4.8. 커널
RHEL 8.8의 커널 버전
Red Hat Enterprise Linux 8.8은 커널 버전 4.18.0-477.10과 함께 배포됩니다.
고객 키로 실행 게스트 덤프 암호화 보안
이 새로운 기능을 통해 Secure Execution 게스트는 kdump 유틸리티가 작동하지 않을 때 KVM에서 하이퍼바이저 시작 덤프를 사용하여 커널 충돌 정보를 수집할 수 있습니다. 보안 실행을 위한 하이퍼바이저 시작 덤프는 IBM Z Series z16 및 LinuxONE emperor 4 하드웨어용으로 설계되었습니다.
Bugzilla:2043833
sfc 드라이버는 sfc 및 로 나뉩니다.sfc _siena
업스트림 드라이버의 변경 이후 sfc NIC 드라이버는 이제 sfc 및 의 두 가지 드라이버로 나뉩니다. sfc _sienasfc_siena 는 더 이상 사용되지 않는 Siena 제품군 장치를 지원합니다.
sfc 에 적용된 커널 모듈 매개변수 및 udev 규칙의 사용자 지정 구성은 이제 독립 드라이버이므로 sfc_siena 에는 영향을 미치지 않습니다. 두 드라이버를 모두 사용자 지정하려면 sfc_siena 에 대한 구성 옵션을 복제합니다.
Bugzilla:2136107
stmmac 드라이버가 이제 완전히 지원됨
Red Hat은 이제 Intel® Elkhart Lake 시스템의 stmmac 드라이버를 SoC(SoC)에서 완벽하게 지원합니다.
Bugzilla:1905243
rtla meta-tool은 추적기 기능을 개선하기 위해 osnoise 및 timerlat 추적기를 추가합니다.
Real-Time Linux Analysis(rtla)는 Linux의 실시간 속성을 분석하는 명령 집합이 포함된 meta-tool입니다. rtla 는 커널 추적 기능을 활용하여 예기치 않은 시스템 결과의 속성 및 근본 원인에 대한 정확한 정보를 제공합니다. rtla 는 현재 osnoise 및 timerlat tracer 명령을 지원합니다. osnoise tracer는 CPU당 커널 스레드를 보고합니다. timerlat 추적기는 타이머 IRQ 처리기 및 스레드 처리기에서 타이머 대기 시간을 주기적으로 출력합니다.
rtla 의 timerlat 기능을 사용하려면 sysctl -w kernel.sched_rt_runtime_us=-1 스크립트를 사용하여 승인 제어를 비활성화해야 합니다.
Bugzilla:2075203
가독성 향상을 위해 cgroup 및 irqs 의 출력 형식이 개선되었습니다.
이번 개선된 기능을 통해 cgroup 유틸리티의 tuna show_threads 명령 출력이 터미널 크기에 따라 구성됩니다. new -z 또는 --spaced 옵션을 show_threads 명령에 추가하여 cgroups 출력에 추가 간격을 구성할 수도 있습니다. 결과적으로 이제 터미널 크기에 맞게 조정 가능한 향상된 읽기 가능한 형식으로 cgroups 출력을 볼 수 있습니다.
이제 rteval 명령 출력에 프로그램 로드 및 측정 스레드 정보가 포함됩니다.
이제 rteval 명령에서는 프로그램 로드 수, 측정 스레드 및 이러한 스레드를 실행한 해당 CPU의 수와 함께 보고서 요약을 표시합니다. 이 정보는 특정 하드웨어 플랫폼에서 로드되는 실시간 커널의 성능을 평가하는 데 도움이 됩니다.
rteval 보고서는 시스템의 부팅 로그와 함께 XML 파일에 기록되어 rteval-<date>-N-tar.bz2 압축 파일에 저장됩니다. 날짜는 보고서 생성 날짜를 지정하고 N th 실행에 대한 카운터입니다.
rteval 보고서를 생성하려면 다음 명령을 입력합니다.
# rteval --summarize rteval-<date>-N.tar.bz2
대기 시간을 측정하기 위해 -W 및 --bucket-width 옵션이 oslat 프로그램에 추가되었습니다.
이번 개선된 기능을 통해 나노초 정확도로 단일 버킷에 대기 시간 범위를 지정할 수 있습니다. 1000 나노초의 다중이 아닌 너비는 나노초 정확도를 나타냅니다. 새로운 옵션인 -W 또는 --bucket-width 를 사용하면 버킷 간 대기 시간 간격을 수정하여 하위 마이크로초 지연 시간 내에 대기 시간을 측정할 수 있습니다.
예를 들어 1-4의 CPU 범위에서 실행하기 위해 10초 동안 32 버킷에 대해 대기 시간 버킷 너비를 설정하고 버킷 크기가 0개를 생략하려면 다음 명령을 실행합니다.
# oslat -b 32 -D 10s -W 100 -z -c 1-4
옵션을 사용하기 전에 오류 측정과 관련하여 중요한 정확도 수준을 결정해야합니다.
E810 에서 Intel 아이킹 드라이버와 함께 Ethernet Port Configuration Tool (EPCT) 유틸리티 지원
이번 개선된 기능을 통해 devlink 포트 분할 명령에서 Intel 아이덴티드 드라이버를 지원합니다. 이더넷 포트 구성 도구(EPCT)는 장치의 링크 유형을 변경할 수 있는 명령줄 유틸리티입니다. 장치의 장치 정보 및 리소스를 표시하는 devlink 유틸리티는 EPCT에 따라 다릅니다. 이러한 개선으로 인해 아이스 드라이버가 EPCT 지원을 구현하므로 Intel 아이빙 드라이버를 사용하여 구성 가능한 장치를 나열하고 볼 수 있습니다.
Bugzilla:2009705
Intel impossible driver 가 버전 6.0.0으로 다시 설정
Intel 아이러니 드라이버 가 업스트림 버전 6.0.0으로 업그레이드되어 이전 버전에 비해 여러 가지 개선 사항 및 버그 수정을 제공합니다. 주요 개선 사항은 다음과 같습니다.
-
이더넷을 통한 point-to-point Protocol over Ethernet (
ECDHEoE) 프로토콜 하드웨어 오프로드 -
Inter-Integrated Circuit (
I2C) 프로토콜 쓰기 명령 -
이더넷 스위치 장치 드라이버 모델의
TPID(VLAN Tag Protocol Identifier)필터 -
switchdev에서 VLAN 태그 지정 두 배
Bugzilla:2103946
IBM zSystems용 Secure Boot 인증서 호스트
IBM z16 A02/AGZ 및 LinuxONEovnhopper 4 LA2/AGL부터 HMC(하드웨어 관리 콘솔)에서 Secure Boot가 활성화된 시스템을 시작할 때 Linux 커널의 유효성을 확인하는 데 사용되는 인증서를 관리할 수 있습니다. 특히:
- DPM의 HMC 및 HMC에서 액세스할 수 있는 FTP 서버에서 클래식 모드를 사용하여 시스템 인증서 저장소에서 인증서를 로드할 수 있습니다. HMC에 연결된 USB 장치에서 인증서를 로드할 수도 있습니다.
- 인증서 저장소에 저장된 인증서를 LPAR 파티션과 연결할 수 있습니다. 여러 인증서를 파티션과 연결할 수 있으며 인증서를 여러 파티션에 연결할 수 있습니다.
- HMC 인터페이스를 사용하여 파티션에서 인증서 저장소의 인증서 연결을 해제할 수 있습니다.
- 인증서 저장소에서 인증서를 제거할 수 있습니다.
- 한 파티션에 최대 20개의 인증서를 연결할 수 있습니다.
내장된 펌웨어 인증서는 계속 사용할 수 있습니다. 특히 사용자가 관리하는 인증서 저장소를 사용하는 즉시 내장된 인증서를 더 이상 사용할 수 없습니다.
인증서 저장소에 로드된 인증서 파일은 다음 요구 사항을 충족해야 합니다.
-
PEM 또는형식 및 .pem 확장자 중 하나인DER-encoded X.509v3.pem,.cer,.crt, .der.der중 하나입니다. - 이는 만료되지 않습니다.
- 주요 사용량 속성은 디지털 서명 이어야 합니다.
- 확장된 키 사용 속성에는 Code Signing 이 포함되어야 합니다.
펌웨어 인터페이스를 사용하면 논리 파티션에서 실행되는 Linux 커널이 이 파티션과 연결된 인증서를 로드할 수 있습니다. IBM Z의 Linux는 이러한 인증서를 .platform 키링에 저장하므로 Linux 커널이 kexec 커널 및 타사 커널 모듈을 확인할 수 있습니다.
Operator는 확인된 인증서만 업로드하고 취소된 인증서를 제거해야 합니다.
HMC에 로드해야 하는 Red Hat Secureboot 302 인증서는 제품 서명 키 에서 사용할 수 있습니다.
Bugzilla:2183445
64비트 IBM Z에서 Secure Boot IPL 및 덤프에 대한 zipl 지원
이번 업데이트를 통해 zipl 유틸리티는 64비트 IBM Z 아키텍처의 ECKD(Extended Count Key Data) Direct Access Storage Devices(DASD)에서 List-Directed IPL 및 List-Directed 덤프를 지원합니다. 결과적으로 IBM Z의 RHEL 용 Secure Boot는 ECKD 유형 DASD에서도 작동합니다.
Bugzilla:2043852
