<jemalloc>: Unsupported system page size回避策: この問題を回避するには、以下のいずれかの方法を使用します。
- 適切なビルド設定または環境オプションを使用して、4k および 64k ページサイズと互換性のあるバイナリーを作成します。
-
最終的な 64k カーネルおよびランタイム環境で起動した後、
jemallocを使用するユーザー空間パッケージをビルドします。
たとえば、同じく jemalloc を使用する fd-find ツールを、cargo Rust パッケージマネージャーを使用して構築できます。最後の 64k 環境では、cargo コマンドを入力して、すべての依存関係の新しいビルドをトリガーし、ページサイズの不一致を解決します。
# cargo install fd-find --forceJira:RHELPLAN-147783[1]
dnf を使用して最新のリアルタイムカーネルにアップグレードしても、複数のカーネルバージョンは並行してインストールされない
dnf パッケージマネージャーを使用して最新のリアルタイムカーネルをインストールするには、パッケージの依存関係を解決して、新しいカーネルバージョンと現在のカーネルバージョンを同時に保持する必要があります。デフォルトでは、dnf は、アップグレード中に古い kernel-rt パッケージを削除します。
回避策: 現在の kernel-rt パッケージを /etc/yum.conf 設定ファイルの installonlypkgs オプションに追加します (例: installonlypkgs=kernel-rt)。
installonlypkgs オプションは、dnf で使用されるデフォルトのリストに kernel-rt を追加します。installonlypkgs ディレクティブにリストされているパッケージは自動的には削除されないため、複数のカーネルバージョンの同時インストールがサポートされます。
複数のカーネルをインストールすると、新しいカーネルバージョンを使用するときにフォールバックオプションを使用できるようになります。
Jira:RHELPLAN-153123[1]
デフォルトでは、Delay Accounting 機能は SWAPIN および IO% 統計列を表示しない
初期のバージョンとは異なり、Delayed Accounting 機能はデフォルトで無効になっています。その結果、iotop アプリケーションは SWAPIN および IO% 統計列を表示せず、次の警告を表示します。
CONFIG_TASK_DELAY_ACCT not enabled in kernel, cannot determine SWAPIN and IO%
taskstats インターフェイスを使用する Delay Accounting 機能は、スレッドグループに属するすべてのタスクまたはスレッドの遅延統計を提供します。タスク実行の遅延は、カーネルリソースが使用可能になるまで待機するときに発生します。タスクが実行するために CPU を待機している場合などです。統計は、タスクの CPU 優先度、I/O 優先度、および rss 制限値を適切に設定するのに役立ちます。
回避策: 実行時または起動時に、delayacct ブートオプションを有効化できます。
実行時に
delayacctを有効にするには、次のように入力します。echo 1 > /proc/sys/kernel/task_delayacctこのコマンドはシステム全体で機能を有効にしますが、このコマンドの実行後に開始したタスクに対してのみ有効であることに注意してください。
起動時に
delayacctを永続的に有効にするには、次のいずれかの手順を使用します。/etc/sysctl.confファイルを編集して、デフォルトのパラメーターをオーバーライドします。次のエントリーを
/etc/sysctl.confファイルに追加します。kernel.task_delayacct = 1詳細は、Red Hat Enterprise Linux で sysctl 変数を設定する方法 を参照してください。
- システムを再起動して、変更を反映させます。
カーネルコマンドラインに
delayacctオプションを追加します。詳細は、カーネルコマンドラインパラメーターの設定 を参照してください。
その結果、iotop アプリケーションは SWAPIN および IO% 統計列を表示します。
Jira:RHELPLAN-135779[1]
コア数が多いシステム上のリアルタイムカーネルのハードウェア認定には、skew-tick=1 ブートパラメーターを渡すことが必要になる場合がある
多数のソケットとコアカウントが大きい大規模なシステムまたは中規模のシステムでは、タイムキーピングシステムで使用される xtime_lock のロック競合により、レイテンシーの急増が発生する可能性があります。その結果、マルチプロセッシングシステムでは、レイテンシーの急増やハードウェア認定の遅延が発生する可能性があります。
回避策: skew_tick=1 ブートパラメーターを追加することで、CPU ごとにタイマーティックをオフセットし、別のタイミングで開始できます。
ロックの競合を回避するには、skew_tick=1 を有効にします。
grubbyでskew_tick=1パラメーターを有効にします。# grubby --update-kernel=ALL --args="skew_tick=1"- 変更を有効にするために再起動します。
ブート中に渡すカーネルパラメーターを表示して、新しい設定を確認します。
cat /proc/cmdline
skew_tick=1 を有効にすると、消費電力が大幅に増加するため、レイテンシーの影響を受けるリアルタイムワークロードを実行している場合にのみ有効にする必要があります。
Jira:RHEL-9318[1]
kdump メカニズムは、LUKS 暗号化ターゲットで vmcore ファイルをキャプチャーできない
Linux Unified Key Setup (LUKS) で暗号化されたパーティションを使用するシステムで kdump を実行する場合、システムには一定量の使用可能なメモリーが必要です。使用可能なメモリーが必要なメモリー量より少ない場合、systemd-cryptsetup サービスはパーティションのマウントに失敗します。その結果、2 番目のカーネルは LUKS 暗号化ターゲット上のクラッシュダンプファイルのキャプチャーに失敗します。
回避策: Recommended crashkernel value をクエリーし、メモリーサイズを適切な値まで徐々に増やします。Recommended crashkernel value は、必要なメモリーサイズを設定するための参考として役立ちます。
クラッシュカーネルの推定値を出力します。
# kdumpctl estimatecrashkernelの値を増やして、必要なメモリー量を設定します。# grubby --args=crashkernel=652M --update-kernel=ALLシステムを再起動して、変更を反映させます。
# reboot
これにより、LUKS で暗号化したパーティションがあるシステムで kdump が正常に機能します。
Jira:RHEL-11196[1]
kdump サービスが IBM Z システムで initrd ファイルの構築に失敗する
64 ビットの IBM Z システムでは、s390-subchannels などの znet 関連の設定情報が、非アクティブな NetworkManager 接続プロファイルに存在する場合、kdump サービスが初期 RAM ディスク (initrd) のロードに失敗します。その結果、kdump メカニズムは次のエラーで失敗します。
dracut: Failed to set up znet
kdump: mkdumprd: failed to make kdump initrd回避策として、次のいずれかの解決策を使用してください。
znet設定情報を持つ接続プロファイルを再利用して、ネットワークボンディングまたはブリッジを設定します。$ nmcli connection modify enc600 master bond0 slave-type bond非アクティブな接続プロファイルからアクティブな接続プロファイルに
znet設定情報をコピーします。nmcliコマンドを実行して、NetworkManager接続プロファイルを照会します。# nmcli connection show NAME UUID TYPE Device bridge-br0 ed391a43-bdea-4170-b8a2 bridge br0 bridge-slave-enc600 caf7f770-1e55-4126-a2f4 ethernet enc600 enc600 bc293b8d-ef1e-45f6-bad1 ethernet --非アクティブな接続からの設定情報でアクティブなプロファイルを更新します。
#!/bin/bash inactive_connection=enc600 active_connection=bridge-slave-enc600 for name in nettype subchannels options; do field=802-3-ethernet.s390-$name val=$(nmcli --get-values "$field"connection show "$inactive_connection") nmcli connection modify "$active_connection" "$field" $val" done変更を有効にするために
kdumpサービスを再起動します。# kdumpctl restart
Jira:RHELPLAN-115732[1]
kmod の weak-modules がモジュールの相互依存関係で機能しない
kmod パッケージによって提供される weak-modules スクリプトは、どのモジュールがインストールされたカーネルと kABI 互換であるかを判別します。しかし、weak-modules は、モジュールのカーネル互換性をチェックする際に、モジュールシンボルの依存関係を、そのビルド対象のカーネルの新しいリリースから古いリリースの順に処理します。結果として、異なるカーネルリリースに対して構築された相互依存関係を持つモジュールは互換性がないと解釈される可能性があるため、weak-modules はこのシナリオでは機能しません。
回避策: 新しいカーネルをインストールする前に、最新のストックカーネルに対して追加モジュールをビルドまたは配置します。
Jira:RHELPLAN-126922[1]
Intel® i40e アダプターが IBM Power10 で永続的に失敗する
IBM Power10 システムで i40e アダプターに I/O エラーが発生すると、Enhanced I/O Error Handling (EEH) カーネルサービスがネットワークドライバーのリセットとリカバリーをトリガーします。 しかし、EEH は、i40e ドライバーが事前に定義された EEH フリーズの最大値に達するまで、繰り返し I/O エラーを報告します。その結果、デバイスが EEH によって永続的な障害状態になります。
Jira:RHEL-15404[1]
64 ビット ARM CPU で正しくコンパイルされたドライバーでのプログラム失敗に関して dkms が誤った警告を出す
Dynamic Kernel Module Support (dkms) ユーティリティーは、64 ビット ARM CPU のカーネルヘッダーが、ページサイズが 4 キロバイトのカーネルと 64 キロバイトのカーネルの両方で動作することを認識しません。その結果、dkms は、カーネルの更新時に kernel-64k-devel パッケージがインストールされていない場合、正しくコンパイルされたドライバーでプログラムが失敗した理由に関して誤った警告を出します。
回避策: kernel-headers パッケージをインストールします。このパッケージは、両タイプの ARM CPU アーキテクチャー用のヘッダーファイルを含むもので、dkms とその要件に特化したものではありません。
Jira:RHEL-25967[1]
io_uring が有効な場合、IBM Power システム (ppc64le) でカーネルパニックが発生する
場合によっては、ppc64le システムでは、集中的な入出力操作が原因で io_uring カーネルパラメーターを使用するとカーネルパニックが発生することがあります。その結果、ppc64le は動作を停止し、システムの再起動が必要になります。クラッシュ時にデータが失われる可能性があります。
回避策: 起動時に以下のカーネルパラメーターを追加して、io_uring 機能を無効にします。
module.builtin=io_uring=0
Jira:RHEL-28702[1]
10.8. ファイルシステムおよびストレージ
デバイスマッパーマルチパスは NVMe/TCP ではサポートされない
nvme-tcp ドライバーで Device Mapper Multipath を使用すると、コールトレースの警告とシステムの不安定性が発生する可能性があります。この問題を回避するには、NVMe/TCP ユーザーはネイティブ NVMe マルチパスを有効にする必要があり、NVMe で device-mapper-multipath ツールを使用しないでください。
デフォルトでは、ネイティブ NVMe マルチパスは RHEL 9 で有効になっています。詳細は、Enabling multipathing on NVMe devices を参照してください。
Jira:RHELPLAN-105944[1]
blk-availability systemd サービスが複雑なデバイススタックを非アクティブ化する
systemd では、デフォルトのブロック非アクティブ化コードは、仮想ブロックデバイスの複雑なスタックを常に正しく処理するとは限りません。一部の設定では、シャットダウン中に仮想デバイスが削除されない場合があり、エラーメッセージがログに記録されます。
回避策: 以下のコマンドを実行して、複雑なブロックデバイススタックを非アクティブ化します。
# systemctl enable --now blk-availability.serviceその結果、複雑な仮想デバイススタックはシャットダウン中に正しく非アクティブ化され、エラーメッセージは生成されません。
Jira:RHELPLAN-99108[1]
クォータを有効にしてマウントされた XFS ファイルシステムでは、クォータアカウンティングを無効化できなくなる
RHEL 9.2 以降、クォータを有効にしてマウントされた XFS ファイルシステムで、クォータアカウンティングを無効にすることはできなくなりました。
回避策: クォータオプションを削除して、ファイルシステムを再マウントしてクォータアカウンティングを無効にします。
Jira:RHELPLAN-145001[1]
NVMe デバイスの udev ルールの変更
NVMe デバイスの udev ルールに変更があり、OPTIONS="string_escape=replace" パラメーターが追加されました。これにより、デバイスのシリアル番号の先頭に空白がある場合、一部のベンダーではディスク ID による名前が変更されます。
Jira:RHELPLAN-154195[1]
NVMe/FC デバイスはキックスタートファイルで確実には使用できない
NVMe/FC デバイスは、キックスタートファイルの解析中または事前スクリプトの実行中に利用できなくなる可能性があり、キックスタートインストールが失敗する可能性があります。
回避策: ブート引数を inst.wait_for_disks=30 に更新します。このオプションでは 30 秒の遅延が発生しますが、NVMe/FC デバイスの接続に十分な時間が確保されます。この回避策を適用し、NVMe/FC デバイスが時間内に接続されると、キックスタートインストールは問題なく続行します。
Jira:RHEL-8164[1]
qedi ドライバー使用時のカーネルパニック
qedi iSCSI ドライバーの使用中、OS の起動後にカーネルがパニックになります。この問題を回避するには、カーネルブートコマンドラインに kfence.sample_interval=0 を追加して、kfence ランタイムメモリーエラー検出機能を無効にします。
Jira:RHEL-8466[1]
vdo がインストールされている場合、ARM ベースのシステムが 64k ページサイズのカーネルで更新できない
vdo パッケージのインストール時に、RHEL は kmod-kvdo パッケージと 4k ページサイズのカーネルを依存関係としてインストールします。その結果、kmod-kvdo が 64k カーネルと競合するため、RHEL 9.3 から 9.x への更新が失敗します。
回避策: 更新を試みる前に、vdo パッケージとその依存関係を削除します。
lldpad が qedf アダプターでも自動的に有効になる
QLogic Corp を使用する場合、FastLinQ QL45000 シリーズの 10/25/40/50GbE、FCOE コントローラーは、RHV を実行しているシステムで lldpad デーモンを自動的に有効にします。その結果、I/O 操作がエラーで停止します (例: [qedf_eh_abort:xxxx]:1: Aborting io_req=ff5d85a9dcf3xxxx)。
回避策: Link Layer Discovery Protocol (LLDP) を無効にしてから、vdsm 設定レベルで設定できるインターフェイスに対して有効にします。詳細は、https://access.redhat.com/solutions/6963195 を参照してください。
Jira:RHEL-8104[1]
iommu が有効化されている場合はシステムが起動しない
BNX2I アダプターの使用中に AMD プラットフォームで Input-Output Memory Management Unit (IOMMU) を有効にすると、システムは Direct Memory Access Remapping (DMAR) タイムアウトエラーで起動に失敗します。
回避策: カーネルのコマンドラインオプション iommu=off を使用して、起動する前に IOMMU を無効にします。その結果、システムはエラーなしで起動します。
Jira:RHEL-25730[1]
10.9. 高可用性およびクラスター
IPsrcaddr リソース内の IPv6 アドレスの重複ルートエントリーを削除する
Red Hat Enterprise Linux 9.4 以前では、IPsrcaddr リソースに IPv6 アドレスを指定すると、IPsrcaddr リソースエージェントは、サブネットにメトリクスが使用されたときに、異なるメトリクスを持つ重複ルートを作成しました。たとえば、NetworkManager が IPv6 サブネット上に別の IP アドレスを作成したときに、これが発生しました。この状況では、IP アドレスに一致するものが複数あったため、IPsrcaddr リソースの起動に失敗しました。Red Hat Enterprise Linux 9.5 以降、IPsrcaddr リソースエージェントは、既存のルートが使用可能で、2 番目のルートが作成されていない場合は、そのメトリクスを指定します。ただし、このアップグレードの前に IPv6 アドレスを使用する IPaddr2 IPv6 リソースを作成した場合は、重複したルートエントリーを削除するためにシステムを再起動する必要があります。
Jira:RHEL-32265[1]
10.10. 動的プログラミング言語、Web サーバー、およびデータベースサーバー
RHEL 9 では、chkconfig パッケージがデフォルトでインストールされない
システムサービス用のランレベル情報を更新およびクエリーする chkconfig パッケージは、RHEL 9 ではデフォルトでインストールされません。
サービスを管理するには、systemctl コマンドを使用するか、chkconfig パッケージを手動でインストールします。
systemd の詳細は、systemd の概要 を参照してください。systemctl ユーティリティーの使用方法は、systemctl を使用したシステムサービスの管理 を参照してください。
Jira:RHELPLAN-112043[1]
python3.11-lxml は lxml.isoschematron サブモジュールを提供しない
python3.11-lxml パッケージは、オープンソースライセンスの下にないため、lxml.isoschematron サブモジュールなしで配布されます。サブモジュールは ISO Schematron サポートを実装します。代わりに、ISO-Schematron 前の検証を lxml.etree.Schematron クラスで利用できます。python3.11-lxml パッケージの残りのコンテンツは影響を受けません。
Jira:RHELPLAN-143480[1]
MySQL および MariaDB の --ssl-fips-mode オプションでは FIPS モードが変更されない
RHEL の MySQL および MariaDB の --ssl-fips-mode オプションは、アップストリームとは異なる動作をします。
RHEL 9 では、--ssl-fips-mode を mysqld デーモンまたは mariadbd デーモンの引数として使用する場合や、MySQL または MariaDB サーバー設定ファイルに ssl-fips-mode を使用すると、--ssl-fips-mode はこれらのデータベースサーバーの FIPS モードを変更しません。
代わりに、以下のようになります。
-
--ssl-fips-modeをONに設定すると、mysqldサーバーデーモンまたはmariadbdサーバーデーモンは起動しません。 -
FIPS が有効なシステムで
--ssl-fips-modeをOFFに設定すると、mysqldサーバーデーモンまたはmariadbdサーバーデーモンは FIPS モードで稼働します。
これは、特定のコンポーネントではなく、RHEL システム全体で FIPS モードを有効または無効にする必要があるためです。
したがって、RHEL の MySQL または MariaDB では --ssl-fips-mode オプションを使用しないでください。代わりに、FIPS モードが RHEL システム全体で有効になっていることを確認します。
- FIPS モードが有効な RHEL をインストールすることが推奨されます。インストール時に FIPS モードを有効にすると、システムは FIPS で承認されるアルゴリズムと継続的な監視テストですべての鍵を生成するようになります。FIPS モードで RHEL をインストールする方法は、FIPS モードでのシステムのインストール を参照してください。
- または、FIPS モードへのシステムの切り替え の手順に従って、RHEL システム全体の FIPS モードを切り替えることができます。
Jira:RHELPLAN-92864[1]
Git で所有権が安全でない可能性のあるリポジトリーからのクローン作成や取得が失敗する
リモートコード実行を防ぎ、CVE-2024-32004 の影響を軽減するために、Git でのローカルリポジトリーのクローン作成に対して、より厳格な所有権チェックが導入されました。この更新により、所有権が安全でない可能性があるローカルリポジトリーが、Git で不審なものとして扱われるようになりました。
その結果、ユーザーが git-daemon を通じてローカルにホストされているリポジトリーからクローン作成を試行する際に、そのユーザーがリポジトリーの所有者でない場合、Git が不審な所有権に関するセキュリティー警告を返し、リポジトリーからのクローン作成または取得が失敗するようになりました。
回避策: 次のコマンドを実行して、リポジトリーを明示的に安全としてマークします。
git config --global --add safe.directory /path/to/repositoryJira:RHELDOCS-18435[1]
10.11. コンパイラーおよび開発ツール
bind および unbound の両方が SHA-1- ベースの署名の検証を無効化する
bind および unbound コンポーネントは、すべての RSA/SHA1 (アルゴリズム番号 5) および RSASHA1-NSEC3-SHA1 (アルゴリズム番号 7) 署名の検証サポートを無効にし、署名の SHA-1 使用は DEFAULT システム全体の暗号化ポリシーで制限されます。
その結果、SHA-1、RSA/SHA1、および RSASHA1-NSEC3-SHA1 ダイジェストアルゴリズムで署名された特定の DNSSEC レコードは、Red Hat Enterprise Linux 9 で検証できず、影響を受けるドメイン名が脆弱になります。
この問題を回避するには、RSA/SHA-256 や Elliptic Curve キーなどの別の署名アルゴリズムにアップグレードします。
影響を受け脆弱なトップレベルドメインの詳細とリストは、RSASHA1 で署名された DNSSEC レコードがソリューションを検証できない を参照してください。
Jira:RHELPLAN-117492[1]
同じ書き込み可能ゾーンファイルが複数のゾーンで使用されていると、named が起動しない
BIND では、複数のゾーンに同じ書き込み可能ゾーンファイルを使用することができません。そのため、named で変更可能なファイルへのパスを共有するゾーンが複数存在すると、named が起動できなくなります。
回避策: in-view 句を使用して、複数のビュー間で 1 つのゾーンを共有し、異なるゾーンに異なるパスを使用するようにします。たとえば、パスにビュー名を含めます。
書き込み可能なゾーンファイルは通常、動的更新が許可されたゾーン、セカンダリーゾーン、または DNSSEC が管理するゾーンで使用されることに注意してください。
Jira:RHELPLAN-90604[1]
10.12. Identity Management
PKINIT が AD KDC に対して機能するように、DEFAULT:SHA1 サブポリシーを RHEL 9 クライアントに設定する必要がある
SHA-1 ダイジェストアルゴリズムは RHEL 9 で非推奨になり、初期認証 (PKINIT) の公開鍵暗号化の CMS メッセージは、より強力な SHA-256 アルゴリズムで署名されるようになりました。
しかし、Active Directory (AD) Kerberos Distribution Center (KDC) は引き続き SHA-1 ダイジェストアルゴリズムを使用して CMS メッセージに署名します。その結果、RHEL 9 Kerberos クライアントは、AD KDC に対して PKINIT を使用してユーザーを認証できません。
回避策: 次のコマンドを使用して、RHEL 9 システムで SHA-1 アルゴリズムのサポートを有効にします。
# update-crypto-policies --set DEFAULT:SHA1Jira:RHELPLAN-114497[1]
RHEL 9 Kerberos エージェントが RHEL-9 以外、AD 以外の Kerberos エージェントと通信すると、ユーザーの PKINIT 認証が失敗する
クライアントまたは Kerberos Distribution Center (KDC) のいずれかの RHEL 9 Kerberos エージェントが、Active Directory (AD) エージェントではない RHEL-9 Kerberos エージェントとやりとりすると、ユーザーの PKINIT 認証に失敗します。
回避策: 次のいずれかのアクションを実行してください。
RHEL 9 エージェントの crypto-policy を
DEFAULT:SHA1に設定して、SHA-1 署名の検証を許可します。# update-crypto-policies --set DEFAULT:SHA1RHEL 9 以外および AD 以外のエージェントを更新して、SHA-1 アルゴリズムを使用して CMS データを署名しないようにします。そのためには、Kerberos パッケージを SHA-1 の代わりに SHA-256 を使用するバージョンに更新します。
- CentOS 9 Stream: krb5-1.19.1-15
- RHEL 8.7: krb5-1.18.2-17
- RHEL 7.9: krb5-1.15.1-53
- Fedora Rawhide/36: krb5-1.19.2-7
- Fedora 35/34: krb5-1.19.2-3
その結果、ユーザーの PKINIT 認証が正しく機能します。
他のオペレーティングシステムでは、エージェントが SHA-1 ではなく SHA-256 で CMS データを署名するように krb5-1.20 リリースであることに注意してください。
PKINIT が AD KDC に対して機能するように、DEFAULT:SHA1 サブポリシーを RHEL 9 クライアントに設定する必要がある も併せて参照してください。
AD 信頼の FIPS サポートには、AD-SUPPORT 暗号サブポリシーが必要
Active Directory (AD) は、AES SHA-1 HMAC 暗号化タイプを使用します。これは、デフォルトで RHEL 9 の FIPS モードでは許可されていません。AD 信頼を使用する RHEL 9 IdM ホストを使用する場合は、IdM ソフトウェアをインストールする前に、AES SHA-1 HMAC 暗号化タイプのサポートを有効にしてください。
FIPS 準拠は技術的合意と組織的合意の両方を伴うプロセスであるため、AD-SUPPORT サブポリシーを有効にして技術的手段が AES SHA-1 HMAC 暗号化タイプをサポートできるようにする前に、FIPS 監査人に相談してから、RHEL IdM をインストールしてください。
# update-crypto-policies --set FIPS:AD-SUPPORTJira:RHELPLAN-113281[1]
FIPS モードの IdM は、双方向のフォレスト間信頼を確立するための NTLMSSP プロトコルの使用をサポートしない
FIPS モードが有効な Active Directory (AD) と Identity Management (IdM) との間で双方向のフォレスト間の信頼を確立すると、New Technology LAN Manager Security Support Provider (NTLMSSP) 認証が FIPS に準拠していないため、失敗します。FIPS モードの IdM は、認証の試行時に AD ドメインコントローラーが使用する RC4 NTLM ハッシュを受け入れません。
Jira:RHEL-12154[1]
RHEL 8.6 以前で初期化された FIPS モードの IdM デプロイメントに FIPS モードの RHEL 9 レプリカを追加すると失敗する
FIPS 140-3 への準拠を目的としたデフォルトの RHEL 9 FIPS 暗号化ポリシーでは、RFC3961 のセクション 5.1 で定義されている AES HMAC-SHA1 暗号化タイプのキー派生関数の使用が許可されていません。
この制約は、最初のサーバーが RHEL 8.6 システム以前にインストールされている FIPS モードの RHEL 8 IdM 環境に、FIPS モードの RHEL 9 Identity Management (IdM) レプリカを追加する際の障害となります。これは、AES HMAC-SHA1 暗号化タイプを一般的に使用し、AES HMAC-SHA2 暗号化タイプを使用しない、RHEL 9 と以前の RHEL バージョンの間に共通の暗号化タイプがないためです。
サーバーで次のコマンドを入力すると、IdM マスターキーの暗号化タイプを表示できます。
# kadmin.local getprinc K/M | grep -E '^Key:'詳細は、KCS ソリューション AD Domain Users unable to login in to the FIPS-compliant environment を参照してください。
オンラインバックアップとオンライン自動メンバーシップ再構築タスクが、2 つのロックを取得してデッドロックを引き起こす可能性がある
オンラインバックアップとオンライン自動メンバーシップ再構築タスクが、同じ 2 つのロックを逆の順序で取得しようとすると、回復不能なデッドロックが発生し、サーバーを停止して再起動する必要が生じる可能性があります。この問題を回避するには、オンラインバックアップとオンライン自動メンバーシップ再構築タスクを並行して起動しないでください。
Jira:RHELDOCS-18065[1]
EMS 強制により、FIPS モードで RHEL 9.2 以降の IdM サーバーを使用した RHEL 7 IdM クライアントのインストールが失敗する
TLS Extended Master Secret (EMS) 拡張機能 (RFC 7627) は、FIPS 対応の RHEL 9.2 以降のシステムでの TLS 1.2 接続に必須になりました。これは FIPS-140-3 要件に準拠しています。ただし、RHEL 7.9 以前で利用可能な openssl バージョンは EMS をサポートしていません。その結果、RHEL 9.2 以降で実行されている FIPS 対応の IdM サーバーに RHEL 7 Identity Management (IdM) クライアントをインストールすると失敗します。
回避策: IdM クライアントをインストールする前にホストを RHEL 8 にアップグレードできない場合は、FIPS 暗号化ポリシーの上に NO-ENFORCE-EMS サブポリシーを適用して、RHEL 9 サーバーでの EMS 使用の要件を削除します。
# update-crypto-policies --set FIPS:NO-ENFORCE-EMSこの削除は FIPS 140-3 要件に反することに注意してください。その結果、EMS を使用しない TLS 1.2 接続を確立して受け入れることができ、RHEL 7 IdM クライアントのインストールは成功します。
Heimdal クライアントは、RHEL 9 KDC に対して PKINIT を使用してユーザーを認証できない
デフォルトでは、Heimdal Kerberos クライアントは、Internet Key Exchange (IKE) に Modular Exponential (MODP) Diffie-Hellman Group 2 を使用して、IdM ユーザーの PKINIT 認証を開始します。ただし、RHEL 9 の MIT Kerberos Distribution Center (KDC) は、MODP Group 14 および 16 のみに対応しています。
したがって、Heimdal クライアントで krb5_get_init_creds: PREAUTH_FAILED エラーが発生し、RHEL MIT KDC では Key parameters not accepted が発生します。
回避策: Heimdal クライアントが MODP グループ 14 を使用していることを確認します。クライアント設定ファイルの libdefaults セクションで pkinit_dh_min_bits パラメーターを 1759 に設定します。
[libdefaults]
pkinit_dh_min_bits = 1759その結果、Heimdal クライアントは、RHEL MIT KDC に対する PKINIT 事前認証を完了します。
Jira:RHELDOCS-19846[1]
10.13. SSSD
ldap_id_use_start_tls オプションのデフォルト値を使用する場合の潜在的なリスク
ID ルックアップに TLS を使用せずに ldap:// を使用すると、攻撃ベクトルのリスクが生じる可能性があります。特に、中間者 (MITM) 攻撃は、攻撃者が、たとえば、LDAP 検索で返されたオブジェクトの UID または GID を変更することによってユーザーになりすますことを可能にする可能性があります。
現在、TLS を強制する SSSD 設定オプション ldap_id_use_start_tls は、デフォルトで false に設定されています。セットアップが信頼できる環境で動作していることを確認し、id_provider = ldap に暗号化されていない通信を使用しても安全かどうかを判断してください。注記: id_provider = ad および id_provider = ipa は、SASL および GSSAPI によって保護された暗号化接続を使用するため、影響を受けません。
暗号化されていない通信を使用することが安全ではない場合は、/etc/sssd/sssd.conf ファイルで ldap_id_use_start_tls オプションを true に設定して TLS を強制します。デフォルトの動作は、RHEL の将来のリリースで変更される予定です。
Jira:RHELPLAN-155168[1]
グループのサイズが 1500 人を超えると、SSSD が取得するメンバーリストが不完全なものになる
SSSD と Active Directory の統合時に、グループサイズが 1500 メンバーを超えると、SSSD が取得するメンバーリストが不完全なものになります。この問題は、1 回のクエリーで取得できるメンバーの数を制限する Active Directory の MaxValRange ポリシーが、デフォルトで 1500 に設定されているために発生します。
回避策: より大きなグループサイズに対応するには、Active Directory の MaxValRange 設定を変更します。
Jira:RHELDOCS-19603[1]
SSSD は DNS 名を適切に登録する
以前は、DNS が正しく設定されていない場合、SSSD は DNS 名の登録の最初の試行で常に失敗していました。
回避策: この更新により、新しいパラメーター dns_resolver_use_search_list が提供されます。DNS 検索リストの使用を回避するには、dns_resolver_use_search_list = false を設定します。
Jira:RHELPLAN-44204[1]
10.14. デスクトップ
RHEL 9 へのアップグレード後に VNC が実行されていない
RHEL8 から RHEL 9 にアップグレードした後、以前に有効にされていたとしても、VNC サーバーは起動に失敗します。
回避策: システムのアップグレード後に vncserver サービスを手動で有効にします。
# systemctl enable --now vncserver@:port-numberその結果、VNC が有効になり、システムが起動するたびに期待どおりに起動します。
Jira:RHELPLAN-114314[1]
User Creation 画面が応答しない
グラフィカルユーザーインターフェイスを使用して RHEL をインストールすると、User Creation の画面が応答しなくなります。そのため、インストール中にユーザーを作成するのが困難です。
回避策: 次のいずれかの解決策を使用してユーザーを作成します。
- VNC モードでインストールを実行し、VNC ウィンドウのサイズを変更します。
- インストールプロセスの完了後にユーザーを作成します。
Jira:RHEL-11924[1]
xorg -configure が仮想マシン上に Xorg 設定ファイルを作成できない
仮想マシン上に Xorg 設定ファイルを作成するために xorg -configure を実行すると、設定するデバイスが不足しているために、実行が失敗します。この問題により設定が失敗します。この問題を回避するには、Xorg ドキュメントに記載されているガイドラインに従って xorg.conf ファイルを手動で作成するか、Extended Display Identification Data (EDID) オーバーライドなどの代替メカニズムを使用してディスプレイ解像度を微調整します。この回避策を実行すると、Xorg サーバーが正しい設定で機能します。
Jira:RHELDOCS-20196[1]
WebKitGTK が IBM Z で Web ページの表示に失敗する
WebKitGTK Web ブラウザーエンジンは、IBM Z アーキテクチャーで Web ページを表示しようとすると失敗します。Web ページは空白のままで、WebKitGTK プロセスが予期せず終了します。
その結果、WebKitGTK を使用して Web ページを表示するアプリケーションの次のような特定の機能を使用できなくなります。
- Evolution メールクライアント
- GNOME Online Account 設定
- GNOME ヘルプアプリケーション
10.15. グラフィックインフラストラクチャー
NVIDIA ドライバーが X.org に戻る可能性がある
特定の条件下では、プロプライエタリー NVIDIA ドライバーは Wayland ディスプレイプロトコルを無効にし、X.org ディスプレイサーバーに戻ります。
- NVIDIA ドライバーのバージョンが 470 未満の場合。
- システムがハイブリッドグラフィックスを使用するラップトップの場合。
- 必要な NVIDIA ドライバーオプションを有効にしていない場合。
また、Wayland は有効になっていますが、NVIDIA ドライバーのバージョンが 510 未満の場合には、デスクトップセッションはデフォルトで X.org を使用します。
Jira:RHELPLAN-119001[1]
NVIDIA 使用時に Wayland で Night Light を利用できない
システムで独自の NVIDIA ドライバーが有効になっている場合、GNOME の Night Light 機能は Wayland セッションで使用できません。NVIDIA ドライバーは、現在 Night Light をサポートしていません。
Jira:RHELPLAN-119852[1]
Wayland では X.org 設定ユーティリティーが動作しない
画面を操作するための X.org ユーティリティーは、Wayland セッションでは機能しません。特に、xrandr ユーティリティーは、処理、解像度、回転、およびレイアウトへのアプローチが異なるため、Wayland では機能しません。
Jira:RHELPLAN-121049[1]
10.16. Web コンソール
RHEL Web コンソールの VNC コンソールが ARM64 で正しく動作しない
現在、ARM64 アーキテクチャー上の RHEL Web コンソールに仮想マシン (VM) をインポートし、VNC コンソールでその仮想マシンと対話しようとすると、コンソールが入力に反応しません。
さらに、ARM64 アーキテクチャーの Web コンソールで仮想マシンを作成すると、VNC コンソールに入力の最後の行が表示されません。
Jira:RHEL-31993[1]
10.17. Red Hat Enterprise Linux システムロール
firewalld.service がマスクされている場合、firewall RHEL システムロールの使用は失敗する
RHEL システム上で firewalld.service がマスクされている場合、firewall RHEL システムロールは失敗します。
回避策: firewalld.service のマスクを解除します。
systemctl unmask firewalld.serviceJira:RHELPLAN-133165[1]
PostgreSQL、MariaDB、MySQL がイメージモードの RHEL で動作しない
PostgreSQL、MariaDB、および MySQL の各データベース管理システムは、ユーザーと作業ディレクトリーの生成に sysusers.d ディレクトリーを使用しません。MariaDB と MySQL は、tmpfiles.d ディレクトリーも使用しません。その結果、作業ディレクトリーが見つからないため、データベースユーザーが見つからなくなり、データベースシステムを初期化できなくなる可能性があります。現在、この問題に対する回避策はありません。
Jira:RHELDOCS-21366[1]
環境名でシステムを登録できない
rhc_environment に環境名を指定すると、rhc システムロールはシステムの登録に失敗します。
回避策: 登録時に環境名ではなく環境 ID を使用します。
高可用性モードの Microsoft SQL Server 2022 は、SELinux で制限されたアプリケーションとして実行できない
RHEL 9.4 以降の Microsoft SQL Server 2022 は、SELinux で制限されたアプリケーションとしての実行がサポートされています。ただし、Microsoft SQL Server の制限により、高可用性モードでは、同サービスを SELinux で制限されたアプリケーションとして実行することができません。
回避策: サービスの高可用性が必要な場合は、Microsoft SQL Server を制限のないアプリケーションとして実行できます。
mssql RHEL システムロールを使用して同サービスをインストールする場合、この制限は Microsoft SQL Server のインストールにも影響することに注意してください。
Jira:RHELDOCS-17719[1]
10.18. 仮想化
https または ssh 経由での仮想マシンのインストールに失敗する場合がある
現在、virt-install ユーティリティーは、https または ssh 接続を介して ISO ソースからゲストオペレーティングシステム (OS) をインストールしようとすると失敗します。たとえば、virt-install --cdrom https://example/path/to/image.iso を使用します。仮想マシンを作成する代わりに、上述の操作は internal error: process exited while connecting to monitor というメッセージが表示されて予期せず終了します。
同様に、https または ssh URL、あるいは Download OS 機能を使用した場合、RHEL 9 Web コンソールを使用したゲストオペレーティングシステムのインストールが失敗し、Unknown driver 'https' エラーが表示されます。
回避策: qemu-kvm-block-curl および qemu-kvm-block-ssh をホストにインストールして、https および ssh プロトコルのサポートを有効にします。別の接続プロトコルまたは別のインストールソースを使用することもできます。
Jira:RHELPLAN-99854[1]
仮想マシンで NVIDIA ドライバーを使用すると Wayland が無効になる
現在、NVIDIA ドライバーは Wayland グラフィカルセッションと互換性がありません。これにより、NVIDIA ドライバーを使用する RHEL ゲストオペレーティングシステムは、Wayland を自動的に無効にし、代わりに Xorg セッションを読み込みます。これは主に以下のシナリオで生じます。
- NVIDIA GPU デバイスを RHEL 仮想マシンに渡す場合
- NVIDIA vGPU 仲介デバイスを RHEL 仮想マシンに割り当てる場合
現在、この問題に対する回避策はありません。
Jira:RHELPLAN-117234[1]
Nutanix AHV で LVM を使用する RHEL 9 仮想マシンのクローンを作成または復元すると、ルート以外のパーティションが表示されなくなる
Nutanix AHV ハイパーバイザーをホストとする仮想マシン (VM) で RHEL 9 ゲストオペレーティングシステムを実行する場合、スナップショットから VM を復元するか VM をクローンすると、ゲストが論理ボリューム管理 (LVM) を使用している場合は VM 内の非ルートパーティションを消失させることがあります。これにより、以下の問題が発生します。
- スナップショットから仮想マシンを復元すると、仮想マシンは起動できず、緊急モードに入ります。
- クローンを作成して作成した仮想マシンは起動できず、緊急モードに入ります。
これらの問題を回避するには、仮想マシンの緊急モードで以下を行います。
LVM システムデバイスファイルを削除します。
# rm /etc/lvm/devices/system.devicesLVM デバイス設定を再作成します。
# vgimportdevices -a- 仮想マシンを再起動します。
これにより、クローン化または復元された VM を正しく起動できます。
または、問題が発生しないようにするには、VM のクローンを作成する前、または VM のスナップショットを作成する前に、次の手順を実行します。
-
/etc/lvm/lvm.confファイル内のuse_devicesfile = 0行のコメントを解除します。 initramfs を再生成します。これを行うには、仮想マシンで次の手順を実行します。
<kernelVersion>は、再構築するカーネルの完全なバージョンに置き換えます。現在の
initramfs設定をバックアップします。# cp /boot/initramfs-<kernelVersion>.img /boot/initramfs-<kernelVersion>.img.bakinitramfsをビルドします。# dracut -f /boot/initramfs-<kernelVersion>.img <kernelVersion>
- 仮想マシンを再起動して、正常に起動したことを確認します。
Jira:RHELPLAN-114103[1]
Milan 仮想マシンの CPU タイプは、AMD Milan システムで利用できないことがある
一部の AMD Milan システムでは、Enhanced REP MOVSB (erms) および Fast Short REP MOVSB (fsrm) 機能フラグがデフォルトで BIOS で無効になっています。したがって、Milan CPU タイプは、これらのシステムで利用できない可能性があります。さらに、機能フラグ設定が異なる Milan ホスト間の仮想マシンのライブマイグレーションが失敗する可能性があります。
回避策: ホストの BIOS で erms と fsrm を手動でオンにします。
Jira:RHELPLAN-119655[1]
フェイルオーバー設定のある hostdev インターフェイスは、ホットアンプラグされた後にホットプラグすることはできません
フェイルオーバー設定の hostdev ネットワークインターフェイスを実行中の仮想マシン (VM) から削除した後、現在、インターフェイスを同じ実行中の VM に再接続することはできません。現在、この問題に対する回避策はありません。
フェイルオーバー VF を使用した仮想マシンのポストコピーライブマイグレーションが失敗する
現在、仮想マシンが、仮想機能 (VF) フェイルオーバー機能が有効になっているデバイスを使用している場合、実行中の仮想マシン (VM) のポストコピー移行の試行は失敗します。
回避策: ポストコピー移行ではなく、標準の移行タイプを使用します。
ライブマイグレーション中にホストネットワークが VF と VM に ping できない
設定済みの仮想機能 (VF) で仮想マシン (仮想 SR-IOV ソフトウェアを使用する仮想マシンなど) のライブマイグレーションを行う場合、仮想マシンのネットワークは他のデバイスに表示されず、ping などのコマンドで仮想マシンに到達できません。ただし、移行が終了すると、問題は発生しなくなります。
AVX を無効にすると、仮想マシンが起動できなくなる
Advanced Vector Extensions (AVX) をサポートする CPU を使用するホストマシンで、現在、AVX を明示的に無効にして VM を起動しようとすると失敗し、代わりに VM でカーネルパニックが発生します。現在、この問題に対する回避策はありません。
Jira:RHELPLAN-97394[1]
ドメイン SID の不一致により、移行した IdM ユーザーがログインできない可能性がある
ipa migrate-ds スクリプトを使用して IdM デプロイメントから別のデプロイメントにユーザーを移行する場合、そのユーザーの以前のセキュリティー識別子 (SID) には現在の IdM 環境のドメイン SID がないため、ユーザーが IdM サービスを使用する際に問題が発生する可能性があります。たとえば、これらのユーザーは kinit ユーティリティーを使用して Kerberos チケットを取得できますが、ログインできません。
回避策: ナレッジベースのソリューション記事 Migrated IdM users unable to log in due to mismatching domain SIDs を参照してください。
Jira:RHELPLAN-109613[1]
ネットワークインターフェイスのリセット後に Windows VM が IP アドレスの取得に失敗する
ネットワークインターフェイスの自動リセット後に、Windows 仮想マシンが IP アドレスの取得に失敗することがあります。その結果、VM はネットワークに接続できません。
回避策: Windows Device Manager でネットワークアダプタードライバーを無効にしてから再度有効にします。
仮想 CPU をホットプラグした後、Windows Server 2016 VM が動作を停止することがある
現在、Windows Server 2016 ゲストオペレーティングシステムで実行中の仮想マシン (VM) に仮想 CPU を割り当てると、仮想マシンが予期せず終了したり、応答しなくなったり、再起動したりするなど、さまざまな問題が発生する可能性があります。現在、この問題に対する回避策はありません。
Jira:RHELPLAN-63771[1]
NVIDIA パススルーデバイスを備えた VM での冗長エラーメッセージ。
RHEL 9.2 以降のオペレーティングシステムを搭載した Intel ホストマシンを使用している場合、パススルー NVDIA GPU デバイスを備えた仮想マシン (VM) で、次のエラーメッセージが頻繁に記録されます。
Spurious APIC interrupt (vector 0xFF) on CPU#2, should never happen.ただし、このエラーメッセージは VM の機能には影響しないため、無視してかまいません。詳細は、Red Hat ナレッジベース を参照してください。
Jira:RHELPLAN-141042[1]
ホストで OVS サービスを再起動すると、実行中の VM でネットワーク接続がブロックされることがある
ホストで Open vSwitch (OVS) サービスが再起動またはクラッシュすると、このホストで実行されている仮想マシン (VM) はネットワークデバイスの状態を回復できません。その結果、仮想マシンがパケットを完全に受信できなくなる可能性があります。
この問題は、virtio ネットワークスタックで圧縮された virtqueue 形式を使用するシステムのみに影響します。
回避策: virtio ネットワークデバイス定義で packed=off パラメーターを使用して、packed virtqueue を無効にします。圧縮された virtqueue を無効にすると、状況によっては、ネットワークデバイスの状態を RAM から回復できます。
中断されたポストコピー仮想マシン移行の回復が失敗することがある
仮想マシン (VM) のポストコピー移行が中断された後、同じ受信ポートですぐに再開されると、移行は Address already in use のエラーで失敗する可能性があります。
回避策: ポストコピー移行を再開する前に少なくとも 10 秒待つか、移行の復旧には別のポートに切り替えてください。
AMD EPYC CPU で NUMA ノードマッピングが正しく機能しない
QEMU は、AMD EPYC CPU の NUMA ノードマッピングを正しく処理しません。これにより、NUMA ノード設定を使用する場合、これらの CPU を持つ仮想マシン (VM) のパフォーマンスに悪影響が及ぶ可能性があります。さらに、VM は起動時に以下のような警告を表示します。
sched: CPU #4's llc-sibling CPU #3 is not on the same node! [node: 1 != 0]. Ignoring dependency.
WARNING: CPU: 4 PID: 0 at arch/x86/kernel/smpboot.c:415 topology_sane.isra.0+0x6b/0x80回避策: NUMA ノード設定に AMD EPYC CPU を使用しないでください。
Jira:RHELPLAN-150884[1]
PCIe ATS デバイスが Windows 仮想マシンで動作しない
Windows ゲストオペレーティングシステムを使用して仮想マシン (VM) の XML 設定で PCIe アドレス変換サービス (ATS) デバイスを設定しても、ゲストが仮想マシンの起動後に ATS デバイスを有効にしません。これは、Windows が現在 virtio デバイス上の ATS をサポートしていないためです。
詳細は、Red Hat ナレッジベース を参照してください。
Jira:RHELPLAN-118495[1]
virsh blkiotune --weight コマンドが正しい cgroup I/O コントローラー値を設定できない
現在、virsh blkiotune --weight コマンドを使用して VM weight を設定しても、期待どおりに機能しません。このコマンドは、cgroup I/O コントローラーインターフェイスファイルに正しい io.bfq.weight 値を設定できません。現時点では回避策はありません。
Jira:RHELPLAN-83423[1]
NVIDIA A16 GPU を使用して仮想マシンを起動すると、ホスト GPU が動作を停止する場合がある
現在、NVIDIA A16 GPU パススルーデバイスを使用する仮想マシンを起動すると、ホストシステム上の NVIDIA A16 GPU 物理デバイスが動作を停止する場合があります。
この問題を回避するには、ハイパーバイザーを再起動し、GPU デバイスの reset_method を bus に設定します。
# echo bus > /sys/bus/pci/devices/<DEVICE-PCI-ADDRESS>/reset_method
# cat /sys/bus/pci/devices/<DEVICE-PCI-ADDRESS>/reset_method
bus詳細は、Red Hat ナレッジベースの記事 を参照してください。
Jira:RHEL-7212[1]
ストレージエラーが原因で Windows 仮想マシンが応答しなくなる可能性がある
Windows ゲストオペレーティングシステムを使用する仮想マシン (VM) では、I/O 負荷が高いときにシステムが応答しなくなることがあります。このような場合、システムは viostor Reset to device, \Device\RaidPort3, was issued エラーをログに記録します。現在、この問題に対する回避策はありません。
Jira:RHEL-1609[1]
特定の PCI デバイスを搭載した Windows 10 仮想マシンが起動時に応答しなくなることがある
現在、Windows 10 ゲストオペレーティングシステムを使用する仮想マシン (VM) は、ローカルディスクバックエンドを備えた virtio-win-scsi PCI デバイスが仮想マシンにアタッチされている場合、起動中に応答しなくなる可能性があります。
回避策: multi_queue オプションを有効にして仮想マシンを起動します。
Jira:RHEL-1084[1]
メモリーバルーンデバイスセットが設定された Windows 11 仮想マシンが再起動中に予期せず終了することがある
現在、Windows 11 ゲストオペレーティングシステムとメモリーバルーンデバイスを使用する仮想マシン (VM) の再起動が、DRIVER POWER STAT FAILURE ブルースクリーンエラーで失敗する場合があります。
Jira:RHEL-935[1]
virtio バルーンドライバーは、Windows 10 および Windows 11 仮想マシンでは動作しないことがある
特定の状況下では、Windows 10 または Windows 11 ゲストオペレーティングシステムを使用する仮想マシン (VM) 上で virtio-balloon ドライバーが正しく動作しません。その結果、そのような仮想マシンは割り当てられたメモリーを効率的に使用できない可能性があります。
Windows 仮想マシンの virtio ファイルシステムのパフォーマンスは最適ではない
現在、Windows ゲストオペレーティングシステムを使用する仮想マシン (VM) 上で virtio ファイルシステム (virtiofs) が設定されている場合、仮想マシン内の virtiofs のパフォーマンスは、Linux ゲストを使用する仮想マシンよりも大幅に低下します。現在、この問題に対する回避策はありません。
Jira:RHEL-1212[1]
Windows 仮想マシンのストレージデバイスのホットアンプラグが失敗する可能性がある
Windows ゲストオペレーティングシステムを使用する仮想マシン (VM) で、仮想マシンの実行中にストレージデバイスを削除すると (デバイスのホットアンプラグとも呼ばれる)、失敗する場合があります。その結果、ストレージデバイスは仮想マシンにアタッチされたままになり、ディスクマネージャーサービスが応答しなくなる可能性があります。現在、この問題に対する回避策はありません。
CPU を Windows 仮想マシンにホットプラグするとシステム障害が発生する可能性がある
Huge Page が有効になっている Windows 仮想マシンに最大数の CPU をホットプラグすると、ゲストオペレーティングシステムが次の Stop エラー でクラッシュする場合があります。
PROCESSOR_START_TIMEOUT現在、この問題に対する回避策はありません。
Windows 仮想マシンの virtio ドライバーの更新が失敗する可能性がある
Windows 仮想マシン (VM) で KVM 準仮想化 (virtio) ドライバーを更新すると、更新によりマウスが動作しなくなり、新しくインストールされたドライバーが署名されない可能性があります。この問題は、virtio-win.iso ファイルの一部である virtio-win-guest-tools パッケージからインストールして、virtio ドライバーを更新する際に発生します。
回避策: Windows Device Manager を使用して virtio ドライバーを更新します。
Jira:RHEL-574[1]
vhost-kernel を使用する仮想マシンで TX キューのサイズを変更できない
現在、virtio ネットワークドライバーのバックエンドとして vhost-kernel を使用する KVM 仮想マシンでは、TX キューサイズをセットアップすることができません。したがって、TX キューにはデフォルト値の 256 しか使用できず、仮想マシンのネットワークスループットを最適化できない可能性があります。現在、この問題に対する回避策はありません。
Jira:RHEL-1138[1]
仮想マシンは、AMD EPYC モデルの spec_rstack_overflow パラメーターの vulnerable ステータスを誤って報告します。
ホストを起動すると、spec_rstack_overflow パラメーターの脆弱性は検出されません。ログのパラメーターをクエリーすると、次のメッセージが表示されます。
# cat /sys/devices/system/cpu/vulnerabilities/spec_rstack_overflow
Mitigation: Safe RET
同じホスト上で仮想マシンを起動した後、仮想マシンは spec_rstack_overflow パラメーターの脆弱性を検出します。ログのパラメーターをクエリーすると、次のメッセージが表示されます。
# cat /sys/devices/system/cpu/vulnerabilities/spec_rstack_overflow
Vulnerable: Safe RET, no microcode
ただし、これは誤った警告メッセージであり、仮想マシン内の /sys/devices/system/cpu/vulnerabilities/spec_rstack_overflow ファイルのステータスは無視できます。
Jira:RHEL-17614[1]
e1000e または igb モデルインターフェイスのステータスが down の場合でも、リンクステータスは仮想マシン上に up と表示されます。
仮想マシンを起動する前に、e1000 または igb モデルのネットワークインターフェイスのイーサネットリンクのステータスを down に設定します。設定したにもかかわらず、仮想マシンの起動後、ネットワークインターフェイスは up ステータスを維持します。これは、イーサネットリンクのステータスを down に設定し、仮想マシンを停止して再起動すると、自動的に up に設定されるためです。その結果、ネットワークインターフェイスの正しい状態が維持されません。
回避策: コマンドを使用して、仮想マシン内でネットワークインターフェイスのステータスを down に設定します。
# ip link set dev eth0 downまたは、仮想マシンの実行中にこのネットワークインターフェイスを削除して再度追加してみることもできます。
SeaBIOS が 4096 バイトのセクターサイズのディスクから起動できない
SeaBIOS を使用して、論理または物理セクターサイズが 4096 バイトのディスクから仮想マシン (VM) を起動すると、起動ディスクが使用可能として表示されず、仮想マシンの起動が失敗します。このようなディスクから仮想マシンを起動するには、SeaBIOS ではなく UEFI を使用します。
CPU あたり 128 を超えるコアを使用すると、起動時に Windows Server 2019 仮想マシンがクラッシュする
現在、Windows Server 2019 ゲストオペレーティングシステムを使用する仮想マシン (VM) は、単一の仮想 CPU (vCPU) に 128 を超えるコアを使用するように設定されている場合、起動に失敗します。仮想マシンは、起動する代わりに青い画面で停止エラーを表示します。
回避策: 仮想 CPU あたり 128 コア未満を使用します。
Jira:RHELDOCS-18863[1]
VBS と IOMMU デバイスを搭載した Windows 仮想マシンが起動に失敗する
Virtualization Based Security (VBS) が有効で、Input-Output Memory Management Unit (IOMMU) デバイスが qemu-kvm ユーティリティーを使用して Windows 仮想マシンを起動すると、起動シーケンスで起動画面のみが表示され、起動プロセスが不完全になります。
回避策: 仮想マシンドメイン XML が以下のように設定されていることを確認します。
<features>
<ioapic driver='qemu'/>
</features>
<devices>
<iommu model='intel'>
<driver intremap='on' eim='off' aw_bits='48'/>
<alias name='iommu0'/>
</iommu>
<memballoon model='virtio'>
<alias name='balloon0'/>
<address type='pci' domain='0x0000' bus='0x03' slot='0x00' function='0x0'/>
<driver iommu='on' ats='on'/>
</memballoon>
</devices>そうしないと、Windows 仮想マシンは起動できません。
Jira:RHEL-45585[1]
5 レベルページマージングを使用し、かつ大量のメモリーを搭載した仮想マシンが起動に失敗することがある
host-phys-bits-limit パラメーターを 49 以上に設定すると、次の構成の仮想マシンが起動に失敗します。
- 仮想マシンに割り当てられたメモリーが 1TB 以上ある
- 仮想マシンが 5 レベルページマージング機能を使用している
- ホストが自身のファームウェアで System Management Mode (SMM) を使用している
仮想マシンを起動しようとすると、ERROR: Out of aligned pages というエラーが表示されて失敗します。
回避策: host-phys-bits-limit パラメーターを 48 以下に設定します。
大量の起動可能なデータディスクを持つ仮想マシンは起動に失敗する可能性がある
大量の起動可能なデータディスクを持つ仮想マシン (VM) を起動しようとすると、仮想マシンは Something has gone seriously wrong: import_mok_state() failed: Volume Full エラーを表示して、起動に失敗する可能性があります。
回避策: 起動可能なデータディスクの数を減らし、システムディスクを 1 つ使用します。システムディスクがブート順序の最初になるようにするには、XML 設定でシステムディスクのデバイス定義に boot order=1 を追加します。以下に例を示します。
<disk type='file' device='disk'>
<driver name='qemu' type='qcow2'/>
<source file='/path/to/disk.qcow2'/>
<target dev='vda' bus='virtio'/>
<boot order='1'/>
</disk>システムディスクのみに起動順序を設定します。
Windows 2025 仮想マシンは、多くの仮想 CPU を割り当てると動作が遅くなる
Red Hat Enterprise Linux ホスト上で、32 個以上の仮想 CPU を割り当てると、Windows Server 2025 の仮想マシン (VM) の動作が遅くなります。したがって、仮想マシンの起動に多数の仮想 CPU が設定されている場合に、Windows 仮想マシンの起動速度が遅くなるか、起動時にスタックする可能性があります。
回避策: この回避策の実行は、お客様ご自身の責任で行ってください。仮想 CPU の数が少ない仮想マシンを起動して、Windows Server の platformclock を無効にします。管理者特権を持つコマンドプロンプトで、次のコマンドを実行します。
bcdedit /set useplatformclock no
次に、仮想マシンをシャットダウンし、必要な数の仮想 CPU で再設定します。また、大規模な仮想マシンを再度起動する前に、hv-time オプションが有効になっていることを確認してください。
Jira:RHEL-62742[1]
大容量メモリーを搭載した仮想マシンは、AMD Genoa CPU を搭載した SEV-SNP ホストでは起動できない
現在、第 4 世代 AMD EPYC プロセッサー (Genoa とも呼ばれる) を使用し、AMD Secure Encrypted Virtualization with Secure Nested Paging (SEV-SNP) 機能が有効になっているホストでは、仮想マシン (VM) を起動できません。起動する代わりに、仮想マシンでカーネルパニックが発生します。
Jira:RHEL-32892[1]
VirtIO-Win バンドルのインストールはキャンセルできない
現在、Windows ゲストオペレーティングシステムで VirtIO-Win インストーラーバンドルから virtio-win ドライバーのインストールを開始すると、インストール中に Cancel ボタンをクリックしてもインストールが正しく停止されません。インストーラーウィザードインターフェイスに "Setup Failed" という画面が表示されますが、ドライバーはインストールされ、ゲストの IP アドレスはリセットされます。
Jira:RHEL-53962、Jira:RHEL-53965
ハイパーバイザーの起動タイプが auto に設定されている Sapphire Rapids CPU 上で実行されている Windows 仮想マシンは、再起動時に起動に失敗する可能性があります。
Sapphire Rapids CPU 上で実行されている Windows 仮想マシン (VM) でハイパーバイザーの起動タイプを auto に設定すると、仮想マシンの再起動時に起動に失敗する可能性があります。たとえば、bcdedit /set hypervisorlaunchtype Auto コマンドを使用して、ハイパーバイザーの起動タイプを auto に設定できます。
回避策: Windows 仮想マシンでハイパーバイザーの起動タイプを auto に設定しないでください。
Jira:RHEL-67699[1]
VBS を使用して Windows ゲストに仮想 CPU とメモリーをホットプラグできない
現在、Windows Virtualization-based Security (VBS) は、ホットプラグ CPU およびメモリーリソースと互換性がありません。その結果、VBS が有効になっている実行中の Windows 仮想マシン (VM) にメモリーまたは仮想 CPU をアタッチしようとしても、これらのリソースはゲストシステムを再起動した後にのみ仮想マシンに追加されます。
Jira:RHEL-66229、Jira:RHELDOCS-19066
Accelerated Networking が有効な Azure 仮想マシンで NetworkManager-wait-online.service が起動に失敗する
Accelerated Networking 機能 (Single Root Input Output Virtualization (SR-IOV) とも呼ばれる) を使用して Azure プラットフォームの Red Hat Enterprise Linux 仮想マシンを起動すると、複数のネットワークインターフェイスカードが同じ MAC アドレスを持つ場合があります。その結果、仮想マシンが DHCP サーバーから IP アドレスを取得できず、ブート時に NetworkManager-wait-online.service の起動が失敗する場合があります。
回避策: 既存のデバイスが既存のデバイス名に名前を変更しないように、initscripts-rename-device パッケージをインストールしないでください。
Jira:RHEL-79783[1]
Extended Master Secret TLS エクステンションが FIPS 対応システムに適用されるようになりました。
RHSA-2023:3722 アドバイザリーのリリースにより、FIPS 対応 RHEL 9 システム上の TLS 1.2 接続に、TLS Extended Master Secret (EMS) エクステンション (RFC 7627) エクステンションが必須になりました。これは FIPS-140-3 要件に準拠しています。TLS 1.3 は影響を受けません。
EMS または TLS 1.3 をサポートしていないレガシークライアントは、RHEL 9 および 10 で稼働する FIPS サーバーに接続できなくなりました。同様に、FIPS モードの RHEL 9 および 10 クライアントは、EMS なしでは TLS 1.2 のみをサポートするサーバーに接続できません。これは実際には、これらのクライアントが RHEL 6、RHEL 7、および RHEL 以外のレガシーオペレーティングシステム上のサーバーに接続できないことを意味します。これは、OpenSSL のレガシー 1.0.x バージョンが EMS または TLS 1.3 をサポートしていないためです。
さらに、ハイパーバイザーが EMS なしで TLS 1.2 を使用する場合は、FIPS 対応 RHEL クライアントから VMWare ESX などのハイパーバイザーへの接続が Provider routines::ems not enabled エラーで失敗するようになりました。この問題を回避するには、EMS 拡張で TLS 1.3 または TLS 1.2 をサポートするようにハイパーバイザーを更新します。VMWare vSphere の場合、これはバージョン 8.0 以降を意味します。
詳細は、TLS Extension "Extended Master Secret" enforced with Red Hat Enterprise Linux 9.2 and later を参照してください。
Jira:RHEL-13340[1]
10.19. クラウド環境の RHEL
cloud-init によってプロビジョニングされ、NFSv3 マウントエントリーで設定された場合、Azure で RHEL インスタンスが起動しない
現在、仮想マシンが cloud-init ツールによってプロビジョニングされ、仮想マシンのゲストオペレーティングシステムで /etc/fstab ファイルに NFSv3 マウントエントリーがある場合、Microsoft Azure クラウドプラットフォームで RHEL 仮想マシンの起動に失敗します。現在、この問題に対する回避策はありません。
Jira:RHELPLAN-120807[1]
kmemleak オプションが有効になっていると、大規模な仮想マシンがデバッグカーネルで起動できない場合がある
RHEL 9 仮想マシンをデバッグカーネルで起動しようとすると、マシンカーネルが kmemleak=on 引数を使用している場合、次のエラーで起動が失敗することがあります。
Cannot open access to console, the root account is locked.
See sulogin(8) man page for more details.
Press Enter to continue.この問題は主に、ブートシーケンスに多くの時間を費やす大規模な仮想マシンに影響します。
回避策: マシン上の /etc/fstab ファイルを編集し、/boot および /boot/efi マウントポイントにさらなるタイムアウトオプションを追加します。以下に例を示します。
UUID=e43ead51-b364-419e-92fc-b1f363f19e49 /boot xfs defaults,x-systemd.device-timeout=600,x-systemd.mount-timeout=600 0 0
UUID=7B77-95E7 /boot/efi vfat defaults,uid=0,gid=0,umask=077,shortname=winnt,x-systemd.device-timeout=600,x-systemd.mount-timeout=600 0 2Jira:RHELDOCS-16979[1]
Hyper-V enlightenments を有効にしても CPU の最適化が改善されない場合がある
Windows ゲストオペレーティングシステムを使用する仮想マシン (VM) では、Hyper-V enlightenments を有効にしても、仮想マシンの CPU 使用率が期待どおりに改善されない場合があります。現在、この問題に対する回避策はありません。
Jira:RHEL-17331[1]
メモリーサイズがメモリーブロックサイズと一致していない場合でも、VMware でメモリーのホットプラグが可能
現在、アタッチされたメモリーサイズが個々のメモリーブロックのサイズと一致していない場合でも、VMware ハイパーバイザー上の RHEL 9 ゲストに対して、メモリーのホットプラグを試みることが可能です。ただし、この方法でメモリーをアタッチすると、Block size unaligned hotplug range エラーが発生し、常に失敗します。
回避策: ゲスト上で設定されたメモリーブロックサイズで割り切れるホットプラグメモリーのみ。メモリーブロックサイズを取得するには、lsmem コマンドを使用します。詳細は、Red Hat ナレッジベースの記事 を参照してください。
Jira:RHEL-81748[1]
BIOS または UEFI でサポートされている Hyper-V Windows Server 2016 仮想マシンは、ホストが AMD EPYC CPU プロセッサーを使用している場合、起動に失敗する
Hyper-V が有効化されている設定では、Hyper-V Windows Server 2016 仮想マシンは AMD EPYC CPU ホスト上で起動できません。
回避策: 次のログメッセージを確認します。
kvm: Booting SMP Windows KVM VM with !XSAVES && XSAVEC.
If it fails to boot try disabling XSAVEC in the VM config.
また、Hyper-V Windows Server 2016 仮想マシンを起動するために、xsavec=off の -cpu cmdline への追加を試みます。
Jira:RHEL-38957[1]
Azure Confidential 仮想マシンで kdump の完了に失敗する
Azure Confidential VM インスタンスの Red Hat Enterprise Linux 仮想マシンでカーネルクラッシュが発生した場合 (この場合は DCv5 と ECv5 シリーズ)、kdump プロセスが完了せず、仮想マシンが応答しなくなることがあります。その結果、強制的な再起動後に、vmcore-incomplete ファイルが作成されます。
Jira:RHEL-70228[1]
10.20. サポート性
IBM Power Systems (Little Endian) で sos report を実行するとタイムアウトする
数百または数千の CPU を搭載した IBM Power Systems (リトルエンディアン) で sos report コマンドを実行すると、/sys/devices/system/cpu ディレクトリーの膨大なコンテンツを収集する際のプロセッサープラグインはデフォルトのタイムアウトである 300 秒に達します。回避策として、それに応じてプラグインのタイムアウトを増やします。
- 1 回限りの設定の場合は、次を実行します。
# sos report -k processor.timeout=1800-
永続的な変更を行うには、
/etc/sos/sos.confファイルの[plugin_options]セクションを編集します。
[plugin_options]
# Specify any plugin options and their values here. These options take the form
# plugin_name.option_name = value
#rpm.rpmva = off
processor.timeout = 1800値の例は 1800 に設定されています。特定のタイムアウト値は、特定のシステムに大きく依存します。プラグインのタイムアウトを適切に設定するには、次のコマンドを実行して、タイムアウトなしで 1 つのプラグインを収集するために必要な時間を最初に見積もることができます。
# time sos report -o processor -k processor.timeout=0 --batch --buildJira:RHELPLAN-51452[1]
10.21. コンテナー
UBI イメージを再現できない
podman build コマンドと buildah build コマンドを、次の引数を指定して呼び出すと、同じ入力セットを使用する複数のビルド間で不整合が生じるのを回避できます。
-
--rewrite-timestamp -
--source-date-epoch(ビルド開始時に設定する同等のビルド引数または環境変数の値)
この問題を回避するには、ビルドの不整合を最小限に抑えるために、--rewrite-timestamp および --source-date-epoch 引数を指定して podman build または buildah build コマンドを呼び出します。また、$SOURCE_DATE_EPOCH 環境変数が設定されている場合は、非決定的な出力が生成されないように、RUN 命令で呼び出されるツールを更新してください。
ツールまたはツールのバージョンによっては、それでも非決定的な出力が生成される可能性があり、特定のイメージを再現可能な形でビルドできない可能性があります。
古いコンテナーイメージ内で systemd を実行すると動作しない
古いコンテナーイメージ (例:centos:7) で systemd を実行しても動作しません。
$ podman run --rm -ti centos:7 /usr/lib/systemd/systemd
Storing signatures
Failed to mount cgroup at /sys/fs/cgroup/systemd: Operation not permitted
[!!!!!!] Failed to mount API filesystems, freezing.回避策: 以下のコマンドを使用してください。
# mkdir /sys/fs/cgroup/systemd
# mount none -t cgroup -o none,name=systemd /sys/fs/cgroup/systemd
# podman run --runtime /usr/bin/crun --annotation=run.oci.systemd.force_cgroup_v1=/sys/fs/cgroup --rm -ti centos:7 /usr/lib/systemd/systemdJira:RHELPLAN-96940[1]
FIPS 対応ホストで FIPS bootc イメージの作成が失敗する
FIPS モードを有効にした Podman を使用してホスト上にディスクイメージを構築すると、update-crypto-policies パッケージが原因で終了コード 3 で失敗します。
# Enable the FIPS crypto policy
# crypto-policies-scripts is not installed by default in RHEL-10
RUN dnf install -y crypto-policies-scripts && update-crypto-policies --no-reload --set FIPS回避策: FIPS モードを無効にして bootc イメージをビルドします。
10.22. RHEL Lightspeed
コマンドラインアシスタントの設定ファイルの変更がすぐに適用されない
etc/xdg/command-line-assistant/config.toml 設定ファイルに変更を加えても、変更がすぐに適用されず、コマンドラインアシスタントデーモンが変更を認識するまでに約 30 - 60 秒かかります。コマンドラインアシスタントには、reload 機能もありません。
回避策: 次の手順に従ってください。
-
config.toml設定ファイルに必要な変更を加えます。 - 以下のコマンドを実行します。
# systemctl restart cladJira:RHELDOCS-19734[1]
コマンドラインアシスタントが Satellite サーバーの証明書を検証できない
コマンドラインアシスタントが、Red Hat Satellite サーバーの Satellite 認証局 (CA) 証明書を認識しません。Satellite CA 証明書は、Satellite に登録済みの、Satellite によって管理されるホストの証明書を発行および署名するために使用されます。そのため、コマンドラインアシスタントは Satellite サーバーへのセキュアな接続を確立できず、正しく機能しません。
回避策: Satellite CA 証明書をシステムのトラストストアにコピーし、CA 信頼データベースを更新します。
$ sudo cp /etc/rhsm/ca/katello /etc/pki/ca-trust/source/anchors/*
$ sudo update-ca-trustJira:RHELDOCS-21325[1]
第11章 利用可能な BPF 機能
この章では、このバージョンの Red Hat Enterprise Linux 9 で利用可能な Berkeley Packet Filter (BPF) 機能の完全なリストを提供します。表には次のリストが含まれます。
この章には、bpftool feature コマンドの自動生成された出力が含まれています。
| オプション | 値 |
|---|---|
| unprivileged_bpf_disabled | 2 (特権ユーザーに限定された bpf() syscall、管理者は変更可能) |
| bpf_jit_enable | 1 (有効) |
| bpf_jit_harden | 1 (有効) |
| bpf_jit_kallsyms | 1 (有効) |
| bpf_jit_limit | 528482304 |
| CONFIG_BPF | y |
| CONFIG_BPF_SYSCALL | y |
| CONFIG_HAVE_EBPF_JIT | y |
| CONFIG_BPF_JIT | y |
| CONFIG_BPF_JIT_ALWAYS_ON | y |
| CONFIG_DEBUG_INFO_BTF | y |
| CONFIG_DEBUG_INFO_BTF_MODULES | y |
| CONFIG_CGROUPS | y |
| CONFIG_CGROUP_BPF | y |
| CONFIG_CGROUP_NET_CLASSID | y |
| CONFIG_SOCK_CGROUP_DATA | y |
| CONFIG_BPF_EVENTS | y |
| CONFIG_KPROBE_EVENTS | y |
| CONFIG_UPROBE_EVENTS | y |
| CONFIG_TRACING | y |
| CONFIG_FTRACE_SYSCALLS | y |
| CONFIG_FUNCTION_ERROR_INJECTION | y |
| CONFIG_BPF_KPROBE_OVERRIDE | n |
| CONFIG_NET | y |
| CONFIG_XDP_SOCKETS | y |
| CONFIG_LWTUNNEL_BPF | y |
| CONFIG_NET_ACT_BPF | m |
| CONFIG_NET_CLS_BPF | m |
| CONFIG_NET_CLS_ACT | y |
| CONFIG_NET_SCH_INGRESS | m |
| CONFIG_XFRM | y |
| CONFIG_IP_ROUTE_CLASSID | y |
| CONFIG_IPV6_SEG6_BPF | y |
| CONFIG_BPF_LIRC_MODE2 | n |
| CONFIG_BPF_STREAM_PARSER | y |
| CONFIG_NETFILTER_XT_MATCH_BPF | m |
| CONFIG_BPFILTER | n |
| CONFIG_BPFILTER_UMH | n |
| CONFIG_TEST_BPF | m |
| CONFIG_HZ | 1000 |
| bpf() syscall | available |
| 大きなプログラムサイズの制限 | available |
| 有界ループのサポート | available |
| ISA エクステンション v2 | available |
| ISA エクステンション v3 | available |
| プログラムの種類 | 利用可能なヘルパー |
|---|---|
| socket_filter | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_perf_event_output, bpf_skb_load_bytes, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_get_socket_uid, bpf_skb_load_bytes_relative, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| kprobe | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_perf_event_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_send_signal, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_get_ns_current_pid_tgid, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_get_task_stack, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_get_attach_cookie, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| sched_cls | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_skb_store_bytes, bpf_l3_csum_replace, bpf_l4_csum_replace, bpf_tail_call, bpf_clone_redirect, bpf_get_cgroup_classid, bpf_skb_vlan_push, bpf_skb_vlan_pop, bpf_skb_get_tunnel_key, bpf_skb_set_tunnel_key, bpf_redirect, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_get_tunnel_opt, bpf_skb_set_tunnel_opt, bpf_skb_change_proto, bpf_skb_change_type, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_change_tail, bpf_skb_pull_data, bpf_csum_update, bpf_set_hash_invalid, bpf_get_numa_node_id, bpf_skb_change_head, bpf_get_socket_cookie, bpf_get_socket_uid, bpf_set_hash, bpf_skb_adjust_room, bpf_skb_get_xfrm_state, bpf_skb_load_bytes_relative, bpf_fib_lookup, bpf_skb_cgroup_id, bpf_get_current_cgroup_id, bpf_skb_ancestor_cgroup_id, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_sk_fullsock, bpf_tcp_sock, bpf_skb_ecn_set_ce, bpf_get_listener_sock, bpf_skc_lookup_tcp, bpf_tcp_check_syncookie, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_tcp_gen_syncookie, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_sk_assign, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_csum_level, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_skb_cgroup_classid, bpf_redirect_neigh, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_redirect_peer, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_check_mtu, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_skb_set_tstamp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_tcp_raw_gen_syncookie_ipv4, bpf_tcp_raw_gen_syncookie_ipv6, bpf_tcp_raw_check_syncookie_ipv4, bpf_tcp_raw_check_syncookie_ipv6, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| sched_act | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_skb_store_bytes, bpf_l3_csum_replace, bpf_l4_csum_replace, bpf_tail_call, bpf_clone_redirect, bpf_get_cgroup_classid, bpf_skb_vlan_push, bpf_skb_vlan_pop, bpf_skb_get_tunnel_key, bpf_skb_set_tunnel_key, bpf_redirect, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_get_tunnel_opt, bpf_skb_set_tunnel_opt, bpf_skb_change_proto, bpf_skb_change_type, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_change_tail, bpf_skb_pull_data, bpf_csum_update, bpf_set_hash_invalid, bpf_get_numa_node_id, bpf_skb_change_head, bpf_get_socket_cookie, bpf_get_socket_uid, bpf_set_hash, bpf_skb_adjust_room, bpf_skb_get_xfrm_state, bpf_skb_load_bytes_relative, bpf_fib_lookup, bpf_skb_cgroup_id, bpf_get_current_cgroup_id, bpf_skb_ancestor_cgroup_id, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_sk_fullsock, bpf_tcp_sock, bpf_skb_ecn_set_ce, bpf_get_listener_sock, bpf_skc_lookup_tcp, bpf_tcp_check_syncookie, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_tcp_gen_syncookie, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_sk_assign, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_csum_level, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_skb_cgroup_classid, bpf_redirect_neigh, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_redirect_peer, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_check_mtu, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_skb_set_tstamp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_tcp_raw_gen_syncookie_ipv4, bpf_tcp_raw_gen_syncookie_ipv6, bpf_tcp_raw_check_syncookie_ipv4, bpf_tcp_raw_check_syncookie_ipv6, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| tracepoint | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_perf_event_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_send_signal, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_get_ns_current_pid_tgid, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_get_task_stack, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_get_attach_cookie, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| xdp | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_redirect, bpf_perf_event_output, bpf_csum_diff, bpf_get_current_task, bpf_get_numa_node_id, bpf_xdp_adjust_head, bpf_redirect_map, bpf_xdp_adjust_meta, bpf_xdp_adjust_tail, bpf_fib_lookup, bpf_get_current_cgroup_id, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_skc_lookup_tcp, bpf_tcp_check_syncookie, bpf_strtol, bpf_strtoul, bpf_tcp_gen_syncookie, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_check_mtu, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_xdp_get_buff_len, bpf_xdp_load_bytes, bpf_xdp_store_bytes, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_tcp_raw_gen_syncookie_ipv4, bpf_tcp_raw_gen_syncookie_ipv6, bpf_tcp_raw_check_syncookie_ipv4, bpf_tcp_raw_check_syncookie_ipv6, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| perf_event | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_perf_event_read_value, bpf_perf_prog_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_send_signal, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_read_branch_records, bpf_get_ns_current_pid_tgid, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_get_task_stack, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_get_attach_cookie, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_skb | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_perf_event_output, bpf_skb_load_bytes, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_get_socket_uid, bpf_skb_load_bytes_relative, bpf_skb_cgroup_id, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_skb_ancestor_cgroup_id, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_sk_fullsock, bpf_tcp_sock, bpf_skb_ecn_set_ce, bpf_get_listener_sock, bpf_skc_lookup_tcp, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_sk_cgroup_id, bpf_sk_ancestor_cgroup_id, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_sock | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_netns_cookie, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_get_retval, bpf_set_retval, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| lwt_in | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_cgroup_classid, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_pull_data, bpf_get_numa_node_id, bpf_lwt_push_encap, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| lwt_out | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_cgroup_classid, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_pull_data, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| lwt_xmit | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_skb_store_bytes, bpf_l3_csum_replace, bpf_l4_csum_replace, bpf_tail_call, bpf_clone_redirect, bpf_get_cgroup_classid, bpf_skb_get_tunnel_key, bpf_skb_set_tunnel_key, bpf_redirect, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_get_tunnel_opt, bpf_skb_set_tunnel_opt, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_change_tail, bpf_skb_pull_data, bpf_csum_update, bpf_set_hash_invalid, bpf_get_numa_node_id, bpf_skb_change_head, bpf_lwt_push_encap, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_csum_level, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| sock_ops | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_setsockopt, bpf_sock_map_update, bpf_getsockopt, bpf_sock_ops_cb_flags_set, bpf_sock_hash_update, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_tcp_sock, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_netns_cookie, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_load_hdr_opt, bpf_store_hdr_opt, bpf_reserve_hdr_opt, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| sk_skb | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_skb_store_bytes, bpf_tail_call, bpf_perf_event_output, bpf_skb_load_bytes, bpf_get_current_task, bpf_skb_change_tail, bpf_skb_pull_data, bpf_get_numa_node_id, bpf_skb_change_head, bpf_get_socket_cookie, bpf_get_socket_uid, bpf_skb_adjust_room, bpf_sk_redirect_map, bpf_sk_redirect_hash, bpf_get_current_cgroup_id, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_skc_lookup_tcp, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_device | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| sk_msg | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_msg_redirect_map, bpf_msg_apply_bytes, bpf_msg_cork_bytes, bpf_msg_pull_data, bpf_msg_redirect_hash, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_msg_push_data, bpf_msg_pop_data, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_netns_cookie, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| raw_tracepoint | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_perf_event_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_send_signal, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_get_ns_current_pid_tgid, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_get_task_stack, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_sock_addr | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_setsockopt, bpf_getsockopt, bpf_bind, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_sk_lookup_tcp, bpf_sk_lookup_udp, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_skc_lookup_tcp, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_netns_cookie, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_get_retval, bpf_set_retval, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| lwt_seg6local | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_cgroup_classid, bpf_get_route_realm, bpf_perf_event_output, bpf_skb_load_bytes, bpf_csum_diff, bpf_skb_under_cgroup, bpf_get_hash_recalc, bpf_get_current_task, bpf_skb_pull_data, bpf_get_numa_node_id, bpf_lwt_seg6_store_bytes, bpf_lwt_seg6_adjust_srh, bpf_lwt_seg6_action, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| lirc_mode2 | サポート対象外 |
| sk_reuseport | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_skb_load_bytes, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_socket_cookie, bpf_skb_load_bytes_relative, bpf_get_current_cgroup_id, bpf_sk_select_reuseport, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| flow_dissector | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_skb_load_bytes, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_sysctl | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_sysctl_get_name, bpf_sysctl_get_current_value, bpf_sysctl_get_new_value, bpf_sysctl_set_new_value, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| raw_tracepoint_writable | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_perf_event_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_send_signal, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_get_ns_current_pid_tgid, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_get_task_stack, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| cgroup_sockopt | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_get_cgroup_classid, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_get_local_storage, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_tcp_sock, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_netns_cookie, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_get_retval, bpf_set_retval, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| tracing | |
| struct_ops | |
| ext | |
| lsm | |
| sk_lookup | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_perf_event_output, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_sk_release, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_sk_assign, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_ktime_get_coarse_ns, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_skc_to_unix_sock, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| syscall | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_probe_read, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_pid_tgid, bpf_get_current_uid_gid, bpf_get_current_comm, bpf_perf_event_read, bpf_perf_event_output, bpf_get_stackid, bpf_get_current_task, bpf_current_task_under_cgroup, bpf_get_numa_node_id, bpf_probe_read_str, bpf_get_socket_cookie, bpf_perf_event_read_value, bpf_get_stack, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_sk_storage_get, bpf_sk_storage_delete, bpf_send_signal, bpf_skb_output, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_send_signal_thread, bpf_jiffies64, bpf_get_ns_current_pid_tgid, bpf_xdp_output, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_skc_to_tcp6_sock, bpf_skc_to_tcp_sock, bpf_skc_to_tcp_timewait_sock, bpf_skc_to_tcp_request_sock, bpf_skc_to_udp6_sock, bpf_get_task_stack, bpf_d_path, bpf_copy_from_user, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_task_storage_get, bpf_task_storage_delete, bpf_get_current_task_btf, bpf_sock_from_file, bpf_for_each_map_elem, bpf_snprintf, bpf_sys_bpf, bpf_btf_find_by_name_kind, bpf_sys_close, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_get_func_ip, bpf_task_pt_regs, bpf_get_branch_snapshot, bpf_skc_to_unix_sock, bpf_kallsyms_lookup_name, bpf_find_vma, bpf_loop, bpf_strncmp, bpf_xdp_get_buff_len, bpf_copy_from_user_task, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_skc_to_mptcp_sock, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| netfilter | bpf_map_lookup_elem, bpf_map_update_elem, bpf_map_delete_elem, bpf_ktime_get_ns, bpf_get_prandom_u32, bpf_get_smp_processor_id, bpf_tail_call, bpf_get_current_task, bpf_get_numa_node_id, bpf_get_current_cgroup_id, bpf_map_push_elem, bpf_map_pop_elem, bpf_map_peek_elem, bpf_spin_lock, bpf_spin_unlock, bpf_strtol, bpf_strtoul, bpf_probe_read_user, bpf_probe_read_kernel, bpf_probe_read_user_str, bpf_probe_read_kernel_str, bpf_jiffies64, bpf_get_current_ancestor_cgroup_id, bpf_ktime_get_boot_ns, bpf_ringbuf_output, bpf_ringbuf_reserve, bpf_ringbuf_submit, bpf_ringbuf_discard, bpf_ringbuf_query, bpf_snprintf_btf, bpf_per_cpu_ptr, bpf_this_cpu_ptr, bpf_get_current_task_btf, bpf_for_each_map_elem, bpf_snprintf, bpf_timer_init, bpf_timer_set_callback, bpf_timer_start, bpf_timer_cancel, bpf_task_pt_regs, bpf_loop, bpf_strncmp, bpf_kptr_xchg, bpf_map_lookup_percpu_elem, bpf_dynptr_from_mem, bpf_ringbuf_reserve_dynptr, bpf_ringbuf_submit_dynptr, bpf_ringbuf_discard_dynptr, bpf_dynptr_read, bpf_dynptr_write, bpf_dynptr_data, bpf_ktime_get_tai_ns, bpf_user_ringbuf_drain, bpf_cgrp_storage_get, bpf_cgrp_storage_delete |
| マップの種類 | Available |
|---|---|
| ハッシュ | はい |
| array | はい |
| prog_array | はい |
| perf_event_array | はい |
| percpu_hash | はい |
| percpu_array | はい |
| stack_trace | はい |
| cgroup_array | はい |
| lru_hash | はい |
| lru_percpu_hash | はい |
| lpm_trie | はい |
| array_of_maps | はい |
| hash_of_maps | はい |
| devmap | はい |
| sockmap | はい |
| cpumap | はい |
| xskmap | はい |
| sockhash | はい |
| cgroup_storage | はい |
| reuseport_sockarray | はい |
| percpu_cgroup_storage | はい |
| queue | はい |
| stack | はい |
| sk_storage | はい |
| devmap_hash | はい |
| struct_ops | はい |
| ringbuf | はい |
| inode_storage | はい |
| task_storage | はい |
| bloom_filter | はい |
| user_ringbuf | はい |
| cgrp_storage | はい |
| arena_map | はい |
付録A コンポーネント別のチケットリスト
参考のために、Bugzilla および JIRA チケットのリストをこのドキュメントに記載します。リンクをクリックすると、チケットを説明したこのドキュメントのリリースノートにアクセスできます。
付録B 改訂履歴
0.0-02025 年 11 月 12 日水曜日、Valentina Ashirova (vaashiro@redhat.com)
- Red Hat Enterprise Linux 9.7 リリースノートのリリース。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}