6.6. 内核

Netfilter 现在支持特定 IP 设置类型中的零长度 CIDR 值

在以前的版本中，内核会拒绝第一个和 hash:net, port,net 6 IP 设置类型中的第一个和 last 参数中的零长度域间路由(CIDR)网络掩码值。因此，Netfilter 无法对所有网络目的地匹配端口。在这个版本中，以上提到的 IP 设置类型中的第一个和最后一个参数的、长度为 0 的 CIDR 值被允许。因此，管理员可以创建与对所有目的地有效的端口匹配的防火墙规则。

挂载在服务器端的 NFS 挂载目录的 AVC 拒绝

当进程访问用作服务器上挂载点的子目录时，NFS 跨mnt 挂载会自动创建内部挂载。因此，SELinux 会检查访问 NFS 挂载目录的进程是否有挂载权限，这可能导致 Access Vector Cache (AVC) 拒绝。在这个版本中，针对此类型的内部挂载跳过 SELinux 权限检查。因此，当访问在服务器端挂载的 NFS 目录时，不需要挂载权限。

intel_pstate 驱动程序在禁用了 HWP 的 Intel Skylake-X 系统上加载

在以前的版本中，在 Intel Skylake-X 系统中，如果禁用了 Hardware P-States (HWP)，则无法加载 intel_pstate 驱动程序。因此，内核默认载入 acpi_cpufreq 驱动程序。在这个版本中解决了这个问题，intel_pstate 现在会在上述场景中正确加载。

在 VDO 之上的 RAID 10 reshape 上不再发生数据崩溃

在以前的版本中，VDO 损坏数据之上的 RAID 10 reshape （带有 LVM 和 "mdadm"）的 RAID 10 reshape。在这个版本中，数据崩溃不再发生。但是，VDO 上的 Stacking RAID 10（或其他 RAID 类型）不会利用 VDO 的重复数据删除和压缩功能，我们不推荐这样做。

RAID1 中的 write-behind 不再触发内核 panic

在以前的版本中，独立磁盘模式 1 (RAID1)的冗余阵列中的 write-behind 模式使用上层 bio 结构。在写入底层磁盘的生物结构返回后，结构会立即释放。因此，会触发内核 panic，且无法使用 write-behind 功能。在这个版本中解决了这个问题，可以在没有触发上述场景中的内核 panic 的情况下使用 write-behind。

内核现在支持 bitmap:ipmac,hash:ipmac, 和 hash:mac IP set type 中的目的地 MAC 地址

在以前的版本中，Bitmap :ipmac、Hash:ipmac 和 hash:mac IP 设置类型的内核实现只允许在源 MAC 地址上匹配，而目的地 MAC 地址也会指定，但不会与设置的条目匹配。因此，管理员可以创建在其中一个 IP 设置类型中使用目标 MAC 地址的 iptables 规则，但与给定规格匹配的数据包实际上没有被分类。在这个版本中，内核比较目的地 MAC 地址，如果指定的分类与数据包的目标 MAC 地址对应，则返回匹配项。因此，与目的地 MAC 地址匹配的规则现在可以正常工作。

kdump 内核现在可以在 CPU 热添加或热删除操作后引导

当在启用了 kdump 的 IBM Power Systems 的 little-endian 变体中运行 Red Hat Enterprise Linux 7 时，如果 CPU 热添加或热删除操作后由 kexec 系统调用触发，kdump 崩溃内核将无法引导。在这个版本中，使用 CPU 在线和离线事件修复了这个程序错误。因此，kdump 内核在上述场景中管理引导。