5.5. 技术预览

这部分列出了 Red Hat Enterprise Linux 8.3 中的所有技术预览。

如需有关红帽对技术预览功能支持范围的信息，请参阅技术预览功能支持范围。

5.5.1. 网络

启用 xt_u32 Netfilter 模块

xt_u32 Netfilter 模块现在包括在 kernel-modules-extra rpm 中。此模块帮助基于不能访问其他基于协议的数据包过滤器的数据进行数据包转发，从而简化手动迁移到 nftables。但是，红帽不支持 xt_u32 Netfilter 模块。

(BZ#1834769)

nmstate 作为技术预览提供

nmstate 是主机的网络 API。nmstate 软件包作为技术预览提供库和 nmstatectl 命令行实用程序以声明性方式管理主机网络设置。网络状态由预定义的 schema 描述。报告当前状态以及对所需状态的更改都符合 schema。

详情请查看 /usr/share/doc/nmstate/README.md 文件以及 /usr/share/doc/nmstate/examples 目录中的示例。

(BZ#1674456)

AF_XDP 作为技术预览

Address Family eXpress Data Path (AF_XDP) 是设计用于处理高性能数据包。它伴随 XDP，并将编程选择的数据包的高效重定向授予给用户空间应用程序，以便做进一步处理。

（BZ#1633143）

XDP 作为技术预览提供

eXpress Data Path（XDP）功能作为技术预览提供。它提供了在内核入口数据路径早期为高性能数据包处理附加扩展 Berkeley Packet Filter（eBPF）程序的方法，从而可以进行高效的可编程数据包分析、过滤和操作。

(BZ#1503672)

KTLS 作为技术预览提供

在 Red Hat Enterprise Linux 8 中，KTLS 是作为技术预览提供的。KTLS 使用内核中的对称加密或者解密算法为 AES-GCM 密码处理 TLS 记录。KTLS 还提供将 TLS 记录加密卸载到支持此功能的网络接口控制器(NIC)的接口。

(BZ#1570255)

可作为技术预览的 XDP 功能

红帽提供了以下 eXpress Data Path(XDP)功能作为不受支持的技术预览：

在 AMD 和 Intel 64 位以外的构架中载入 XDP 程序。请注意，libxdp 库不适用于 AMD 和 Intel 64 位的构架。
XDP_TX 和 XDP_REDIRECT 返回代码。
XDP 硬件卸载。在使用这个特性前，请参阅在使用 nfp 驱动程序的 Netronome 网卡上卸载 XDP 程序失败。

(BZ#1889737)

act_mpls 模块作为技术预览提供

act_mpls 模块现在作为技术预览在 kernel-modules-extra rpm 中找到。该模块允许使用流量控制（TC）过滤器进行多协议标签交换（MPLS）操作，例如：通过 TC 过滤器推送和弹出 MPLS 标签堆栈条目。模块还允许独立设置 Label、Traffic Class、Stack 的 Bottom 和 Time to Live 字段。

(BZ#1839311)

多路径 TCP 现在作为技术预览提供

多路径 TCP(MPTCP)现在作为技术预览提供。MPTCP 改进了网络中的资源使用量以及网络故障的恢复能力。例如：在 RHEL 服务器中使用多路径 TCP，启用了 MPTCP v1 的智能手机可以连接到服务器上运行的应用程序，并在 Wi-Fi 和手机网络间切换，而不会中断到服务器的连接。

请注意,在服务器中运行的应用程序必须原生支持 MPTCP 或管理员必须在内核中载入 eBPF 程序,以便动态地将 IPPROTO_TCP 改为 IPPROTO_MPTCP。

详情请查看多路径 TCP 入门。

(JIRA:RHELPLAN-41549)

systemd-resolved 服务现在作为技术预览提供

systemd-resolved 为本地应用程序提供名字解析。该服务实现了缓存和验证 DNS stub 解析器、链接本地多播名称解析（LLMNR）以及多播 DNS 解析器和响应程序。

请注意，即使 systemd 软件包提供了 systemd-resolved，这个服务也是一个不受支持的技术预览。

(BZ#1906489)

5.5.2. 内核

kexec fast reboot 功能可作为技术预览使用

kexec fast reboot 特性仍作为一个技术预览提供。kexec fast reboot 通过允许内核直接引导到第二个内核，而无需首先通过基本输入/输出系统(BIOS)，从而显著加快了启动过程。要使用这个功能：

手动加载 kexec 内核。
重启操作系统。

(BZ#1769727)

eBPF 作为技术预览

Extended Berkeley Packet Filter(eBPF) 是一个内核中的虚拟机,允许在可访问有限功能的受限沙箱环境中在内核空间中执行代码。

虚拟机包含新系统调用 bpf()，它支持生成各种映射类型，同时还允许在特殊的装配类代码中载入程序。然后，代码被加载到内核，并使用即时编译方式转换为原生机器代码。请注意,只有具有 CAP_SYS_ADMIN 能力的用户（如 root 用户）才可以成功使用 bpf() syscall。更多信息，请参阅 bpf(2) man page。

载入的程序可附加到不同的点（套接字、追踪点、数据包）来接收和处理数据。

红帽提供的很多组件都使用 eBPF 虚拟机。每个组件处于不同的开发阶段，因此目前并不完全支持所有组件。所有组件都作为技术预览提供，除非有特定组件被显示为受支持。

以下显著的 eBPF 组件当前还作为技术预览提供：

bpftrace 是使用 eBPF 虚拟机的高级别追踪语言。
AF_XDP，将 eXpress Data Path (XDP) 连接到用户空间的套接字，用于优先考虑数据包处理性能的应用程序。

(BZ#1559616)

igc 驱动程序作为 RHEL 8 的一个技术预览

igc Intel 2.5G 以太网 Linux 有线 LAN 驱动程序现在可在 RHEL 8 的所有架构中作为技术预览使用。ethtool 还支持 igc 有线 LAN。

(BZ#1495358)

Soft-RoCE 作为一个技术预览提供

通过融合以太网的远程直接内存访问(RDMA)是一个网络协议，其通过以太网实现 RDMA。Soft-RoCE 是 RoCE 的软件实现，它支持两种协议版本，RoCE v1 和 RoCE v2。在 RHEL 8 中，Soft-RoCE 驱动程序 rdma_rxe 作为不受支持的技术预览提供。

(BZ#1605216)

5.5.3. 文件系统和存储

NVMe/TCP 作为技术预览提供

通过 TCP/IP 网络(NVMe/TCP)访问和共享 Nonvolatile Memory Express(NVMe/TCP)存储及其对应的 nvme-tcp.ko 和 nvmet-tcp.ko 内核模块已被添加为技术预览。

使用 nvme-cli 和 nvmetcli 软件包提供的工具可以管理 NVMe/TCP 作为存储客户端或目标。

NVMe/TCP 目标技术预览仅用于测试目的，目前没有计划提供全面支持。

(BZ#1696451)

现在 ext4 和 XFS 作为技术预览提供文件系统 DAX

在 Red Hat Enterprise Linux 8 中，文件系统 DAX 作为技术预览提供。DAX 提供了将持久内存直接映射到其地址空间的方法。要使用 DAX，系统必须有某种可用的持久内存，通常使用一个或多个非线内存模块(NVDIMM)，且必须在 NVDIMM 上创建支持 DAX 的文件系统。另外，该文件系统必须使用 dax 挂载选项挂载。然后，在 dax 挂载的文件系统中的一个文件 mmap 会把存储直接映射到应用程序的地址空间中。

(BZ#1627455)

OverlayFS

OverlayFS 是一种联合文件系统。它允许您在另一个文件系统上覆盖一个文件系统。更改记录在上面的文件系统中，而较小的文件系统则未修改。这允许多个用户共享文件系统镜像，如容器或 DVD-ROM，基础镜像使用只读介质。

在大多数情况下，OverlayFS 仍是一个技术预览。因此，当这个技术被激活时，内核会记录警告信息。

与支持的容器引擎（podman、cri-o 或 buildah）一同使用时，对 OverlayFS 提供的全面支持包括以下限制：

OverlayFS 仅支持作为容器引擎图形驱动程序或其他专用用例使用，如 squashed kdump initramfs。它主要用于容器 COW 内容，不支持持久性存储。您必须将任何持久性存储放在非OverlayFS 卷中。您只能使用默认容器引擎配置：一个级别的覆盖、一个较低 dir 以及较低级别和上一级都位于同一个文件系统中。
目前只支持 XFS 作为较低层文件系统使用。

另外，以下规则和限制适用于使用 OverlayFS:

OverlayFS 内核 ABI 和用户空间的行为被视为不稳定，将来的更新可能会改变。
OverlayFS 提供一组受限的 POSIX 标准。在使用 OverlayFS 部署前，先测试您的应用程序。以下情况与 POSIX 不兼容：
- O_RDONLY 打开的较低文件在读取文件时不会接收 st_atime 更新。
- 使用 O_RDONLY 打开的较低文件，然后与 MAP_SHARED 映射与后续修改不一致。
- RHEL 8 中不默认启用完全兼容 st_ino 或 d_ino 值，但您可以使用模块选项或挂载选项为它们启用完整的 POSIX 合规性。
  要获得一致的内节点编号，请使用 xino=on 挂载选项。
  您还可以使用 redirect_dir=on 和 index=on 选项提高 POSIX 合规性。这两个选项使上层的格式与没有这些选项的 overlay 不兼容。也就是说，如果您使用 redirect_dir=on 或 index=on 创建一个覆盖，卸载覆盖，然后在没有这些选项的情况下挂载覆盖，则可能会出现意想不到的结果或错误。
要确定现有 XFS 文件系统是否有资格用作 overlay，请使用以下命令查看是否启用了 ftype=1 选项：
```
# xfs_info /mount-point | grep ftype
```
使用 OverlayFS 在所有支持的容器引擎中默认启用 SELinux 安全标签。
本发行版本中与 OverlayFS 相关的几个已知问题。详情请查看 Linux 内核文档中的 非标准行为。

有关 OverlayFS 的更多信息，请参阅 Linux 内核文档。

（BZ#1690207）

Stratis 现在作为技术预览提供

Stratis 是一个新的本地存储管理器。它在存储池的上面为用户提供额外的功能。

Stratis 可让您更轻松地执行存储任务，比如：

管理快照和精简配置
根据需要自动增大文件系统大小
维护文件系统

要管理 Stratis 存储，使用 stratis 工具来与 stratisd 后台服务进行通信。

Stratis 作为技术预览提供。

如需更多信息，请参阅 Stratis 文档：设置 Stratis 文件系统。

RHEL 8.3 将 Stratis 更新至 2.1.0 版本。如需更多信息，请参阅 Stratis 2.1.0 发行注记。

（JIRA:RHELPLAN-1212）

IdM 现在支持在 IdM 域成员中将 Samba 服务器设置为技术预览

在这个版本中，您可以在 Identity Management(IdM)域成员中设置 Samba 服务器。由同名软件包提供的新 ipa-client-samba 程序为 IdM 添加了特定于 Samba 的 Kerberos 服务主体并准备 IdM 客户端。例如，实用程序使用 sss ID 映射后端的 ID 映射配置创建 /etc/samba/smb.conf。现在，管理员可以在 IdM 域成员中设置 Samba。

由于 IdM Trust Controller 不支持全局目录服务，AD-enrolled Windows 主机无法在 Windows 中找到 IdM 用户和组。另外，IdM Trust Controller 不支持使用分布式计算环境/远程过程调用(DCE/RPC)协议解析 IdM 组。因此，AD 用户只能访问 IdM 客户端的 Samba 共享和打印机。

详情请查看在 IdM 域成员中设置 Samba。

（JIRA:RHELPLAN-13195）

5.5.4. 高可用性和集群

pcs cluster setup 命令的本地模式版本，可作为技术预览使用

默认情况下, pcs cluster setup 命令会自动将所有配置文件与集群节点同步。在 Red Hat Enterprise Linux 8.3 中, pcs cluster setup 命令作为技术预览提供 --corosync-conf 选项。指定这个选项可将命令切换到 本地 模式。在这个模式中, pcs 会创建一个 corosync.conf 文件，并将其只保存到本地节点的指定文件中，而不与其它节点沟通。这可让您在脚本中创建 corosync.conf 文件，并使用脚本处理该文件。

(BZ#1839637)

pacemaker podman bundles 作为技术预览

pacemaker 容器捆绑包现在在 podman 容器平台上运行，容器捆绑包功能作为一个技术预览可用。其中一个功能例外于技术预览：红帽完全支持在 Red Hat Openstack 中使用 Pacemaker 捆绑包。

（BZ#1619620）

作为技术预览的 corosync-qdevice 中的 Heuristics

Heuristics是一组在启动、集群成员资格更改、成功连接到 corosync-qnetd 时本地执行的命令，以及可选的定期执行的命令。当所有命令及时成功完成（返回的错误代码为零），代表 heuristics 通过，否则代表失败。Heuristics 结果发送到 corosync-qnetd，在计算中用来决定哪个分区应该是 quorate。

(BZ#1784200)

新的 fence-agents-heuristics-ping 保护代理

作为技术预览，Pacemaker 现在支持 fence_heuristics_ping 代理。这个代理旨在打开一组实验性保护代理，它们本身没有实际隔离，而是以新的方式利用隔离级别。

如果 heuristics 代理的配置与用于实现实际隔离代理有相同的隔离级别，但在代理之前配置，隔离会在试图进行隔离前，在 heuristics 代理上发出一个 off 操作。如果 heuristics 代理给出了 off 操作的一个负结果，则代表隔离不成功，从而导致 Pacemaker 隔离跳过对实现隔离的代理发出 off 动作的步骤。heuristics 代理可以利用这个行为来防止实际上进行隔离的代理在特定情况下隔离节点。

用户可能希望使用这个代理，特别是在双节点集群中，如果节点可以预先知道无法正确接管该服务，则节点可以隔离这个代理。例如，如果节点在网络连接链接出现问题，使服务无法访问客户端，则节点接管服务可能不真实。在这种情况下，向路由器的 ping 可能会探测到这个情况。

（BZ#1775847）

5.5.5. 身份管理

身份管理 JSON-RPC API 作为技术预览

一个 API 可用于 Identity Management(IdM)。要查看 API，IdM 还提供了一个 API 浏览器作为技术预览。

在 Red Hat Enterprise Linux 7.3 中，IdM API 被改进来启用多个 API 命令版本。在以前的版本中，增强功能可能会以不兼容的方式改变命令的行为。用户现在可以继续使用已有的工具和脚本，即使 IdM API 发生了变化。这可启用：

管理员要在服务器中使用之前或更高版本的 IdM，而不是在管理客户端中使用。
开发人员使用 IdM 调用的特定版本，即使 IdM 版本在服务器上发生了变化。

在所有情况下，与服务器进行通信是可能的，无论是否一方使用，例如，一个新的版本会为这个功能引进新的选项。

有关使用 API 的详细信息，请参阅使用身份管理 API 与 IdM 服务器通信(TECHNOLOGY PREVIEW)。

(BZ#1664719)

DNSSEC 在 IdM 中作为技术预览提供

带有集成 DNS 的身份管理（IdM）服务器现在支持 DNS 安全扩展（DNSSEC），这是一组增强 DNS 协议安全性的 DNS 扩展。托管在 IdM 服务器上的 DNS 区可以使用 DNSSEC 自动签名。加密密钥是自动生成和轮转的。

建议那些决定使用 DNSSEC 保护 DNS 区的用户读取并遵循这些文档：

DNSSEC Operational Practices, Version 2: http://tools.ietf.org/html/rfc6781#section-2
Secure Domain Name System (DNS) Deployment Guide: http://dx.doi.org/10.6028/NIST.SP.800-81-2
DNSSEC Key Rollover Timing Considerations: http://tools.ietf.org/html/rfc7583

请注意，集成了 DNSSEC 的 IdM 服务器验证从其他 DNS 服务器获取的 DNS 答案。这可能会影响未按照推荐的命名方法配置的 DNS 区域可用性。

(BZ#1664718)

5.5.6. Desktop

GNOME 用于 64 位 ARM 架构，作为一个技术预览

GNOME 桌面环境现在可作为技术预览用于 64 位 ARM 架构。这可让管理员使用 VNC 会话从图形用户界面(GUI)远程配置和管理服务器。

因此，在 64 位 ARM 架构中提供了新的管理应用程序。例如： Disk Usage Analyzer (baobab), 防火墙配置 (firewall-config), Red Hat Subscription Manager (subscription-manager),或 Firefox web 浏览器。使用 Firefox，管理员可以远程地连接到本地 Cockpit 守护进程。

(JIRA:RHELPLAN-27394, BZ#1667225, BZ#1667516, BZ#1724302)

IBM Z 上的 GNOME 桌面作为技术预览提供

GNOME 桌面，包括 Firefox 网页浏览器,现在在 IBM Z 构架中作为技术预览提供。现在，您可以使用 VNC 连接到运行 GNOME 的远程图形会话来配置和管理您的 IBM Z 服务器。

（JIRA:RHELPLAN-27737）

5.5.7. 图形基础结构

VNC 远程控制台作为 64 位 ARM 架构的一个技术预览提供

在 64 位 ARM 架构中,虚拟网络计算(VNC)远程控制台可作为技术预览使用。请注意,在 64 位 ARM 架构中,目前图形堆栈的其它部分没有被验证。

(BZ#1698565)

Intel Tiger Lake 图形作为技术预览提供

Intel Tiger Lake UP3 和 UP4 Xe 图形现在作为技术预览提供。

要启用 Intel Tiger Lake 图形的硬件加速，请在内核命令行中添加以下选项：

i915.force_probe=pci-id

在这个选项中，将 pci-id 替换为以下之一：

Intel GPU 的 PCI ID
用来启用带有所有 alpha 质量硬件的 i915 驱动程序的 * 字符

(BZ#1783396)

5.5.8. Red Hat Enterprise Linux 系统角色

RHEL 系统角色的 postfix 角色作为技术预览

Red Hat Enterprise Linux 系统角色为 Red Hat Enterprise Linux 子系统提供了一个配置接口，通过包含 Ansible 角色来简化系统配置。这个界面支持在多个 Red Hat Enterprise Linux 版本间管理系统配置，并使用新的主发行版本。

rhel-system-roles 软件包通过 AppStream 软件仓库发布。

postfix 角色是作为技术预览提供的。

以下角色被完全支持：

kdump
network
selinux
storage
timesync

如需更多信息，请参阅有关 RHEL 系统角色的知识库文章。

(BZ#1812552)

5.5.9. 虚拟化

KVM 虚拟化可用于 RHEL 8 Hyper-V 虚拟机

作为技术预览，现在可将嵌套的 KVM 虚拟化用于 Microsoft Hyper-V hypervisor。因此，您可以在运行在 Hyper-V 主机的 RHEL 8 虚拟机中创建虚拟机。

请注意目前，这个功能仅适用于 Intel 系统。另外，在一些情况下，Hyper-V 中不默认启用嵌套虚拟化。要启用它，请参阅以下文档：

https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/user-guide/nested-virtualization

(BZ#1519039)

用于 KVM 虚拟机的 AMD SEV

作为技术预览，RHEL 8 为使用 KVM hypervisor的 AMD EPYC 主机引入了安全加密虚拟化(SEV)特性。如果在虚拟机(VM)上启用，SEV 会加密虚拟机内存，因此主机不能访问虚拟机上的数据。如果主机被恶意软件成功损坏，这可以提高虚拟机的安全性。

请注意，在单一主机上同时可以使用此功能的虚拟机数量是由主机硬件决定的。当前的 AMD EPYC 处理器支持使用 SEV 运行最多 509 个运行虚拟机。

也请注意，对于将 SEV 配置为可以引导的虚拟机，还必须使用硬内存限制配置虚拟机。要做到这一点，请在虚拟机 XML 配置中添加以下内容：

<memtune>
<hard_limit unit='KiB'>N</hard_limit>
</memtune>

建议 N 的值等于或大于客户机 RAM + 256 MiB。例如：如果为客户端分配 2 GiB RAM，则 N 应该为 2359296 或更高。

(BZ#1501618, BZ#1501607, JIRA:RHELPLAN-7677)

Intel vGPU

作为技术预览，现在可以将物理 Intel GPU 设备划分为多个虚拟设备（称为 mediated devices）。然后可将这些 mediated devices 分配给多个虚拟机(VM)作为虚拟 GPU。因此,这些虚拟机共享单个物理 Intel GPU 的性能。

请注意,只有所选 Intel GPU 与 vGPU 功能兼容。另外,为虚拟机分配物理 GPU 使得主机无法使用 GPU,并可能阻止主机的图形显示输出工作。

(BZ#1528684)

创建嵌套虚拟机

对于在 AMD64 和使用 RHEL 8 的 IBM Z 系统主机上运行的 KVM 虚拟机(VM),嵌套的 KVM 虚拟化是作为技术预览提供的。使用此功能,在物理 RHEL 8 主机上运行的 RHEL 7 或 RHEL 8 虚拟机可作为虚拟机监控程序,并托管自己的虚拟机。

请注意,在 RHEL 8.2 及之后的版本中,在 Intel 64 主机上运行的虚拟机完全支持嵌套虚拟化。

（JIRA:RHELPLAN-14047、JIRA:RHELPLAN-24437）

选择 Intel 网络适配器现在支持 Hyper-V 的 RHEL 客户端中的 SR-IOV

作为技术预览,在 Hyper-V hypervisor 中运行的 Red Hat Enterprise Linux 客户机操作系统现在可以为 ixgbevf 和 iavf 驱动程序支持的 Intel 网络适配器使用单根 I/O 虚拟化(SR-IOV)功能。此功能在满足以下条件时启用：

对网络接口控制器(NIC)启用了 SR-IOV 支持
对虚拟 NIC 启用了 SR-IOV 支持
对虚拟交换机启用 SR-IOV 支持
NIC 中的虚拟功能(VF)附加到虚拟机

目前，Microsoft Windows Server 2019 和 2016 支持该功能。

(BZ#1348508)

5.5.10. 容器

podman 容器镜像作为技术预览提供

registry.redhat.io/rhel8/podman 容器镜像是 podman 软件包的一个容器化实施。podman 工具用于管理容器和镜像、挂载到这些容器的卷以及从容器组生成的 Pod。Podman 基于 libpod 库来管理容器生命周期。libpod 库提供用于管理容器、Pod、容器镜像和卷的 API。此容器镜像允许创建、修改并运行容器镜像，而无需在您的系统上安装 podman 软件包。使用案例不包括在无根模式下作为非 root 用户运行此镜像。要拉取 registry.redhat.io/rhel8/podman 容器镜像，您需要有效的 Red Hat Enterprise Linux 订阅。

(BZ#1627899)

crun 作为一个技术预览提供

crun OCI 运行时被添加到 container-rools:rhl8 模块中。crun 提供使用 cgoupsV2 运行的权限。crun 支持一个注解，它允许容器访问无根用户额外组。这对在用户只能访问的目录中或者在该目录中设定目录时很有用。

(BZ#1841438)

podman-machine 命令不受支持

用于管理虚拟机的 podman-machine 命令仅作为技术预览提供。相反，请直接从命令行运行 Podman。

(JIRA:RHELDOCS-16861)