テクノロジ・プレビュー

セキュリティ

次のセキュリティ機能がテクノロジ・プレビューとして提供されています。

KTLS

LinuxカーネルTLS (KTLS)は、AES-GCM暗号のTLSレコードを処理します。KTLSは、この機能をサポートするNICにTLSレコードの暗号化をオフロードするためのインタフェースも提供します。

コンパイル時にenable-ktls構成オプションを使用すると、OpenSSL 3.0でKTLSを使用できます。

更新されたgnutlsパッケージでは、暗号化されたチャネルでデータ転送を高速化するためにKTLSを使用できます。KTLSを有効にするには、modprobeコマンドを使用してtls.koカーネル・モジュールを追加し、システム全体の暗号化ポリシーの新しい構成ファイル/etc/crypto-policies/local.d/gnutls-KTLS.txtを、次の内容で作成します:

[global]
ktls = true

AES-GCM暗号スイートのセキュリティに影響するため、gnutlsでTLS KeyUpdateメッセージを介してトラフィック・キーを更新することはできません。

インフラストラクチャ・サービス

インフラストラクチャ・サービスの次の機能が、テクノロジ・プレビューとして提供されています:

TuneD用のソケットAPI

TuneD用のソケットAPIはD-Bus APIと1対1にマップされており、D-Busが使用できない場合の代替通信方法として使用できます。このソケットAPIを使用すると、TuneDデーモンを制御してパフォーマンスを最適化し、様々なチューニング・パラメータの値を変更できます。このソケットAPIはデフォルトでは無効になっています。tuned-main.confファイルで有効にできます。

ネットワーク

次のネットワーク機能がテクノロジ・プレビューとして提供されています。

`gpsd-minimal`

gpsd-minimalパッケージは、テクニカル・プレビューとして提供されています。gpsdは、シリアルまたはUSBインタフェースによってホスト・コンピュータに接続されたGPSセンサーへのアクセスを仲介するサービス・デーモンで、ホスト・コンピュータのTCPポート2947に対して場所、コースおよび速度に関するデータを問い合せることができます。

WireGuard

WireGuardは、セキュリティ機能が向上する、簡単に構成できるVPNソリューションです。

WireGuardはUEKで完全にサポートされています。Oracle LinuxでのWireGuardの使用の詳細は、Oracle Linux: 仮想プライベート・ネットワークの構成を参照してください。

`systemd-resolved`サービス

systemd-resolvedサービスは、ローカル・アプリケーションに名前解決を提供します。このコンポーネントには、キャッシュ、DNSスタブ・リゾルバ、リンク・ローカル・マルチキャスト名前解決(LLMNR)、マルチキャストDNSリゾルバおよびレスポンダのキャッシュおよび検証が含まれています。

PRPおよびHSR

hsrカーネル・モジュールは、テクノロジ・プレビューとして次のプロトコルを提供するためにRHCKに含まれています:

Parallel Redundancy Protocol (PRP)
High-availability Seamless Redundancy (HSR)

IPsecパケット・オフロード

RHCKでは、完全なIPsecカプセル化をネットワーク・インタフェース・コントローラ(NIC)にオフロードしてワークロードを削減できます。この機能は、テクノロジ・プレビューとして提供されています。

様々なモデム・ネットワーク・ドライバ

Oracle Linuxは、機能が制限されたRHCKのモデム・ドライバをテクノロジ・プレビューとして提供します:

Qualcomm MHI WWAM MBIM - Telit FN990Axx
Intel IPC over Shared Memory (IOSM) - Intel XMM 7360 LTE Advanced
Mediatek t7xx (WWAN) - Fibocom FM350GL
Intel IPC over Shared Memory (IOSM) - Fibocom L860GL modem

Segment Routing Over IPv6

Segment Routing over IPv6 (SRv6)は、RHCKでテクノロジ・プレビューとして提供されています。SRv6は、エッジ・コンピューティングのトラフィック・フローを改善し、ネットワーク・スライシングおよびリソース予約をプログラムするメカニズムを提供します。

カーネル

次のカーネル機能がテクノロジ・プレビューとして提供されています。

SGXが使用可能

Intel®社のSoftware Guard Extensions (SGX)は、ソフトウェア・コードとデータを開示および変更から保護します。Linuxカーネルは部分的にSGX v1およびSGX v1.5をサポートしています。バージョン1では、Flexible Launch Controlメカニズムを使用してSGXテクノロジを使用することにより、プラットフォームを有効にします。

SGXはUEKでサポートされています。

Intel® Data Streaming Acceleratorドライバ

このドライバはIntel® CPUの統合アクセラレータであり、プロセス・アドレス空間ID (pasid)の送信および共有仮想メモリー(SVM)を使用して作業キューを共有します。

Soft iWarp

Soft-iWARP (siw)はInternet Wide-area RDMA Protocol (iWARP)ソフトウェア・カーネル・ドライバです。このドライバは、TCP/IPネットワーク・スタックを介してiWARPプロトコル・スイートを実装します。このスイートはソフトウェアに実装されています。そのため、RDMAハードウェアは必要ありません。このプロトコル・スイートを使用すると、標準のイーサネット・アダプタを備えたシステムがiWARPアダプタに、またはすでにsiwがインストールされている別のシステムに接続できます。

ファイル・システムおよびストレージ

ファイル・システムおよびストレージに関連する次の機能は、テクノロジ・プレビューとして提供されています。

DAXファイル・システムが使用可能

このリリースでは、DAXファイル・システムは、ext4およびXFSファイル・システムのテクノロジ・プレビューとして使用できます。DAXにより、アプリケーションは、そのアドレス空間に永続メモリーを直接マップできます。システムには、DAXを使用するために使用できるなんらかの形式の永続メモリーが必要です。永続メモリーは、1つ以上の不揮発性デュアル・インライン・メモリー・モジュール(NVDIMM)の形式でもかまいません。さらに、DAXをサポートするファイル・システムをNVDIMM上に作成する必要があります。ファイル・システムは、daxマウント・オプションを使用してマウントする必要があります。次に、DAXマウントされたファイル・システム上のファイルのmmapにより、ストレージがアプリケーションのアドレス空間に直接マッピングされます。

NVMe-oF検出サービス

NVMe-oF検出サービス機能は、NVMexpress.org Technical Proposals (TP) 8013および8014で定義されています。これらの機能をプレビューするには、nvme-cli 2.0パッケージをインストールし、TP-8013またはTP-8014を実装するNVMe-oFターゲット・デバイスにホストをアタッチします。TP-8013およびTP-8014の詳細は、https://nvmexpress.org/developers/nvme-specification/ WebサイトのNVM Express 2.0 Ratified TPsを参照してください。

NVMe-oFはUEKでサポートされています。

`nvme-stas`パッケージ

Linux用のCentral Discovery Controller (CDC)クライアントであるnvme-stasパッケージは、次の機能を処理します。

非同期イベント通知(AEN)
NVMeサブシステムの自動接続制御
エラー処理およびレポート
自動(zeroconf)および手動構成。

このパッケージは、Storage Appliance Finder (stafd)とStorage Appliance Connector (stacd)の2つのデーモンで構成されます。

NVMe 8006インバンド認証

NVMe over Fabrics (NVMe-oF)のインバンド認証であるNon-Volatile Memory Express (NVMe) TP 8006は、テクノロジ・プレビューとして使用できます。NVMe Technical Proposal 8006では、NVMe-oFのDH-HMAC-CHAPインバンド認証プロトコルが定義されています。詳細は、nvme-connect(1)マニュアル・ページのdhchap-secretおよびdhchap-ctrl-secretオプションの説明を参照してください。

インバンド認証は、UEK R7U2で完全に利用できます。

`io_uring`非同期I/Oインタフェース

使用可能ですが、io_uring非同期I/Oインタフェースはデフォルトで無効になっています。この機能を有効にするには、sysctlコマンドの実行時に、kernel.io_uring_disabled変数を次のいずれかの値に設定します:

0: すべてのプロセスで、通常どおりio_uringインスタンスを作成できます。
1: io_uringの作成は、権限のないプロセスでは無効です。この設定では、io_uring_setupは-EPERMエラーで失敗します。正常に完了するのは、呼出し側プロセスがCAP_SYS_ADMIN機能によって権限付与されている場合のみです。ただし、既存のio_uringインスタンスは引き続き使用できます。
2 (デフォルト): io_uringの作成は、すべてのプロセスに対して無効になります。この設定では、io_uring_setupは常に-EPERMで失敗します。ただし、既存のio_uringインスタンスは引き続き使用できます。

この機能を使用するには、匿名inodeに対してmmapシステム・コールを有効にするSELinuxポリシーの更新バージョンも必要です。

io_uringのサポートはUEK R6U3のUEKで提供されています。

コンパイラおよび開発ツール

コンパイラおよび開発ツール用の次の機能がテクノロジ・プレビューとして提供されています。

`jmc-core`および`owasp-java-encoder`

jmc-coreは、次を実行するAPIを含む、Java Development Kit (JDK) Mission ControlのコアAPIを提供するライブラリです:

Javaフライト記録ファイルの解析および書込み
Java Discovery Protocol (JDP)を使用したJava仮想マシン(JVM)の検出

owasp-java-encoderパッケージは、Javaの高パフォーマンスの低オーバーヘッド・コンテキスト・エンコーダのコレクションを提供します。

パッケージは、サポートされていないOracle Linux 9 CodeReady Builderリポジトリで使用でき、明示的に有効にする必要があります。

仮想化

次の仮想化機能がテクノロジ・プレビューとして提供されています。

ネストされたVM

ネストされたKVM仮想化は、Oracle Linux 9で実行されているKVM仮想マシン(VM)のテクノロジ・プレビューとして提供されています。

SEVおよびSEV-ES

Secure Encrypted Virtualization (SEV)機能は、KVMハイパーバイザを使用するAMD EPYCホスト・マシンに用意されています。これは、仮想マシンのメモリーを暗号化して、ホストによるアクセスからVMを保護するものです。

SEVの拡張された暗号化状態バージョン(SEV-ES)では、VMの実行が停止したときにすべてのCPUレジスタの内容が暗号化されるため、ホストによるVMのCPUレジスタの変更や、そのレジスタからの情報の読取りが防止されます。

SEVはUEKでサポートされています。

Armプラットフォームの仮想化

テクニカル・プレビューとしてRHCKを使用して、Arm (aarch64)プラットフォームで実行されているシステムでKVM仮想マシンを作成できます。

KVMは、UEKのaarch64でサポートされています。

クラウド環境

クラウド環境の次の機能が、テクノロジ・プレビューとして提供されています。

AzureでのVMデプロイメント

更新されたRHCKを使用すると、Oracle Linuxの機密仮想マシン(VM)をMicrosoft Azureにデプロイできます。Unified Kernel Image (UKI)の提供により、暗号化された機密VMイメージをそのクラウド環境でブートできます。UKIは、Oracle Linux 9リポジトリでkernel-UKI-virtパッケージとして提供されています。

Oracle Linux UKIはUEFIブート構成でのみ使用できます。

この機能はUEKではまだ使用できません。