5장. RHEL 8.3.0 릴리스
5.1. 새로운 기능
이 부분에서는 Red Hat Enterprise Linux 8.3에 도입된 새로운 기능 및 주요 개선 사항에 대해 설명합니다.
5.1.1. 설치 프로그램 및 이미지 생성
Anaconda가 버전 33.16으로 업데이트
이 릴리스에서 Anaconda는 버전 33.16으로 업데이트되었습니다. 이 버전은 이전 버전에 비해 다음과 같은 주요 개선사항을 제공합니다.
- 이제 설치 프로그램에 정적 IPv6 주소가 여러 줄에 표시되고 더 이상 창의 크기를 조정하지 않습니다.
- 이제 설치 프로그램에 지원되는 NVDIMM 장치 섹터 크기가 표시됩니다.
- 설치된 시스템에 IPv6 정적 구성이 있는 호스트 이름이 올바르게 구성됩니다.
- 이제 디스크 암호화 암호에서 ASCII가 아닌 문자를 사용할 수 있습니다.
- 설치 프로그램에는 /boot, /tmp 및 /var/local 및 /var/www를 제외한 모든 /var 및 /usr 마운트 지점에서 새 파일 시스템을 만드는 적절한 권장 사항이 표시됩니다.
- 이제 설치 프로그램에서 키보드 레이아웃을 올바르게 확인하고 키보드 키(ALT+SHIFT)를 사용하여 다양한 레이아웃과 언어를 전환할 때 키보드 레이아웃 화면의 상태를 변경하지 않습니다.
- 기존 RAID1 파티션이 있는 시스템에서 더 이상 복구 모드가 실패하지 않습니다.
-
이제
Manual Partitioning
(수동 파티셔닝) 화면에서 컨테이너의 LUKS 버전을 변경할 수 있습니다. -
btrfs-progs
패키지 없이 설치 프로그램이 설치를 성공적으로 완료합니다. - 이제 설치 프로그램에서 암호화된 컨테이너에 기본 LUKS2 버전을 사용합니다.
-
Kickstart 파일이
ignoredisk
(논리 볼륨 그룹) 목록에 PV(논리 볼륨 그룹)를 배치하면 설치 프로그램이 더 이상 충돌하지 않습니다. -
시스템 루트의 새 마운트 경로
/mnt/sysroot
가 도입되었습니다. 이 경로는 대상 시스템의/
를 마운트하는 데 사용됩니다. 일반적으로 물리적 루트와 시스템 루트는 동일하므로/mnt/sysroot
는/mnt/sysimage
와 동일한 파일 시스템에 연결됩니다. 유일한 예외는 배포를 기반으로 시스템 루트가 변경되는 rpm-ostree 시스템입니다. 그런 다음/mnt/sysroot
가/mnt/sysimage
의 하위 디렉토리에 연결됩니다. chroot에/mnt/sysroot
를 사용하는 것이 좋습니다.
(BZ#1691319,BZ#1679893, BZ#1684045, BZ#1688478, BZ#1700450, BZ#1720145, BZ#1723888, BZ#1754977,BZ#1755996,BZ#1784360, BZ#1796310, BZ#1871680)
RHEL 설치 프로그램의 GUI 변경 사항
RHEL 설치 프로그램에는 Installation Summary(설치 요약) 창의 다음 사용자 설정이 포함됩니다.
- 루트 암호
- 사용자 생성
이 변경으로 설치를 시작하기 전에 루트 암호를 구성하고 사용자 계정을 만들 수 있습니다. 이전에는 설치 프로세스를 시작한 후 루트 암호를 구성하고 사용자 계정을 생성했습니다.
루트 암호는 시스템 관리 작업에 사용되는 관리자(수퍼유저 또는 루트라고도 함) 계정에 로그인하는 데 사용됩니다. 사용자 이름은 명령줄에서 로그인하는 데 사용됩니다. 그래픽 환경을 설치하는 경우 그래픽 로그인 관리자는 전체 이름을 사용합니다. 자세한 내용은 설치 미디어 문서에서 대화형 설치에서 RHEL 을 참조하십시오.
(JIRA:RHELPLAN-40469)
이미지 빌더 백엔드 osbuild-composer
가 lorax-composer
를 대체합니다.
osbuild-composer
백엔드는 lorax-composer
를 대체합니다. 새 서비스는 이미지 빌드를 위한 REST API를 제공합니다. 결과적으로 사용자는 보다 안정적인 백엔드와 보다 예측 가능한 출력 이미지를 활용할 수 있습니다.
(BZ#1836211)
Image Builder osbuild-composer
는 이미지 유형 세트를 지원합니다.
osbuild-composer
백엔드 교체를 통해 이번에는 osbuild-composer
에서 지원되는 다음 이미지 유형 세트가 지원됩니다.
- TAR 아카이브 (.tar)
- QEMU QCOW2(.qcow2)
- VMware Virtual Machine Disk (.vmdk)
- Amazon 머신 이미지(.ami)
- Azure 디스크 이미지(.vhd)
- OpenStack Image (.qcow2)
다음 출력은 이번에는 지원되지 않습니다.
- ext4-filesystem
- partitioned-disk
- Ping Cloud
- Google GCE
(JIRA:RHELPLAN-42617)
Image Builder 는 GUI를 통해 클라우드에 대한 푸시 지원
이 향상된 기능을 통해 사용자는 GUI 이미지 빌더를 통해 Azure
및 AWS
서비스 클라우드로 푸시하는 옵션을 선택할 수 있습니다. 결과적으로 사용자는 더 쉬운 업로드 및 인스턴스화를 통해 이점을 얻을 수 있습니다.
(JIRA:RHELPLAN-30878)
5.1.2. 에지용 RHEL
에지 이미지용 RHEL 소개
이번 릴리스에서는 이제 에지 서버에 대한 사용자 지정 RHEL 이미지를 만들 수 있습니다.
Image Builder를 사용하여 에지 이미지의 RHEL을 생성한 다음 RHEL 설치 프로그램을 사용하여 AMD 및 Intel 64비트 시스템에 배포할 수 있습니다. Image Builder는. tar
파일에 rhel-edge-commit
로 에지 이미지의 RHEL을 생성합니다.
RHEL for Edge 이미지는 에지 서버에 RHEL을 원격으로 설치하기 위한 시스템 패키지가 포함된 rpm-ostree
이미지입니다.
시스템 패키지에는 다음이 포함됩니다.
- 기본 OS 패키지
- 컨테이너 엔진으로 Podman
이미지를 사용자 지정하여 요구 사항에 따라 OS 콘텐츠를 구성하고 물리적 및 가상 시스템에 배포할 수 있습니다.
에지용 RHEL 이미지를 사용하면 다음을 수행할 수 있습니다.
- Atomic 업그레이드: 각 업데이트의 상태가 알려져 장치를 재부팅할 때까지 변경 사항이 표시되지 않습니다.
- 업그레이드에 실패한 경우 Greenboot 및 지능적 롤백을 사용한 사용자 정의 상태 점검.
- 애플리케이션 업데이트에서 핵심 OS 업데이트를 분리하고 다양한 버전의 애플리케이션을 테스트 및 배포할 수 있는 컨테이너 중심 워크플로.
- 대역폭이 낮은 환경에 최적화된 OTA 페이로드.
- Greenboot를 사용한 사용자 정의 상태 점검을 통해 복원력을 확보합니다.
에지 이미지의 RHEL 구성, 설치 및 관리에 대한 자세한 내용은 엣지 이미지의 RHEL 구성, 설치 및 관리를 참조하십시오.
(JIRA:RHELPLAN-56676)
5.1.3. 소프트웨어 관리
최상의
dnf 구성 옵션의 기본값이 True
에서 False
로 변경되었습니다.
이번 업데이트를 통해 원래 dnf 동작을 유지하기 위해 기본 구성 파일에서 최상의
dnf 구성 옵션의 값이 True
로 설정되었습니다. 결과적으로 기본 구성 파일을 사용하는 사용자의 경우 동작은 변경되지 않습니다.
고유한 구성 파일을 제공하는 경우 원래 동작을 유지하기 위해 best=True
옵션이 있는지 확인합니다.
dnf reposync
명령의 새로운 --norepopath
옵션을 사용할 수 있습니다.
이전에는 reposync 명령에서
기본적으로 다운로드한 각 리포지토리의 --download-path
디렉터리에 하위 디렉터리를 생성했습니다. 이번 업데이트를 통해 --norepopath
옵션이 도입되었으며 reposync
는 하위 디렉터리를 생성하지 않습니다. 결과적으로 리포지토리가 --download-path
에 지정된 디렉터리로 직접 다운로드됩니다. 이 옵션은 YUM v3 에도 있습니다.
libdnf
플러그인을 활성화 및 비활성화하는 기능
이전에는 서브스크립션 검사가 RHEL 버전의 libdnf
플러그인으로 하드 코딩되었습니다. 이번 업데이트를 통해 microdnf
유틸리티는 libdnf
플러그인을 활성화 및 비활성화할 수 있으며 이제 서브스크립션 검사를 DNF와 동일한 방식으로 비활성화할 수 있습니다. 서브스크립션 확인을 비활성화하려면 --disableplugin=subscription-manager
명령을 사용합니다. 모든 플러그인을 비활성화하려면 --noplugins
명령을 사용합니다.
5.1.4. 쉘 및 명령행 툴
자동 업데이트
RHEL 8.3에는ReaR
(Relax-and- Recovery) 유틸리티에 대한 여러 업데이트가 도입되었습니다. 주요 변경 사항은 다음과 같습니다.
-
외부 백업 소프트웨어로 타사 CDM(Rubrik Cloud Data Management) 지원이 추가되었습니다. 이를 사용하려면 구성 파일의
BACKUP
옵션을CDM
으로 설정합니다. - IBM POWER에서 4GB보다 큰 파일로 복구 이미지를 생성하면 little endian 아키텍처가 활성화되었습니다.
-
ReaR
에 의해 생성된 디스크 레이아웃에는 더 이상 Rancher 2 장기 iSCSI 장치 및 파일 시스템에 대한 항목이 포함되지 않습니다.
(BZ#1743303)
smartmontools
버전 7.1으로 다시 기반
smartmontools
패키지가 버전 7.1으로 업그레이드되어 여러 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.
- 드라이브 데이터베이스에 HDD, SSD 및 USB 추가.
-
JSON 출력 모드를 활성화하기 위한 새로운 옵션
-j
및--json
. -
일부 SAS SSD의 불완전한
로그
하위 페이지 응답에 대한 해결방법. -
READ CAPACITY
명령 처리 개선. - 로그 페이지의 디코딩에 대한 다양한 개선 사항.
opencryptoki
가 3.14.0 버전으로 업데이트
opencryptoki
패키지가 버전 3.14.0으로 업그레이드되어 여러 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.
EP11 암호화 서비스 개선 사항:
- Dilithium 지원
- Edwards-curve 전자 서명 알고리즘 (EdDSA) 지원
- 비SHA1 해시 및 마스크 생성 기능(MGF)을 포함하는 Rivest-Shamir-Adleman 최적의 비대칭 암호화 패딩(RSA-OAEP) 지원
- 프로세스 및 스레드 잠금 강화
-
향상된
btree
및 오브젝트 잠금 - 새로운 IBM Z 하드웨어 z15 지원
- 신뢰할 수 있는 플랫폼 모듈(TPM), ICA(IBM 암호화 아키텍처) 및 통합 암호화 서비스 기능을 위한 여러 토큰 인스턴스 지원
-
openCryptoki
토큰 저장소에 토큰 키를 나열하는 새로운 도구p11sak
을 추가했습니다. - 토큰 리포지토리를 FIPS 호환 암호화로 마이그레이션하는 유틸리티 추가
-
고정
pkcsep11_migrate
도구 - ICSF 소프트웨어의 마이너 수정
(BZ#1780293)
Gpgme
가 1.13.1 버전으로 업데이트.
gpgme
패키지가 업스트림 버전 1.13.1으로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.
-
새로운 컨텍스트 플래그
no-symkey-cache
(GnuPG 2.2.7 이상에서 사용 시),request-origin
(GnuPG 2.2.6 이상에서 사용 시),auto-key-locate
및trust-model
이 도입되었습니다. -
웹 브라우저용 기본 메시징 서버로 새 도구
gpgme-json
이 추가되었습니다. 현재 공개 키 암호화 및 암호 해독이 지원됩니다. - 숨겨진 수신자 옵션을 포함한 직접 키 사양을 지원하고 파일에서 키를 가져오는 새로운 암호화 API가 도입되었습니다. 또한 하위 키를 사용할 수 있습니다.
5.1.5. 인프라 서비스
PowerTOP
버전 2.12로 업데이트
powertop
패키지가 버전 2.12로 업그레이드되었습니다. 이전에 사용 가능한 버전 2.11에 대한 주요 변경 사항은 다음과 같습니다.
- SATA 링크 PM의 경우 장치 인터페이스 전원 관리(DIPM) 사용.
- Intel¢t Lake 모바일 및 데스크탑 시스템, Skylake 서버 및 Atom 기반 Tre¢ 아키텍처(Jasper Lake) 지원.
(BZ#1783110)
버전 2.14.0으로 재구성
tuned
패키지가 업스트림 버전 2.14.0으로 업그레이드되었습니다. 주요 개선 사항은 다음과 같습니다.
-
optimize-serial-console
프로필이 도입되었습니다. - 로드된 프로파일에 대한 지원이 추가되었습니다.
-
irqbalance
설정을 처리하기 위한irqbalance
플러그인이 추가되었습니다. - ThunderX 및 AMD 기반 플랫폼을 위한 아키텍처별 튜닝이 추가되었습니다.
-
CPU 선호도 설정에 대해
cgroups-v1
을 지원하도록 스케줄러 플러그인이 확장되었습니다.
tcpdump
가 버전 4.9.3으로 업데이트
tcpdump
유틸리티가 CVE(Common Vulnerabilities and Exposures)를 수정하기 위해 버전 4.9.3으로 업데이트되었습니다.
libpcap
버전 1.9.1로 업데이트
libpcap
패키지가 CVE(Common Vulnerabilities and Exposures)를 수정하기 위해 버전 1.9.1로 업데이트되었습니다.
iperf3
에서 클라이언트 측의 sctp
옵션 지원
이 향상된 기능을 통해 사용자는 네트워크 처리량을 테스트하는 클라이언트 측에서 TCP(Transmission Control Protocol) 대신 SCTP(Stream Control Transmission Protocol)를 사용할 수 있습니다.
iperf3
에 대한 다음 옵션은 이제 테스트의 클라이언트 측에서 사용할 수 있습니다.
-
--sctp
-
--xbind
-
--nstreams
자세한 내용은 iperf3
도움말 페이지의 클라이언트 특정 옵션을
참조하십시오.
(BZ#1665142)
iperf3
에서 SSL
지원
이 향상된 기능을 통해 사용자는 클라이언트와 서버 간에 RSA 인증을 사용하여 서버에 대한 연결을 합법적인 클라이언트로만 제한할 수 있습니다.
이제 서버 측에서 iperf3
에 대한 다음 옵션을 사용할 수 있습니다.
-
--rsa-private-key-path
-
--authorized-users-path
iperf3
에 대한 다음 옵션은 이제 클라이언트 통신 측에서 사용할 수 있습니다.
-
--username
-
--rsa-public-key-path
9.11
.20으로 다시 기반 연결
bind
패키지가 버전 9.11.20으로 업그레이드되어 여러 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.
- 여러 경쟁 조건을 수정하여 많은 CPU 코어를 사용하는 시스템의 신뢰성 향상.
-
자세한 오류 보고:
dig
및 기타 도구가 이제 EED(Extended DNS Error) 옵션이 있는 경우 출력할 수 있습니다. - AXFR(Inbound DNS Zone Transfer Protocol) 전송의 메시지 ID가 확인되고 일치하지 않는 경우 기록됩니다.
(BZ#1818785)
printk
값을 줄여서 I/O를 직렬 콘솔로 줄이는 새로운 optimize-serial-console
TuneD 프로파일
이번 업데이트를 통해 새로운 optimize-serial-console
TuneD 프로필을 사용할 수 있습니다. 일부 시나리오에서는 커널 드라이버가 많은 양의 I/O 작업을 직렬 콘솔에 보낼 수 있습니다. 이러한 동작으로 인해 I/O가 직렬 콘솔에 기록되는 동안 일시적으로 응답하지 않을 수 있습니다. optimize-serial-console
프로필은 printk
값을 기본값 7 4 1 7에서 4 4 1로 줄여 이 I/O를 줄입니다 . 시스템에서 이러한 변경을 수행하려는 직렬 콘솔이 있는 사용자는 다음과 같이 시스템을 계측할 수 있습니다.
# tuned-adm profile throughput-performance optimize-serial-console
결과적으로 사용자는 재부팅 시 지속되는 출력 값이
낮으므로 시스템이 중단될 가능성이 줄어듭니다.
이 TuneD 프로필은 디버깅 정보를 제거하여 직렬 콘솔에 기록된 I/O의 양을 줄입니다. 이 디버깅 정보를 수집해야 하는 경우 이 프로필이 활성화되지 않고 출력 값이
7 4 1 7 로 설정되어 있는지 확인해야 합니다. printk
run 값을 확인하려면 다음을 실행합니다.
# cat /proc/sys/kernel/printk
AMD 기반 플랫폼에 대한 새로운 TuneD 프로필 추가
RHEL 8.3에서는 AMD 기반 플랫폼에 대한 튜닝을 포함하도록 throughput-performance
TuneD 프로필이 업데이트되었습니다. 매개 변수를 수동으로 변경할 필요가 없으며 AMD
시스템에서 튜닝이 자동으로 적용됩니다. AMD Epyc
및
authenticate 시스템은 기본 throughput-performance
프로필에서 다음 매개변수를 변경합니다.
sched_migration_cost_ns=5000000
and kernel.numa_balancing=0
이번 개선된 기능을 통해 시스템 성능이 ~5% 향상되었습니다.
(BZ#1746957)
Memcached
가 버전 1.5.22로 업데이트
memcached
패키지가 버전 1.5.22로 업그레이드되었습니다. 이전 버전에 대한 주요 변경 사항은 다음과 같습니다.
- TLS가 활성화되어 있습니다.
-
-o inline_ascii_response
옵션이 제거되었습니다. -
ASCII 프로토콜의 인증 모드와 함께
-Y [authfile]
옵션이 추가되었습니다. -
Memcached
는 이제 다시 시작할 때 캐시를 복구할 수 있습니다. - 새로운 실험적 메타 명령이 추가되었습니다.
- 다양한 성능 향상.
5.1.6. 보안
Cyrus SASL
은 SASL /GSSAPI 및
플러그인으로 채널 바인딩을 지원합니다.SASL/
GSS-SPNEGO
이번 업데이트에서는 SASL/GSSAPI 및
플러그인으로 채널 바인딩에 대한 지원이 추가되었습니다. 그 결과, SASL/
GSS-SPNEGOopenldap
라이브러리에서 이 기능을 사용하면 Cyrus SASL
이 LDAP 연결에 대한 필수 채널 바인딩을 도입하는 Microsoft Active Directory 및 Microsoft Windows 시스템과의 호환성을 유지할 수 있습니다.
Libreswan이 3.32로 다시 기반
이번 업데이트를 통해 Libreswan은 여러 가지 새로운 기능과 버그 수정이 포함된 업스트림 버전 3.32로 업데이트되었습니다. 주요 기능은 다음과 같습니다.
- Libreswan에는 더 이상 별도의 FIPS 140-2 인증이 필요하지 않습니다.
- Libreswan은 RFC 8247의 암호화 권장 사항을 구현하고 SHA-1 및 RSA-PKCS v1.5에서 SHA-2 및 RSA-PSS로 기본 설정을 변경합니다.
- Libreswan은 방화벽 규칙 작성을 간소화하는 XFRMi 가상 ipsecXX 인터페이스를 지원합니다.
- 전체 메시 암호화 네트워크에서 충돌 및 재부팅된 노드를 복구하는 기능이 향상되었습니다.
libssh
라이브러리가 4.4.4 버전으로 업데이트되었습니다.
SSH 프로토콜을 구현하는 libssh
라이브러리가 4.8.4 버전으로 업그레이드되었습니다.
이번 업데이트에는 다음과 같은 버그 수정 및 개선 사항이 포함되어 있습니다.
-
PEM 파일에
Ed25519
키에 대한 지원이 추가되었습니다. -
diffie-hellman-group14-sha256
키 교환 알고리즘에 대한 지원이 추가되었습니다. -
libssh
클라이언트 구성 파일의Match
키워드에localuser
에 대한 지원이 추가되었습니다. -
일치
기준 키워드 인수가 대소문자를 구분합니다(키 입력은 대소문자를 구분하지 않지만 키워드 인수는 대소문자를 구분합니다) - 고정 CVE-2019-14889 및 CVE-2020-1730.
- 알려진 호스트 파일에 제공된 경로 문자열에 누락된 디렉터리를 재귀적으로 생성하는 기능이 추가되었습니다.
-
주석과 선행 공백이 있는 PEM 파일에
OpenSSH
키 지원이 추가되었습니다. -
libssh
서버 구성에서OpenSSH
서버 구성이 제거되었습니다.
GNUTls
가 3.6.14로 다시 기반
gnutls
패키지는 업스트림 버전 3.6.14로 업데이트되었습니다. 이 버전은 많은 버그 수정 및 개선 사항을 제공합니다. 특히 다음과 같습니다.
-
Gnutls
에서 잘못된 문자 또는 포맷이 포함된Time
필드가 포함된 인증서를 거부합니다. -
Gnutls
는 이제 신뢰할 수 있는 CA 인증서에 최소 키 크기가 있는지 확인합니다. -
암호화된 개인 키를 표시할 때
certtool
유틸리티에는 더 이상 일반 텍스트 설명이 포함되지 않습니다. -
gnutls
를 사용하는 서버는 이제 OCSP-stapling 지원을 알립니다. -
gnutls
를 사용하는 클라이언트는 이제 요청 시에만 OCSP 스테이플을 보냅니다.
Gnutls
FIPS DH 검사는 이제 NIST SP 800-56A 개정을 따릅니다. 3
gnutls
패키지의 이번 업데이트에서는 NIST 특수 발행 800-56A 버전 3, 섹션 5.7.1.1 및 5.7.1.2, 2단계에 필요한 검사를 제공합니다. 향후 FIPS 140-2 인증에는 변경이 필요합니다. 결과적으로 gnutls
는 FIPS 모드에서 작동할 때 Diffie-Hellman 키 교환 중에 RFC 7919 및 RFC 3526에서 2048비트 또는 더 큰 매개변수만 허용합니다.
Gnutls
는 이제 NIST SP 800-56A rev 3에 따라 검증을 수행합니다.
이 gnutls
패키지 업데이트는 NIST 특수 발행 800-56A 버전 3, 5.6.2.2.2 및 5.6.2.1.3 2단계에 필요한 검사를 추가합니다. 또한 향후 FIPS 140-2 인증을 위해 gnutls
를 준비합니다. 결과적으로 gnutls
는 FIPS 모드에서 작동할 때 Diffie-Hellman 키 교환 중에 생성 및 수신된 공개 키에 대한 추가 검증 단계를 수행합니다.
(BZ#1855803)
update-crypto-policies
및 fips-mode-setup
이 crypto-policies-scripts
로 이동
이전에 crypto-policies 패키지에 포함된 update
-crypto-policies
및 fips-mode -setup
스크립트가 이제 별도의 RPM 하위 패키지crypto-policies-scripts
로 이동되었습니다. 패키지는 일반 설치에 대한 Recommends 종속성을 통해 자동으로 설치됩니다. 이를 통해 ubi8/ubi-minimal
이미지가 활성화되어 Python 언어 인터프리터가 포함되지 않아 이미지 크기가 줄어듭니다.
OpenSC가 버전 0.20.0으로 업데이트
opensc
패키지는 여러 버그 및 보안 문제를 처리하는 버전 0.20.0으로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.
- 이번 업데이트를 통해 CVE-2019-6502,CVE-2019-15946,CVE-2019-15945,CVE-2019-19480,CVE-2019-19481 및 CVE-2019-19479 보안 문제가 수정되었습니다.
-
OpenSC 모듈은 이제
C_WrapKey
및C_UnwrapKey
함수를 지원합니다. - 이제 이 기능을 사용하여 카드 리더의 삽입 및 제거를 탐지할 수 있습니다.
-
pkcs11-tool
유틸리티는 이제CKA_ALLOWED_MECHANISMS
특성을 지원합니다. - 이번 업데이트에서는 OsEID 카드를 기본 감지할 수 있습니다.
- OpenPGP Card v3에서는 ECC( Elliptic Curve Cryptography )를 지원합니다.
- 이제 PKCS#11 URI가 ellipsis를 사용하여 리더 이름을 잘립니다.
S tunnel
이 5.56 버전으로 업데이트
이번 업데이트를 통해 stunnel
암호화 래퍼는 여러 가지 새로운 기능과 버그 수정을 포함하는 업스트림 버전 5.56으로 다시 기반했습니다. 주요 기능은 다음과 같습니다.
-
새로운
티켓KeySecret
및티켓MacSecret
옵션은 발급된 세션 티켓의 기밀성 및 무결성 보호를 제어합니다. 이러한 옵션을 사용하면 클러스터의 다른 노드에서 세션을 다시 시작할 수 있습니다. -
OpenSSL 1.1.0 이상에서 타원 곡선 목록을 제어하는 새로운 곡선
옵션
. -
허용된 TLS 1.3 암호화 정책 목록을 제어하는 새로운
ciphersuites
옵션. -
OpenSSL 1.1.0
이상에
가 추가되었습니다.sslVersion
,sslVersionMin
및 sslVersionMax
libkcapi
가 버전 1.2.0으로 업데이트
libkcapi
패키지는 부 변경 사항이 포함된 업스트림 버전 1.2.0으로 다시 기반했습니다.
(BZ#1683123)
setools
가 4.3.0으로 다시 기반
SELinux 정책 분석을 용이하게 하는 툴 모음인 setools
패키지가 버전 4.3.0으로 업그레이드되었습니다.
이번 업데이트에는 다음과 같은 버그 수정 및 개선 사항이 포함되어 있습니다.
-
TE(type Enforcement) 규칙에 대한 수정된
sediff
방법으로 메모리 및 런타임 문제가 크게 줄어듭니다. -
infiniband
컨텍스트 지원 추가 toseinfo
,sediff
및apol
. -
온라인 문서를 표시하는 데 사용되는 Qt 도우미 도구의 위치에 대한
apol
구성이 추가되었습니다. 다음과 관련된 해결
sediff
문제 :- 요청되지 않은 경우 표시되는 속성 헤더입니다.
-
type_transition
파일의 이름 비교.
-
맵 소켓
sendto
정보 흐름 방향에 대한 고정된 권한. -
TypeAttribute
클래스에 추가된 메서드로 전체 Python 컬렉션이 되도록 합니다. -
이제
Genfscon
은libsepol
에서 삭제된 고정 값을 사용하는 대신 클래스를 조회합니다.
setools
패키지에는 다음 패키지가 필요합니다.
-
setools-console
-
setools-console-analyses
-
setools-gui
개별 CephFS 파일 및 디렉터리에 SELinux 레이블이 있을 수 있음
Ceph 파일 시스템(CephFS)은 최근에 SELinux 레이블을 확장된 파일 속성에 저장하도록 활성화했습니다. 이전에는 CephFS 볼륨의 모든 파일에 하나의 공통 레이블 system_u:object_r:cephfs_t:s0로 레이블이 지정되었습니다
. 이번 개선된 기능을 통해 개별 파일의 레이블을 변경할 수 있으며 SELinux는 전환 규칙에 따라 새로 생성된 파일의 레이블을 정의합니다. 이전에 레이블이 없는 파일에는 명시적으로 변경될 때까지 system_u:object_r:cephfs_t:s0
레이블이 있습니다.
OpenSCAP 을 버전 1.3.3로 업데이트
openscap
패키지가 업스트림 버전 1.3.3로 업그레이드되어 이전 버전에 대해 많은 버그 수정 및 개선 사항을 제공합니다. 특히 다음과 같습니다.
-
CLI(명령줄 인터페이스)를 사용하여 맞춤형 파일을 생성할 수 있는
autotailor
스크립트가 추가되었습니다. - 시간대 부분을 XCCDF(Extensible Configuration Checklist Description Format) TestResult 시작 및 종료 타임스탬프에 추가
-
yamlfilecontent
독립 프로브를 초안 구현으로 추가했습니다. -
XCCDF에서
urn:xccdf:fix:script:kubernetes
수정 유형을 도입했습니다. -
machineconfig
수정을 생성하는 기능이 추가되었습니다. -
oscap-podman
툴에서 모호한 검사 대상을 감지할 수 있습니다. -
rpmverifyfile
프로브는 이제/bin
디렉토리에서 파일을 확인할 수 있습니다. -
복잡한 regexes가
textfilecontent58
프로브에서 실행될 때 수정된 충돌. -
XCCDF 보고서의 평가 특성은
system_info
프로브의 OVAL 엔터티와 일치합니다. -
textfilecontent58
프로브의 오프라인 모드에서 일치하는 고정 파일 경로 패턴입니다. -
systemdunitdependency
프로브에서 고정된 무한 재귀.
SCAP Security Guide는 CIS RHEL 8 벤치마크 v1.0.0과 일치하는 프로파일을 제공합니다.
이번 업데이트를 통해 scap-security-guide
패키지는 CIS Red Hat Enterprise Linux 8 벤치마크 v1.0.0에 맞는 프로필을 제공합니다. 이 프로필을 사용하면 CIS(Center for Internet Security)의 지침을 사용하여 시스템 구성을 강화할 수 있습니다. 결과적으로 CIS Ansible 플레이북 및 CIS SCAP 프로필을 사용하여 CIS로 RHEL 8 시스템을 구성하고 자동화할 수 있습니다.
CIS 프로필의 rpm_verify_permissions
규칙이 제대로 작동하지 않습니다.
scap-security-guide
에서 HIPAA를 구현하는 프로파일 제공
scap-security-guide
패키지 업데이트는 RHEL 8 보안 준수 콘텐츠에 HIPAA(Health Insurance Portability and Accountability Act) 프로필을 추가합니다. 이 프로필 은 HIPAA 개인 정보 보호 규칙 웹 사이트에 설명된 권장 사항을 구현합니다.
HIPAA 보안 규칙(HIPAA Security Rule)은 미국 국가 표준에 따라 생성, 수신, 사용 또는 관리되는 개인 의료 정보를 관리합니다. 보안 규칙에서는 전자 보호 의료 정보의 기밀성, 무결성 및 보안을 보장하기 위해 적절한 관리, 물리적 및 기술 보호 조치가 필요합니다.
scap-security-guide
가 0.1.50으로 업데이트
Linux 시스템에 대한 최신 보안 정책 세트를 포함하는 scap-security-guide
패키지가 0.1.50 버전으로 업그레이드되었습니다.
이 업데이트에는 버그 수정 및 개선 사항이 포함되어 있습니다. 특히 다음과 같습니다.
- Ansible 콘텐츠가 개선되었습니다. 수많은 규칙에는 처음으로 Ansible 해결이 포함되고 버그 수정을 해결하기 위해 다른 규칙이 업데이트되었습니다.
RHEL7 시스템 스캔을 위한
scap-security-guide
콘텐츠 수정 및 개선 사항:-
scap-security-guide
패키지는 이제 CIS RHEL 7 벤치마크 v2.2.0에 맞는 프로필을 제공합니다. CIS 프로필의rpm_verify_permissions
규칙이 제대로 작동하지 않습니다. CIS 프로필에서rpm_verify_permissions
가 실패하는 것을 확인합니다. - SCAP 보안 가이드 프로필은 이제 시작하지 않아야 하는 서비스를 올바르게 비활성화하고 마스킹합니다.
-
scap-security-guide
패키지의audit_rules_privileged_commands
규칙이 권한 있는 명령에 대해 올바르게 작동합니다. -
scap-security-guide
패키지에서dconf_gnome_login_banner_text
규칙을 수정해도 더 이상 잘못 실패하지 않습니다.
-
SCAP Workbench
가 맞춤형 프로파일에서 결과 기반 수정을 생성할 수 있음
이번 업데이트를 통해 SCAP Workbench
툴을 사용하여 맞춤형 프로필에서 결과 기반 수정 역할을 생성할 수 있습니다.
(BZ#1640715)
새로운 Ansible 역할은 Clevis 클라이언트의 자동화된 배포를 제공합니다.
이번 rhel-system-roles
패키지 업데이트에서는 nbde_client
RHEL 시스템 역할이 도입되었습니다. 이 Ansible 역할을 사용하면 자동화된 방식으로 여러 Clevis 클라이언트를 배포할 수 있습니다.
새로운 Ansible 역할에서 Tang 서버를 설정할 수 있음
이 향상된 기능을 통해 새로운 nbde_server
시스템 역할을 사용하여 자동화된 디스크 암호화 솔루션의 일부로 Tang 서버를 배포하고 관리할 수 있습니다. rhel-system-roles
패키지에 포함된 nbde_server
Ansible 역할은 다음 기능을 지원합니다.
- Tang 키 순환
- Tang 키 배포 및 백업
자세한 내용은 Tang 서버 키 순환을 참조하십시오.
Clevis
가 버전 13으로 다시 기반
clevis
패키지는 여러 버그 수정 및 개선 사항을 제공하는 버전 13으로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.
-
Clevis luks unlock
는 비대화형 모드에서 키 파일이 있는 장치에서 사용할 수 있습니다. -
Clevis encrypt tpm2
는 입력이 JSON 배열로 제공되는 경우pcr_ids
필드를 구문 분석합니다. -
clevis-luks-unbind(1)
도움말 페이지는 더 이상 LUKS v1만 참조하지 않습니다. -
지정된 암호가 올바르지 않으면 Clevis
luks bind
가 비활성 슬롯에 더 이상 기록되지 않습니다. -
Clevis luks는 현재 바인딩
되어 있지 않은 영어 로케일을 사용하는 동안 바인딩됩니다. -
tpm2-tools
4.x에 대한 지원이 추가되었습니다.
Clevis luks edit
를 통해 특정 고정 구성을 편집할 수 있습니다.
이번 clevis 패키지 업데이트에서는 새로운 clevis
luks edit
하위 명령을 도입하여 특정 고정 구성을 편집할 수 있습니다. 예를 들어 TPM2 구성에서 Tang 서버의 URL 주소와 pcr_ids
매개 변수를 변경할 수 있습니다. 새 sss 고정을 추가 및 제거하고 sss
pin의 임계값을 변경할 수도 있습니다 .
(BZ#1436735)
Clevis luks bind -y
에서 자동 바인딩 허용
이 향상된 기능을 통해 Clevis는 -y
매개변수를 사용한 자동화된 바인딩을 지원합니다. 이제 -y
옵션을 clevis luks bind
명령과 함께 사용하면 yes 를 사용하여 후속 프롬프트에 자동으로 답변할 수 있습니다. 예를 들어 Tang 쌍을 사용할 때 더 이상 Tang 키를 수동으로 신뢰할 필요가 없습니다.
(BZ#1819767)
fapolicyd
버전 1.0으로 업데이트
fapolicyd
패키지는 여러 버그 수정 및 개선 사항을 제공하는 버전 1.0으로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.
- 여러 스레드 동기화 문제가 해결되었습니다.
- 데이터베이스 크기 및 로드 시간 감소로 성능 향상.
-
신뢰 백엔드를 사용자 지정하기 위해
fapolicyd
.conf
파일의 fapolicyd 패키지에 대한 새 trust 옵션이 추가되었습니다. 신뢰할 수 있는 모든 파일, 바이너리 및 스크립트를 새/etc/fapolicyd/fapolicyd.trust
파일에 추가할 수 있습니다. -
CLI를 사용하여
fapolicyd.trust
파일을 관리할 수 있습니다. - CLI를 사용하여 데이터베이스를 정리하거나 덤프할 수 있습니다.
-
fapolicyd
패키지는 스크립트를 더 효과적으로 디코딩하기 위해 매직 데이터베이스를 재정의합니다. CLI는 재정의에 따라 file 명령과 유사한 파일의 MIME 유형을 출력합니다. -
/etc/fapolicyd/fapolicyd.rules
파일은 값 그룹을 특성 값으로 지원합니다. -
fapolicyd
데몬에는audit/sylog
이벤트 형식을 설정하는syslog_format
옵션이 있습니다.
fapolicyd는 이제 fapolicyd
-selinux
에 자체 SELinux 정책을 제공합니다.
이번 개선된 기능을 통해 fapolicyd
프레임워크에서 자체 SELinux 보안 정책을 제공합니다. 데몬은 fapolicyd_t
도메인 아래에 제한되며 정책은 fapolicyd-selinux
하위 패키지를 통해 설치됩니다.
usbguard
는 버전 0.2.8로 업데이트
usbguard
패키지는 여러 버그 수정 및 개선 사항을 제공하는 버전 0.2.8로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.
-
/etc/usbguard/usbguard-daemon.conf
파일의HidePII=true|false
매개 변수는 이제 감사 항목에서 식별 가능한 정보를 숨길 수 있습니다. -
/etc/usbguard/usbguard-daemon.conf
파일의AuthorizedDefault=keep|none|all|internal
매개 변수는 컨트롤러 장치의 권한 부여 상태를 미리 정의할 수 있습니다. -
새로운
with-connect-type
규칙 속성을 사용하여 사용자는 이제 장치의 연결 유형을 구분할 수 있습니다. -
사용자는 이제
-t
옵션을 사용하여 임시 규칙을 추가할 수 있습니다. 임시 규칙은 데몬이 다시 시작될 때까지만 메모리에 유지됩니다. -
usbguard list-rules
는 이제 특정 속성에 따라 규칙을 필터링할 수 있습니다. -
usbguard generate-policy
에서 이제 특정 장치에 대한 정책을 생성할 수 있습니다. -
usbguard allow|block|reject
명령은 이제 규칙 문자열을 처리할 수 있으며 지정된 규칙 문자열과 일치하는 각 장치에 대상이 적용됩니다. -
새 하위 패키지
usbguard-notifier
및usbguard-selinux
가 포함됩니다.
usbguard
는 기업 데스크탑 사용자를 위해 많은 개선 사항을 제공합니다.
이 외에도 USBGuard 프로젝트에는 회사 데스크탑 사용자의 사용 편의성을 향상시키기 위한 개선 사항 및 버그 수정이 포함되어 있습니다. 중요한 변경 사항은 다음과 같습니다.
-
/etc/usbguard/rules.conf
규칙 파일을 정리하기 위해 사용자는RuleFolder=/etc/usbguard/rules.d/
디렉터리에 여러 구성 파일을 정의할 수 있습니다. 기본적으로 RuleFolder 는/etc/usbguard-daemon.conf
파일에 지정됩니다. -
usbguard-notifier
도구는 이제 GUI 알림을 제공합니다. 장치는 장치를 연결하거나 연결할 때마다 사용자에게 알리고 장치를 허용, 차단 또는 거부할 수 있는지 여부를 알립니다. -
usbguard-daemon
에서#
로 시작하는 행을 구문 분석하지 않으므로 이제 구성 파일에 주석을 포함할 수 있습니다.
usbguard는 이제 usbguard-selinux
에 자체 SELinux 정책을 제공합니다.
이 향상된 기능을 통해 USBGuard 프레임워크에서 자체 SELinux 보안 정책을 제공합니다. 데몬은 usbguard_t
도메인 아래에 제한되며 정책은 usbguard-selinux
하위 패키지를 통해 설치됩니다.
libcap
의 기능 지원
이번 업데이트를 통해 사용자는 로그인 시 주변 기능을 부여할 수 있으며 적절하게 구성된 프로세스에 대해 루트 액세스 권한이 없어도 방지할 수 있습니다.
(BZ#1487388)
libseccomp
라이브러리가 버전 2.4.3으로 업데이트되었습니다.
seccomp
시스템 호출 필터링 메커니즘에 인터페이스를 제공하는 libseccomp
라이브러리가 버전 2.4.3으로 업그레이드되었습니다.
이번 업데이트에서는 다양한 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.
-
Linux v5.4-rc4의
syscall
테이블을 업데이트했습니다. -
존재하지 않는 시스템 호출에 대한
__NR_x
값을 더 이상 정의하지 않습니다. -
_SNR_x
는 이제 내부적으로 사용됩니다. -
추가된 _
SNR_ppoll
을정의합니다
. - s390/s390x shm* 시스템 호출에서 멀티플렉싱 문제를 해결했습니다.
-
libseccomp
툴 컴파일에서static
플래그를 제거했습니다. -
추가 지원 for
io-uring
관련 시스템 호출. -
v2.4.0 릴리스에 도입된 Python 모듈 이름 지정 문제를 수정했습니다. 모듈의 이름은 이전에
seccomp
로 지정됩니다. -
scmp_bpf_sim
툴에서clang
으로 식별되는 잠재적인 메모리 누수를 수정했습니다.
omamqp1
모듈 지원
이번 업데이트를 통해 AMQP 1.0
프로토콜은 버스의 대상으로 메시지 전송을 지원합니다. 이전에는 Openstack에서 AMQP1
프로토콜을 통신 표준으로 사용했으며 이 프로토콜은 이제 AMQP 메시지에 메시지를 기록할 수 있습니다. 이번 업데이트에서는 메시지를 기록하고 버스의 대상으로 전송하는ma mqp1
출력 모드를 제공하는 rsyslog-mamqp1 하위
패키지가 도입되었습니다.
OpenSCAP이 원격 콘텐츠 압축
이번 업데이트를 통해 OpenSCAP은 원격 콘텐츠를 전송하는 데 gzip
압축을 사용합니다. 가장 일반적인 원격 콘텐츠 유형은 텍스트 기반 CVE 피드로, 시간이 지남에 따라 크기가 증가하고 일반적으로 모든 스캔에 대해 다운로드해야 합니다. gzip
압축은 압축되지 않은 콘텐츠에 필요한 대역폭의 10%로 줄어듭니다. 결과적으로 스캔한 시스템과 원격 콘텐츠를 호스팅하는 서버 간에 전체 체인의 대역폭 요구 사항이 줄어듭니다.
SCAP Security Guide는 이제 NIST-800-171과 일치하는 프로파일을 제공합니다.
이번 업데이트를 통해 scap-security-guide
패키지는 NIST-800-171 표준에 맞는 프로필을 제공합니다. 프로필을 사용하면 비유형 정보 시스템에서 CUI(Controlled Unclassified Information)를 보호하기 위한 보안 요구 사항에 따라 시스템 구성을 강화할 수 있습니다. 따라서 NIST-800-171 표준에 맞게 시스템을 보다 쉽게 구성할 수 있습니다.
5.1.7. 네트워킹
IPv4 및 IPv6 연결 추적 모듈이 the nf_conntrack
모듈에 병합되었습니다.
이번 개선된 기능은 the nf_conntrack_ipv4
및 nf_conntrack_ipv6
Netfilter 연결 추적 모듈을 the nf_conntrack_
ipv4로 병합합니다. 이러한 변경으로 인해 주소 제품군별 모듈의 블랙리스트를 RHEL 8.3에서 더 이상 작동하지 않으며 the nf_conntrack
모듈만 블랙리스트하여 IPv4 및 IPv6 프로토콜에 대한 연결 추적 지원을 비활성화할 수 있습니다.
(BZ#1822085)
Firewalld가 버전로 업데이트 된 버전 지정.2
firewalld
패키지가 업스트림 버전 4.6.2로 업그레이드되어 이전 버전에 비해 여러 버그 수정이 제공됩니다. 자세한 내용은 firewalld.2 릴리스 정보를 참조하십시오.
NetworkManager가 버전 1.26.0으로 업데이트
NetworkManager
패키지가 업스트림 버전 1.26.0으로 업그레이드되어 이전 버전에 비해 여러 개선 사항 및 버그 수정이 제공됩니다.
- NetworkManager는 장치 비활성화 시 자동 협상, 속도 및 이중화 설정을 원래 값으로 재설정합니다.
- 이전 활성화에 실패하면 Wi-Fi 프로필이 자동으로 연결됩니다. 즉, 초기 네트워크에 자동 연결하지 않으면 더 이상 자동 일치가 차단되지 않습니다. 부작용은 이전에 차단되었던 기존의 Wi-Fi 프로파일이 자동으로 연결된다는 것입니다.
-
nm-settings-nmcli(5)
및nm-settings-dbus(5)
도움말 페이지가 추가되었습니다. - 여러 브리지 매개 변수에 대한 지원이 추가되었습니다.
- VRF(가상 라우팅 및 전달) 인터페이스에 대한 지원이 추가되었습니다. 자세한 내용은 다양한 인터페이스에서 동일한 IP 주소를 영구적으로 재사용하는 것을 참조하십시오.
- Wi-Fi 네트워크에 대한 기회 OWE(가상화 모드) 지원이 추가되었습니다.
- NetworkManager는 RFC 3021 에 따라 IPv4 포인트 투 포인트 링크에서 31비트 접두사를 지원합니다.
-
nmcli 유틸리티는 nmcli
connection modify <connection_name> remove <setting>
명령을 사용하여 설정을 제거하는 기능을 지원합니다. - 마스터 장치가 누락된 경우 NetworkManager는 슬레이브 장치를 더 이상 생성하고 활성화하지 않습니다.
주요 변경 사항에 대한 자세한 내용은 업스트림 릴리스 노트를 참조하십시오.
XDP는 조건부 지원
Red Hat은 다음 모든 조건이 적용되는 경우에만 eXpress Data Path(XDP) 기능을 지원합니다.
- AMD 또는 Intel 64비트 아키텍처에서 XDP 프로그램을 로드합니다.
-
libxdp
라이브러리를 사용하여 프로그램을 커널로 로드합니다. -
XDP 프로그램은 다음 반환 코드 중 하나를 사용합니다.
XDP_ABORTED
,XDP_DROP
또는XDP_PASS
- XDP 프로그램은 XDP 하드웨어 오프로딩을 사용하지 않습니다
지원되지 않는 XDP 기능에 대한 자세한 내용은 기술 프리뷰로 사용 가능한 XDP 기능 개요를 참조하십시오.
XDP-tools
는 부분적으로 지원됨
커널 eXpress Data Path(XDP) 기능에 대한 사용자 공간 지원 유틸리티가 포함된 xdp-tools
패키지는 이제 AMD 및 Intel 64비트 아키텍처에서 지원됩니다. 여기에는 libxdp
라이브러리, XDP 프로그램 로드를 위한 xdp-loader
유틸리티, 패킷 필터링을 위한 xdp-filter
예제 프로그램이 포함됩니다. XDP가 활성화된 네트워크 인터페이스에서 패킷을 캡처하기 위한 xdpdump
유틸리티는 여전히 기술 프리뷰입니다. (BZ#1820670)
기본적으로 dracut
유틸리티는 초기 RAM 디스크에서 NetworkManager를 사용합니다.
이전에는 dracut
유틸리티에서 쉘 스크립트를 사용하여 초기 RAM 디스크 initrd
의 네트워킹을 관리했습니다. 이 경우 문제가 발생할 수 있습니다. 예를 들어 RAM 디스크의 스크립트가 IP 주소를 이미 요청했더라도 NetworkManager는 다른 DHCP 요청을 전송하여 시간 초과가 발생할 수 있습니다.
이번 업데이트를 통해 기본적으로 dracut
은 초기 RAM 디스크에서 NetworkManager를 사용하고 시스템이 문제가 발생하지 않도록 합니다. 이전 구현으로 다시 전환하고 RAM 디스크 이미지를 재생성하려면 다음 명령을 사용하십시오.
# echo 'add_dracutmodules+=" network-legacy "' > /etc/dracut.conf.d/enable-network-legacy.conf # dracut -vf --regenerate-all
(BZ#1626348)
커널 명령줄의 네트워크 구성이 ip
매개변수 아래에 통합되었습니다
커널 명령줄에서 네트워크 구성을 설정하는 ipv6
,넷마스크
,게이트웨이
및 호스트 이름
매개 변수가 ip
매개 변수 아래에 통합되었습니다. ip
매개변수는 다음과 같은 다양한 형식을 허용합니다.
ip=__IP_address__:__peer__:__gateway_IP_address__:__net_mask__:__host_name__:__interface_name__:__configuration_method__
이 매개변수에서 허용하는 개별 필드 및 기타 형식에 대한 자세한 내용은 dracut.cmdline(7)
도움말 페이지의 ip
매개변수 설명을 참조하십시오.
RHEL 8에서는 ipv6
,넷마스크
,게이트웨이
및 호스트 이름
매개 변수를 더 이상 사용할 수 없습니다.
(BZ#1905138)
5.1.8. 커널
RHEL 8.3의 커널 버전
Red Hat Enterprise Linux 8.3은 커널 버전 4.18.0-240과 함께 배포됩니다.
RHEL 8.3에 대한 Extended Berkeley Packet Filter
eBPF(Extended Berkeley Packet Filter) 는 제한된 기능 집합에 액세스할 수 있는 제한된 샌드박스 환경에서 커널 공간에서 코드를 실행할 수 있는 커널 내 가상 시스템입니다. 가상 시스템은 특수 어셈블리와 유사한 코드를 실행합니다.
eBPF 바이트코드는 먼저 커널로 로드된 다음 확인, 실시간 컴파일만 사용하여 네이티브 시스템 코드로 코드 변환한 다음 가상 시스템에서 코드를 실행합니다.
Red Hat은 eBPF 가상 시스템을 활용하는 다양한 구성 요소를 제공합니다. 각 구성 요소는 다른 개발 단계에 있으므로 현재 모든 구성 요소가 완전히 지원되지는 않습니다. RHEL 8.3에서는 다음 eBPF 구성 요소가 지원됩니다.
- eBPF를 사용하여 Linux 운영 체제의 I/O 분석, 네트워킹 및 모니터링을 위한 툴을 제공하는 BCC(BPF Compiler Collection) 툴 패키지
- BCC 라이브러리는 BCC 툴 패키지에서 제공되는 툴과 유사한 툴을 개발할 수 있도록 합니다.
- 커널 네트워크 데이터 경로 내에서 프로그래밍 가능한 패킷 처리를 가능하게 하는 tc(트래픽 제어) 기능을 위한 eBPF 입니다.
- 커널 네트워킹 스택이 처리하기 전에 수신된 패킷에 대한 액세스를 제공하는 eXpress Data Path(XDP) 기능은 특정 조건에서 지원됩니다. 자세한 내용은 Relase Notes의 네트워킹 섹션을 참조하십시오.
-
libbpf
패키지는 bpftrace 및 bpf
관련 애플리케이션에 중요합니다. 자세한 내용은 전용 릴리스 노트 libbpf를 참조하십시오./xdp 개발과 같은 bpf
-
XDP 기능에 대한 사용자 공간 지원 유틸리티가 포함된
xdp-tools
패키지는 이제 AMD 및 Intel 64비트 아키텍처에서 지원됩니다. 여기에는libxdp
라이브러리, XDP 프로그램 로드를 위한xdp-loader
유틸리티, 패킷 필터링을 위한xdp-filter
예제 프로그램이 포함됩니다. XDP가 활성화된 네트워크 인터페이스에서 패킷을 캡처하기 위한xdpdump
유틸리티는 여전히 지원되지 않는 기술 프리뷰입니다. 자세한 내용은 릴리스 정보의 네트워킹 섹션을 참조하십시오.
특정 구성 요소가 지원되는 것으로 표시되지 않는 한 다른 eBPF 구성 요소는 기술 프리뷰로 사용할 수 있습니다.
다음과 같은 주요 eBPF 구성 요소는 현재 기술 프리뷰로 사용할 수 있습니다.
-
bpftrace
추적 언어 -
사용자 공간에 eXpress Data Path(XDP) 경로를 연결하는
AF_XDP
소켓
기술 프리뷰 구성 요소에 대한 자세한 내용은 기술 프리뷰를 참조하십시오.
Cornelis Networks -Path Architecture (OPA) 호스트 소프트웨어
Red Hat Enterprise Linux 8.3에서 OPA(OPA-Path Architecture) 호스트 소프트웨어가 완벽하게 지원됩니다. OPA는 클러스터형 환경의 컴퓨팅 노드와 I/O 노드 간의 고성능 데이터 전송(고급 대역폭, 높은 메시지 속도, 짧은 대기 시간)을 위해 HFI(Host Fabric Interface) 하드웨어에 초기화 및 설정을 제공합니다.
TSX 는 기본적으로 비활성화되어 있습니다
RHEL 8.3부터는 이제 OS 보안을 개선하기 위해 기본적으로 Intel® TSX(Transactional Synchronization Extensions) 기술이 비활성화되었습니다. 변경 사항은 TSX 비활성화를 지원하는 CPU에 적용됩니다. 여기에는 2세대 Intel® Xeon® Scalable Processors(이전 명칭: Intel® C620 시리즈가 포함된 Cascade Lake)가 포함됩니다.
애플리케이션이 TSX 를 사용하지 않는 사용자의 경우 변경 사항은 2차 Generation Intel® Xeon® Scalable Processors의 TSX 비동기 중단(TAA) 완화의 기본 성능 저하를 제거합니다.
또한 변경 사항은 Linux 5.4 이후 TSX 가 기본적으로 비활성화된 업스트림과 RHEL 커널 동작을 조정합니다.
TSX 를 활성화하려면 tsx=on
매개 변수를 커널 명령줄에 추가합니다.
(BZ#1828642)
RHEL 8.3에서 페이지 소유자 추적 기능을 지원
이번 업데이트를 통해 페이지 소유자 추적 기능을 사용하여 페이지 할당 수준에서 커널 메모리 사용률을 관찰할 수 있습니다.
페이지 추적기를 활성화하려면 다음 단계를 실행하십시오.
# grubby --args="page_owner=on" --update-kernel=0 # reboot
결과적으로 페이지 소유자 추적기가 커널 메모리 사용량을 추적하여 커널 메모리 누수를 디버그하고 많은 메모리를 사용하는 드라이버를 탐지하는 데 도움이 됩니다.
(BZ#1825414)
AMD EPYC™ 7003 시리즈 프로세서용 EDAC 지원
이번 개선된 기능으로 AMD EPYC™ 7003 시리즈 프로세서에 대한 오류 감지 및 수정(EDAC) 장치 지원을 제공합니다. 이전에는 AMD EPYC™ 7003 시리즈 프로세서를 기반으로 하는 시스템에서 수정(CE) 및 수정되지 않은(UE) 메모리 오류가 보고되지 않았습니다. 이번 업데이트를 통해 이제 EDAC를 사용하여 이러한 오류가 보고됩니다.
(BZ#1735611)
perf
툴로 샘플그래픽 지원
이번 업데이트를 통해 perf
명령줄 툴에서 화살표를 지원하여 시스템 성능을 그래픽으로 표시합니다. perf
데이터는 유사한 스택 역추적이 있는 샘플로 그룹화됩니다. 결과적으로 이 데이터는 계산으로 많이 사용되는 코드 영역을 보다 쉽게 식별할 수 있도록 시각적 표현으로 변환됩니다. perf
툴을 사용하여 표시를 생성하려면 다음 명령을 실행합니다.
$ perf script record flamegraph -F 99 -g -- stress --cpu 1 --vm-bytes 128M --timeout 10s stress: info: [4461] dispatching hogs: 1 cpu, 0 io, 0 vm, 0 hdd stress: info: [4461] successful run completed in 10s [ perf record: Woken up 1 times to write data ] [ perf record: Captured and wrote 0.060 MB perf.data (970 samples) ] $ perf script report flamegraph dumping data to flamegraph.html
참고: 표시기를 생성하려면 js-d3-flame-graph
rpm을 설치합니다.
(BZ#1281843)
/dev/random
및 /dev/urandom
은 Kernel API DRBG에 의해 조건부로 구동됩니다.
FIPS 모드에서 /dev/random
및 /dev/urandom
의사 임의 번호 생성기는 DRBG(커널 API 결정 임의 비트 생성기)를 통해 구동됩니다. FIPS 모드의 애플리케이션은 언급된 장치를 FIPS 호환 잡음 소스로 사용하므로 장치는 FIPS 승인 알고리즘을 사용해야 합니다. 이 목표를 달성하기 위해 /dev/random
드라이버에 필요한 후크가 추가되었습니다. 결과적으로 후크가 FIPS 모드에서 활성화되고 /dev/random 및
이 Kernel API DRBG에 연결됩니다.
/dev/
urandom
(BZ#1785660)
libbpf
가 완전히 지원됨
bpf trace 및 bpf
관련 애플리케이션에 중요한 /xdp
개발과 같은 bpflibbpf
패키지가 이제 완전히 지원됩니다.
bpf-next linux 트리 bpf-next/tools/lib/bpf
디렉토리와 지원 헤더 파일의 미러입니다. 패키지의 버전은 ABI(Application Binary Interface) 버전을 반영합니다.
(BZ#1759154)
lshw
유틸리티에서 추가 CPU 정보 제공
이번 개선된 기능을 통해lshw(List Hardware utility)에 더 많은 CPU 정보가 표시됩니다. CPU 버전
필드에는 이제 <family>.<model>.<stepping> 버전의
숫자 형식으로 시스템 프로세서의 제품군, 모델 및 스테핑 세부 정보를 제공합니다.
kernel-rt
소스 트리가 RHEL 8.3 트리로 업데이트되었습니다.
최신 Red Hat Enterprise Linux 커널 소스 트리를 사용하도록 kernel-rt
소스가 업데이트되었습니다. 실시간 패치 세트도 최신 업스트림 버전 v5.6.14-rt7로 업데이트되었습니다. 이 두 업데이트 모두 여러 버그 수정 및 개선 사항을 제공합니다.
(BZ#1818138, BZ#1818142)
tpm2-tools
가 버전 4.1.1로 업데이트
tpm2-tools
패키지가 버전 4.1.1으로 업그레이드되어 많은 명령 추가, 업데이트 및 제거를 제공합니다. 자세한 내용은 RHEL8.3 솔루션의 업데이트에서 tpm2-tools 패키지를 참조하십시오.
(BZ#1789682)
Mellanox ConnectX-6 Dx 네트워크 어댑터가 완전히 지원됩니다.
이번 개선된 기능에는 Mellanox ConnectX-6 Dx 네트워크 어댑터의 PCI ID가 mlx5_core
드라이버에 추가됩니다. 이 어댑터를 사용하는 호스트에서 RHEL은 mlx5_core
드라이버를 자동으로 로드합니다. 이전에 기술 프리뷰로 사용할 수 있는 이 기능은 이제 RHEL 8.3에서 완전히 지원됩니다.
(BZ#1782831)
mlxsw
드라이버가 버전 5.7로 업데이트
mlxsw 드라이버가
업스트림 버전 5.7로 업그레이드되고 다음과 같은 새 기능이 포함되어 있습니다.
- 버퍼 점유 데이터를 제공하는 공유 버퍼 occupancy 기능입니다.
-
계층 2, 계층
3
,터널
및액세스 제어 목록
드롭을 모니터링할 수 있는 패킷 드롭 기능. - 패킷 트랩 구매자 지원.
- LLDP(링크 계층 검색 프로토콜) 에이전트를 사용한 기본 포트 우선 순위 구성 지원.
- ETS(Transmission Selection) 및 TBF(Token 버킷 필터) 대기열 처리 지원.
-
초기에 패킷이 손실되지 않도록 대기열 규제
nodrop
모드가 활성화됩니다. -
트래픽 클래스 SKB 편집 작업
skbedit
우선 순위 기능을 사용하면 패킷 메타데이터를 변경하고pedit
Traffic Class Offloading(TOS)으로 보완됩니다.
(BZ#1821646)
crash 커널이 kdump에 대한 메모리 예약 확장
이번 개선된 기능을 통해 crashkernel=auto
인수는 이제 4GB ~ 64GB 메모리 용량의 머신에 더 많은 메모리를 예약합니다. 이전 버전에서는 메모리 예약이 제한되어 크래시 커널이 커널 공간 및 사용자 공간 메모리가 확장됨에 따라 크래시 덤프를 캡처하지 못했습니다. 그 결과 크래시 커널에 OOM(메모리 부족) 오류가 발생했습니다. 이번 업데이트에서는 설명된 시나리오에서 OOM 오류 발생을 줄이고 그에 따라 kdump
의 메모리 용량을 확장할 수 있습니다.
(BZ#1746644)
5.1.9. 파일 시스템 및 스토리지
LVM에서 VDO 볼륨을 관리할 수 있음
LVM에서 VDO(가상 데이터 최적화 도구) 세그먼트 유형을 지원합니다. 결과적으로 LVM 유틸리티를 사용하여 VDO 볼륨을 기본 LVM 논리 볼륨으로 만들고 관리할 수 있습니다.
VDO는 인라인 블록 수준 중복 제거, 압축 및 씬 프로비저닝 기능을 제공합니다.
자세한 내용은 RHEL에서 논리 볼륨 복제 및 압축을 참조하십시오.
(BZ#1598199)
SCSI 스택이 고성능 어댑터에서 더 잘 작동합니다.
SCSI 스택의 성능이 향상되었습니다. 결과적으로 차세대 고성능 HBA(호스트 버스 어댑터)가 RHEL에서 더 높은 IOPS(초당 I/O)를 사용할 수 있습니다.
(BZ#1761928)
megaraid_sas
드라이버가 최신 버전으로 업데이트되었습니다
megaraid_sas
드라이버가 버전 07.713.01.00-rc1로 업데이트되었습니다. 이번 업데이트에서는 성능 향상, 지원 대상 어댑터의 안정성 향상, 더욱 풍부한 기능 세트와 관련된 여러 버그 수정 및 개선 사항을 제공합니다.
(BZ#1791041)
Stratis에서 오류가 발생한 풀 이름을 나열합니다.
기존 Stratis 풀에서 이미 사용 중인 블록 장치에 Stratis 풀을 생성하려고 하면 stratis
유틸리티에서 기존 풀의 이름을 보고합니다. 이전에는 유틸리티가 풀의 UUID 레이블만 나열했습니다.
FPIN ELS 프레임 알림 지원
lpfc
Fibre Channel(FC) 드라이버는 이제 링크 수준 문제를 식별하고 스위치가 보다 안정적인 경로를 선택할 수 있도록 링크 무결성에 관한 Fabric Performance Impact Notifications(PASSWORDINs)를 지원합니다.
(BZ#1796565)
LVM on-disk 메타데이터를 디버깅하기 위한 새로운 명령
lvm2
패키지에서 사용할 수 있는 pvck
유틸리티는 이제 물리 볼륨의 LVM on-disk 메타데이터를 디버그하거나 복구하는 하위 수준의 명령을 제공합니다.
-
메타데이터를 추출하려면
pvck --dump
명령을 사용합니다. -
메타데이터를 복구하려면
pvck --repair
명령을 사용합니다.
자세한 내용은 pvck(8)
도움말 페이지를 참조하십시오.
(BZ#1541165)
LVM RAID는 장치에서 손상된 데이터로 인해 데이터 손실을 방지하기 위해 DM 무결성 지원
이제 데이터가 손실되지 않도록 LVM RAID 구성에 장치 매퍼(DM) 무결성을 추가할 수 있습니다. 무결성 계층은 장치에서 데이터 손상을 감지하고 RAID 계층을 경고하여 LVM RAID에서 손상된 데이터를 수정합니다.
RAID는 장치 오류로 인한 데이터 손실을 방지하지만 LVM RAID 어레이에 무결성을 추가하면 장치의 손상된 데이터로 인해 데이터가 손실되지 않습니다. 새 LVM RAID를 생성할 때 무결성 계층을 추가하거나 이미 존재하는 LVM RAID에 추가할 수 있습니다.
(JIRA:RHELPLAN-39320)
AWS, Azure 및 Aliyun 공용 클라우드에서 지원되는 탄력적 스토리지 (GFS2)
탄력적 스토리지(GFS2)는 이제 공유 블록 장치 지원을 도입하여 AWS(Amazon), Microsoft(Azure) 및 보증(Aliyun)의 세 가지 주요 퍼블릭 클라우드에서 지원됩니다. 그 결과 GFS2는 이제 온프레미스와 퍼블릭 클라우드에서 모두 사용할 수 있는 옵션이 있는 진정한 하이브리드 클라우드 클러스터 파일 시스템이 되었습니다. Microsoft Azure 및 on AWS에서 공유 블록 스토리지를 구성하는 방법에 대한 자세한 내용은 Microsoft Azure에 RHEL 8 배포 및 Amazon Web Services에 RHEL 8 배포를 참조하십시오. Alibaba Cloud에서 공유 블록 스토리지를 구성하는 방법에 대한 자세한 내용은 Alibaba Cloud 에서 Red Hat High Availability Cluster를 위한 공유 블록 스토리지 구성 을 참조하십시오.
사용자 공간에서 최신 nfsdcld
데몬 지원
이제 userspace는 네임스페이스 인식 클라이언트 추적 방법인 lastest nfsdcld
데몬을 지원합니다. 이 향상된 기능을 통해 데이터 손상 없이 클라이언트가 컨테이너화된 knfsd
데몬에서 클라이언트 열기 또는 잠금 복구를 수행할 수 있습니다.
nconnect
에서 여러 동시 연결을 지원
이 향상된 기능을 사용하면 nconnect
기능을 사용하여 NFS 서버에 대한 여러 동시 연결을 만들어 다른 로드 밸런싱 기능을 사용할 수 있습니다. nconnect
=X NFS 마운트 옵션을 사용하여 nconnect
기능을 활성화합니다. 여기서 X 는 사용할 동시 연결 수입니다. 현재 제한은 16입니다.
(BZ#1683394, BZ#1761352)
클라이언트 정보 추적을 위한 nfsdcld
데몬 지원
이번 개선된 기능을 통해 nfsdcld
데몬은 이제 안정적인 스토리지에 대한 클라이언트별 정보를 추적하는 기본 방법입니다. 결과적으로 컨테이너에서 실행 중인 NFS v4를 사용하면 서버를 다시 시작한 후 클라이언트가 열기 또는 잠금을 회수할 수 있습니다.
(BZ#1817752)
5.1.10. 고가용성 및 클러스터
Pacemaker
가 버전 2.0.4로 업데이트
Pacemaker 클러스터 리소스 관리자가 여러 버그 수정 사항을 제공하는 업스트림 버전 2.0.4로 업그레이드되었습니다.
새로운 priority-fencing-delay
클러스터 속성
Pacemaker에서 새 priority-fencing-delay
클러스터 속성을 지원하므로, split-brain 상황에서 노드가 펜싱되는 노드라고 할 수 있도록 2-노드 클러스터를 구성할 수 있습니다.
priority-fencing-delay
속성은 기간으로 설정할 수 있습니다. 이 속성의 기본값은 0(비활성화됨)입니다. 이 속성이 0이 아닌 값으로 설정되고 meta-attribute 우선 순위가
하나 이상의 리소스에 대해 구성된 경우 split-brain 상황에서 모든 리소스가 실행되는 모든 리소스의 조합 우선 순위가 가장 높은 노드가 생존할 가능성이 높습니다.
예를 들어 pcs resource defaults priority=1
및 pcs 속성 세트 priority-fencing-delay=15s
를 설정하고 다른 우선순위가 설정되지 않은 경우 대부분의 리소스를 실행하는 노드는 펜싱을 시작하기 전에 15초 동안 대기하므로 대부분의 리소스를 실행하는 노드가 생존할 가능성이 높습니다. 특정 리소스가 나머지보다 중요한 경우 우선 순위를 높일 수 있습니다.
해당 복제본에 대해 우선 순위가 구성된 경우 promotable 복제의 마스터 역할을 실행하는 노드에는 추가 1 포인트가 부여됩니다.
priority-fencing-delay
로 설정된 지연은 pcmk_delay_ base 및
펜스 장치 속성에서 지연에 추가됩니다. 이 동작을 사용하면 두 노드 모두 우선 순위가 같거나 노드 손실 이외의 이유로 두 노드를 모두 펜싱해야 합니다(예: 리소스 모니터 작업에 대해 pcmk_delay
_maxon-fail=fencing
은 설정됨). 조합으로 사용하는 경우 우선순위-펜싱-delay 속성을 pcmk_delay
_ base 및
에서 최대 지연보다 훨씬 큰 값으로 설정하여 우선순위가 지정된 노드를 선호하는지 확인하는 것이 좋습니다(값이 완전히 안전합니다).
pcmk_delay_
max
여러 리소스 및 작업 기본값을 관리하기 위한 새로운 명령
이제 여러 리소스 및 작업 기본값을 생성, 나열, 변경 및 삭제할 수 있습니다. 기본값 세트를 생성할 때 리소스
및 op
표현식이 포함된 규칙을 지정할 수 있습니다. 예를 들어 특정 유형의 모든 리소스에 대한 기본 리소스 값을 구성할 수 있습니다. 기존 기본값을 나열하는 명령에는 이제 출력에 여러 개의 기본값 세트가 포함됩니다.
-
pcs resource [op] defaults set create
명령을 실행하면 새 기본값 세트를 생성합니다. 이 명령을 사용하여 규칙을 지정할 때 및, 및 괄호를 포함한리소스
및
op
표현식만 허용됩니다. -
pcs resource [op] defaults set delete | remove
명령은 기본값 세트를 제거합니다. -
pcs resource [op] defaults set update
명령은 세트의 기본값을 변경합니다.
(BZ#1817547)
클러스터 리소스 태그 지정 지원
이제 pcs tag 명령을 사용하여 Pacemaker 클러스터의 클러스터 리소스에 태그를
지정할 수 있습니다. 이 기능을 사용하면 단일 명령으로 지정된 리소스 세트를 관리할 수 있습니다. pcs tag
명령을 사용하여 리소스 태그를 제거하거나 수정하고 태그 구성을 표시할 수도 있습니다.
pcs resource enable
,pcs resource disable, pcs
resource manage, pcs resource manage
, pcs resource unmanage
명령은 태그 ID를 인수로 수락합니다.
Pacemaker에서 완전히 중지하지 않고 승격된 리소스를 시연하여 복구 지원
이제 승격 또는 모니터 작업이 해당 리소스에 실패하거나 리소스가 실행 중인 파티션이 쿼럼을 손실하도록 Pacemaker 클러스터에서 승격 가능한 리소스를 구성할 수 있지만 완전히 중지되지 않습니다.
이 기능은 승격되지 않은 모드에서 리소스를 계속 사용할 수 있도록 하려는 경우에 유용할 수 있습니다. 예를 들어 데이터베이스 마스터 파티션의 파티션이 쿼럼을 손실하는 경우 데이터베이스 리소스가 Master
역할을 손실하는 것을 선호할 수 있지만 읽기 전용 모드에만 활성 상태로 유지되므로 읽기 전용 모드만 있으면 손실된 쿼럼에도 불구하고 읽기 전용 애플리케이션이 계속 작동할 수 있습니다. 이 기능은 성공적인 demote가 복구에 충분하고 전체 재시작보다 훨씬 빠른 경우 유용할 수 있습니다.
이 기능을 지원하려면 다음을 수행합니다.
이제
on-fail
작업 meta-attribute에서 다음 예와 같이승격
작업에 사용할 때demote
값을 허용합니다.pcs resource op add my-rsc promote on-fail="demote"
이제
on-fail
작업 메타 기여자가 다음 예와 같이간격이
0이 아닌 값과역할로
설정된monitor
작업과 함께 사용할 때demote
값을
허용합니다.pcs resource op add my-rsc monitor interval="10s" on-fail="demote" role="Master"
-
no-quorum-policy
클러스터 속성에서demote
값을 허용합니다. 설정된 경우 클러스터 파티션이 쿼럼을 유실하면 승격된 리소스가 강등되지만 실행 중으로 남아 있으며 다른 모든 리소스가 중지됩니다.
작업에 대한 demote
meta-attribute를 지정하면 리소스 승격이 결정되는 방식에는 영향을 미치지 않습니다. 영향을 받는 노드에 여전히 승격 점수가 가장 높은 경우 다시 승격되도록 선택합니다.
(BZ#1837747, BZ#1843079)
Pacemaker와의 동기화를 개선하기 위한 새로운 SBD_SYNC_RESOURCE_STARTUP
SBD 구성 매개변수
SBD와 Pacemaker 간의 동기화를 보다 효과적으로 제어하기 위해 /etc/sysconfig/sbd
파일에서 SBD_SYNC_RESOURCE_STARTUP
매개 변수를 지원합니다. RHEL 8.3 이상의 Pacemaker 및 SBD 패키지가 설치되고 SBD가 SBD_SYNC_RESOURCE_STARTUP=true
로 구성된 경우 SBD는 데몬 상태에 대한 정보를 받기 위해 Pacemaker 데몬에 연결합니다.
이 구성에서는 Pacemaker 데몬이 SBD에서 연결할 때까지 기다립니다. 이 두 데몬은 하위 데몬을 시작하기 전에 그리고 최종 종료 전에 기다립니다. 결과적으로 SBD에서 적극적으로 통신할 수 없는 경우 Pacemaker에서 리소스를 실행하지 않으며 정상 종료가 SBD에 보고될 때까지 Pacemaker에서 종료하지 않습니다. 이로 인해 SBD에서 Pacemaker의 연결을 끊기 전에 리소스가 실행되지 않는 경우 SBD에서 정상 종료 중에 발생할 수 있는 예기치 않은 상황이 발생하여 불필요한 재부팅이 트리거됩니다. 정의된 핸드셰이크를 사용하여 정상 종료를 감지하면 유지 관리 모드에서도 작동합니다. 종료 시 리소스를 실행하지 않으므로 실행 중인 리소스가 남아 있지 않은 상태에서 정상 종료를 감지하는 이전 방법은 유지 관리 모드에서 비활성화해야 합니다.
또한 이 기능을 활성화하면 SBD와 Pacemaker가 성공적으로 시작될 때 클러스터에서 분리 장애(split-brain) 상황이 발생하지 않지만 SBD가 pacemaker에 연결할 수 없습니다. 예를 들어 SELinux 정책으로 인해 발생할 수 있습니다. 이 경우 Pacemaker는 SBD가 작동하지 않을 때 작동한다고 가정합니다. 이 새 기능을 활성화하면 SBD에 연결할 때까지 Pacemaker가 시작을 완료하지 않습니다. 이 새로운 기능의 또 다른 장점은 SBD가 활성화된 경우 하트비트를 사용하여 Pacemaker에 반복적으로 접속하고 Pacemaker가 언제든지 응답하지 않는 경우 노드를 패닉할 수 있다는 것입니다.
/etc/sysconfig/sbd 파일을 편집했거나 PCS를 통해 SBD를 구성한 경우 RPM 업그레이드를 새 SBD_SYNC_RESOURCE_STARTUP
매개 변수로 가져오지 않습니다. 이 경우 이 기능을 구현하려면 /etc/sysconfig/sbd.rpmnew
파일에서 수동으로 추가하거나 sbd
(8) 도움말 페이지의 환경 섹션을 통해
구성에 설명된 절차를 따라야 합니다.
5.1.11. 동적 프로그래밍 언어, 웹 서버 및 데이터베이스 서버
새 모듈 스트림: ruby:2.7
RHEL 8.3에서는 Ruby 2.7.1을 새로운 ruby:2.7
모듈 스트림에 도입했습니다. 이 버전은 RHEL 8.1에서 배포한 Ruby 2.6에 비해 다양한 성능 개선, 버그 및 보안 수정, 새로운 기능을 제공합니다.
주요 개선 사항은 다음과 같습니다.
- 새로운 GC(Garbage Collector)가 도입되었습니다. 이 GC는 조각화된 메모리 공간을 조각 모음할 수 있습니다.
- Ruby 아직 another Compiler-Compiler (✓cc)는 이제 일대화 Look-Ahead Left-to-Right - LALR(1) - 파서 생성기에 대한 명령줄 인터페이스를 제공합니다.
-
REPL(Read-Eval-Print Loop) 환경에 번들로 제공되는 대화형 Ruby Shell(
irb
)이 이제 여러 줄 편집을 지원합니다. - 기능적 프로그래밍 언어에서 자주 사용되는 패턴 일치는 실험적인 기능으로 도입되었습니다.
- 기본 block 매개 변수로 번호가 매겨진 매개 변수가 실험적 기능으로 도입되었습니다.
다음과 같은 성능 개선이 구현되었습니다.
- 파이버 생성을 가속화하도록 파이버 캐시 전략이 변경되었습니다.
-
CGI.escapeHTML
방법의 성능이 향상되었습니다. -
Monitor 클래스 및 Monitor
Mi¢ 모듈
의 성능이 향상되었습니다.
또한 키워드 인수와 위치 인수의 자동 변환은 더 이상 사용되지 않습니다. Ruby 3.0에서는 위치 인수 및 키워드 인수가 구분됩니다. 자세한 내용은 업스트림 문서를 참조하십시오.
실험적 기능에 대한 경고를 표시하지 않으려면 -W:no-experimental
명령줄 옵션을 사용합니다. 사용 중단 경고를 비활성화하려면 -W:no-deprecated
명령줄 옵션을 사용하거나 Warning[:deprecated] = false
를 코드에 추가합니다.
ruby:2.7
모듈 스트림을 설치하려면 다음을 사용합니다.
# yum module install ruby:2.7
ruby:2.6
스트림에서 업그레이드하려면 이후 스트림으로 전환을 참조하십시오.
(BZ#1817135)
새 모듈 스트림: nodejs:14
새 모듈 스트림 nodejs:14
를 사용할 수 있습니다. RHEL 8.3에 포함된 Node.js 14
는 RHEL 8.1에서 배포된 Node.js 12
에 비해 여러 가지 새로운 기능 및 버그 및 보안 수정 사항을 제공합니다.
주요 변경 사항은 다음과 같습니다.
- V8 엔진이 버전 8.3으로 업그레이드되었습니다.
- 새로운 실험적 WebAssembly System Interface(WASI)가 구현되었습니다.
- 새로운 실험적 Async 로컬 스토리지 API가 도입되었습니다.
- 이제 진단 보고서 기능이 안정적입니다.
- 스트림 API가 강화되었습니다.
- 실험적 모듈 경고가 제거되었습니다.
RHEA-2020:5101 권고가 릴리스되면서 RHEL 8에서는 Node.js 14.15.0
을 제공합니다. 이 버전은 안정성이 개선된 최신 LTS(Long Term Support) 버전입니다.
nodejs:14
모듈 스트림을 설치하려면 다음을 사용합니다.
# yum module install nodejs:14
nodejs:12 스트림에서 업그레이드하려면 Switching
을 이후 스트림으로 참조하십시오.
(BZ#1815402, BZ#1891809)
Git
기반 버전 2.27
git
패키지가 업스트림 버전 2.27로 업그레이드되었습니다. 이전에 사용 가능한 버전 2.18에 대한 주요 변경 사항은 다음과 같습니다.
git checkout
명령은 다음 두 가지 명령으로 나뉩니다.-
분기 관리를 위한 Git
스위치
-
디렉터리 트리 내에서 변경 사항을 관리하기 위한 Git
복원
-
분기 관리를 위한 Git
-
git rebase
명령의 동작은 기본적으로 이전patch+apply
워크플로우가 아닌병합
워크플로를 기반으로 합니다. 이전 동작을 보존하려면rebase.backend
구성 변수를적용
하도록 설정합니다. -
이제
git difftool
명령을 리포지토리 외부에서도 사용할 수 있습니다. -
보다 구체적인 사례에서 새로운 구성 변수
{author,committer}
이(를) 재정의하도록 도입되었습니다..{name
,email} - 사용자가 프록시와의 통신을 위해 SSL을 구성할 수 있는 몇 가지 새로운 옵션이 추가되었습니다.
-
git fast-
export 및
유틸리티에서 UTF-8 이외의 문자 인코딩에서 로그 메시지로 커밋 처리가 개선되었습니다.git fast-
import -
lfs
확장 기능이 새git-lfs
패키지로 추가되었습니다. LFS(GIT Large File Storage)는 큰 파일을Git
내의 텍스트 포인터로 대체하고 원격 서버에 파일 내용을 저장합니다.
(BZ#1825114, BZ#1783391)
Python
변경 사항
RHEL 8.3에서는 python38:3.8
모듈 스트림에 다음과 같은 변경 사항이 추가되었습니다.
-
Python
인터프리터가 버전 3.8.3으로 업데이트되어 여러 버그 수정을 제공합니다. -
python38-pip
패키지가 버전 19.3.1로 업데이트되었으며pip
는manylinux2014
의 설치를 지원합니다.
python3
패키지에서 제공하는 Python 3.6
인터프리터의 성능이 크게 향상되었습니다.
ubi8/python-27
,ubi8/python-36
및 ubi8/python-38
컨테이너 이미지는 고객이 제공하는 경우 사용자 정의 패키지 인덱스 또는 PyPI 미러에서 pipenv
유틸리티 설치를 지원합니다. 이전에는 업스트림 PyPI 리포지토리에서만 pipenv
를 다운로드할 수 있었으며 업스트림 리포지토리를 사용할 수 없는 경우 설치에 실패했습니다.
(BZ#1847416, BZ#1724996, BZ#1827623, BZ#1841001)
새 모듈 스트림: php:7.4
RHEL 8.3에는 7.3 버전에 비해 많은 버그 수정 및 개선 사항을 제공하는 PHP 7.4
가 도입되었습니다.
이 릴리스에는 새로운 실험적 확장 기능 인터페이스(FFI)를 도입하여 네이티브 함수를 호출하고 네이티브 변수에 액세스하며 C 라이브러리에 정의된 데이터 구조를 생성 및 액세스할 수 있습니다. FFI 확장 기능은 php-ffi
패키지에서 사용할 수 있습니다.
다음의 확장 기능이 제거되었습니다.
-
php-xml
패키지에서 제거된wddx
확장 기능 -
recode
확장 기능이php-recode
패키지에서 제거됩니다.
php:7.4
모듈 스트림을 설치하려면 다음을 사용합니다.
# yum module install php:7.4
php:7.3
스트림에서 업그레이드하려면 이후 스트림으로 전환을 참조하십시오.
RHEL 8에서 PHP 사용법에 대한 자세한 내용은 PHP 스크립팅 언어 사용을 참조하십시오.
새 모듈 스트림: nginx:1.18
버전 1.16에 대한 여러 버그 수정, 보안 수정, 새로운 기능 및 개선 사항을 제공하는 nginx 1.18
웹 및 프록시 서버를 사용할 수 있습니다. 주요 변경 사항은 다음과 같습니다.
-
HTTP 요청 속도 및 연결 제한에 대한 개선 사항이 구현되었습니다. 예를 들어,
limit_rate
및limit_rate_after
지시문은 이제 새로운$limit_req_status 및
변수를 포함하여 변수를 지원합니다. 또한$limit_
conn_statuslimit_conn_dry_run 및
지시문에 대해 시험 실행 모드가 추가되었습니다.limit_req_dry_run
-
권한 없는 요청을 지연된 처리할 수 있는 새로운
auth_delay
지시문이 추가되었습니다. -
이제
grpc_pass, proxy_
upload_rate 및
의 변수를 지원합니다.proxy_download_rate
-
추가 PROXY 프로토콜 변수(예:
$proxy_protocol_server_addr 및
)가 추가되었습니다.$proxy_
protocol_server_port
nginx:1.18
스트림을 설치하려면 다음을 사용합니다.
# yum module install nginx:1.18
nginx:1.16
스트림에서 업그레이드하려면 이후 스트림으로 전환을 참조하십시오.
새 모듈 스트림: perl:5.30
RHEL 8.3에는 이전에 출시된 Perl
이 도입되었습니다. 또한 새 버전은 특정 언어 기능을 더 이상 사용하지 않거나 제거합니다. 심각한 영향을 미치는 주요 변경 사항은 다음과 같습니다.
5.26에 비해 많은 버그 수정 및 개선 사항을 제공하는 Perl
5.30
-
The
Math::BigInt::CalcEmu
,arybase
, andB::Debug
modules have been removed -
close-on-exec
플래그를 사용하여 파일 설명자를 엽니다 - 동일한 기호를 파일로 열 수 있으며 디렉토리 처리로 열 수 없습니다.
- 서브루틴 속성이 서브루틴 서명 앞에 있어야 합니다
-
:locked
및:uniq
속성이 제거되었습니다. - 형식이 쉼표가 없는 변수 목록은 더 이상 허용되지 않습니다
-
베어 메탈
here
-document 연산자는 더 이상 허용되지 않습니다. -
정규 표현식 패턴에서 이스케이프되지 않은 왼쪽 중괄호 (
{
) 문자의 이전에 사용되지 않는 특정 사용은 더 이상 허용되지 않습니다. -
더 이상
메서드
가 아닌 함수로 상속될 수 없습니다. -
sort
pragma에서 더 이상정렬
알고리즘을 지정할 수 없습니다 -
B::OP::terse()
서브루틴이B::Concise::b_terse()
서브루틴으로 교체되었습니다. -
File::Glob::glob()
함수가 File::Glob::bsd_glob()
함수로 교체되었습니다. -
이제
dump()
함수를CORE::dump()
로 정규화해야 합니다. -
yada-yada 연산자 (
…
)는 이제 문이므로 식으로 사용할 수 없습니다. -
0이 아닌 값을
$[
변수에 할당하면 치명적인 오류가 반환됩니다. -
$*
및$#
변수는 더 이상 허용되지 않습니다. -
false 조건 분기에서
my()
함수를 사용하여 변수를 선언하는 것은 더 이상 허용되지 않습니다. -
:utf8
핸들에서sysread()
및 syswrite() -
pack()
함수는 더 이상 잘못된 형식의 UTF-8 형식을 반환하지 않습니다 -
IV_MAX
보다 큰 값을 갖는 유니코드 코드 포인트는 더 이상 허용되지 않습니다. - 유니코드 12.1이 지원됨
이전 perl 모듈 스트림에서
업그레이드하려면 이후 스트림으로 전환을 참조하십시오.
Perl 5.30
은 s2i 지원 ubi8/perl-530
컨테이너 이미지로도 사용할 수 있습니다.
새 모듈 스트림: perl-libwww-perl:6.34
RHEL 8.3에는 RHEL 8에서 사용 가능한
모든 버전의 perl-libwww-
모듈 스트림이 도입되었습니다. 5.26 이외의 perl 패키지를 제공하는 새로운 perl-libwww-perl
:6.34Perl
스트림에서는 사용할 수 없는 RHEL 8.0 이후부터 사용할 수 없는 모듈식 perl-libwww-perl
패키지가 새로운 기본 perl-libwww-perl:6.34
스트림에서 더 이상 사용되지 않습니다.
새 모듈 스트림: perl-IO-Socket-SSL:2.066
이제 새로운 perl-IO-Socket-SSL:2.066
모듈 스트림을 사용할 수 있습니다. 이 모듈은 perl-IO-Socket-SSL
및 perl-Net-SSLeay
패키지를 제공하며 RHEL 8에서 사용할 수 있는 모든 Perl
스트림과 호환됩니다.
squid:4
모듈 스트림이 버전 4.11로 재정의
squid:4
모듈 스트림에서 제공하는 Squid
프록시 서버가 4.4에서 버전 4.11로 업그레이드되었습니다. 이 릴리스는 여러 버그 및 보안 수정 사항과 새로운 구성 옵션과 같은 다양한 개선 사항을 제공합니다.
(BZ#1829467)
httpd:2.4
모듈 스트림의 변경 사항
RHEL 8.3에는 httpd:2.4
모듈 스트림을 통해 사용할 수 있는 Apache HTTP Server에 다음과 같은 주요 변경 사항이 도입되었습니다.
-
mod_http2
모듈이 1.15.7로 다시 기반 -
H2Upgrade 및
지시문의 구성 변경H2
Push -
HTTP/2 페이로드 프레임의 패딩을 제어하는 새로운
H2Padding
구성 지시문 - 수많은 버그 픽스.
httpd
의 CustomLog
지시문에서 to journald
로깅 지원
이제 CustomLog
지시문에 새 옵션을 사용하여
Apache HTTP 서버에서 액세스(전송) 로그를 출력할 수 있습니다.
지원되는 구문은 다음과 같습니다.
CustomLog journald:priority format|nickname
여기서 priority 는 LogLevel
지시문에서 사용되는 대로 디버깅
하기 위한 우선 순위 문자열입니다.
예를 들어 결합된
로그 형식을 사용하여 to journald
를 기록하려면 다음을 사용합니다.
CustomLog journald:info combined
이 옵션을 사용하는 경우 플랫 파일에 직접 로깅할 때 서버 성능이 서버 성능이 낮을 수 있습니다.
5.1.12. 컴파일러 및 개발 도구
RHEL에서 .NET 5 사용 가능
.NET 5는 Red Hat Enterprise Linux 7, Red Hat Enterprise Linux 8 및 OpenShift Container Platform에서 사용할 수 있습니다. .NET 5에는 다음과 같은 새로운 언어 버전이 포함되어 있습니다. C# 9 및 F# 5.0. 기본 라이브러리 GC 및 JIT에서 상당한 성능 향상이 이루어졌습니다. .NET 5에는 단일 파일 애플리케이션이 있어 .NET 애플리케이션을 단일 실행 파일로 배포할 수 있으며 모든 종속성이 포함되어 있습니다. .NET 5용 UBI8 이미지는 Red Hat 컨테이너 레지스트리에서 사용할 수 있으며 OpenShift와 함께 사용할 수 있습니다.
.NET 5를 사용하려면 dotnet-sdk-5.0
패키지를 설치합니다.
$ sudo dnf install -y dotnet-sdk-5.0
자세한 내용은 .NET 5 문서를 참조하십시오.
새로운 GCC 툴 세트 10
GCC Toolset 10은 최신 버전의 개발 툴을 제공하는 컴파일러 툴셋입니다. AppStream
리포지토리의 소프트웨어 컬렉션 형태로 애플리케이션 스트림으로 사용할 수 있습니다.
GCC 컴파일러가 버전 10.2.1로 업데이트되어 업스트림 GCC에서 사용할 수 있는 많은 버그 수정 및 개선 사항을 제공합니다.
다음 도구와 버전은 GCC Toolset 10에서 제공합니다.
툴 | 버전 |
---|---|
GCC | 10.2.1 |
GDB | 9.2 |
valgrind | 3.16.0 |
SystemTap | 4.3 |
Dyninst | 10.1.0 |
binutils | 2.35 |
elfutils | 0.180 |
dwz | 0.12 |
Make | 4.2.1 |
strace | 5.7 |
ltrace | 0.7.91 |
annobin | 9.29 |
GCC Toolset 10을 설치하려면 root로 다음 명령을 실행합니다.
# yum install gcc-toolset-10
GCC Toolset 10에서 도구를 실행하려면 다음을 수행합니다.
$ scl enable gcc-toolset-10 tool
쉘 세션을 실행하려면 GCC Toolset 10의 툴 버전이 이러한 툴의 시스템 버전을 재정의합니다.
$ scl enable gcc-toolset-10 bash
자세한 내용은 GCC Toolset 사용을 참조하십시오.
GCC Toolset 10 구성 요소는 다음 두 개의 컨테이너 이미지에서 사용할 수 있습니다.
-
rhel8/gcc-toolset-10-toolchain
에는 GCC 컴파일러, GDB 디버거 및make
자동화 도구가 포함됩니다. rhel8/gcc-toolset-10-perftools
: SystemTap 및 Valgrind와 같은 성능 모니터링 툴이 포함되어 있습니다.컨테이너 이미지를 가져오려면 다음 명령을 root로 실행합니다.
# podman pull registry.redhat.io/<image_name>
GCC Toolset 10 컨테이너 이미지만 지원됩니다. 이전 GCC 도구 세트 버전의 컨테이너 이미지는 더 이상 사용되지 않습니다.
컨테이너 이미지에 대한 자세한 내용은 GCC Toolset 컨테이너 이미지 사용을 참조하십시오.
(BZ#1842656)
jboss Toolset을 버전 1.45.2로 업데이트
capsule Toolset이 1.45.2 버전으로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.
-
종속성을 보기 위한 하위 명령
트리
가 이제 종료되어있습니다
. - 부동 소수점 값에서 정수로 바뀝니다. 이전 버전에서는 잘린 부동 소수점 값이 대상 정수 유형의 범위를 벗어나면 결과적으로 컴파일러가 정의되지 않았습니다. 불일치값이 없기 때문에 정의되지 않은 동작도 발생했습니다. 이번 개선된 기능을 통해 제한된 값은 최소 또는 정수의 최대 범위 중 하나입니다. 양의 정수 및 음수의 정수는 기본적으로 최대 및 최소 정수, 즉 Not-a-Number(NaN) 값을 0으로 표시합니다.
- 이제 식, 패턴, 문 등의 절차 매크로가 확장되고 안정화되었습니다.
사용법에 대한 자세한 지침은 Rust Toolset 사용을 참조하십시오.
(BZ#1820593)
LLVM Toolset을 버전 10.0.1로 업데이트
LLVM Toolset이 버전 10.0.1로 업그레이드되었습니다. 이번 업데이트를 통해 clang-libs
패키지에 더 이상 개별 구성 요소 라이브러리가 포함되지 않습니다. 따라서 애플리케이션을 더 이상 연결할 수 없습니다. clang 라이브러리와 애플리케이션을 연결하려면 libclang-cpp.so
패키지를 사용합니다
.
자세한 내용은 LLVM Toolset 사용을 참조하십시오.
(BZ#1820587)
Go Toolset을 버전 1.14.7로 업데이트
Go Toolset이 버전 1.14.7로 업그레이드되었습니다. 주목할 만한 변경 사항은 다음과 같습니다.
- 이제 Go 모듈 시스템이 완전히 지원됩니다.
- SSLv3(SSL 버전 3.0)은 더 이상 지원되지 않습니다. 주요 Delve 디버거 개선 사항은 다음과 같습니다.
-
원시 메모리를 검사하기 위한 새 명령
examinemem
(또는x
) -
프로그램의 각 중지 중 식의 값을 인쇄하기 위한 새로운 명령
표시
-
디버그된 프로그램에 대한 Teletypewriter(TTY)를 제공하는 새로운
--tty
플래그 - Arm64에 대한 새로운 coredump 지원
- goroutine 라벨을 인쇄하는 새로운 기능
- DAP(디버그 어댑터 프로토콜) 서버 릴리스
-
dlv 추적 및 추적
REPL (read-eval-print-loop) 명령의 향상된 출력
Go Toolset에 대한 자세한 내용은 Go Toolset 사용을 참조하십시오.
Delve에 대한 자세한 내용은 업스트림 Delve 문서를 참조하십시오.
(BZ#1820596)
SystemTap 버전 4.3으로 업데이트
SystemTap 계측 툴이 버전 4.3으로 업데이트되어 여러 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.
-
사용자 공간 프로브는
readelf -n
에서16진수 빌드를
대상으로 지정할 수 있습니다. 경로 이름에 대한 이 대안을 사용하면 임의 이름으로 일치하는 바이너리를 검색할 수 있으므로 단일 스크립트가 다양한 버전을 대상으로 할 수 있습니다. 이 기능은 elfutilsdebuginfod
서버와 함께 잘 작동합니다. -
스크립트 기능은 프로브
$context
변수를 사용하여 프로브 위치의 변수에 액세스할 수 있으므로 SystemTap 스크립트가 일반적인 논리를 사용하여 다양한 프로브에서 작업할 수 있습니다. -
try-catch 문 및 오류 프로브를 포함하여
stapbpf
프로그램이 개선되어 BPF 백엔드에서 실행되는 스크립트에서 적절한 오류 허용 오차가 활성화되었습니다.
주요 변경 사항에 대한 자세한 내용은 업데이트하기 전에 업스트림 릴리스 노트 를 참조하십시오.
Valgrind를 버전 3.16.0으로 업데이트
Valgrind 실행 가능 코드 분석 도구가 버전 3.16.0으로 업데이트되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.
-
이제 Valgrind gdbserver에 연결된
gdb
를 통해 또는 프로그램 클라이언트 요청을 통해 Valgrind:vgdb
에서 실행되는 동안 여러 명령줄 옵션의 값을 동적으로 변경할 수 있습니다. 동적으로 변경할 수 있는 옵션 목록을 가져오려면valgrind --help-dyn-options
명령을 실행합니다. -
Cachegrind(cg
_annotate
) 및 Callgrind(callgrind_annotate
) 툴의 경우--auto
및--show-percs
옵션이 기본값인yes
가 되었습니다. -
Memcheck 툴은 최적화된 코드에서 오탐(false positive) 오류를 줄입니다. 특히 Memcheck는 컴파일러가 A &&
B 검사를 B && A
로 변환했을
때B를 정의하지 않을
가 거짓인 경우 케이스를 더 잘 처리합니다. Memcheck는 부분적으로 정의된 값에서 정수 등가 확인 및 비고급 검사를 더 효율적으로 처리합니다.수 있고
A -
실험적 스택 및 글로벌 어레이 검사 도구(
exp-sgcheck
)가 제거되었습니다. 스택 및 글로벌 어레이 오버런을 감지하기 위한 대안은 GCC의 AAN(AddressSanitizer) 기능을 사용하는 것으로,-fsanitize=address
옵션으로 코드를 다시 빌드해야 합니다.
elfutils
를 버전 0.180으로 다시 기반
elfutils
패키지가 여러 버그 수정 및 개선 사항을 제공하는 버전 0.180으로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.
-
GCC LTO(링크 시간 최적화)로 빌드된 코드 디버그 정보에 대한 향상된 지원.
eu-readelf
및libdw
유틸리티는 이제.gnu.debuglto_
섹션을 읽고 처리할 수 있으며 CU(컴파일 단위)에 정의된 함수의 파일 이름을 올바르게 확인합니다. -
이제
eu-nm
유틸리티가 약한 객체를V
로, 공통 기호를C
로 명시적으로 식별합니다. -
The
debuginfod
서버는 이제 index.deb
아카이브를 사용할 수 있으며-Z EXT[=CMD]
옵션을 사용하여 다른 패키지 아카이브 형식을 추가할 수 있는 일반 확장명이 있습니다. 예를 들어-Z '.tar.zst=zstdcat'
은.tar.zst
확장자로 끝나는 아카이브를zstdcat
유틸리티를 사용하여 압축 해제해야 함을 나타냅니다. -
The
debuginfo-client
도구에는debuginfod_set_user_data,debuginfod_get_user_data
,debuginfod_get_
와 같은 몇 가지 새로운 도우미 함수가 있습니다. 또한url 및debuginfo
d_add_http_
headerfile://
URL도 지원합니다.
GDB에서 IBM z15에서 프로세스 레코드 및 재생 지원
이 향상된 기능을 통해 GDB(GNU Debugger)가 이제 프로세스 레코드를 지원하고 IBM z15 프로세서(이전의 arch13)의 새 명령 대부분을 사용하여 재생합니다. 다음 지침은 현재 지원되지 않습니다. SORTL(서열 목록), DFLTCC(차별 변환 호출), KDSA(계산 디지털 서명 인증).
(BZ#1659535)
papi
에서 satellitel ThunderX2 성능 모니터링 이벤트가 업데이트되었습니다.
이번 개선된 기능을 통해 uncore 이벤트를 포함하여 ThunderX2와 관련된 여러 성능 이벤트가 업데이트되었습니다. 그 결과 개발자는 brl ThunderX2 시스템에서 시스템 성능을 더 잘 조사할 수 있습니다.
(BZ#1726070)
glibc math
라이브러리가 IBM Z에 최적화되었습니다.
이 향상된 기능을 통해 IBM Z 시스템의 성능을 향상시키기 위해 libm
수학 기능이 최적화되었습니다. 주요 변경 사항은 다음과 같습니다.
- 영향력 있는 부동 소수점 제어 레지스터 세트 및 추출 방지를 위해 향상된 라운드링 모드 처리
- z196 정수와 플로트 간의 변환 사용
(BZ#1780204)
추가 libffi 특정 임시 디렉터리를 사용할 수 있습니다.
이전에는 강화된 시스템에서 시스템 전체 임시 디렉터리에 libffi
라이브러리에 사용하기에 적합한 권한이 없을 수 있었습니다.
이 향상된 기능을 통해 시스템 관리자는 이제 write
및 exec
마운트 또는 selinux 권한이 있는 libffi 관련 임시 디렉터리를 가리키도록 LIBFFI_TMPDIR
환경 변수를 설정할 수 있습니다.
strstr() 및
의 성능 개선strcasestr()
이번 업데이트를 통해 지원되는 여러 아키텍처에서 strstr()
및 strcasestr()
함수의 성능이 향상되었습니다. 결과적으로 사용자는 문자열 및 메모리 조작 루틴을 사용하여 모든 애플리케이션의 훨씬 더 나은 성능을 활용할 수 있습니다.
(BZ#1821531)
glibc
에서 잘린 로케일 아카이브 로드를 올바르게 처리합니다.
업그레이드 중 정전 또는 디스크 장애로 인해 시스템 로케일의 아카이브가 이전에 잘린 경우 아카이브를 로드할 때 프로세스가 예기치 않게 종료될 수 있었습니다. 이번 개선된 기능으로 로케일 아카이브 로드에 일관성 검사가 추가되었습니다. 결과적으로 프로세스는 아카이브 잘림을 감지하고 아카이브가 아닌 로케일 또는 기본 POSIX 로케일로 대체할 수 있습니다.
(BZ#1784525)
GDB에서 Debuginfo d
지원
이 향상된 기능을 통해 이제 elfutils debuginfod
클라이언트 라이브러리를 사용하여 GDB(GNU Debugger)에서 중앙 집중식 서버에서 디버그 정보 패키지를 다운로드할 수 있습니다.
PCP
기반 버전 5.1.1-3
pcp
패키지가 버전 5.1.1-3으로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.
-
모든 PCP 서비스에 대해 업데이트된 서비스 단위 및 향상된
systemd
통합 및 신뢰성. 아카이브 로그 순환이 향상되고 시의적절한 압축이 향상되었습니다.pmproxy
프로토콜의 아카이브 검색 버그 수정. -
pmrep
및 내보내기 도구에서 메트릭 레이블을 보고하는 기능과 함께
,pcp-atop
, pcp-dstatpmrep
및 관련 모니터 툴이 향상되었습니다. -
향상된
bpftrace
,OpenMetrics
, MMV, Linux 커널 에이전트 및 기타 컬렉션 에이전트.Open vSwitch
및RabbitMQ
서버의 새 지표 수집기. -
독립 실행형
pm
서비스.mgr 데몬을 대체하는 새로운 호스트 검색 pm
find systemd
Grafana
가 6.7.3 버전으로 업데이트
grafana
패키지가 6.7.3 버전으로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.
-
일반
OAuth
역할 매핑 지원 - 새 로그 패널
- 테이블 패널에서 여러 줄 텍스트 표시
- 새로운 통화 및 에너지 단위
Grafana-pcp
버전 2.0.2로 업데이트
grafana-pcp
패키지가 버전 2.0.2로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.
-
표시에 표시할 다차원
eBPF
맵을 지원합니다. - 쿼리 편집기에서 자동 완성 캐시를 제거하여 PCP 지표를 동적으로 표시할 수 있습니다.
새 rhel8/pcp
컨테이너 이미지
이제 Red Hat Container Registry에서 rhel8/pcp
컨테이너 이미지를 사용할 수 있습니다. 이미지에는 사전 설치된 pcp-zeroconf 패키지와
Pilot) 툴킷이 포함되어 있습니다.
OpenMetrics
PMDA가 포함된 PCP(Performance Co-
(BZ#1497296)
새로운 rhel8/grafana
컨테이너 이미지
이제 Red Hat Container Registry에서 rhel8/grafana
컨테이너 이미지를 사용할 수 있습니다. Grafana는 지표 대시보드가 있는 오픈소스 유틸리티이며 Graphite,Elasticsearch
,
OpenTSDB,
및 Prometheus
,InfluxDB
PCP
모니터링 툴용 그래프 편집기입니다.
5.1.13. IdM (Identity Management)
IdM 백업 유틸리티에서 필요한 복제본 역할을 확인합니다.
이제 ipa-backup
유틸리티에서 IdM 클러스터에서 사용되는 모든 서비스(예: CA(인증 기관), DNS(Domain Name System) 및 KRA(Key Recovery Agent)가 백업을 실행 중인 복제본에 설치되어 있는지 확인합니다. 복제본에 이러한 서비스가 모두 설치되어 있지 않으면 ipa-backup
유틸리티가 경고와 함께 종료됩니다. 해당 호스트에서 수행한 백업은 전체 클러스터 복원에 충분하지 않기 때문입니다.
예를 들어 IdM 배포에서 통합 CA(인증 기관)를 사용하는 경우 비CA 복제본에서 실행되는 백업은 CA 데이터를 캡처하지 않습니다. Red Hat은 ipa-backup
을 수행하는 복제본에 클러스터에 사용된 모든 IdM 서비스가 설치되어 있는지 확인하는 것이 좋습니다.
자세한 내용은 IdM 백업으로 데이터 손실 준비를 참조하십시오.
새 암호 만료 알림 도구
ipa-client-epn
패키지에서 제공하는 암호 알림(EPN) 만료는 암호가 곧 만료되는 IdM(Identity Management) 사용자 목록을 빌드하는 데 사용할 수 있는 독립 실행형 도구입니다.
IdM 관리자는 EPN을 사용하여 다음을 수행할 수 있습니다.
- 영향을 받는 사용자 목록을 JSON 형식으로 표시(런타임 시 계산)
- 지정된 날짜 또는 날짜 범위에 대해 전송할 이메일 수를 계산
- 암호 만료 이메일 알림 전송
Red Hat은 포함된 ipa-epn.timer
systemd
타이머를 사용하여 IdM 클라이언트 또는 복제본에서 매일 EPN을 시작할 것을 권장합니다.
(BZ#913799)
JSS에서 FIPS 호환 SSLContext 제공
이전에는 Tomcat에서 JCA(Java Cryptography Architecture) SSLContext 클래스의 SSLEngine 지시문을 사용했습니다. 기본 SunJSSE 구현은 FIPS(Federal Information Processing Standard)와 호환되지 않으므로 PKI는 이제 JSS를 통해 FIPS 호환 구현을 제공합니다.
공개 키 인프라의 전반적인 상태를 확인할 수 있습니다
이번 업데이트를 통해 PKI(공개 키 인프라) 상태 점검 툴에서 PKI 하위 시스템의 상태를 RHEL 8.1에서 도입한 IdM(Identity Management) Healthcheck 툴에 보고합니다. IdM Healthcheck를 실행하면 PKI 하위 시스템의 상태 보고서를 수집하고 반환하는 PKI Healthcheck가 호출됩니다.
pki-healthcheck
툴은 배포된 RHEL IdM 서버 또는 복제본에서 사용할 수 있습니다. pki-healthcheck
에서 제공하는 모든 검사도 ipa-healthcheck
툴에 통합됩니다. ipa-healthcheck
는 idm:DL1
모듈 스트림과 별도로 설치할 수 있습니다.
pki-healthcheck
는 독립 실행형 RHCS(Red Hat Certificate System) 인프라에서도 작동할 수 있습니다.
(BZ#1770322)
RSA PSS 지원
이 향상된 기능을 통해 PKI는 이제 RSA PSS(Probabilistic Signature Scheme) 서명 알고리즘을 지원합니다.
이 기능을 활성화하려면 지정된 하위 시스템에 대한 pkispawn
스크립트 파일에서 다음 행을 설정하십시오. pki_use_pss_rsa_signing_algorithm=True
결과적으로 이 하위 시스템의 기존의 모든 기본 서명 알고리즘(PS .cfg
구성 파일에서 지정됨)은 해당 PSS 버전을 사용합니다. 예를 들어 SHA256withRSA 는 SHA256withRSA/PSS가 됩니다.
Directory Server는 서비스가 시작될 때 개인 키 및 인증서를 개인 네임 스페이스로 내보냅니다.
Directory Server는 복제 계약과 같이 나가는 연결에 OpenLDAP 라이브러리를 사용합니다. 이러한 라이브러리는 NSS(네트워크 보안 서비스) 데이터베이스에 직접 액세스할 수 없으므로 Directory Server는 TLS 암호화가 지원되는 인스턴스에서 NSS 데이터베이스에서 개인 키 및 인증서를 추출하여 OpenLDAP 라이브러리에서 암호화된 연결을 설정할 수 있습니다. 이전 버전에서는 Directory Server에서 cn=config
항목의 nsslapd-certdir
매개 변수에 설정된 디렉터리로 개인 키 및 인증서를 추출했습니다(기본값: /etc/dirsrv/slapd-<instance_name>/
). 결과적으로 Directory Server는 Server-Cert-Key.pem
및 Server-Cert.pem
을 이 디렉터리에 저장했습니다. 이 향상된 기능을 통해 Directory Server는 /tmp/
디렉터리에 systemd
가 마운트하는 개인 네임스페이스로 개인 키와 인증서를 추출합니다. 그 결과 보안이 향상되었습니다.
디스크 모니터링 임계값에 도달하면 Directory Server에서 인스턴스를 읽기 전용 모드로 전환할 수 있습니다.
이번 업데이트에서는 nsslapd-disk-monitoring-readonly-on-threshold
매개변수를 cn=config
항목에 추가합니다. 이 설정을 활성화하면 디스크 모니터링이 활성화되고 사용 가능한 디스크 공간이 nsslapd-disk-monitoring-threshold
에서 구성한 값보다 낮은 경우 Directory Server는 모든 데이터베이스를 읽기 전용으로 전환합니다. nsslapd-disk-monitoring-readonly-on-threshold
를 on
으로 설정하여 Directory Server가 인스턴스를 종료할 때까지 데이터베이스를 수정할 수 없습니다. 이렇게 하면 데이터 손상을 방지할 수 있습니다.
(BZ#1728943)
Samba 가 버전 4.12.3으로 업데이트
samba 패키지가 업스트림 버전 4.12.3으로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.
- 기본 제공 암호화 기능은 GnuTLS 함수로 교체되었습니다. 이렇게 하면 서버 메시지 블록 버전 3(SMB3) 성능이 향상되고 복사 속도가 크게 향상됩니다.
- 이제 최소 런타임 지원이 Python 3.5입니다.
-
이전
쓰기 캐시 개념이 메모리 제한 시스템의 성능을 줄일 수 있기 때문에 쓰기 캐시 크기
매개 변수가 제거되었습니다. - DES 암호화 유형의 Kerberos 티켓을 사용한 연결 인증 지원이 제거되었습니다.
-
vfs_netatalk
VFS(가상 파일 시스템) 모듈이 제거되었습니다. -
ldap ssl ad
매개 변수는 더 이상 사용되지 않는 것으로 표시되며 향후 Samba 버전에서 제거됩니다. LDAP 트래픽을 다른 방법으로 암호화하고 자세한 내용은 samba: "ldap ssl ad" smb.conf 옵션 솔루션 제거를 참조하십시오. -
기본적으로 RHEL 8.3의 Samba는 더 이상 사용되지 않는 RC4 암호화 제품군을 지원하지 않습니다. Kerberos 인증에 계속 RC4가 필요한 도메인 구성원으로 Samba를 실행하는 경우
update-crypto-policies --set DEFAULT:AD-SUPPORT
명령을 사용하여 RC4 암호화 유형을 지원합니다.
smbd
,nmbd
또는 winbind
서비스가 시작될 때 Samba는 tdb
데이터베이스 파일을 자동으로 업데이트합니다. Samba를 시작하기 전에 데이터베이스 파일을 백업합니다. Red Hat은 tdb
데이터베이스 파일 다운그레이드를 지원하지 않습니다.
주요 변경 사항에 대한 자세한 내용은 업데이트하기 전에 업스트림 릴리스 노트 를 참조하십시오.
Cockpit-session-recording을 버전 4로 다시 기반
cockpit-session-recording
모듈은 버전 4로 다시 기반되었습니다. 이 버전은 이전 버전에서 다음과 같은 주요 변경 사항을 제공합니다.
-
metainfo
파일에서 업데이트된 상위 ID입니다. - 업데이트된 패키지 매니페스트.
-
CentOS7에서 올바른 경로를 확인하기 위해
rpmmacro
수정. - 바이트 배열 인코딩 저널 데이터 처리.
- 더 이상 사용되지 않는 React 라이프사이클 함수에서 코드를 이동했습니다.
krb5
를 버전 1.18.2로 업데이트
krb5
패키지가 업스트림 버전 1.18.2로 업그레이드되었습니다. 주요 수정 사항 및 개선 사항은 다음과 같습니다.
- 단일 및 Triple-DES 암호화 유형이 제거되었습니다.
- 초안 9 PKINIT는 지원되는 Active Directory 버전에는 필요하지 않으므로 제거되었습니다.
- NegoEx 메커니즘 플러그인이 이제 지원됩니다.
-
호스트 이름 Canonicalization 대체가 지원됩니다(
dns_canonicalize_hostname = 대체
).
(BZ#1802334)
IdM에서 새로운 Ansible 관리 모듈 지원
이번 업데이트에서는 Ansible 플레이북을 사용하여 공통 IdM(Identity Management) 작업을 자동화하기 위한 몇 가지 ansible-freeipa
모듈이 도입되었습니다.
-
config
모듈을 사용하면 IdM 내에서 글로벌 구성 매개 변수를 설정할 수 있습니다. -
dnsconfig
모듈을 사용하면 글로벌 DNS 구성을 수정할 수 있습니다. -
dnsforwardzone
모듈을 사용하면 IdM에서 DNS 전달자를 추가하고 제거할 수 있습니다. -
dnsrecord
를 사용하면 DNS 레코드를 관리할 수 있습니다. 업스트림ipa_dnsrecord
와 달리, 한 실행에서 여러 레코드 관리를 허용하고 더 많은 레코드 유형을 지원합니다. -
dnszone
모듈을 사용하면 DNS 서버에서 영역을 구성할 수 있습니다. -
service
모듈을 사용하면 서비스가 있는지 여부와 서비스가 있는지 확인할 수 있습니다. -
vault
모듈을 사용하면 자격 증명 모음 및 자격 증명 모음의 멤버가 있는지 확인할 수 있습니다.
ipagroup 및 ipa
hostgroup
모듈은 사용자 및 호스트 그룹 멤버십 관리자를 각각 포함하도록 확장되었습니다. 그룹 멤버십 관리자는 그룹에 구성원을 추가하거나 그룹에서 멤버를 제거할 수 있는 사용자 또는 그룹입니다. 자세한 내용은 해당 /usr/share/doc/ansible-freeipa/README-*
파일의 Variables
섹션을 참조하십시오.
(JIRA:RHELPLAN-49954)
IdM에서 인증서 관리를 위한 새로운 Ansible 시스템 역할 지원
IdM(Identity Management)은 인증서 관리 작업을 자동화하는 새로운 Ansible 시스템 역할을 지원합니다. 새 역할에는 다음과 같은 이점이 포함됩니다.
- 역할은 인증서 발급 및 갱신을 자동화하는 데 도움이 됩니다.
-
ipa
인증 기관에서 인증서를 발급하도록 역할을 구성할 수 있습니다. 이러한 방식으로 기존 IdM 인프라를 사용하여 인증서 신뢰 체인을 관리할 수 있습니다. - 역할을 사용하면 인증서를 실행 전후에 실행할 명령을 지정할 수 있습니다(예: 서비스 중지 및 시작).
(JIRA:RHELPLAN-50002)
Identity Management에서 FIPS 지원
이 향상된 기능을 통해 이제 IdM(Identity Management)의 인증 메커니즘과 함께FIPS(Federal Information Processing Standard)에서 승인한 암호화 유형을 사용할 수 있습니다. IdM과 Active Directory 간의 교차 Pod 신뢰는 FIPS와 호환되지 않습니다.
FIPS가 필요하지만 AD 신뢰가 필요하지 않은 고객은 이제 FIPS 모드에 IdM을 설치할 수 있습니다.
(JIRA:RHELPLAN-43531)
idm :DL1
에서 OpenDNSSEC 버전이 2.1로 업데이트되었습니다.
idm:DL1
모듈 스트림의 OpenDNSSEC 구성 요소는 현재 장기 업스트림 지원 버전인 2.1 버전 시리즈로 업그레이드되었습니다. OpenDNSSEC는 인터넷 보안을 한층 강화하기 위해 DNSSEC(Domain Name System Security Extensions)를 채택하는 오픈 소스 프로젝트입니다. OpenDNSSEC 2.1은 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. 자세한 내용은 업스트림 릴리스 노트를 참조하십시오. https://www.opendnssec.org/archive/releases/
(JIRA:RHELPLAN-48838)
IdM에서 더 이상 사용되지 않는 RC4 암호화 제품군과 새로운 시스템 전체 암호화 하위 정책 지원
이번 업데이트에서는 IdM(Identity Management)의 RC4(Rivest Cipher 4) 암호화 제품군을 활성화하는 새로운 AD-SUPPORT
암호화 하위 정책이 도입되었습니다.
AD(Advanced Encryption Standard)를 사용하도록 AD(Advanced Encryption Standard)를 사용하도록 구성되지 않은 경우 AD( IdM-Active Directory)의 컨텍스트에서 관리자가 새 AD-SUPPORT
하위 정책을 활성화할 수 있습니다. 보다 구체적으로 다음 조건 중 하나가 적용되는 경우 새 하위 정책을 활성화하는 것이 좋습니다.
- AD의 사용자 또는 서비스 계정에는 RC4 암호화 키가 있으며 AES 암호화 키가 없습니다.
- 개별 Active Directory 도메인 간 신뢰 링크에는 RC4 암호화 키가 있으며 AES 암호화 키가 없습니다.
DEFAULT
암호화 정책 외에도 AD-SUPPORT
하위 정책을 활성화하려면 다음을 입력합니다.
# update-crypto-policies --set DEFAULT:AD-SUPPORT
또는 AD 포레스트에서 AD 도메인 간 신뢰성을 업그레이드하여 강력한 AES 암호화 유형을 지원하려면 다음 Microsoft 문서를 참조하십시오. AD DS: 보안: 신뢰할 수 있는 도메인의 리소스에 액세스할 때 Kerberos "지원되지 않은 etype" 오류.
(BZ#1851139)
새로운 Microsoft LDAP 채널 바인딩 및 LDAP 서명 요구 사항에 맞게 조정
최근 Microsoft 업데이트를 통해 AD(Active Directory)는 LDAP 채널 바인딩 및 LDAP 서명에 기본 Windows 설정을 사용하지 않는 클라이언트에 플래그를 지정합니다. 결과적으로 AD와의 직접 또는 간접 통합에 SSSD(System Security Services Daemon)를 사용하는 RHEL 시스템은 GSSAPI(Generic Security Services Application Program Interface)를 사용하는 성공적인 SASL(Simple Authentication and Security Layer) 작업 시 AD에서 오류 이벤트 ID를 트리거할 수 있습니다.
이러한 알림을 방지하기 위해 GSSAPI 대신 GSS-SPNEGO(Simple and Protected GSSAPI Negotiation Mechanism) SASL 메커니즘을 사용하도록 클라이언트 애플리케이션을 구성합니다. SSSD를 구성하려면 ldap_sasl_mech
옵션을 GSS-SPNEGO
로 설정합니다.
또한 채널 바인딩이 AD측에 적용되는 경우 다음과 같은 방식으로 SSL/TLS와 SASL을 사용하는 시스템을 구성합니다.
-
RHEL 8.3 이상과 함께 제공되는
Cyrus-sasl
,openldap
및krb5-libs
패키지의 최신 버전을 설치합니다. -
/etc/openldap/ldap.conf
파일에서SASL_CBINDING
옵션을tls-endpoint
로 설정하여 올바른 채널 바인딩 유형을 지정합니다.
자세한 내용은 Microsoft 보안 권고 ADV190023 | LDAP 채널 바인딩 및 RHEL 및 AD 통합에 LDAP 서명 을 참조하십시오.
SSSD, adcli 및 realmd는 더 이상 사용되지 않는 RC4 암호화 제품군과 새로운 시스템 전체 암호화 하위 정책을 지원합니다.
이번 업데이트에서는 다음 유틸리티에 Rivest Cipher 4 (RC4) 암호화 제품군을 활성화하는 새로운 AD-SUPPORT
암호화 하위 정책이 도입되었습니다.
- SSSD(시스템 보안 서비스 데몬)
-
adcli
-
realmd
다음 시나리오에서 AD(Active Directory)가 AES(Advanced Encryption Standard)를 사용하도록 구성되지 않은 경우 관리자는 새 AD-SUPPORT
하위 정책을 활성화할 수 있습니다.
- SSSD는 AD에 직접 연결된 RHEL 시스템에서 사용됩니다.
-
adcli
는 AD 도메인에 가입하거나 호스트 속성을 업데이트하는 데 사용됩니다(예: 호스트 키). -
realmd
는 AD 도메인에 연결하는 데 사용됩니다.
다음 조건 중 하나가 적용되는 경우 새 하위 정책을 활성화하는 것이 좋습니다.
- AD의 사용자 또는 서비스 계정에는 RC4 암호화 키가 있으며 AES 암호화 키가 없습니다.
- 개별 Active Directory 도메인 간 신뢰 링크에는 RC4 암호화 키가 있으며 AES 암호화 키가 없습니다.
DEFAULT
암호화 정책 외에도 AD-SUPPORT
하위 정책을 활성화하려면 다음을 입력합니다.
# update-crypto-policies --set DEFAULT:AD-SUPPORT
Authselect
에는 새로운 최소
프로필이 있습니다.
authselect
유틸리티에는 새로운 최소
프로필이 있습니다. 이 프로필을 사용하여 다른 인증 공급자를 사용하는 대신 시스템 파일에서 직접 로컬 사용자와 그룹만 제공할 수 있습니다. 따라서 SSSD
,winbind
및 fprintd
패키지를 안전하게 제거하고 최소 설치가 필요한 시스템에서 이 프로필을 사용하여 디스크와 메모리 공간을 절약할 수 있습니다.
(BZ#1654018)
암호를 회전할 때 SSSD에서 Samba의 secrets.tdb
파일을 업데이트합니다.
sssd.conf
파일의 새로운 ad_update_samba_machine_account_password
옵션을 RHEL에서 사용할 수 있습니다. Samba를 사용하는 동안 시스템의 도메인 암호를 순환할 때 SSSD를 사용하여 Samba secrets.tdb
파일을 자동으로 업데이트할 수 있습니다.
그러나 SELinux가 강제 모드인 경우 SSSD는 secrets.tdb
파일을 업데이트하지 못합니다. 따라서 Samba는 새 암호에 액세스할 수 없습니다. 이 문제를 해결하려면 SELinux를 허용 모드로 설정합니다.
SSSD에서 기본적으로 AD GPO 적용
이제 SSSD 옵션 ad_gpo_access_control
의 기본 설정이 강제
적용됩니다. RHEL 8에서 SSSD는 기본적으로 Active Directory Group Policy Objects(GPO)를 기반으로 액세스 제어 규칙을 적용합니다.
RHEL 7에서 RHEL 8로 업그레이드하기 전에 Active Directory에 GPO가 올바르게 구성되었는지 확인하는 것이 좋습니다. GPO를 적용하지 않으려면 /etc/sssd/sssd.conf
파일의 ad_gpo_access_control
옵션 값을 허용
으로 변경합니다.
(JIRA:RHELPLAN-51289)
Directory Server에서 pwdReset
작업 속성을 지원
이번 개선된 기능에는 pwdReset
작업 속성을 Directory Server에 대한 지원이 추가되었습니다. 관리자가 사용자 암호를 변경하면 Directory Server는 사용자 항목의 pwdReset
을 true
로 설정합니다. 결과적으로 애플리케이션은 이 속성을 사용하여 관리자가 암호를 재설정했는지 여부를 확인할 수 있습니다.
pwdReset
은 작동 속성이므로 사용자가 편집할 수 없습니다.
Directory Server는 이제 RESULT
항목에 작업 및 작업 시간을 기록합니다.
이번 업데이트를 통해 Directory Server는 이제 '/var/log/dirsrv/slapd-<instance_name>/access 파일의 RESULT'entries에 두 개의 추가 시간 값을 기록합니다
.
-
wtime
값은 작업 큐에서 작업자 스레드로 작업을 이동하는 데 걸리는 시간을 나타냅니다. -
optime
값은 작업자 스레드가 작업을 시작한 후 실제 작업을 완료하는 데 걸리는 시간을 표시합니다.
새 값은 Directory Server에서 부하 및 프로세스 작업을 처리하는 방법에 대한 추가 정보를 제공합니다.
자세한 내용은 Red Hat Directory Server Configuration, Command 및 File Reference의 액세스 로그 참조 섹션을 참조하십시오.
5.1.14. 데스크탑
단일 애플리케이션 세션 사용 가능
이제 키오스크 모드라고도 하는 단일 애플리케이션 세션에서 GNOME을 시작할 수 있습니다. 이 세션에서 GNOME은 구성한 애플리케이션의 전체 화면 창만 표시합니다.
단일 애플리케이션 세션을 활성화하려면 다음을 수행합니다.
gnome-session-kiosk-session
패키지를 설치합니다.# yum install gnome-session-kiosk-session
단일 애플리케이션 세션을 열 사용자의
$HOME/.local/bin/redhat-kiosk
파일을 생성하고 편집합니다.파일에서 시작할 애플리케이션의 실행 가능 이름을 입력합니다.
예를 들어 텍스트 편집기 애플리케이션을 시작하려면 다음을 수행합니다.
#!/bin/sh gedit &
파일을 실행 가능으로 설정합니다.
$ chmod +x $HOME/.local/bin/redhat-kiosk
- GNOME 로그인 화면의 cog¢ 버튼 메뉴에서 키오스크 세션을 선택하고 단일 애플리케이션 사용자로 로그인합니다.
(BZ#1739556)
tigervnc 버전이 1.10.1로 업데이트되었습니다
tigervnc
제품군은 버전 1.10.1로 업데이트되었습니다. 업데이트에는 수정 사항 및 개선 사항이 포함되어 있습니다. 가장 중요한 것은 다음과 같습니다.
-
tigervnc는 이제
systemd
서비스 관리자를 사용하는 가상 네트워크 컴퓨팅(VNC) 서버 시작만 지원합니다. -
클립 보드는 네이티브 뷰어
WinVNC
및 Xvnc/libvnc.so에서 전체 유니코드를 지원합니다. - 이제 네이티브 클라이언트는 서버 인증서를 확인할 때 시스템 신뢰 저장소를 유지합니다.
- Java 웹 서버가 제거되었습니다.
-
이제 로컬 연결만 허용하도록
x0vncserver
를 구성할 수 있습니다. -
디스플레이의 일부만 공유되는 경우
x0vncserver
에서 수정 사항을 받았습니다. -
이제
WinVNC
에서 폴링이 기본값입니다. - VMware의 VNC 서버와의 호환성이 개선되었습니다.
- macOS의 일부 입력 방법과의 호환성이 향상되었습니다.
- 기법의 자동 "복합(repair)"이 개선되었습니다.
5.1.15. 그래픽 인프라
새로운 그래픽 카드 지원
이제 다음과 같은 그래픽 카드가 완전히 지원됩니다.
AMD Navi 14 제품군에는 다음 모델이 포함됩니다.
- Radeon RX 5300
- Radeon RX 5300 XT
- Radeon RX 5500
- Radeon RX 5500 XT
다음 모델을 포함하는 AMD Renoir APU 제품군:
- Ryzen 3 4300U
- Ryzen 5 4500U, 4600U, 4600H
- Ryzen 7 4700U, 4800U, 4800H
다음 모델을 포함하는 AMD Dali APU 제품군:
- Athlon Silver 3050U
- Athlon Gold 3150U
- Ryzen 3 3250U
또한 다음 그래픽 드라이버가 업데이트되었습니다.
-
Matrox
mgag200
드라이버
(JIRA:RHELPLAN-55009)
Nvidia Volta 및 booting을 통한 하드웨어 가속
노비 토
그래픽 드라이버는 현재 Nvidia Volta 및 GPU 제품군과 함께 하드웨어 가속을 지원합니다. 결과적으로 3D 그래픽을 사용하는 데스크탑과 애플리케이션이 GPU에서 효율적으로 렌더링됩니다. 또한 CPU를 다른 작업에 사용할 수 없어 전체 시스템 응답성이 향상됩니다.
(JIRA:RHELPLAN-57564)
XWayland에서 디스플레이 해제 감소
XWayland 디스플레이 백엔드는 이제 XPresent 확장을 활성화합니다. XPresent를 사용하면 애플리케이션에서 창 내용을 효율적으로 업데이트할 수 있어 디스플레이 해제가 줄어듭니다.
이 기능을 사용하면 3D 편집기와 같은 전체 화면 OpenGL 애플리케이션의 사용자 인터페이스 렌더링이 크게 향상됩니다.
(JIRA:RHELPLAN-57567)
Intel Tiger Lake GPU 지원
이번 업데이트에서는 Intel Tiger Lake GPU 제품군에 대한 지원이 추가되었습니다. 여기에는 다음 CPU 모델을 사용하여 찾은 Intelœ Graphics 및 Intel Xe GPU가 포함됩니다 . https://ark.intel.com/content/www/us/en/ark/products/codename/88759/tiger-lake.html.
Tiger Lake GPU 지원을 활성화하기 위해 i915.alpha_support=1
또는 i915.force_probe=*
커널 옵션을 더 이상 설정할 필요가 없습니다.
이 향상된 기능은 RHSA-2021:0558 비동기 권고의 일부로 릴리스되었습니다.
(BZ#1882620)
5.1.16. 웹 콘솔
웹 콘솔 세션 내에서 권한 설정
이번 업데이트를 통해 웹 콘솔은 사용자 세션 내부에서 관리 액세스와 제한된 액세스를 전환할 수 있는 옵션을 제공합니다. 웹 콘솔 세션에서 관리 액세스 또는 제한된 액세스 표시기 를 클릭하여 모드 간에 전환할 수 있습니다.
(JIRA:RHELPLAN-42395)
로그 검색 개선 사항
이번 업데이트를 통해 웹 콘솔에는 사용자가 로그 중에서 검색할 수 있는 몇 가지 새로운 방법을 지원하는 검색 상자가 도입되었습니다. 검색 상자는 로그 메시지에서 검색하거나 서비스를 지정하거나 특정 로그 필드가 있는 항목을 검색하는 정규 표현식을 지원합니다.
개요 페이지에 더 자세한 Insights 보고서 표시
이번 업데이트를 통해 Red Hat Insights에 연결된 경우 웹 콘솔의 개요 페이지의 상태 카드는 적중 수와 우선 순위에 대한 자세한 정보를 보여줍니다.
(JIRA:RHELPLAN-42396)
5.1.17. Red Hat Enterprise Linux 시스템 역할
RHEL 시스템 역할에 추가된 터미널 로그 역할
이 향상된 기능을 통해 rhel-system-roles
패키지와 함께 RHEL 시스템 역할에 새 터미널 로그 (TLOG) 역할이 추가되었습니다. 이제 사용자는 tlog
역할을 사용하여 Ansible을 사용하여 세션 기록을 설정하고 구성할 수 있습니다.
현재 tlog
역할은 다음 작업을 지원합니다.
-
systemd
저널에 기록 데이터를 기록하도록tlog
구성 - SSSD를 통해 명시적 사용자 및 그룹에 대한 세션 기록 활성화
Ansible에서 RHEL Logging 시스템 역할을 사용할 수 있음
로깅 시스템 역할을 사용하면 로컬 및 원격 호스트에 다양한 로깅 구성을 일관되게 배포할 수 있습니다. 여러 클라이언트 시스템에서 로그를 수집하도록 RHEL 호스트를 서버로 구성할 수 있습니다.
rhel-system-roles-sap
완전 지원
이전에 기술 프리뷰로 사용 가능한 rhel-system-roles-sap
패키지가 이제 완전히 지원됩니다. SAP용 RHEL(Red Hat Enterprise Linux) 시스템 역할을 제공합니다. 이 역할은 SAP 워크로드를 실행하는 RHEL 시스템의 구성을 자동화하는 데 사용할 수 있습니다. 이러한 역할은 관련 SAP Notes에 설명된 모범 사례를 기반으로 하는 최적의 설정을 자동으로 적용하여 SAP 워크로드를 실행하는 시스템을 구성하는 시간을 크게 단축합니다. 액세스는 SAP 솔루션용 RHEL로 제한됩니다. 서브스크립션에 대한 지원이 필요한 경우 Red Hat 고객 지원에 문의하십시오.
rhel-system-roles-sap
패키지의 다음과 같은 새로운 역할은 완전히 지원됩니다.
-
sap-preconfigure
-
sap-netweaver-preconfigure
-
sap-hana-preconfigure
자세한 내용은 SAP용 Red Hat Enterprise Linux 시스템 역할을 참조하십시오.
(BZ#1660832)
이제 Ansible에서 RHEL 시스템 역할을 사용할 수 있습니다.
지표
RHEL 시스템 역할을 사용하면 로컬 및 원격 호스트에 대해 를 구성할 수 있습니다.
-
pcp
애플리케이션을 통한 성능 분석 서비스 -
grafana
서버를 사용하여 이 데이터의 시각화 -
이러한 서비스를 수동으로 구성하지 않고도
redis
데이터 소스를 사용하여 이 데이터를 쿼리합니다.
rhel-system-roles-sap
업그레이드
rhel-system-roles-sap
패키지가 여러 버그 수정 및 개선 사항을 제공하는 업스트림 버전 2.0.0으로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.
- 호스트 이름 설정 및 확인 개선
-
uuidd
상태 감지 및 처리 개선 -
--check (-c)
옵션에 대한 지원 추가 -
nofile
한도를 32800에서 65536으로 늘립니다. -
nfs-utils
파일을sap_preconfigure_packages
*에 추가합니다. -
firewalld
를 비활성화합니다. 이 변경으로firewalld
가 설치될 때만 비활성화됩니다. -
RHEL 8.0 및 RHEL 8.1에 필요한 최소 버전의
설정을
추가합니다. -
tmpfiles.d/sap.conf
파일 처리 개선 - 단일 단계 실행 지원 또는 SAP 노트 확인 지원
-
필요한
compat-sap-c++
패키지를 추가합니다. - 최소 패키지 설치 처리 개선
- RHEL 시스템 역할을 적용한 후 재부팅이 필요한지 감지
-
모든 SElinux 상태 설정 지원. 기본 상태는
"비활성화됨"
입니다. - 동일한 IP 주소가 있는 행이 두 개 이상 있는 경우 더 이상 실패하지 않습니다
-
sap_ip
가 포함된 행이 두 개 이상 있는 경우/etc/hosts
를 더 이상 수정하지 않습니다 - RHEL 7.7에서 HANA 지원
-
PPc
64le
플랫폼의 SAP HANA에 필요한 IBM 서비스 및 생산성 도구용 리포지토리 추가 지원
스토리지
RHEL 시스템 역할에서 파일 시스템 관리 지원
이번 개선된 기능을 통해 관리자는 스토리지
RHEL 시스템 역할을 사용하여 다음을 수행할 수 있습니다.
-
ext4
파일의 크기 조정 - LVM 파일의 크기 조정
- 기본 매개 변수를 사용하는 블록 장치에 스왑 파티션을 만들거나 스왑 파티션을 수정합니다.
(BZ#1959289)
5.1.18. 가상화
호환되지 않는 TSC 설정을 사용하여 가상 머신을 호스트로 마이그레이션하는 속도가 빨라졌습니다.
이전에는 호환되지 않는 TSC(Time Stamp Counter) 설정이 있는 호스트로 가상 머신을 마이그레이션하는 데 실패했습니다. 이번 업데이트를 통해 마이그레이션 프로세스를 시작하기 전에 이러한 마이그레이션을 시도하면 오류가 발생합니다.
(JIRA:RHELPLAN-45950)
2세대 AMD EPYC 프로세서의 가상화 지원
이번 업데이트에서는 RHEL 8의 가상화에 EPYC라고도 하는 2세대 AMD EPYC 프로세서가 지원됩니다. 결과적으로 RHEL 8에서 호스팅되는 가상 머신은 이제 EPYC-Rome
CPU 모델을 사용할 수 있으며 프로세서에서 제공하는 새로운 기능을 사용할 수 있습니다.
(JIRA:RHELPLAN-45959)
새 명령: virsh iothreadset
이번 업데이트에서는 IOThread 폴링을 구성하는 데 사용할 수 있는 virsh iothreadset
명령이 도입되었습니다. 따라서 IOThread에 더 많은 CPU 소비를 희생하면서 I/O 집약적인 워크로드에 대한 대기 시간이 짧은 가상 머신을 설정할 수 있습니다. 특정 옵션은 virsh 도움말 페이지를 참조하십시오.
(JIRA:RHELPLAN-45958)
10세대 Intel Core 프로세서에서 KVM에서 UMIP 지원
이번 업데이트를 통해 이제 KVM에서 10세대 Intel Core 프로세서(Ice Lake Server라고도 함)에서 실행되는 호스트에 대해 UMIP(User-mode instructions)" 기능을 지원합니다. 현재 권한 수준(CPL)이 0보다 크면 UMIP 기능은 sgdt
,sidt
,sldt
,smsw
, str
와 같은 특정 지침이 실행되면 일반 보호 예외를 발행합니다. 결과적으로 UMIP는 무단 애플리케이션이 권한 에스컬레이션 공격을 시작하는 데 사용할 수 있는 특정 시스템 전체 설정에 액세스하지 못하도록 하여 시스템 보안을 보장합니다.
(JIRA:RHELPLAN-45957)
libvirt
라이브러리에서 Memory Bandwidth Allocation 지원
libvirt
는 이제 MBA(메모리 대역폭 할당)를 지원합니다. MBA를 사용하면 < cputune> 섹션의
<memorytune>
요소를 사용하여 vCPU 스레드에서 호스트 메모리 대역폭 부분을 할당할 수 있습니다.
MBA는 Intel Xeon v4 프로세서에서 Broadwell 서버라고도 하는 기존 Cache QoS Enforcement(CQE) 기능을 확장한 것입니다. CPU 선호도와 관련된 작업의 경우 MBA에서 사용하는 메커니즘은 CQE와 동일합니다.
(JIRA:RHELPLAN-45956)
RHEL 6 가상 머신에서 Q35 머신 유형을 지원
RHEL 6을 게스트 OS로 사용하는 RHEL 8에서 호스팅되는 VM(가상 머신)은 이제 최신 PCI Express 기반 머신 유형인 Q35를 사용할 수 있습니다. 이를 통해 가상 장치의 기능 및 성능이 다양하게 개선되고 광범위한 최신 장치가 RHEL 6 VM과 호환될 수 있습니다.
(JIRA:RHELPLAN-45952)
이제 기록된 모든 QEMU 이벤트에 타임스탬프가 있습니다. 결과적으로 /var/log/libvirt/qemu/
디렉터리에 저장된 로그를 사용하여 가상 머신의 문제를 보다 쉽게 해결할 수 있습니다.
QEMU 로그에 spice-server 이벤트의 타임스탬프가 포함됩니다.
이번 업데이트에서는 'spice-server' 이벤트 로그에 타임스탬프가 추가되었습니다. 따라서 모든 기록된 QEMU 이벤트에 타임스탬프가 있습니다. 결과적으로 /var/log/libvirt/qemu/
디렉터리에 저장된 로그를 사용하여 가상 머신의 문제를 보다 쉽게 해결할 수 있습니다.
(JIRA:RHELPLAN-45945)
bochs-display
장치가 지원됨
RHEL 8.3 이상에서는 Bochs 디스플레이 장치를 도입하는데, 이는 현재 사용된 stdvga
장치보다 더 안전합니다. bochs-display
와 호환되는 모든 VM(가상 머신)은 기본적으로 사용됩니다. 여기에는 주로 UEFI 인터페이스를 사용하는 VM이 포함됩니다.
(JIRA:RHELPLAN-45939)
가상 머신에 최적화된 MDS 보호
이번 업데이트를 통해 RHEL 8 호스트는 해당 VM(가상 머신)이 MDS( Microarchitectural Data Sampling )에 취약했는지 여부를 알 수 있습니다. 취약하지 않은 VM은 MDS에 대한 측정값을 사용하지 않으므로 성능이 향상됩니다.
(JIRA:RHELPLAN-45937)
RBD에서 QCOW2 디스크 이미지 생성 지원
이번 업데이트를 통해 RADOS 블록 장치(RBD) 스토리지에서 QCOW2 디스크 이미지를 생성할 수 있습니다. 결과적으로 가상 시스템은 QCOW2 이미지로 스토리지 백엔드에 RBD 서버를 사용할 수 있습니다.
그러나 현재 RBD 스토리지의 QCOW2 디스크 이미지의 쓰기 성능이 예상보다 낮습니다.
(JIRA:RHELPLAN-45936)
지원되는 최대 VFIO 장치 최대 64개로 증가
이번 업데이트를 통해 VFIO를 사용하는 최대 64개의 PCI 장치를 RHEL 8 호스트의 단일 가상 머신에 연결할 수 있습니다. RHEL 8.2에서는 32개 이상입니다.
(JIRA:RHELPLAN-45930)
QEMU/KVM에서 discard
및 write-zeroes
명령이 지원됩니다.
이번 업데이트를 통해 virtio
명령이 QEMU/KVM에서 지원됩니다. 결과적으로 가상 시스템은 -blk
의 삭제
및 쓰기-0esvirtio-blk
장치를 사용하여 사용되지 않는 섹터 SSD를 폐기하거나 비어 있을 때 0으로 섹터를 채울 수 있습니다. 이 옵션을 사용하여 SSD 성능을 향상하거나 드라이브가 안전하게 지워지도록 할 수 있습니다.
(JIRA:RHELPLAN-45926)
RHEL 8에서 IBM POWER 9 XIVE 지원
이번 업데이트에서는 IBM POWER9에서 RHEL 8의 외부 인터럽트 가상화 엔진(XIVE) 기능을 지원합니다. 결과적으로 IBM POWER 9 시스템의 RHEL 8 하이퍼바이저에서 실행되는 VM(가상 머신)은 XIVE를 사용할 수 있으므로 I/O 집약적인 VM의 성능이 향상됩니다.
(JIRA:RHELPLAN-45922)
가상 머신 제어 그룹 v2 지원
이번 업데이트를 통해 libvirt 제품군은 제어 그룹 v2를 지원합니다. 따라서 RHEL 8에서 호스팅되는 가상 머신은 제어 그룹 v2의 리소스 제어 기능을 활용할 수 있습니다.
(JIRA:RHELPLAN-45920)
반가상화 IPI가 Windows 가상 머신에서 지원
이번 업데이트를 통해 hv_ipi
플래그가 Windows VM(가상 머신)에 지원되는 하이퍼바이저 구현에 추가되었습니다. 이를 통해 프로세서 간 인터럽트(IPI)를 hypercall을 통해 보낼 수 있습니다. 결과적으로 Windows OS를 실행하는 VM에서 IPI를 더 빠르게 수행할 수 있습니다.
(JIRA:RHELPLAN-45918)
디스크 캐시가 활성화된 가상 머신을 마이그레이션할 수 있습니다.
이번 업데이트에서는 디스크 캐시 실시간 마이그레이션과 호환되는 RHEL 8 KVM 하이퍼바이저가 업데이트되었습니다. 결과적으로 디스크 캐시가 활성화된 가상 머신을 실시간 마이그레이션할 수 있습니다.
(JIRA:RHELPLAN-45916)
권한 없는 세션의 가상 시스템에서 MacVTap 인터페이스를 사용할 수 있습니다
이제 VM(가상 머신)에서 이전에 권한 있는 프로세스에 의해 생성된 macvtap 인터페이스를 사용할 수 있습니다. 특히 libvirtd
의 권한이 없는 사용자
세션에서 시작된 VM은 macvtap 인터페이스를 사용할 수 있습니다.
이를 위해 먼저 권한 있는 환경에서 macvtap 인터페이스를 만들고 권한이 없는 세션에서 libvirtd
를 실행할 사용자가 소유하도록 설정합니다. 이 작업은 웹 콘솔과 같은 관리 애플리케이션을 사용하거나 root와 같은 명령줄 유틸리티를 사용하여 수행할 수 있습니다. 예를 들면 다음과 같습니다.
# ip link add link en2 name mymacvtap0 address 52:54:00:11:11:11 type macvtap mode bridge # chown myuser /dev/tap$(cat /sys/class/net/mymacvtap0/ifindex) # ip link set mymacvtap0 up
그런 다음 새로 생성된 macvtap 인터페이스를 참조하도록 VM <
하위 요소를 수정합니다.
interface> 구성의 <target
>
<interface type='ethernet'> <model type='virtio'/> <mac address='52:54:00:11:11:11'/> <target dev='mymacvtap0' managed='no'/> </interface>
이 구성을 사용하면 libvirtd
가 사용자 myuser
로 실행되면 VM이 시작될 때 기존 macvtap 인터페이스를 사용합니다.
(JIRA:RHELPLAN-45915)
가상 머신은 이제 10세대 Intel Core 프로세서의 기능을 사용할 수 있음
이제 가상 머신(VM)에
CPU 모델 이름을 사용할 수 있습니다. 10세대 Intel Core 프로세서가 있는 호스트에서는 Icelake-Server
및 Icelake-ClientIcelake-Server
또는 Icelake-Client
를 VM의 XML 구성에서 CPU 유형으로 사용하면 이러한 CPU의 새로운 기능이 VM에 노출됩니다.
(JIRA:RHELPLAN-45911)
QEMU에서 LUKS 암호화 지원
이번 업데이트를 통해LUKS(Linux Unified Key Setup) 암호화를 사용하여 가상 디스크를 생성할 수 있습니다. 가상 머신의(VM) XML 구성에 <encryption>
필드를 포함하여 스토리지 볼륨을 생성할 때 디스크를 암호화할 수 있습니다. XML 구성 파일의 디스크 도메인 정의에 <encryption>
필드를 포함하여 LUKS
암호화된 가상 디스크를 VM에 완전히 투명하게 만들 수도 있습니다.
(JIRA:RHELPLAN-45910)
nbdkit
로그 개선
nbdkit
서비스 로깅이 덜 자세한 정보 표시로 수정되었습니다. 결과적으로 nbdkit
은 잠재적으로 중요한 메시지만 로그하고 virt-v2v
변환 중에 생성된 로그는 짧고 구문 분석하기 쉽습니다.
(JIRA:RHELPLAN-45909)
가상 머신 SELinux 보안 레이블 및 권한의 일관성 개선
이번 업데이트를 통해 libvirt
서비스는 파일과 관련된 SELinux 보안 레이블 및 권한을 기록하고 파일을 수정한 후 레이블을 복원할 수 있습니다. 예를 들어, libguestfs
유틸리티를 사용하여 특정 사용자가 소유한 가상 머신(VM) 디스크 이미지를 수정해도 더 이상 이미지 소유자가 root로 변경되지 않습니다.
이 기능은 NFS와 같은 확장된 파일 속성을 지원하지 않는 파일 시스템에서는 작동하지 않습니다.
(JIRA:RHELPLAN-45908)
QEMU에서 XTS 암호화 라이브러리에 gcrypt
라이브러리를 사용
이번 업데이트를 통해 QEMU 에뮬레이터가 gcrypt
라이브러리에서 제공하는 XTS 암호화 모드 구현을 사용하도록 변경되었습니다. 이렇게 하면 호스트 스토리지에서 QEMU의 기본 luks
암호화 드라이버를 사용하는 가상 시스템의 I/O 성능이 향상됩니다.
(JIRA:RHELPLAN-45904)
Windows Virtio 드라이버는 이제 Windows Updates를 사용하여 업데이트할 수 있습니다.
이번 업데이트를 통해 QEMU가 시작될 때 기본적으로 새로운 표준 SMBIOS
문자열이 시작됩니다. SMBIOS
필드에 제공된 매개 변수를 사용하면 가상 시스템(VM)에서 실행되는 가상 하드웨어의 ID를 생성할 수 있습니다. 결과적으로 Windows 업데이트는 가상 하드웨어와 RHEL 하이퍼바이저 머신 유형을 식별하고 Windows 10+, Windows Server 2016 및 Windows Server 2019+를 실행하는 VM에서 Virtio 드라이버를 업데이트할 수 있습니다.
(JIRA:RHELPLAN-45901)
새 명령: virsh guestinfo
virsh guestinfo
명령이 RHEL 8.3에 도입되었습니다. 이렇게 하면 가상 머신(VM)에 대한 다음 유형의 정보를 보고할 수 있습니다.
- 게스트 OS 및 파일 시스템 정보
- 활성 사용자
- 사용된 시간대
virsh guestinfo
를 실행하기 전에 qemu-guest-agent 패키지가 설치되어 있는지 확인합니다. 또한 guest_agent
채널은 다음과 같이 VM의 XML 구성에서 활성화되어야 합니다.
<channel type='unix'> <target type='virtio' name='org.qemu.guest_agent.0'/> </channel>
(JIRA:RHELPLAN-45900)
KVM에서 BFLOAT16
입력에 대한 VNNI 지원
이번 업데이트에서 VNNI(Vector Neural Network instructionss)가 BFLOAT16
입력(X 512_BF16
명령이라고도 함)을 지원하는 VNNI(Vector Neural Network instructionss)는 이제 KVM에서 3세대 Intel Xeon 확장형 프로세서에서 실행되는 호스트에 대해 지원되고 있습니다. 결과적으로 게스트 소프트웨어는 가상 CPU 구성에서 이를 활성화하여 가상 머신 내에서 암호 해독 _BF16
지침을 사용할 수 있습니다.
(JIRA:RHELPLAN-45899)
새 명령: virsh pool-capabilities
RHEL 8.3에는 virsh pool-capabilities
명령 옵션이 도입되었습니다. 이 명령은 호스트의 각 풀 내에 있는 스토리지 풀 외에도 스토리지 풀을 만드는 데 사용할 수 있는 정보를 표시합니다. 여기에는 다음이 포함됩니다.
- 스토리지 풀 유형
- 스토리지 풀 소스 형식
- 대상 스토리지 볼륨 형식 유형
(JIRA:RHELPLAN-45884)
Intel Xeon 플래티넘 9200 시리즈 프로세서가 탑재된 가상 시스템에서 CPUID.1F 지원
이번 업데이트를 통해 CPUID.1F(Extended Topology Enumeration playbooks) 기능(CPUID.1F)을 사용하여 여러 가상 CPU 토폴로지가 종료된 RHEL 8에서 호스팅되는 가상 머신을 구성할 수 있습니다. 이 기능은 이전에 Cascade Lake라고 알려진 Intel Xeon 플래티넘 9200 시리즈 프로세서에서 지원됩니다. 결과적으로 Intel Xeon 플래티넘 9200 시리즈 프로세서를 사용하는 호스트에서 호스트의 물리적 CPU 토폴로지를 미러링하는 vCPU 토폴로지를 생성할 수 있습니다.
(JIRA:RHELPLAN-37573, JIRA:RHELPLAN-45934)
가상 머신은 이제 3세대 Intel Xeon 확장형 프로세서의 기능을 사용할 수 있음
이제 VM(
가상 머신)에 CPU 모델 이름을 사용할 수 있습니다. VM의 XML 구성에 CPU 유형을 CPU 유형으로
사용하면 호스트가 이 CPU를 사용하는 경우 VM에 노출된 3세대 Intel Xeon 확장 프로세서의 새로운 기능이 생성됩니다.
(JIRA:RHELPLAN-37570)
Intel Optane 영구 메모리가 KVM에서 지원
이번 업데이트를 통해 RHEL 8에서 호스팅되는 가상 머신은 이전에 Intel Optane Ridge라고 하는 Intel Optane 영구 메모리 기술을 활용할 수 있습니다. Intel Optane 영구 메모리 스토리지 장치는 데이터 센터급 영구 메모리 기술을 제공하므로 트랜잭션 처리량이 크게 증가할 수 있습니다.
(JIRA:RHELPLAN-14068)
가상 머신에서 Intel Processor Trace 사용 가능
이번 업데이트를 통해 RHEL 8에서 호스팅되는 VM(가상 머신)은 Intel 프로세서 추적(PT) 기능을 사용할 수 있습니다. 호스트에서 Intel UEFI를 지원하는 CPU를 사용하는 경우 특수 Intel 소프트웨어를 사용하여 VM CPU의 성능에 대한 다양한 지표를 수집할 수 있습니다. 이를 위해서는 VM의 XML 구성에서 intel-pt
기능을 활성화해야 합니다.
(JIRA:RHELPLAN-7788)
이제 DASD 장치를 IBM Z의 가상 머신에 할당할 수 있음
DASD(직접 액세스 스토리지 장치)는 다양한 특정 스토리지 기능을 제공합니다. vfio-ccw
기능을 사용하여 DASD를 IBM Z 호스트의 VM(가상 머신)에 중재된 장치로 할당할 수 있습니다. 예를 들어 VM이 z/OS 데이터 세트에 액세스하거나 할당된 DASD를 z/OS 시스템과 공유할 수 있습니다.
(JIRA:RHELPLAN-40234)
IBM Z에 지원되는 IBM Secure Execution
IBM Z 하드웨어를 사용하여 RHEL 8 호스트를 실행하는 경우 VM(가상 시스템)에 대한 IBM Secure Execution을 구성하여 VM(가상 시스템)의 보안을 개선할 수 있습니다. IBM Secure Execution(보호된 가상화이라고도 함)을 사용하면 호스트 시스템이 VM의 상태 및 메모리 콘텐츠에 액세스할 수 없습니다.
따라서 호스트가 손상되어도 게스트 운영 체제를 공격하기 위한 벡터로 사용할 수 없습니다. 또한 Secure Execution을 사용하여 신뢰할 수 없는 호스트가 VM에서 중요한 정보를 얻지 못하도록 할 수 있습니다.
(JIRA:RHELPLAN-14754)
5.1.19. 클라우드 환경의 RHEL
cloud-utils-growpart
를1로 변경
cloud-utils-growpart
패키지가 여러 버그 수정 및 개선 사항을 제공하는 버전✓1로 업그레이드되었습니다. 주요 변경 사항은 다음과 같습니다.
- GPT 디스크가 2TB 지난 성장을 방지하는 버그가 수정되었습니다.
-
시작 섹터와 크기가 같으면
growpart
작업이 더 이상 실패하지 않습니다. -
일부 경우 이전에
sgdisk
유틸리티를 사용하여 파티션 크기 조정에 실패했습니다. 이 문제는 이제 해결되었습니다.
5.1.20. 컨테이너
Skopeo
컨테이너 이미지를 사용할 수 있습니다
registry.redhat.io/rhel8/skopeo
컨테이너 이미지는 skopeo
패키지의 컨테이너화된 구현입니다. skopeo
툴은 컨테이너 이미지 및 이미지 리포지토리에서 다양한 작업을 수행하는 명령줄 유틸리티입니다. 이 컨테이너 이미지를 사용하면 레지스트리의 컨테이너 이미지를 검사하여 레지스트리에서 컨테이너 이미지를 제거하고 인증되지 않은 컨테이너 레지스트리의 컨테이너 이미지를 다른 컨테이너 레지스트리로 복사할 수 있습니다. registry.redhat.io/rhel8/skopeo
컨테이너 이미지를 가져오려면 활성 Red Hat Enterprise Linux 서브스크립션이 필요합니다.
Buildah
컨테이너 이미지를 사용할 수 있습니다
registry.redhat.io/rhel8/buildah
컨테이너 이미지는 buildah
패키지의 컨테이너화된 구현입니다. buildah
툴을 사용하면 OCI 컨테이너 이미지를 쉽게 빌드할 수 있습니다. 이 컨테이너 이미지를 사용하면 시스템에 buildah
패키지를 설치할 필요 없이 컨테이너 이미지를 빌드할 수 있습니다. 사용 사례는 루트가 아닌 사용자로 이 이미지를 rootless 모드에서 실행하는 것을 다루지 않습니다. registry.redhat.io/rhel8/buildah
컨테이너 이미지를 가져오려면 활성 Red Hat Enterprise Linux 서브스크립션이 필요합니다.
Podman v2.0 RESTful API 사용 가능
새 REST 기반 Podman 2.0 API는 varlink 라이브러리를 기반으로 이전 원격 API를 대체합니다. 새 API는 rootful 환경과 rootless 환경에서 모두 작동하며 Docker 호환성 계층을 제공합니다.
(JIRA:RHELPLAN-37517)
Podman을 설치할 때 container-selinux
가 필요하지 않습니다.
이번 개선된 기능을 통해 이제 컨테이너 빌드 중에 container-selinux
패키지 설치가 선택 사항으로 표시됩니다. 따라서 Podman은 다른 패키지에 대한 종속성이 줄어듭니다.