6.5. 技术预览
这部分提供了 Red Hat Enterprise Linux 8.1 中所有可用的技术预览列表。
如需有关红帽对技术预览功能支持范围的信息,请参阅 技术预览功能支持范围。
6.5.1. 网络
TIPC
完全支持
透明间进程通信(TIP
C)是一种专门的协议,旨在提高松散耦合节点群集内的通信效率。它可作为内核模块使用,在 iproute2
软件包中提供了一个 提示工具
,使设计人员能够创建能够快速可靠地与其他应用程序通信的应用,而不考虑它们在集群中的位置。现在,RHEL 8 完全支持这个功能。
(BZ#1581898)
用于 tc 的 eBPF 作为技术预览
作为技术预览,流量控制(tc)内核子系统和 tc 工具附加扩展 Berkeley Packet 过滤(eBPF)程序作为数据包分类器,以及用于入口和出站队列规则的操作。这可实现内核网络数据路径内的可编程数据包处理。
nmstate
作为技术预览提供
nmstate 是主机的网络 API。nmstate
软件包作为技术预览提供库和 nmstatectl
命令行实用程序以声明性方式管理主机网络设置。网络状态由预定义的 schema 描述。报告当前状态以及对所需状态的更改都符合 schema。
详情请查看 /usr/share/doc/nmstate/README.md
文件以及 /usr/share/doc/nmstate/examples
目录中的示例。
(BZ#1674456)
AF_XDP
作为技术预览
Address Family eXpress Data Path
(AF_XDP
) 是设计用于处理高性能数据包。它包含 XDP
,并允许通过编程方式将选定的数据包高效地重定向到用户空间应用,以便进一步处理。
(BZ#1633143)
XDP 作为技术预览提供
eXpress Data Path(XDP)功能作为技术预览提供。它提供了在内核入口数据路径早期为高性能数据包处理附加扩展 Berkeley Packet Filter(eBPF)程序的方法,从而可以进行高效的可编程数据包分析、过滤和操作。
(BZ#1503672)
KTLS 作为技术预览提供
在 Red Hat Enterprise Linux 8 中,KTLS 是作为技术预览提供的。KTLS 使用内核中的对称加密或者解密算法为 AES-GCM 密码处理 TLS 记录。KTLS 还提供将 TLS 记录加密卸载到支持此功能的网络接口控制器(NIC)的接口。
(BZ#1570255)
systemd-resolved
服务现在作为技术预览提供
systemd-resolved
服务为本地应用提供名称解析。该服务实现了缓存和验证 DNS stub 解析器、链接本地多播名称解析(LLMNR)以及多播 DNS 解析器和响应程序。
请注意,即使 systemd 软件包提供 systemd
-resolved
,这个服务还是一个不受支持的技术预览。
(BZ#1906489)
6.5.2. 内核
Control Group v2 在 RHEL 8 中作为技术预览提供
控制组 v2 机制是统一的层次结构控制组。控制组 v2 以分层方式组织进程,并以受控和可配置的方式在层次结构中分发系统资源。
与之前的版本不同,控制组 v2 只有一个层次结构。这个单一层次结构使 Linux 内核能够:
- 根据拥有者的角色对进程进行分类。
- 解决多个分级冲突策略的问题。
控制组 v2 支持大量控制器:
CPU 控制器规定了 CPU 周期的分布。这个控制器实现:
- 常规调度策略的权重和绝对带宽限制模型。
- 实时调度策略的绝对带宽分配模型。
内存控制器规定了内存分布。目前,会追踪以下类型的内存用量:
- Userland memory - 页面缓存和匿名内存。
- 内核数据结构,如密度和内节点。
- TCP 套接字缓冲。
- I/O 控制器规定了 I/O 资源的分配。
- 回写控制器与 Memory 和 I/O 控制器交互,并且特定于 Control Group v2。
以上信息基于链接 :https://www.kernel.org/doc/Documentation/cgroup-v2.txt。您可以参照同一链接来获取有关特定控制组 v2 控制器的更多信息。
kexec fast reboot
作为技术预览
kexec fast reboot
功能仍作为技术预览提供。由于 kexec fast reboot
,重新引导现在要快得多。要使用这个功能,请手动加载 kexec 内核,然后重启操作系统。
eBPF 作为技术预览
Extended Berkeley Packet Filter(eBPF) 是一个内核中的虚拟机,允许在可访问有限功能的受限沙箱环境中在内核空间中执行代码。
虚拟机包含新系统调用 bpf()
,它支持生成各种映射类型,同时还允许在特殊的装配类代码中载入程序。然后,代码被加载到内核,并使用即时编译方式转换为原生机器代码。请注意,只有具有 CAP_SYS_ADMIN
能力的用户(如 root 用户)才可以成功使用 bpf()
syscall。更多信息,请参阅 bpf
(2) man page。
载入的程序可附加到不同的点(套接字、追踪点、数据包)来接收和处理数据。
红帽提供的很多组件都使用 eBPF 虚拟机。每个组件处于不同的开发阶段,因此目前并不完全支持所有组件。所有组件都作为技术预览提供,除非有特定组件被显示为受支持。
以下显著的 eBPF 组件当前还作为技术预览提供:
- The BPF Compiler Collection(BCC) 工具软件包,这是一组使用 eBPF 虚拟机的动态内核跟踪实用程序。BCC 工具软件包在以下架构中作为技术预览提供:64 位 ARM 架构、IBM Power Systems、Letle Endian 和 IBM Z。请注意,AMD 和 Intel 64 位架构完全支持 BCC 工具软件包。
-
bpftrace
是使用 eBPF 虚拟机的高级别追踪语言。 - eXpress Data Path(XDP)功能,是一种网络技术,它允许使用 eBPF 虚拟机在内核中快速处理数据包。
(BZ#1559616)
soft-RoCE 作为技术预览提供
通过融合以太网的远程直接内存访问(RDMA)是一个网络协议,通过以太网实现 RDMA。soft-RoCE 是 RoCE 的软件实施,它支持两种协议版本:RoCE v1 和 RoCE v2。在 RHEL 8 中,Soft-RoCE 驱动程序 rdma_rxe
作为不受支持的技术预览提供。
(BZ#1605216)
6.5.3. 硬件启用
igc
驱动程序作为 RHEL 8 的一个技术预览
igc
Intel 2.5G 以太网 Linux 有线 LAN 驱动程序现在可在 RHEL 8 的所有架构中作为技术预览使用。ethtool
还支持 igc
有线 LAN。
(BZ#1495358)
6.5.4. 文件系统和存储
NVMe/TCP 作为技术预览提供
通过 TCP/IP 网络(NVMe/TCP)访问和共享 Nonvolatile Memory Express(NVMe/TCP)存储及其对应的 nvme-tcp.ko
和 nvmet-tcp.ko
内核模块已被添加为技术预览。
使用 nvme-cli
和 nvmetcli
软件包提供的工具可以管理 NVMe/TCP 作为存储客户端或目标。
NVMe/TCP 提供了存储传输选项以及现有的 NVMe over Fabric(NVMe-oF)传输,其中包括远程直接内存访问(RDMA)和光纤通道(NVMe/FC)。
(BZ#1696451)
现在 ext4 和 XFS 作为技术预览提供文件系统 DAX
在 Red Hat Enterprise Linux 8.1 中,文件系统 DAX 作为技术预览提供。DAX 提供了将持久内存直接映射到其地址空间的方法。要使用 DAX,系统必须有某种可用的持久内存,通常使用一个或多个非线内存模块(NVDIMM),且必须在 NVDIMM 上创建支持 DAX 的文件系统。另外,该文件系统必须使用 dax
挂载选项挂载。然后,在 dax 挂载的文件系统中的一个文件 mmap
会把存储直接映射到应用程序的地址空间中。
(BZ#1627455)
OverlayFS
OverlayFS 是一种联合文件系统。它允许您在另一个文件系统上覆盖一个文件系统。更改记录在上面的文件系统中,而较小的文件系统则未修改。这允许多个用户共享文件系统镜像,如容器或 DVD-ROM,基础镜像使用只读介质。
在大多数情况下,OverlayFS 仍是一个技术预览。因此,当这个技术被激活时,内核会记录警告信息。
与支持的容器引擎(podman
、cri-o
或 buildah
)一同使用时,对 OverlayFS 提供的全面支持包括以下限制:
-
OverlayFS 仅支持作为容器引擎图形驱动程序或其他专用用例使用,如 squashed
kdump
initramfs。它主要用于容器 COW 内容,不支持持久性存储。您必须将任何持久性存储放在非OverlayFS 卷中。您只能使用默认容器引擎配置:一个级别的覆盖、一个较低 dir 以及较低级别和上一级都位于同一个文件系统中。 - 目前只支持 XFS 作为较低层文件系统使用。
另外,以下规则和限制适用于使用 OverlayFS:
- OverlayFS 内核 ABI 和用户空间的行为被视为不稳定,将来的更新可能会改变。
OverlayFS 提供一组受限的 POSIX 标准。在使用 OverlayFS 部署前,先测试您的应用程序。以下情况与 POSIX 不兼容:
-
O_RDONLY
打开的较低文件在读取文件时不会接收st_atime
更新。 -
使用
O_RDONLY
打开的较低文件,然后与MAP_SHARED
映射与后续修改不一致。 RHEL 8 中不默认启用完全兼容
st_ino
或d_ino
值,但您可以使用模块选项或挂载选项为它们启用完整的 POSIX 合规性。要获得一致的内节点编号,请使用
xino=on
挂载选项。您还可以使用
redirect_dir=on
和index=on
选项提高 POSIX 合规性。这两个选项使上层的格式与没有这些选项的 overlay 不兼容。也就是说,如果您使用redirect_dir=on
或index=on
创建了一个覆盖,卸载覆盖,然后在没有这些选项的情况下挂载覆盖,则可能会出现意外的结果或错误。
-
要确定现有 XFS 文件系统是否有资格用作 overlay,请使用以下命令查看是否启用了
ftype=1
选项:# xfs_info /mount-point | grep ftype
- 使用 OverlayFS 在所有支持的容器引擎中默认启用 SELinux 安全标签。
- 本发行版本中与 OverlayFS 相关的几个已知问题。详情请查看 Linux 内核文档 中的 非标准行为。
有关 OverlayFS 的更多信息,请参阅 Linux 内核文档。
(BZ#1690207)
Stratis 现在作为技术预览提供
Stratis 是一个新的本地存储管理器。它在存储池的上面为用户提供额外的功能。
Stratis 可让您更轻松地执行存储任务,比如:
- 管理快照和精简配置
- 根据需要自动增大文件系统大小
- 维护文件系统
要管理 Stratis 存储,使用 stratis
工具来与 stratisd
后台服务进行通信。
Stratis 作为技术预览提供。
如需更多信息,请参阅 Stratis 文档: 设置 Stratis 文件系统。
(JIRA:RHELPLAN-1212)
现在可以将登录 IdM 主机的 IdM 和 AD 用户在 IdM 域成员中设置的 Samba 服务器作为技术预览在 IdM 域成员中设置
在这个版本中,您可以在 Identity Management(IdM)域成员中设置 Samba 服务器。由同名软件包提供的新 ipa-client-samba
程序为 IdM 添加了特定于 Samba 的 Kerberos 服务主体并准备 IdM 客户端。例如,实用程序使用 sss
ID 映射后端的 ID 映射配置创建 /etc/samba/smb.conf
。现在,管理员可以在 IdM 域成员中设置 Samba。
由于 IdM Trust Controller 不支持全局目录服务,AD-enrolled Windows 主机无法在 Windows 中找到 IdM 用户和组。另外,IdM Trust Controller 不支持使用分布式计算环境/远程过程调用(DCE/RPC)协议解析 IdM 组。因此,AD 用户只能访问 IdM 客户端的 Samba 共享和打印机。
详情请查看在 IdM 域成员中设置 Samba。
(JIRA:RHELPLAN-13195)
6.5.5. 高可用性和集群
pacemaker podman
bundles 作为技术预览
pacemaker 容器捆绑包现在在 podman
容器平台上运行,容器捆绑包功能作为一个技术预览可用。其中一个功能例外于技术预览:红帽完全支持在 Red Hat Openstack 中使用 Pacemaker 捆绑包。
(BZ#1619620)
作为技术预览的 corosync-qdevice
中的 Heuristics
Heuristics是一组在启动、集群成员资格更改、成功连接到 corosync-qnetd
时本地执行的命令,以及可选的定期执行的命令。当所有命令及时成功完成(返回的错误代码为零),代表 heuristics 通过,否则代表失败。Heuristics 结果发送到 corosync-qnetd
,在计算中用来决定哪个分区应该是 quorate。
新的 fence-agents-heuristics-ping
保护代理
作为技术预览,Pacemaker 现在支持 fence_heuristics_ping
代理。这个代理旨在打开一组实验性保护代理,它们本身没有实际隔离,而是以新的方式利用隔离级别。
如果 heuristics 代理的配置与用于实现实际隔离代理有相同的隔离级别,但在代理之前配置,隔离会在试图进行隔离前,在 heuristics 代理上发出一个 off
操作。如果 heuristics 代理给出了 off
操作的一个负结果,则代表隔离不成功,从而导致 Pacemaker 隔离跳过对实现隔离的代理发出 off
动作的步骤。heuristics 代理可以利用这个行为来防止实际上进行隔离的代理在特定情况下隔离节点。
用户可能希望使用这个代理,特别是在双节点集群中,如果节点可以预先知道无法正确接管该服务,则节点可以隔离这个代理。例如,如果节点在网络连接链接出现问题,使服务无法访问客户端,则节点接管服务可能不真实。在这种情况下,向路由器的 ping 可能会探测到这个情况。
(BZ#1775847)
6.5.6. 身份管理
身份管理 JSON-RPC API 作为技术预览
一个 API 可用于 Identity Management(IdM)。要查看 API,IdM 还提供了一个 API 浏览器作为技术预览。
在 Red Hat Enterprise Linux 7.3 中,IdM API 被改进来启用多个 API 命令版本。在以前的版本中,增强功能可能会以不兼容的方式改变命令的行为。用户现在可以继续使用已有的工具和脚本,即使 IdM API 发生了变化。这可启用:
- 管理员要在服务器中使用之前或更高版本的 IdM,而不是在管理客户端中使用。
- 开发人员使用 IdM 调用的特定版本,即使 IdM 版本在服务器上发生了变化。
在所有情况下,与服务器进行通信是可能的,无论是否一方使用,例如,一个新的版本会为这个功能引进新的选项。
有关使用 API 的详细信息,请参阅使用身份管理 API 与 IdM 服务器通信(TECHNOLOGY PREVIEW)。
DNSSEC 在 IdM 中作为技术预览提供
带有集成 DNS 的身份管理(IdM)服务器现在支持 DNS 安全扩展(DNSSEC),这是一组增强 DNS 协议安全性的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。
建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档:
- DNSSEC Operational Practices, Version 2: http://tools.ietf.org/html/rfc6781#section-2
- Secure Domain Name System (DNS) Deployment Guide: http://dx.doi.org/10.6028/NIST.SP.800-81-2
- DNSSEC Key Rollover Timing Considerations: http://tools.ietf.org/html/rfc7583
请注意,集成了 DNSSEC 的 IdM 服务器验证从其他 DNS 服务器获取的 DNS 答案。这可能会影响未按照推荐的命名方法配置的 DNS 区域可用性。
6.5.7. 图形基础结构
VNC 远程控制台作为 64 位 ARM 架构的一个技术预览提供
在 64 位 ARM 架构中,虚拟网络计算(VNC)远程控制台可作为技术预览使用。请注意,在 64 位 ARM 架构中,目前图形堆栈的其它部分没有被验证。
(BZ#1698565)
6.5.8. Red Hat Enterprise Linux 系统角色
RHEL 系统角色的 postfix
角色作为技术预览
Red Hat Enterprise Linux 系统角色为 Red Hat Enterprise Linux 子系统提供了一个配置接口,通过包含 Ansible 角色来简化系统配置。这个界面支持在多个 Red Hat Enterprise Linux 版本间管理系统配置,并使用新的主发行版本。
rhel-system-roles
软件包通过 AppStream 软件仓库发布。
postfix
角色是作为技术预览提供的。
以下角色被完全支持:
-
kdump
-
network
-
selinux
-
storage
-
timesync
如需更多信息,请参阅有关 RHEL 系统角色 的知识库文章。
(BZ#1812552)
rhel-system-roles-sap
作为技术预览
rhel-system-roles-sap
软件包为 SAP 提供 Red Hat Enterprise Linux (RHEL)系统角色,可用于自动化 RHEL 系统的配置以运行 SAP 工作负载。这些角色通过自动应用基于相关 SAP 备注中最佳实践的优化设置,大大减少了将系统配置为运行 SAP 工作负载的时间。访问只限制为 RHEL for SAP Solutions。如果需要帮助,请联络红帽客户支持团队。
rhel-system-roles-sap
软件包中的以下新角色可作为技术预览提供:
-
sap-preconfigure
-
sap-netweaver-preconfigure
-
sap-hana-preconfigure
如需更多信息,请参阅 SAP 的 Red Hat Enterprise Linux 系统角色。
注: 计划进行 RHEL 8.1 for SAP Solutions 的验证,以便在 Intel 64 架构和 IBM POWER9 上与 SAP HANA 配合使用。其他 SAP 应用和数据库产品(如 SAP NetWeaver 和 SAP ASE)可以使用 RHEL 8.1 功能。如需了解有关验证的版本和 SAP 支持的最新信息,请查阅 SAP Notes 2369910 和 2235581。
(BZ#1660832)
rhel-system-roles-sap
rebase 到版本 1.1.1
在 RHBA-2019:4258 公告中,rhel -system-roles-sap
软件包已更新,以提供多个程序错误修复。值得注意的是:
- SAP 系统角色适用于非英语区域的主机
-
kernel.pid_max
由sysctl
模块设置 -
对于 HANA,
Nproc
设置为无限值(请参阅 SAP 注意 2772999 第 9 步) - 在软进程限制之前设置硬进程限制
-
设置进程限制的代码现在与角色
sap-preconfigure
相同 -
handlers/main.yml
仅适用于非uefi 系统,并在 uefi 系统中静默忽略 -
删除了对
rhel-system-roles
的未使用依赖 -
从
sap_hana_preconfigure_packages
中删除了libssh2
- 添加了进一步检查,以避免在不支持某些 CPU 设置时失败
- 将所有 true 和 false 转换为小写
- 更新了最小软件包处理
- 正确设置主机名和域名
- 很多次修复
rhel-system-roles-sap
软件包作为技术预览提供。
(BZ#1766622)
6.5.9. 虚拟化
选择 Intel 网络适配器现在支持 Hyper-V 的 RHEL 客户端中的 SR-IOV
作为技术预览,在 Hyper-V hypervisor 中运行的 Red Hat Enterprise Linux 客户机操作系统现在可以为 ixgbevf
和 iavf
驱动程序支持的 Intel 网络适配器使用单根 I/O 虚拟化(SR-IOV)功能。此功能在满足以下条件时启用:
- 对网络接口控制器(NIC)启用了 SR-IOV 支持
- 对虚拟 NIC 启用了 SR-IOV 支持
- 对虚拟交换机启用 SR-IOV 支持
- NIC 中的虚拟功能(VF)附加到虚拟机。
目前,Microsoft Windows Server 2019 和 2016 支持该功能。
(BZ#1348508)
KVM 虚拟化可用于 RHEL 8 Hyper-V 虚拟机
作为技术预览,现在可将嵌套的 KVM 虚拟化用于 Microsoft Hyper-V hypervisor。因此,您可以在运行在 Hyper-V 主机的 RHEL 8 虚拟机中创建虚拟机。
请注意目前,这个功能仅适用于 Intel 系统。另外,在一些情况下,Hyper-V 中不默认启用嵌套虚拟化。要启用它,请参阅以下文档:
https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/user-guide/nested-virtualization
(BZ#1519039)
用于 KVM 虚拟机的 AMD SEV
作为技术预览,RHEL 8 为使用 KVM 管理程序的 AMD EPYC 主机引入了安全加密虚拟化(SEV)功能。如果在虚拟机(VM)上启用,SEV 会加密虚拟机内存,因此主机不能访问虚拟机上的数据。如果主机被恶意软件成功损坏,这可以提高虚拟机的安全性。
请注意,在单一主机上同时可以使用此功能的虚拟机数量是由主机硬件决定的。当前的 AMD EPYC 处理器支持使用 SEV 运行最多 15 个正在运行的虚拟机。
也请注意,对于将 SEV 配置为可以引导的虚拟机,还必须使用硬内存限制配置虚拟机。要做到这一点,请在虚拟机 XML 配置中添加以下内容:
<memtune> <hard_limit unit='KiB'>N</hard_limit> </memtune>
建议 N 的值等于或大于客户机 RAM + 256 MiB。例如:如果为客户端分配 2 GiB RAM,则 N 应该为 2359296 或更高。
(BZ#1501618, BZ#1501607, JIRA:RHELPLAN-7677)
Intel vGPU
作为技术预览,现在可以将物理 Intel GPU 设备划分为多个虚拟设备(称为 mediated devices
)。然后可将这些 mediated devices 分配给多个虚拟机(VM)作为虚拟 GPU。因此,这些虚拟机共享单个物理 Intel GPU 的性能。
请注意,只有所选 Intel GPU 与 vGPU 功能兼容。另外,为虚拟机分配物理 GPU 使得主机无法使用 GPU,并可能阻止主机的图形显示输出工作。
(BZ#1528684)
IBM POWER 9 上现在可用的嵌套虚拟化
作为技术预览,现在可以使用在 IBM POWER 9 系统上运行的 RHEL 8 主机机器上的嵌套虚拟化功能。嵌套虚拟化使得 KVM 虚拟机(VM)充当虚拟机监控程序,允许在虚拟机内运行虚拟机。
请注意,嵌套虚拟化在 AMD64 和 Intel 64 系统中也是一个技术预览。
另请注意,要使嵌套虚拟化在 IBM POWER 9、主机、客户机和嵌套客户机上工作,目前都需要运行以下操作系统之一:
- RHEL 8
- 用于 POWER 9 的 RHEL 7
(BZ#1505999, BZ#1518937)
创建嵌套虚拟机
作为技术预览,在 RHEL 8 中 KVM 虚拟机(VM)提供了嵌套虚拟化。通过此功能,在物理主机上运行的虚拟机可以充当虚拟机监控程序,并托管自己的虚拟机。
请注意,嵌套虚拟化只在 AMD64 和 Intel 64 构架中可用,嵌套的主机必须是 RHEL 7 或 RHEL 8 虚拟机。
(JIRA:RHELPLAN-14047)
6.5.10. 容器
podman-machine
命令不被支持
用于管理虚拟机的 podman-machine
命令仅作为技术预览提供。相反,请直接从命令行运行 Podman。
(JIRA:RHELDOCS-16861)