ネットワーク

このOracle Linux 10リリースでは、ネットワーキングに関連する次の機能、拡張機能および変更が導入されています。

NetworkManagerのIPv4の重複アドレス検出の有効化

重複アドレス検出(DAD)が有効になっているため、新しいIPアドレスを構成すると、ネットワーク内の各IPアドレスが一意になります。NetworkManagerのipv4.dad-timeoutパラメータは、デフォルトで200msに設定されています。このパラメータは、DADチェックを実行する期間を制御します。

バージョン1.5.1でリリースされたxdp-tools

xdp-toolsパッケージがバージョン1.5.1でリリースされました。これには、様々な拡張機能およびバグ修正が含まれています。

バージョン1.1.1でリリースされたnftables

nftablesフレームワークには、アップストリーム・バージョン1.1.0および1.1.1からの変更が含まれており、いくつかのバグ修正と拡張機能があります。この更新では、多数のデバイスのJSON形式や表のリスト時のパフォーマンスの向上など、いくつかの重要な変更が導入されています。

この更新では、802.1ad (Q-in-Q)標準を含む仮想ローカル・エリア・ネットワーク(VLAN) IDの照合および設定のサポートも追加されます。また、リスト・フックのバイト・レート・リミッタおよびエグレスでゼロ・バーストを提供します。さらに、この更新では、nft list hooksコマンドのリストの不整合にも対応しています。

変更および拡張機能を包括的に理解するには、バージョン1.1.0および1.1.1のアップストリームのリリース・ノート(https://www.netfilter.org/projects/nftables/files/changes-nftables-1.1.0.txtおよびhttps://www.netfilter.org/projects/nftables/files/changes-nftables-1.1.1.txt)を参照してください。

バージョン1.8.11でリリースされたiptables

iptablesフレームワークがバージョン1.8.11にアップグレードされ、いくつかのバグ修正と拡張機能が提供されるようになりました。

バージョン2.3.0でリリースされたfirewalld

firewalldサービスがバージョン2.3.0でリリースされ、いくつかの拡張機能が導入されました。重要な追加はStrictForwardPorts構成オプションであり、有効にするとfirewalldが宛先NATトラフィックに対してより制限が厳しくなります。このオプションをyesに設定すると、明示的に有効化された転送ポートのみが許可され、コンテナ公開ポートがブロックされます。

また、クライアント/サーバーのAdvanced Linux Sound Architecture (ALSA)シーケンサ(aseqnet)、Music Player Daemon (MPD)、Radsec、SlimeVRなど、様々なサービスのサポートも拡張しています。リリース更新の包括的な概要については、アップストリーム・リポジトリ(https://github.com/firewalld/firewalld/releases/tag/v2.3.0)を参照してください。

netkitネットワーク・デバイス・タイプをカーネルで提供

Berkeley Packet Filter (BPF)を使用したコンテナ内の高パフォーマンス・ネットワーキング用のnetkitネットワーク・デバイス・タイプを使用するようにカーネルが拡張されました。この改善により、netkitネットワーク・デバイス・タイプと互換性のあるコンテナ・ネットワーク・インタフェース(CNI)を使用するコンテナ化されたアプリケーションの効率性、スケーラビリティおよび応答性の向上が期待できるので、クラウド環境および高スループット・システムでメリットがあります。

Libreswan構成のrequire-id-on-certificate設定を含むnmstate

nmstate APIに、Libreswan VPN構成のrequire-id-on-certificate設定が含まれるようになりました。この機能により、ユーザーはIPsec接続のサブジェクト代替名(SAN)検証を構成でき、VPN接続のセキュリティを強化できます。

RHCKのi40eドライバで問題のあるSR-IOV仮想機能の自動リセット

RHCKに付属するIntelネットワーク・アダプタ・ドライバPCIe 40ギガビット・イーサネット(i40e)は、悪意のあるドライバ検出(MDD)イベントが検出されたときに、問題のある単一ルートI/O仮想化(SR-IOV)の仮想機能(VF)を自動的にリセットするように拡張されています。この機能では、VFドライバのリセットが発生するまで、Tx/Rxキューを無効にしたり、問題のあるパケットをドロップしたりできるため、不具合や悪意のあるVFによるネットワークの中断を防ぐことができます。

自動リセットは、次のようにイーサネット・デバイスのmdd-auto-reset-vfオプションを設定することによって制御されます: 

sudo ethtool --set-priv-flags eth0 *mdd-auto-reset-vf* on