1. リリース・ノートfor Oracle Linux 7.4
  2. 新機能および変更点

3 新機能および変更点

警告:

Oracle Linux 7は現在延長サポート中です。詳細は、Oracle Linux拡張サポートおよびOracleオープン・ソース・サポート・ポリシーを参照してください。

できるだけ早くアプリケーションとデータをOracle Linux 8またはOracle Linux 9に移行してください。

この項では、Oracle Linux 7 Update 4の新機能および変更内容について説明します。

Oracle Linux 7の最初のリリースの新機能と変更点の詳細は、Oracle Linux 7: リリース・ノートfor Oracle Linux 7を参照してください。

起動

この項では、このリリースのブート機能と、改善点、変更点およびバグ修正について説明します。

  • UEFI Secure Boot

    UEFI Secure Bootが有効になっているシステムでOracle Linux 7をインストールして使用できます。Secure Bootモードでのシステムは、オラクル社により署名されたこれらのブート・ローダーおよびカーネルのみをロードします。オラクル社では、kernelgrub2パッケージを更新し、これらのパッケージに有効なExtended Validation (EV)証明書で署名しています。EV証明書は、shimバイナリにコンパイルされており、Microsoft社によって署名されています。この機能は、Oracle Linux 7 update 4で完全にサポートされています。

    テクノロジ・プレビューとして提供されていたときにSecure Bootをすでに有効化している場合、システムをアップグレードするには、shimgrub2およびkernelの各パッケージがアトミック操作として更新されることを確認してください。これらのパッケージがすべて更新されないと、Secure Bootプロセスは中断される可能性があり、システムの完全アップグレードが完了するまで無効化する必要があります。(バグID 24616226)

  • 更新されたshim-signedパッケージ

    shim-signedパッケージが更新され、前回提供されたバージョンに対して多数のバグ修正および拡張機能が追加されています。

デスクトップ

このリリースには、次のデスクトップ機能、改善点および変更点が含まれています。

  • GNOMEデスクトップを3.22.3に更新

    このバージョンのGNOMEデスクトップには、次を含むいくつかの改善点およびバグ修正が追加されています。

    • デスクトップ通知のオーバーホール

    • 世界時計とメディア・プレーヤのビルトイン統合

    • 画面の輝度の自動調節機能(統合光センサーのあるシステム向け)

    • 複数のアプリケーションでキーボード・ショートカットを文書化する標準ダイアログ

    • 複数の設定パネルの改善(プリンタ、マウス、タッチパッド、キーボード・ショートカット)

    • 複数ファイルの名前を同時に変更するオプション

    • ゴミ箱の「元に戻す」のサポート

    • 圧縮ファイルおよびGoogle Driveのビルトイン・サポート

  • xorg-x11-drv-libinputドライバをX.Org入力ドライバに追加

    xorg-x11-drv-libinputをインストールすると、xorg-x11-drv-synapticsドライバを削除して、libinpuが提供する改善された入力デバイス処理機能の一部にアクセスできるようになります。

  • cloud-initパッケージをベース・チャネルに移動

    Cloud-initツールは、環境が提供するメタデータを使用してシステムの早期初期化を処理します。cloud-initは通常、OpenStackやAmazon Web Servicesなどのクラウド環境で起動するサーバーの構成に使用します。

開発ツール

次の開発ツールが更新および改善されています。

  • demidecodeパッケージのバージョンを3.0に更新

    更新バージョンのdemidecodeには、いくつかのバグ修正およびハードウェア有効化の改善点が追加されています。

  • TLSバージョンの制限機能をIO::Socket::SSL Perlモジュールに追加

    セキュリティ強化のため、Net:SSLeay Perlモジュールが更新され、TLSバージョン1.1または1.2を明示的に指定できるようになり、IO::Socket::SSLモジュールもこれに応じて更新されました。

    IO::Socket::SSLの新規作成時に、SSL_versionオプションをTLSv1_1またはTLSv1_2,に設定することで、TLSバージョンをそれぞれ1.1または1.2に限定できます。また、TLSv11およびTLSv12オプションを指定することもできます。これらの値では、大/小文字が区別されます。

  • TLSバージョンの制限機能をNet:SSLeay Perlモジュールに追加

    セキュリティ強化のため、Net:SSLeay Perlモジュールが更新され、TLSバージョン1.1または1.2を明示的に指定できるようになりました。TLSバージョンを限定するには、Net::SSLeay::ssl_versionの変数をそれぞれ11または12に設定します。

  • TLSバージョンの指定機能をwgetに追加

    これまでは、wgetコマンドで最も高いTLSバージョン(1.2)がデフォルトで使用されていました。今回の更新では、wgetコマンドの機能が強化され、--secure-protocol=TLSv1_1または--secure-protocol=TLSv1_2オプションのいずれかをwgetコマンドで指定することにより、TLSプロトコルのマイナー・バージョンを明示的に選択できるようになりました。

ファイル・システム

次のファイル・システム機能が更新および改善されています。

  • amd形式マップ用のautofsブラウズ・オプションを追加

    対応するエントリをマスター・マップに追加せずに、amdでautomountポイントを構成する場合と同じ方法で、amd形式マウントのautofs構成にマウント・ポイント・セクションを追加できるようになりました。この改善により、共有しているマルチベンダー環境内でautofsマスター・マップに互換性のないマスター・マップ・エントリが存在することを避けることができます。

    browsable_dirsオプションは、autofs [ amd ]構成セクションで使用するか、amdマウント・ポイント・セクションの後に使用することができます。amdタイプのautoマップ・エントリのbrowsableutimeoutのマップ・オプションを使用することもできます。

    browsable_dirsオプションの使用に関する問題の詳細は、「AutoFS: AMD形式マップのbrowsable_dirsオプションはautofs.confの[amd]セクションに設定されていないと機能しない」を参照してください。

  • autofs構成でマウント・リクエスト・ログ・エントリを追加する機能

    autofs構成でマウント・リクエスト・ログ識別子のマウント・リクエスト・ログ・エントリへの追加を有効にすると、特定のマウント・リクエストのエントリを簡単にフィルタ処理できます。この改善により、ログの検索が容易になります。

  • ドメイン・ネーム・システム(DNS)からNFSv4 IDドメインを取得するrpc.idmapd機能

    NFSv4 IDマッピング・ドメイン名がシステム上で構成されていない場合、この機能によってNFS idmappingライブラリは特殊なTXTレコードのDNS参照を実行して適切なドメイン名を取得できます。TXTレコードがない場合は、別のヒューリスティックを使用して適切なドメイン名を取得します。

  • NFSoRDMAクライアントおよびサーバーのKerberos認証のサポートを追加

    今回の改善により、ユーザーはクライアントとサーバーの両方に対し、NFS over RDMA (NFSoRDMA)機能でkrb5krb5iおよびkrb5p認証を使用できます。NFSoRDMAでKerberosを使用し、各Remote Procedure Call (RPC)トランザクションを安全に認証できるようになりました。

    ノート:

    NFSoRDMAでKerberosを使用するには、バージョン1.3.0-0.36以上のnfs-utilsパッケージをインストールする必要があります。

  • FUSE lseekシステム・コールのSEEK_DATAおよびSEEK_HOLEオプション

    RedHat Compatible Kernel (RHCK)の使用時、Filesystem in Userspace (FUSE) lseekシステム・コールでSEEK_DATASEEK_HOLEが使用できるようになりました。ファイルのオフセットをデータが格納されているファイル内の次の場所に調節するには、SEEK_DATAオプションを使用します。ファイルのオフセットをファイル内のオフセット以上の次のホールに調節するには、SEEK_HOLEオプションを使用します。この更新リリースの時点で、この機能はUEKで使用できません。

btrfs: RedHat Compatible Kernel (RHCK)では非推奨

Oracle Linux 7 update 4の時点で、btrfsはRHCKで非推奨です。UEK R4ではbtrfsが完全にサポートされています。

xfs: 新規にフォーマットされたパーティションでd_typeのサポート(ftype=1)がデフォルトで有効になる

Oracle Linux 7 Update 4インストーラを使用してインストールされたシステムでは、XFSを使用してデバイスをフォーマットするとd_typeのサポートが自動的に有効化され、これにより、XFS形式のすべてのパーティションがftype=1パラメータをデフォルトとして使用して作成されます。一方、以前のOracle Linux 7 updateではftype=0がデフォルトのパラメータであり、d_typeは無効またはオフの状態で、XFS形式のパーティションはftype=0をデフォルトとして使用して作成されていました。

このようにしてd_type機能が有効になることで、ファイル・システムはオーバーレイ・ファイル・システム・タイプに不可欠な追加メタデータを格納できるようになります。

インストール

この更新リリースでは、インストール・プロセスに対して、いくつかの変更点、バグ修正および改善点が加えられています。次のような内容が含まれます。

  • RAIDチャンク・サイズの指定に対応するようにkickstartパラメータを変更

    インストーラに、--chunksizeパラメータを使用してkickstartファイルのRAIDチャンク・サイズを設定する機能を有効にする変更が実装されました。今回の更新により、RAID使用時のパフォーマンスをチューニングできます。

  • インストール中にシンLVMスナップショットに対応するkickstartサポートを追加

    新しいkickstartコマンドのsnapshotは、インストール前またはインストール中にLVMシン・ボリューム・スナップショットを作成します。この機能を使用するには、このコマンドの必須パラメータをすべて指定します。たとえば、次のようにします。 

    snapshot <origin_vg/origin_lv> --name=<snapshot_name> --when=<pre-install | post-install>

  • LVMシン・プールの自動パーティション化の動作に変更を追加

    インストール中にLVMシン・プールが作成される自動パーティション化の動作の変更に注意することが重要です。

    自動パーティション化で作成されたLVMシン・プールでは、ボリューム・グループ・サイズの20%が確保され、最少で1GiB、最大で100GiBを必要とします。

    logvol --thinpool --growコマンドを使用すると、シン・プールは最大許容サイズに拡大されます。ボリューム・グループ用の領域を確保するには、volgroup --reserved-spaceまたはvolgroup --reserved-percentコマンドを使用して、ボリューム・グループで使用できるように確保しておく領域の容量を指定します。

  • /homeパーティションの作成を無効化するkickstartオプションを追加

    kickstartインストールでautopartコマンドに--nohomeオプションを使用すると、/home専用のパーティションが作成されないようにできます。

  • ハード・ディスクまたはUSBデバイスからドライバ・ディスクをロードするサポートを追加

    ハード・ディスクまたはUSBデバイスからのドライバ・ディスクのロードを可能にするサポートが追加されました。これは、kickstartを使用して、またはブート・オプションとしてトリガーできます。このオプションを使用するには、ドライバ・ディスクのRPMファイルが格納されているデバイスのラベルを設定する必要があります。指定したドライバ・ディスクからドライバをロードするには、次を使用します。 

    driverdisk LABEL=<LABEL>:/<driver.rpm>

    <LABEL>をデバイス用に設定したラベルで置き換え、<driver.rpm>をドライバのRPMファイル名で置き換えます。

    ドライバ・ディスクをブート・オプションとして指定するには、次を使用します。 

    inst.dd=hd:LABEL=<LABEL>:/<driver.rpm>

    <LABEL>をデバイス用に設定したラベルで置き換え、<driver.rpm>をドライバのRPMファイル名で置き換えます。

  • テキスト・モード・インストールでのIP over InfiniBand (IPoIB)のサポートを追加

    手動インストール時に、テキスト・モードのインストーラでIPoIBネットワーク・インタフェースがサポートされるようになりました。IPoIBインタフェースのステータス情報と構成オプションが使用できます。

  • stage2またはkickstartファイルで複数のネットワーク場所に対応し、インストール時にフェイルオーバーを提供できるように改善

    このインストーラで、それぞれ別のネットワーク場所を指す複数のinst.stage2およびinst.ksブート・オプションを処理できるようになりました。これは、stage2またはkickstartファイルのネットワーク場所を使用できず、インストールを続行するにはフェイルオーバーが必要になる可能性があるシナリオに対応します。オプションは、すべての場所オプションを使い果すまで順番に処理されます。これらのオプションのいずれかの場所の1つにファイル・システムが指定されている場合は、最後に指定された場所のみが使用されますが、その場所がファイル・システムかURLであるかは問いません。

  • Anacondaのインストールの問題のデバッグ機能を改善

    新しいinst.debugブート・オプションを使用して、Anacondaインストーラをデバッグ・モードで起動できます。このオプションは、lsblkdmesgおよびlvmdumpの各ログ・ファイルを/tmp/pre-anaconda-logsディレクトリに保存し、インストールの問題のデバッグに役立ちます。

  • LoraxがSSLエラーを無視できるように修正

    Anacondaインストーラのboot.isoとそのリリース・ツリーおよび関連するメタデータの作成に使用するloraxツールに、SSL証明書の検証を無効化する新しい--noverifysslコマンドライン・スイッチが追加され、自己署名証明書を使用しているシステムでこのツールを使用できるようになりました。

カーネル

次の変更点はRedHat Compatible Kernel (RHCK)に固有です。詳細は、Unbreakable Enterprise Kernelドキュメントの「Unbreakable Enterprise Kernelリリース4」の最新バージョンのリリース・ノートを参照してください。

  • crashパッケージをバージョン7.1.9に更新

    更新バージョンのcrashユーティリティには、前回のバージョンに対する多数のバグ修正および拡張機能が追加されています。

  • 新しいdbxtoolパッケージ

    dbxtoolパッケージは、UEFI Secure Boot DBX更新を適用するためのコマンドライン・インタフェース(CLI)と1回かぎりのsystemdサービスを提供します。

  • fjesドライバをバージョン1.2に更新

    更新バージョンのfjesドライバには、前回のバージョンに対する多数のバグ修正および拡張機能が追加されています。

  • getrandomシステム・コールをカーネルに追加

    getrandomシステム・コールがカーネルに追加されています。この結果、ユーザースペースは/dev/urandomで使用される同じ非ブロック・エントロピ・プールのランダム度を要求できるようになりました。また、ユーザースペースは128ビット以上のエントロピがそのプールに蓄積されるまでブロックできます。

  • 最近リリースされたハードウェアを正しく識別するようにハードウェア・ユーティリティ・ツールを変更

    PCI、USBおよびベンダーのデバイス識別ファイルが更新されました。この結果、ハードウェア・ユーティリティ・ツールが最近リリースされたハードウェアを正しく識別できるようになりました。

  • 信頼されている/信頼されていない仮想機能のi40eのサポートを追加

    i40e NICドライバに信頼されている仮想機能と信頼されていない仮想機能の両方のサポートが追加されました。

  • Intel Cache Allocationテクノロジの追加

    Intel Cache Allocationテクノロジにより、ソフトウェアで、定義されたキャッシュのサブセットにキャッシュの割当てを限定できます。定義されたサブセットは他のサブセットと重複することがあります。

  • Jitter Entropy Random Number Generatorを追加

    Jitter Entropy Random Number Generator (RNG)は、CPUタイミングの違いによるカーネルのエントロピの収集を行います。デフォルトでは、このRNGはalgif_rngインタフェースで使用できます。生成される数は/dev/randomファイルでカーネルに戻されるため、これらの数は他の/dev/randomユーザーも使用でき、その結果、オペレーティング・システムには利用可能なエントロピのソースが増えることになります。

  • macsecドライバを追加

    macsecドライバにより、MACsec/IEEE 802.1AEネットワーク・デバイスのサポートが有効になります。このドライバでは、通常はGCM-AES-128およびオプションのリプレイ保護を使用して、LAN内のトラフィックの認証および暗号化を提供します。このバージョンのドライバをこのカーネル・リリースとの互換性の最新レベルにするために、パッチも適用されました。ip macsecコマンドおよび関連機能のサポートが含まれるように、iprouteパッケージも更新されました。

  • makedumpfileをバージョン2.0.14-1に更新

    このバージョンのmakedumpfileユーティリティには、前回のバージョンに対する多数のバグ修正および拡張機能が追加されています。

  • NVMeドライバをバージョン4.10に更新

    更新バージョンのNVMeドライバには、前回のバージョンに対する多数のバグ修正および拡張機能が追加されています。

  • nvme-cliパッケージをバージョン1.1に更新

    更新バージョンのnvme-cliユーティリティには、Nonvolatile Memory Express (NVMe)のサポートが追加されています。NVMeのサポートにより、Remote Direct Memory Access (RDMA)でターゲットを検出し、そのターゲットに接続できます。

  • Intel Xeon v5でのuncoreイベントに対するperfサポートを追加

    perfパフォーマンス分析ツールに、Intel Xeon v5サーバーCPUでのuncoreイベントのサポートが追加されています。これらのイベントは、追加のパフォーマンス監視情報を提供します。

  • ランダム・ドライバ(/dev/random)がurandomプールの初期化に関するメッセージを表示

    ランダム・ドライバ(/dev/random)が、/dev/urandomで使用する非ブロック・プールが初期化される際にメッセージを出力するようになりました。

  • カーネル内のspinlock実装を変更

    AMD64およびIntel 64アーキテクチャ上のカーネル内のspinlock実装がticket spinlockからqueued spinlockに変更されました。queued spinclockはticket spinlockよりも拡張性があるため、CPU数の多いSymmetric Multi Processing (SMP)システムでは特に、システム・パフォーマンスが改善します。パフォーマンスは、CPU数の増加に伴って、より直線的に向上するようになりました。

    ノート:

    このspinlock実装の変更により、Red Hat Enterprise Linux 7に組み込まれているカーネル・モジュールは、以前のリリースのカーネルにロードできない場合があります。Red Hat Enterprise Linux (RHEL)バージョン7.4より前のリリースでのカーネル・モジュールは、RHEL 7.4リリースのカーネルにロードできます。

  • switchdevインフラストラクチャおよびmlxswドライバの機能を追加

    今回の更新では、次の機能が追加されました。

    • Ethernetスイッチのデバイス・ドライバ・モデル(switchdevインフラストラクチャ)

      スイッチ・デバイスはカーネルからフォワーディング・データ・プレーンをオフロードできるようになりました。

    • mlxswドライバのサポート

      mlxswドライバがサポートするスイッチ・ハードウェア: Mellanox SwitchX-2 (スロー・パスのみ)、Mellanox SwitchIBおよびSwitchIB-2、Mellanox Spectrum。

      mlxswドライバがサポートする機能には、次のものが含まれます。

      • ポート別のジャンボ・フレーム

      • 速度設定、状態設定、統計

      • スプリッタ・ケーブルを使用したポート分割

      • ポートのミラー化

      • QoS: 802.1p、データ・センター・ブリッジング(DCB)

      • TC flowerオフロードを使用したアクセス制御リスト(ACL)

        この機能は、テクノロジ・プレビューとして導入されています。

    • レイヤー2機能とレイヤー3機能:

      レイヤー2:

      • 仮想ローカル・エリア・ネットワーク(VLAN)

      • スパニング・ツリー・プロトコル(STP)

      • チームまたはボンディング・オフローディングを使用したリンク・アグリゲーション(LAG)

      • Link Layer Discovery Protocol (LLDP)

      レイヤー3にはユニキャスト機能が追加されました。

      これらの機能を構成するには、iprouteパッケージで提供される標準ツールを使用します(iprouteパッケージも今回のリリースで更新されています)。

カーネルのエントリおよびパラメータの重要な変更点

次に、RHCK for Oracle Linux 7.4に同梱されているカーネルの重要な変更点についてまとめています。新規または更新されたprocエントリ、sysctlおよびsysfsのデフォルト値、ブート・パラメータ、カーネル構成オプション、およびその他の重要な動作変更が含まれます。

表3-1 更新された/proc/sys/kernelエントリ

カーネル・エントリ 説明 形式

hung_task_panic

応答しないタスクが検出されたときにカーネルの動作を制御します。このファイルはCONFIG_DETECT_HUNG_TASKが有効な場合に使用されます。

{ "0" | "1" }

0 - 処理が続行されます(デフォルトの動作)。

1 - すぐにパニックが発生します。

hung_task_check_count

チェックされるタスクの数の上限を指定します。このファイルはCONFIG_DETECT_HUNG_TASKが有効な場合に使用されます。

該当なし

hung_task_timeout_secs

間隔をチェックします。D状態のタスクがこの値よりも長い時間スケジュールされない場合に警告が報告されます。このファイルはCONFIG_DETECT_HUNG_TASKが有効な場合に使用されます。

0 - 無制限のタイムアウト。チェックは実行されません。

hung_task_warning

チェック間隔の間に報告する警告の最大数を指定します。この値に達すると、それ以上警告は報告されません。このファイルはCONFIG_DETECT_HUNG_TASKが有効な場合に使用されます。

-1 - 無限の数の警告を報告します。

panic_on_rcu_stall 1に設定された場合は、RCUストール検出メッセージの後にpanic()関数を呼び出します。これは、vmcoreを使用したRCUストールの原因を定義する場合に役に立ちます。

0 - RCUストールが発生した場合にパニックが発生しません(デフォルトの動作)。

1 - RCUストール・メッセージの出力後にパニックが発生します。

/proc/sys/userディレクトリのファイルを使用して、名前空間と、ユーザーごとに名前空間の制限がある他のオブジェクトの数のデフォルト制限を上書きできます。これらの制限は、誤作動で大量のオブジェクトを作成しようとするプログラムを停止する場合に使用します。これらの制限のデフォルト値は、正常に動作しているプログラムがその制限に到達できないよう調整されます。

表3-2 更新された/proc/sys/userエントリ

更新されたファイル 説明

max_cgroup_namespaces

現在のユーザー名前空間のどのユーザーでも作成できるcgroup名前空間の最大数。

max_ipc_namespaces

現在のユーザー名前空間のどのユーザーでも作成できるipc名前空間の最大数。

max_mnt_namespaces

現在のユーザー名前空間のどのユーザーでも作成できるmount名前空間の最大数。

max_net_namespaces

現在のユーザー名前空間のどのユーザーでも作成できるnetwork名前空間の最大数。

max_pid_namespaces

現在のユーザー名前空間のどのユーザーでも作成できるpid名前空間の最大数。

max_user_namespaces

現在のユーザー名前空間のどのユーザーでも作成できるユーザー名前空間の最大数。

max_uts_namespaces

現在のユーザー名前空間のどのユーザーでも作成できるユーザー名前空間の最大数。

表3-3 カーネル・パラメータの変更

カーネル・パラメータ 説明および形式

acpi_force_table_verification [HW,ACPI]

初期の段階でテーブル・チェックサムの検証を有効にします。デフォルトでは、x86の初期マッピング・サイズの制限のため無効になります。

acpi_no_static_ssdt [HW,ACPI]

初期起動時に静的なSSDTのインストールを無効にします。デフォルトでは、RSDT/XSDTに含まれるSSDTは自動的にインストールされ、/sys/firmware/acpi/tablesディレクトリに格納されます。

このオプションを使用すると、この機能が無効になります。このオプションを指定しても、SSDTテーブルを/sys/firmware/acpi/tables/dynamicディレクトリにインストールする動的なテーブル・インストールは影響を受けません。

irqaffinity= [SMP]

デフォルトのirqアフィニティ・マスクを設定します。

形式:

cpu number,..., cpu number

cpu number-cpu number

または、正の範囲を昇順で使用したり、組み合せたりできます。

cpu number,...,cpu number-cpu number

nokaslr [KNL]]

初期起動時に静的なSSDTのインストールを無効にします。デフォルトでは、RSDT/XSDTに含まれるSSDTは自動的にインストールされ、/sys/firmware/acpi/tablesディレクトリに格納されます。

CONFIG_RANDOMIZE_BASEが設定された場合に、カーネルおよびモジュール・ベース・オフセットのAddress SpaceLayout Randomization (ASLR)を無効にします。

nohibernate

ハイバネーションと再開を無効にします。

crash_kexec_post_notifiers

panic-notifiersを実行し、kmsgをダンプした後に、kdumpを実行します。

[PCI] hpbussize=nn

ホットプラグ・ブリッジ以下のバスに予約された追加バス最小数を指定します(デフォルトは1)。

pcie_port_pm=[PCIE]

PCIeポートの電源管理処理。

形式: { "off" | "force" }

off - すべてのPCIeポートの電源管理を無効にします。

1 - すべてのPCIeポートの電源管理を有効にします。

sunrpc.svc_rpc_per_connection_limit=[NFS,SUNRPC]

サーバーが単一の接続から同時に処理するリクエストの数を制限します(デフォルト値は0 (制限なし))。

ネットワーク

このリリースには、次に示すネットワークの機能、変更点およびバグ修正が含まれています。

  • iprouteパッケージにブリッジ・ポート・オプションの変更機能を追加

    今回の更新では、stateprioritycostなどのブリッジ・ポート・オプションの変更機能がiprouteパッケージに追加されています。この変更により、iprouteパッケージをbridge-utilsパッケージの代替として使用できます。

  • ロード・バランシングおよび高可用性

    Oracle Linux 7では、ネットワーク・サービスへの継続的なアクセスを維持しながら、これらのサービスへのアクセスを調整するためのKeepalivedおよびHAProxyテクノロジが使用されています。

    Keepalivedは、IP Virtual Server (IPVS)カーネル・モジュールを使用してトランスポート・レイヤー(レイヤー4)のロード・バランシングを提供し、ネットワークベースのサービスに対するリクエストをサーバー・クラスタの個々のメンバーにリダイレクトします。IPVSは、各サーバーのステータスをモニターし、Virtual Router Redundancy Protocol (VRRP)を使用して高可用性を実装します。

    HAProxyは、アプリケーション・レイヤー(レイヤー7)のロード・バランシングおよび高可用性ソリューションであり、HTTPベースおよびTCPベースのインターネット・サービスにリバース・プロキシを実装するために使用できます。

    詳細は、Oracle Linux 7: 管理者ガイドを参照してください。

  • MACsec (802.1AE)のサポートをNetworkManagerに追加

    wpa_supplicantユーティリティはMedia Access Control Security (MACsec)の暗号化802.1AEをサポートするようになり、その結果、構成内でMACsecをデフォルトで使用できるようになりました。この変更により、MACsecを簡単にデプロイできます。

  • rdma関連のパッケージをrdma-coreバージョン13に統合

    rdmaパッケージに関連する複数のパッケージがアップグレードされ、単一のソース・パッケージrdma-coreバージョン13に統合されました。

パッケージ化

このリリースには、次に示すパッケージ化の追加機能および変更点が含まれています。

  • payload_gpgcheckオプションをyumに追加

    この新しいpayload_gpgcheckオプションによって、yumはパッケージのペイロード・セクションでGNU Privacy Guard (GPG)署名チェックを実行できます。この機能により、パッケージ・インストール時のセキュリティと整合性が強化されます。

    これまでは、gpgcheckオプションが使用されると、yumはパッケージ・ヘッダーのみを確認していました。ペイロード・データが改ざんされていたり破損していたりすると、RPM展開エラーが発生し、パッケージは一部しかインストールされませんでした。このため、オペレーティング・システムが一貫性のない、または脆弱な状態に置かれる可能性がありました。payload_gpgcheckオプションをgpgcheckまたはlocalpkg_gpgcheckオプションと使用すると、この問題を回避することができます。

    payload_gpgcheckオプションの使用は、ダウンロードされたパッケージでrpm -Kコマンドを手動で実行することと同じになります。

セキュリティ

この項では、セキュリティの新機能、変更点および改善点について説明します。

  • 新しいNBDEセキュリティ・パッケージ

    Network Bound Disk Encryption (NBDE)機能には、次の新しいセキュリティ・パッケージが提供されています。NBDEにより、システムの再起動時に手動でパスワードを入力する必要なく、物理マシンのハード・ドライブにあるrootボリュームを暗号化できます。

    • clevis – 自動復号化用のプラグ可能なフレームです。clevisを使用して、データを自動的に復号化したり、LUKSボリュームのロックを自動的に解除することもできます。clevisパッケージは、クライアント側のNBDEプロジェクトを提供します。

    • jose – Javascript Object Signing and Encryption標準のC実装です。joseパッケージはclevistangパッケージの依存関係です。

    • luksmeta – LUKSMetaはLUKSv1ヘッダーにメタデータを保存する単純なライブラリです。luksmetaパッケージはclevistangパッケージの依存関係です。

    • tang – ネットワーク・プレゼンスにデータをバインドするサーバーです。tangパッケージには、リモート・サービスにバインドする暗号化の操作を行うデーモンが含まれます。tangパッケージは、サーバー側のNBDEプロジェクトを提供します。

  • 新しいhttp-parserパッケージ

    http-parserパッケージは、HTTPメッセージ(リクエストとレスポンスの両方)を解析するためのユーティリティを提供します。このパーサーは、HTTPアプリケーションのパフォーマンスで使用されるように設計されています。パーサーではシステム・コールや割当てを実行せず、データをバッファ処理せず、いつでも中断できます。アーキテクチャによって、パーサーではメッセージ・ストリームごとに約40バイトのデータのみが必要になります。

  • 新しいusbguardパッケージ

    USBGuardソフトウェア・フレームワークは、デバイス属性をもとに基本的な許可リストブロックリスト登録機能を実装して、割込みUSBデバイスからシステムを保護します。ユーザー定義のポリシーを強制的に実行するために、USBGuardはLinuxカーネルのUSBデバイス認証機能を使用します。

    USBGuardフレームワークには、次のコンポーネントがあります。

    • デーモン – 動的対話およびポリシーの強制で使用するプロセス間通信(IPC)インタフェースが含まれるコンポーネントです。

    • コマンドライン・インタフェース – 実行中のUSBGuardインスタンスと対話するコンポーネントです。

    • ルール言語 – USBデバイス認証ポリシーの記述に使用するコンポーネントです。

    • C++ API – 共有ライブラリに実装されたデーモン・コンポーネントと対話するコンポーネントです。

  • セキュリティ・パッケージのバージョンを更新

    次のセキュリティ・パッケージのバージョンが更新されました。更新バージョンでは、多数の新機能、改善点およびバグ修正が提供されています。

    • auditをバージョン2.7.6に更新

    • libicaをバージョン3.0.2に更新

    • libreswanをバージョン3.20に更新

    • openscをバージョン0.16.0に更新

    • opensshをバージョン7.4に更新

    • opensslをバージョン1.0.2kに更新

    • openssl-ibmcaをバージョン1.3.0に更新

  • 公開キー署名にSHA-2を使用するようにopenSSHを修正

    このリリースで使用する公開キー署名のアルゴリズムは、デフォルトでSHA-2になりました。SHA-1は、後方互換性の目的でのみ使用できます。

  • resyslogpmrfc3164sdpmrfc3164に置換

    今回の更新では、BSD syslogプロトコル形式(RFC 3164)のログの解析に使用するpmrfc3164sdモジュールが公式なpmrfc3164モジュールに置き換えられました。

    ノート:

    pmrfc3164モジュールはpmrfc3164sdの機能に完全に対応していないので、pmrfc3164sdモジュールを引き続きrsyslogで使用できます。しかし、pmrfc3164sdモジュールのサポートは終了しているため、可能な場合は、新しいpmrfc3164モジュールを使用してください。

サーバーとサービス

サーバーとサービスに対して、次の改善点および変更点が加えられています。

  • 新しいlibfastjsonパッケージ

    今回の更新では、rsyslog向けのjson-cライブラリがlibfastjsonライブラリに置き換わりました。libfastjsonライブラリには制限付き機能セットが含まれ、これによりjson-cと比較して大幅にパフォーマンスが改善されています。

  • mod_nssの新しいキャッシュ構成オプション

    Offensive Security Certified Professional (OCSP)レスポンスのキャッシュを制御する新しいオプションがmod_nssモジュールに追加されました。

    これらの新しいオプションを使用して、次のものを制御できます。

    • OCSPレスポンスを待機する時間。

    • OCSPキャッシュのサイズ。

    • キャッシュにアイテムが存在する最短および最長時間(まったくキャッシュしない場合も含まれます)。

  • サーバーとサービスのパッケージのバージョンを更新

    次のパッケージのバージョンが更新されました。これらの更新バージョンには、様々な拡張機能とバグ修正が追加されています。

    • chronyをバージョン3.1に更新

    • rearをバージョン2.0に更新

    • rsyslogをバージョン8.24.0に更新

    • tunedをバージョン2.8.0に更新

  • logrotateのデフォルトの状態ファイル・パスを変更

    パスの混乱や潜在的な不一致を避けるため、logrotateが使用するデフォルトの状態ファイル・パスがlogrotate cronジョブの使用する状態ファイル・パスと一致するように変更されました。この結果、両方のシナリオでlogrotateはデフォルトの状態ファイル・パスに/var/lib/logrotate/logrotate.statusを使用するようになっています。

  • nss_pcacheオプションの削除

    nss_pcache PINキャッシュ・サービスは、nss_pcacheがトークンへのアクセスを必要としなくなったため、mod_nss ApacheモジュールのNetwork Security Services (NSS)データベースを共有しなくなりました。また、NSSデータベースおよびプレフィックス向けのオプションは削除され、mod_nssが自動で処理するようになっています。

  • SSLプロトコルの無効化に対応するopenwsmanのサポートを拡張

    openwsmanユーティリティが更新され、無効化されたプロトコルを一覧表示する新しい構成ファイル・オプションが追加されました。この新しいオプションにより、特定のSSLプロトコルを指定して無効化できます。

  • 非推奨のopenldap-server

    Oracle Linux 7.4以降、openldap-serverパッケージは非推奨となり、このパッケージの新しいバージョンはOracle Linuxの次のメジャー・リリースに含まれません。389 Directory Serverなど、Oracle Linuxに含まれている代替LDAPサーバー・アプリケーションを使用することを検討してください。

Spacewalkクライアントの登録

Oracle Linux 7 Update 4システムをSpacewalkサーバーに登録する前に、Spacewalkクライアントをインストールする必要はありません。かわりに、rhnreg_ksコマンドを使用して、サーバーのCA証明書ファイル、サーバーURLおよびシステムに関連付けるアクティブ化キーを指定できます。

詳細な手順は、Oracle® LinuxドキュメントのOracle® Linux Manager & SpacewalkのSpacewalk 2.6 for Oracle Linux Clientライフ・サイクル・マネージメント・ガイドを参照してください。(バグID 20656368)

ストレージ

今回の更新には、次に示すストレージの機能、改善点および変更点が含まれています。

  • RAID論理ボリュームのサイズを縮小するLVMコマンドを追加

    今回の更新では、Logical Volume Manager (LVM)コマンドのlvreduceまたはlvresizeを使用して、RAID論理ボリュームのサイズを縮小できます。

  • RAIDテイクオーバーおよび再成形のサポートをLVMに追加

    LVMがRAIDテイクオーバーを完全にサポートするようになり、ユーザーはRAID論理ボリュームを1つのRAIDレベルから別のRAIDレベルに変換できるようになりました。これまで、この機能はテクノロジ・プレビューとしてのみ使用できました。また、LVMはRAID再成形(reshaping)のサポートも提供するようになり、これによってRAIDアルゴリズム、ストライプ・サイズ、イメージ数などのプロパティを再成形できます。

    ノート:

    RAIDテイクオーバーまたは再成形によって追加される新しいRAIDタイプは、古いカーネル・バージョンではサポートされません。これらのRAIDタイプには、raid0raid0_metaraid5_nおよびraid6_{ls,rs,la,ra,n}_6があります。RHCK for Oracle Linux 7.4でこれらのRAIDタイプを作成または変換すると、以前のリリースが動作しているシステムで論理ボリュームをアクティブ化できません。

  • RAID論理ボリュームのリージョン・サイズを変更する機能を追加

    lvconvertコマンドの-R/--regionsizeオプションを使用して、RAID論理ボリュームのリージョン・サイズを変更できるようになりました。既存のlvm.confファイルのactivation.raid_region_size = Nパラメータで設定されている古いデフォルト値も変更する必要があり、これを変更しないと、新しい論理ボリュームの作成時に古い値が引き続き適用されます

マルチパスの改善点および変更点

次に、マルチパスの新機能、改善点または変更点を示します。

  • 新しいdetect_checkerマルチパス・パラメータ

    マルチパス機能ではmultipath.confのデフォルト・セクションとデバイス・セクションでdetect_checkerパラメータをサポートするようになりました。このパラメータが設定されている場合、multipathはデバイスがAsymmetric Logical Unit Access (ALUA)モードをサポートするかどうかを検知します。サポートする場合、multipathは構成されたpath_checkerを上書きし、かわりにTest Unit Ready (TUR)チェッカを使用します。detect_checkerオプションは、オプションのALUAモードが設定されたデバイスが、そのデバイスの現行モードを問わず正常に自動設定されるようにします。

  • device-mapper-multipathmax_sectors_kb構成パラメータのサポートを追加

    device-mapper-multipathリソースには、新しいmax_sectors_kbパラメータがmultipath.confファイルのデフォルト、デバイスおよびマルチパスの各セクションで追加されています。この新しいパラメータを使用すると、マルチパス・デバイスの初回アクティベート前にマルチパス・デバイスのすべての基本的なパスでmax_sectors_kbデバイス・キュー・パラメータを特定の値に設定できます。

    マルチパス・デバイスの作成時には、パス・デバイスからmax_sectors_kb値が継承されます。手動でこの値をマルチパス・デバイス向けに高くしたり低くしたりすると、マルチパスはパス・デバイスが許可するよりも大きなI/O操作を作成する場合があります。max_sectors_kb multipath.confパラメータを追加すると、パス・デバイス上にマルチパス・デバイスが作成される前にこれらの値を設定でき、これにより無効なサイズのI/O操作が渡されることを回避できます。

  • 新しいdisabled_changed_wwidsマルチパス構成パラメータ

    マルチパス機能には、multipath.confファイルのデフォルト・セクションで設定可能な新しいdisable_changed_wwidsパラメータが追加されています。このパラメータが設定されている場合、multipathdは使用中のパス・デバイスがそのwwidを変更するときを認識し、そのwwidが前の値に戻るまで、そのデバイスへのアクセスを無効にします。

  • デバイスの統計をリセットするための新しいmultipathdコマンド

    今回の更新では、2つの新しいmultipathdコマンド(multipathd reset multipaths statsおよびmultipathd reset multipath dev stats)が導入されています。これらのコマンドは、すべてのデバイスまたは指定されたデバイスについてmultipathdが追跡するデバイスの統計をそれぞれリセットする場合に使用します。この機能により、ユーザーは、変更を加えた後にデバイス統計をリセットできます。

  • 新しいremove retriesマルチパス構成値

    multipathコマンドがビジー状態のマルチパス・デバイスの削除を試行する回数を制御できるようになりました。この機能を有効にするには、remove_retries構成値をデフォルト値の0から変更します(値が0に設定されている場合、multipathは失敗した削除を再試行しません)。

  • multipathdが実行されていない場合に警告メッセージを出力

    multipathdデーモンにより、multipathdが実行されていない場合にマルチパス・デバイスを作成または一覧表示するmultipathコマンドを実行すると、警告メッセージが出力されるようになりました。

サポート・ツール

Oracle Linux 7には、ランタイムの問題の解決に役立つツールが付属しています。今回の更新の重要な機能および変更点は次のとおりです。

  • インストール時のKdump構成

    非グラフィカル・インストール時にKdumpを構成できるようになりました。crashkernel=auto設定を使用する場合の制限事項は、「UEK R3でのcrashkernel=auto設定」を参照してください。

  • 大規模メモリー・イメージのmakedumpfileサポート

    makedumpfileで、16TBを超える物理メモリーのダンプにsadump形式を使用できるようになりました。

  • Kpatchの削除

    アップストリームKpatch RPMはOracle Linuxから削除されました。ダウンタイムなしで実行中のカーネルにパッチを適用することを希望するお客様は、OracleのKspliceテクノロジをご検討ください。これは、Oracle Linux Premier Supportで無料で提供されています。詳細は、Oracle Linux: Kspliceユーザーズ・ガイドを参照してください。

仮想化

この項では、仮想化の新機能と、改善および更新された機能について説明します。

  • KVMおよびQEMUが第2世代XeonおよびXeon Phiプロセッサの新機能をサポート

    カーネルベースの仮想マシン(KVM)モジュールとQEMUハイパーバイザーは、第2世代XeonおよびXeon Phiプロセッサに搭載されている新機能をサポートできるようになりました。KVMゲストは、仮想マシンのCPU構成で有効化されている場合にavx512_4vnniwおよびavx512_4fmaps命令を使用できます。

  • KVMゲスト・インタフェースにMTU設定を構成する機能を追加

    今回の更新では、KVMゲスト・インタフェースにMTU設定を構成できます。

  • QEMUで汎用PCIeルート・ポートを使用するようにlibvirtを変更

  • libvirtのバージョンを3.2.0に更新

    今回の更新では、特定のlibvirtストレージ・サブドライバのインストールおよびアンインストールが可能になり、インストールのフットプリントを減らしています。また、Name Services Switch (NSS)がKVMゲスト名を自動的にネットワーク・アドレスに解決するよう、/etc/nsswitch.confファイルで構成できるようになりました。

  • KVMにMCEのサポートを追加

    Machine Check Exception (MCE)のサポートがKVMカーネル・モジュールに追加されました。KVMゲスト仮想マシンでIntel Xeon v5プロセッサのローカルMCE (LMCE)機能が使用できるようになりました。LMCEではMCEを全スレッドにブロードキャストするのではなく、単一のプロセッサ・スレッドに配信できるので、マシン・チェックによって必要以上のvCPUがパフォーマンスの影響を受けないようにすることができます。この結果、多数のプロセッサ・スレッドがあるマシン上でのMCE処理時にソフトウェアの負荷が少なくなります。

  • QXLドライバのvirt-v2vインストールを改善

    Windowsゲスト仮想マシンにおけるQXLドライバのvirt-v2v実装が改善されました。この変更により、これらのゲストでQXLドライバが正常にインストールされるようになりました。

テクノロジ・プレビュー

UEK R4u4を使用する場合の現在テクノロジ・プレビューが行われている機能は、Unbreakable Enterprise Kernel: リリース・ノートfor Unbreakable Enterprise Kernelリリース4更新4 (4.1.12-94)に示されています。

RHCKでは、次の機能が現在テクノロジ・プレビュー中です。

  • systemd:

    • コンテナ・イメージのインポートおよびエクスポートに対応するImportd機能

  • ファイル・システム:

    • アプリケーションから永続メモリーを直接マッピングするDAX (Direct Access)。ext4およびXFSファイル・システムでテクニカル・プレビューが行われています。

    • Parallel NFS (pNFS)のブロック・ストレージ・レイアウトおよびオブジェクト・ストレージ・レイアウト。

    • Parallel NFS (pNFS)のSCSIレイアウト(クライアント構成とサーバー構成の両方のサポートを含む)。

    • OverlayFSは引き続きテクニカル・プレビュー中。

  • カーネル:

    • Heterogeneous memory management (HMM)。

    • ユーザー名前空間(Linuxコンテナをホストから分離するセキュリティ機能)。

    • RDMA向けの10GbE RoCE Express。

    • RDMA over RoCE向けのocrdmaおよびlibocrdmaパッケージ。

    • No-IOMMUモードの仮想I/O機能。

  • ネットワーク:

    • UCMサーバーのCisco専用のUser Space Network Interface Controllerのサポートをlibusnic_verbsドライバで提供

    • 専用のCiscoアーキテクチャでRDMAと同様の機能を提供するCisco VIC InfiniBandカーネル・ドライバ。

    • Trusted Network Connectのサポート。

    • qlcnicドライバに含まれるシングルルートI/O仮想化(SR-IOV)。

    • nftablesおよびlibnftnlネットワーク・フィルタリングおよび分類機能

  • ストレージ:

    • SCSI向けのマルチキューI/Oスケジューリング(scsi-mq)。この機能は、デフォルトでは無効です。

    • libStorageMgmt APIのプラグイン使用したストレージ・アレイの管理。libStorageMgmt APIは完全サポートされるようになりましたが、プラグインはテクノロジ・プレビュー中です。

    • 指定されたネイティブHBAおよびストレージ・ハードウェア以外のSCSIデバイスに対するデータ整合性チェックを行うDIF/DIX。Oracleでは、UEK R4でDIF/DIXをサポートしています。

互換性

Oracle LinuxではRed Hat Enterprise Linuxとのユーザー空間の互換性が維持され、これはオペレーティング・システムの基盤となるカーネルのバージョンとは無関係です。ユーザー空間の既存のアプリケーションは、Unbreakable Enterprise Kernelリリース4 (UEK R4)で変更なしに引き続き実行され、RHEL認定アプリケーションには証明書の更新は不要です。

Oracle Linuxチームはリリース時の互換性に関する影響を最小限に抑えるため、カーネル・モジュールに対する依存性があるハードウェアおよびソフトウェアを提供するサード・パーティ・ベンダーと緊密に協力しています。UEK R4のカーネルABIは、最初のリリースの後のすべての更新において変更されていません。UEK R4には、システム上でサード・パーティのカーネル・モジュールの再コンパイルを必要とするUEK R3と比較してカーネルABIに対する変更点があります。UEK R4をインストールする前に、アプリケーション・ベンダーとそのサポート状況を確認してください。