4.8. 内核
RHEL 8.8 中的内核版本
Red Hat Enterprise Linux 8.8 与内核版本 4.18.0-477.10 一起分发。
使用客户密钥的安全客户机转储加密
这个新功能允许安全执行客户机使用 hypervisor 启动的转储来在 kdump 工具无法正常工作时从 KVM 收集内核崩溃信息。请注意,安全执行的 hypervisor 启动的转储是为 IBM Z 系列 z16 和 LinuxONE Emperor 4 硬件设计的。
Bugzilla:2043833
sfc 驱动程序已分成 sfc 和 sfc_siena
随着上游驱动程序中的更改,sfc NIC 驱动程序现在被分成 2 个不同的驱动程序: sfc 和 sfc_siena。sfc_siena 支持已弃用的 Siena 系列设备。
请注意,应用于 sfc 的内核模块参数的自定义配置和 udev 规则不会影响 sfc_siena,因为它们现在是独立的驱动程序。要自定义这两个驱动程序,请复制 sfc_siena 的配置选项。
Bugzilla:2136107
stmmac 驱动程序现在完全支持
红帽现在完全支持芯片(SoC)上 Intel® Elkhart Lake 系统的 stmmac 驱动程序。
Bugzilla:1905243
rtla meta-tool 添加了 osnoise 和 timerlat 追踪程序,以提高追踪程序功能
Real-Time Linux Analysis (rtla)是一个 meta-tool,其中包含一组用于分析 Linux 实时属性的命令。rtla 利用内核追踪功能来提供有关属性和意外系统结果的根本原因的准确信息。rtla 目前添加了对 osnoise 和 timerlat 追踪程序命令的支持。osnoise 追踪程序报告每个 CPU 的内核线程。timerlat 追踪程序会在计时器 IRQ 处理程序和线程处理程序中定期打印计时器延迟。
请注意,要使用 rtla 的 timerlat 功能,您必须使用 sysctl -w kernel.sched_rt_runtime_us=-1 脚本禁用准入控制。
Bugzilla:2075203
cgroups 和 irqs 的输出格式已被改进,以提供更好的可读性
有了这个增强,cgroup 工具的 tuna show_threads 命令输出现在根据终端大小进行构建。您还可以通过向 show_threads 命令添加新的 -z 或 --spaced 选项,将额外的空格配置到 cgroups 输出。现在,您可以以改进的可读格式查看 cgroups 输出,该格式适合您的终端大小。
rteval 命令输出现在包括程序加载和测量线程信息
rteval 命令现在显示带有程序负载、测量线程以及运行这些线程的相应 CPU 的报告概述。这些信息有助于评估特定硬件平台上负载下实时内核的性能。
rteval 报告被写入 XML 文件,以及系统的引导日志,并保存到 rteval-<date>-N-tar.bz2 压缩文件中。date 指定报告生成的日期,N 是第 N 次运行的计数器。
要生成 rteval 报告,请输入以下命令:
# rteval --summarize rteval-<date>-N.tar.bz2
在 oslat 程序中添加了 -W 和 --bucket-width 选项来测量延迟
有了这个增强,您可以以纳秒精度为单个存储桶指定延迟范围。不是 1000 纳秒倍数的 Widths 表示纳秒的精度。通过使用新选项 -W 或 --bucket-width,您可以修改存储桶之间的延迟间隔,以便在微秒延迟时间内测量延迟。
例如,要在 10 秒内为 32 个存储桶设置宽度为 100 纳秒的延迟存储桶,以便在 1-4 范围的 CPU 上运行 ,并省略零存储桶大小,请运行以下命令:
# oslat -b 32 -D 10s -W 100 -z -c 1-4
请注意,在使用选项前,您必须确定与错误测量相关的哪个级别的精度非常重要。
支持在具有 Intel ice 驱动程序的 E810 中启用以太网端口配置工具(EPCT)工具
有了这个增强,devlink port split 命令现在支持 Intel ice 驱动程序。以太网端口配置工具(EPCT)是一个命令行工具,允许您更改设备的链接类型。显示设备信息和设备资源的 devlink 工具依赖于 EPCT。因此,ice 驱动程序实现了对 EPCT 的支持,它可让您列出并查看使用了 Intel ice 驱动程序的可配置的设备。
Bugzilla:2009705
Intel ice 驱动程序 rebase 到版本 6.0.0
Intel ice 驱动程序已升级至上游版本 6.0.0,与之前的版本相比,它提供了大量的改进和 bug 修复。主要改进包括:
-
通过以太网的点到点协议 (
PPPoE)协议硬件卸载 -
Inter-Integrated Circuit (
I2C) 协议写命令 -
以太网交换机设备驱动程序模型 (
switchdev)中的 VLAN 标签协议标识符(TPID) -
switchdev中的双 VLAN 标记
Bugzilla:2103946
为 IBM zSystems 托管安全引导证书
从 IBM z16 A02/AGZ 和 LinuxONE Rockhopper 4 LA2/AGL 开始,您可以在硬件管理控制台(HMC)上启动启用了安全引导的系统时管理用于验证 Linux 内核的证书。值得注意的是:
- 您可以使用 DPM 中的 HMC 和经典模式从 HMC 可以访问的 FTP 服务器加载系统证书存储中的证书。也可以从附加到 HMC 的 USB 设备加载证书。
- 您可以将存储在证书存储中的证书与 LPAR 分区相关联。多个证书可以与一个分区关联,一个证书可以与多个分区关联。
- 您可以使用 HMC 接口解除证书存储中的证书与分区的关联。
- 您可以从证书存储中删除证书。
- 您可以最多将 20 个证书与一个分区关联。
内置的固件证书仍然可用。特别是,当您使用用户管理的证书存储时,内置证书将不再可用。
载入到证书存储中的证书文件必须满足以下要求:
-
它们具有
PEM或DER 编码的 X.509v3格式,并具有以下文件扩展名之一:.pem、.cer、.crt或.der。 - 它们不会过期。
- 密钥用法属性必须是 数字签名。
- 扩展的密钥用法属性必须包含 代码签名。
固件接口允许 Linux 内核在逻辑分区中运行,以加载与此分区关联的证书。IBM Z 上的 Linux 将这些证书存储在 .platform 密钥环中,允许 Linux 内核使用与该分区关联的证书验证 kexec 内核和第三方内核模块。
操作员只负责上传验证的证书,并删除已撤销的证书。
您需要加载到 HMC 的 Red Hat Secureboot 302 证书在 Product Signing Keys 中提供。
Bugzilla:2183445
zipl 支持 64 位 IBM Z 上的安全引导 IPL 和转储
有了此更新,zipl 工具支持 64 位 IBM Z 架构上的扩展计数密钥数据(ECKD)直接访问存储设备(DASD)中的 List-Directed IPL 和 List-Directed 转储。因此,IBM Z 上 RHEL 的安全引导也适用于 DASD 的 ECKD 类型。
Bugzilla:2043852
