Nuevas funciones y cambios en UEK R6U3

UEK R6U3 utiliza la versión 5.4.17-2136 y la versión del núcleo UEK R6, que incluye correcciones de errores y seguridad, así como actualizaciones de controladores.

UEK R6U3 proporciona una funcionalidad de núcleo que es equivalente a UEK R6, pero se actualiza a la etiqueta de versión de núcleo mainline v5.4.83 ascendente e incluye correcciones de errores LTS ascendentes, con parches adicionales para mejorar la funcionalidad existente y proporcionar correcciones de errores menores y mejoras de seguridad. Todos los cambios clave son específicos de la funcionalidad necesaria para Oracle Database y otro software de Oracle.

El protocolo de comunicación WireGuard utiliza redes privadas virtuales (VPN) cifradas mediante la transferencia de tráfico a través del protocolo de datagramas de usuario (UDP).

WireGuard es un reemplazo seguro, fácil de usar y más rápido para los protocolos de túnel IPsec y OpenVPN heredados. La función utiliza protocolos y algoritmos de criptografía probados para proteger los datos. Aunque IPsec sigue siendo el estándar para la comunicación de red segura, WireGuard es más fácil de configurar e implementar. En comparación, su configuración se compara con la configuración de SSH. Estas son algunas de las razones por las que los administradores están eligiendo construir nuevas redes con la criptografía más moderna que utiliza WireGuard.

WireGuard utiliza cifrado de clave pública para la identificación y el cifrado, mientras que OpenVPN utiliza certificados para estas tareas. Con WireGuard, la generación y gestión de claves seguras se maneja en segundo plano.

WireGuard utiliza un modo servidor/cliente para su configuración e implementación. Tenga en cuenta que puede configurar e implementar WireGuard en redes IPv4 e IPv6.

Para configurar e implementar WireGuard, el paquete wireguard-tools debe estar instalado en el servidor y los sistemas cliente, lo que permite la comunicación entre ambos hosts.

Puede verificar que el paquete wireguard-tools esté instalado mediante el siguiente comando:

$ rpm -qa | grep wireguard
                  

Puede verificar que el módulo de núcleo wireguard esté presente en el sistema mediante el siguiente comando:

$ modinfo wireguard
                  

Para obtener más información e instrucciones paso a paso, consulte Oracle Linux: Configuring Virtual Private Networks.

Esta versión incluye una mejora que libera algunas páginas vmemmap (páginas de estructuras de páginas de estructura) que están asociadas a cada hugetlbpage. Al eliminar las estructuras de página redundantes para las páginas HugeTLB, la memoria se puede devolver al asignador de contactos para otros usos.

Para activar esta función, inicie el sistema con la opción hugetlb_free_vmemmap=on. Cuando se activa, durante el inicio se muestran mensajes similares a los siguientes:

HugeTLB: can free 4094 vmemmap pages for hugepages-1048576kB
HugeTLB: can free 6 vmemmap pages for hugepages-2048kB

En esta versión se ha realizado una mayor integración de la estructura de E/S asíncrona (AIO) io_uring. io_uring es una interfaz de núcleo de Linux que proporciona anillos de cola de ejecución y finalización, que luego se comparten entre el núcleo y el espacio de usuario para evitar copias.

Además de las funciones más establecidas que se han agregado a la estructura io_uring en esta versión, UEK R6U3 también incluye la nueva función de modo de E/S sondeada (IORING_SETUP_IOPOLL), que proporciona la siguiente funcionalidad:

• Operaciones de control de archivos estándar: FALLOCATE, OPENAT2, STATX, MADVISE, FADVISE y TEE.

• Operaciones en sockets: mensajes ACCEPT, CONNECT, SEND(2) y RECV(2) y EPOLL_CTL.

• Capacidad para compartir io-wq workqueue (IORING_SETUP_ATTACH_WQ) desde otro anillo.

• Adición de la llamada IORING_REGISTER_PROBE para sondear y recibir información sobre las funciones admitidas desde la estructura io_uring en el núcleo.

• Inclusión de la llamada SPLICE(2).

• Inclusión de la llamada IORING_REGISTER_RESTRICTIONS, que permite a la aplicación otorgar acceso a sus descriptores de archivos a aplicaciones o invitados que no son de confianza.

• Llamada IORING_OP_PROVIDE_BUFFERS, que utiliza la infraestructura de registro de buffer para permitir la transferencia de un addr/len asociado a un ID de buffer y un ID de grupo de buffers.

• Soporte de IORING_BUFFER_SELECT para las llamadas de lectura vectorizadas, RING_OP_READV y IORING_OP_READVMSG.

Se ha cambiado el nombre del paquete kabi_whitelist a kabi_stablelist. Este cambio se realizó de acuerdo con el compromiso de Oracle de sustituir el lenguaje problemático y potencialmente ofensivo.

La capacidad de virtualización anidada en la plataforma AMD de 64 bits (x86_64) se mejora en esta versión mediante la implementación de un gran número de correcciones de estabilidad.

Para adaptarse a los cambios en los estándares de NVMe, y a medida que la tecnología continúa evolucionando y cambiando, se están realizando mejoras continuas en la función de memoria no volátil Express (NVMe). En comparación con los protocolos heredados, NVMe proporciona capacidad avanzada para acceder a medios de almacenamiento de alta velocidad.

Junto con varias correcciones de bugs, esta versión presenta la función Target Passthru de NVMe. La función Passthru de destino permite exportar un controlador NVMe completo mediante la especificación de NVM Express sobre tejidos (NVMe-oF). Cuando se exportan de esta manera, en lugar de exportar cada espacio de nombres como un dispositivo de bloques, todos los comandos NVMe se transfieren al controlador proporcionado sin modificar, incluidos los comandos administrativos y los comandos únicos de proveedor (VUC). Un destino passthru expone todos los espacios de nombres de un dispositivo determinado al host remoto.

En versiones anteriores, el módulo de núcleo resilient_rdmaip utilizaba la función trace_printk() directamente para depurar su infraestructura, lo que generaba una advertencia de banner sobre trace_printk() y el uso de memoria que no era relevante para el módulo de núcleo resilient_rdmaip.

UEK R6U3 introduce nuevos puntos de rastreo que sustituyen el uso de trace_printk() para depurar la infraestructura del módulo de núcleo resilient_rdmaip.

Cada uno de los siguientes nuevos puntos de rastreo se corresponde con los tres niveles de depuración que admiten los mensajes de depuración de RDMA resilientes:

• trace_rdma_debug_l1

• trace_rdma_debug_l2

• trace_rdma_debug_l3

En esta versión, el inicio seguro se ha modificado para comprobar adicionalmente el panel de claves de la plataforma, que incluye la lista de claves de propietario de máquina (MOK). Esta mejora permite cargar módulos firmados de claves personalizados y de terceros siempre que se active el inicio seguro.

La estructura Virtual Data Path Acceleration (vDPA) del adaptador de red Mellanox ConnectX-6Dx se ha mejorado en esta versión. El marco vDPA admite tecnologías emergentes como la función virtual de virtualización de E/S de raíz única (SR-IOV) y la subfunción Mellanox, al proporcionar una capa de abstracción y traducción en la parte superior. vDPA utiliza el diseño de anillo Virtio y coloca un controlador Virtio único y estándar en el invitado, que está desacoplado de la implementación del proveedor.

En UEK R6U3, las mejoras notables de vDPA incluyen la API de la herramienta de gestión de vDPA para orquestación y configuración, la compatibilidad con la subfunción de vDPA (SF) para omitir el límite impuesto por la especificación PCIe en el número de funciones virtuales (VF) por función física (PF) que se pueden crear y la compatibilidad con el controlador Mellanox mlx5_vdpa para la asignación de timbres.

En esta versión se introducen algunas mejoras de rendimiento relacionadas con el almacenamiento de bloques para los módulos vhost y vhost-scsi. En particular, se realizaron mejoras en el núcleo para aumentar las IOPS (operaciones de entrada/salida por segundo) para un dispositivo SCSI vhost a través de dm-multipath.

Además, se ha realizado una mejora para permitir que Qemu cree varios threads de trabajo vhost y los asigne a un dispositivo SCSI invitado diferente virtqueues.

El subsistema de arquitectura de medición de integridad (IMA), que ha estado presente en el núcleo de Linux desde la versión anterior 2.6.30, mantiene una lista de hash de archivos confidenciales en un sistema. Esta información puede impedir la carga de archivos o binarios que no coincidan con estos hashes. La función IMA ayuda a mantener la integridad del sistema y también se puede utilizar para evitar modificaciones en los archivos críticos del sistema. Una política de IMA predeterminada se establece en UEK R6U3 y también se informa de nuevo en una actualización de errores para UEK R6U2. La política actualizada se puede revisar en /sys/kernel/security/ima/policy:

measure func=KEXEC_KERNEL_CHECK
measure func=MODULE_CHECK

La política por defecto mide la imagen kexec y todos los binarios del módulo de núcleo. Tenga en cuenta que, aunque esta política por defecto permite la medición de estos elementos, no define ninguna política de evaluación.

Se están investigando varias características y se está desarrollando para su lanzamiento dentro de UEK R6. Las siguientes funciones están disponibles en UEK R6U3 como vista previa de la tecnología.

• Programación básica

  La función de programación del núcleo que está activada en el núcleo limita las tareas de confianza a la ejecución simultánea en núcleos de CPU que comparten recursos informáticos. Esta función mitiga ciertas categorías de bugs del procesador 'core shared cache' que podrían causar fugas de datos y otras vulnerabilidades relacionadas. La programación básica se ha habilitado en UEK R6 como una función de vista previa tecnológica desde UEK R6U1. Esta característica está en desarrollo activo y continuo.

• Copia de servidor de NFS versión 4.2

  La funcionalidad de copia del servidor (SSC) NFS versión 4.2 se admite desde el núcleo ascendente y ha estado disponible en UEK R6 como vista previa de tecnología desde UEK R6U1. La función de copia del servidor proporciona mecanismos que permiten a un cliente NFS copiar datos de archivos en un servidor o entre dos servidores, sin que se transmitan de un lado a otro a través de la red a través del cliente NFS.

Las siguientes funciones están en desuso en esta versión de UEK R6.

Unbreakable Enterprise Kernel versión 6 admite un gran número de dispositivos de hardware. En estrecha cooperación con los proveedores de hardware y almacenamiento, Oracle ha actualizado varios controladores de dispositivos de las versiones de la línea principal Linux 5.4.

En el apéndice de Driver Modules in Unbreakable Enterprise Kernel Release 6 (x86_64), se proporciona una lista completa de los módulos de controlador incluidos en la última actualización de UEK R6 junto con la información de la versión.

Las siguientes nuevas funciones se mencionan en los controladores que se envían con UEK R6U3:

• Controlador de red Broadcom BCM573xx

  El controlador de red Broadcom BCM573xx, bnxt_en, se actualiza a la versión 1.10.2 de esta versión. Se incluye una gran cantidad de parches suministrados por proveedores y ascendentes para resolver varios errores y proporcionar funciones y actualizaciones más recientes. En particular, la funcionalidad PTP está habilitada y se han incluido varias mejoras para RoCE.

• Controlador HBA FCoE de Cisco

  El controlador del HBA Cisco FCoE, fnic, se actualiza a la versión 1.6.0.53 en esta versión. Se incluyen varios parches ascendentes para resolver varios bugs.

  Consulte Cisco fnic 1.6 driver Unsupported.

• Controlador Linux serie Intel Ethernet Connection E800

  El controlador Linux de la serie Intel Ethernet Connection E800, ice, sigue informando como versión 0.8.2-k en esta versión, pero incluye un gran número de parches suministrados por el proveedor. Este controlador se prueba con las últimas tarjetas de interfaz de red E810 de 25 GbE y 100 GbE.

• Controlador SCSI de canal de fibra Broadcom Emulex LightPulse

  El controlador SCSI de canal de fibra Broadcom Emulex LightPulse, lpfc, se actualiza a la versión 12.8.0.10, con parches y correcciones de bugs proporcionados por el proveedor. Además, se aplicaron varias actualizaciones de parches al controlador de transporte de canal de fibra NVMe, nvme-fc, para mejorar la funcionalidad y resolver los problemas identificados por el proveedor.

• Controlador de adaptador de red de Microsoft Azure

  El controlador del adaptador de red de Microsoft Azure, mana, se incluye en esta versión. Se incluyen parches ascendentes y proporcionados por el proveedor, y el controlador está destinado para su uso en Oracle Linux 8.

• Controlador de dispositivo de controlador de almacenamiento MPI3

  El controlador de dispositivos del controlador de almacenamiento MPI3, mpi3mr, se incluye en esta versión en la versión 00.255.45.01. Se incluyen los parches suministrados por el proveedor y el controlador está diseñado para admitir la próxima generación de dispositivos de controlador RAID y HBA 96XX de Broadcom.

• Módulo básico QLogic FastLinQ 4xxxx

  El módulo básico QLogic FastLinQ 4xxxx, qed, se actualiza a la versión 8.37.0.20 e incluye muchos parches adicionales proporcionados por el proveedor, incluidos los parches para la versión de firmware 8.42.2.0.

• Controlador Ethernet QLogic FastLinQ 4xxxx

  El controlador Ethernet QLogic FastLinQ 4xxxx, qede, se actualiza a la versión 8.37.0.20 e incluye parches adicionales proporcionados por el proveedor.

• Módulo QLogic FastLinQ 4xxxx FCoE

  El módulo FCoE de QLogic FastLinQ 4xxxx, qedf, se actualiza a la versión 8.42.3.0 e incluye parches proporcionados por el proveedor para actualizar este controlador en línea con los cambios ascendentes.

• Módulo iSCSI QLogic FastLinQ 4xxxx

  El módulo iSCSI de QLogic FastLinQ 4xxxx, qedi, se actualiza a la versión 8.37.0.20 e incluye parches proporcionados por el proveedor para actualizar este controlador en línea con los cambios ascendentes.

• Controlador HBA QLogic Fibre Channel

  El controlador de HBA de canal de fibra de QLogic, qla2xxx, se actualiza a la versión 10.02.00.106-k e incluye varios parches proporcionados por el proveedor.

• Controlador de familia inteligente Microsemi

  El controlador Microsemi Smart Family Controller, smartpqi, se actualiza a la versión 2.1.8-045 e incluye varios parches ascendentes.

• conductor pvpanic

  El controlador pvpanic, que se utiliza para disparar eventos dentro de libvirtd en caso de que una máquina virtual invitada encuentre un aviso grave del núcleo, se actualiza para incluir un componente PCI para activar esta funcionalidad en las plataformas Arm (aarch64). Anteriormente, el controlador solo funcionaba como un dispositivo de bus ISA, que limitaba su uso a las plataformas x86.