Nouvelles fonctionnalités et modifications UEK 8

Voici un résumé des caractéristiques, modifications et améliorations introduites dans UEK 8, par rapport à UEK R7 :

• Base stable du noyau Linux 6.12

  La version 6.12 du noyau principal utilisée comme noyau de base pour UEK 8 comprend de nombreuses fonctionnalités et améliorations du noyau en amont par rapport aux versions précédentes d'UEK et par rapport à RHCK sur Oracle Linux 9.

• L'emballage du module de noyau a été mis à jour

  Les modules de noyau sont distribués dans des packages plus atomiques afin de réduire la surface d'attaque du noyau, d'améliorer la maintenance des modules de noyau et d'améliorer la visibilité de l'abandon des modules. Voir Modifications apportées à la distribution et à l'emballage du contenu UEK pour une vue complète de l'emballage du noyau dans UEK 8.

• Taille de la page de base 64k sur le bras

  Dans cette version, une version du noyau avec une taille de page de base de 64 Ko est disponible uniquement pour les formes de calcul basées sur Ampere Arm dans Oracle Cloud Infrastructure. La taille de page de base de 64 Ko améliore la façon dont les plates-formes Arm traitent les charges de travail avec des jeux de données de mémoire contigus volumineux. Pour plus d'informations, voir (aarch64) Taille de la page de base 64k sur ARM.

• Autres mises à jour de plate-forme

  Plusieurs mises à jour de plate-forme génériques sont incluses. Voir Mises à jour de plate-forme générique. D'autres mises à jour de plate-forme spécifiques à Intel sont disponibles, notamment des fonctions de sécurité telles que les extensions Intel Software Guard et la nouvelle prise en charge matérielle de la technologie Intel Quick Assist (QAT). Voir Mises à jour de plate-forme Intel.

• Programmateur entièrement équitable (CFS) remplacé par la première date limite virtuelle admissible (EEVDF)

  CFS est remplacé par le planificateur EEVDF pour améliorer le comportement de planification et réduire la complexité de la configuration. Voir Le programmateur EEVDF remplace CFS.

• Gestion améliorée de la mémoire

  De nombreuses améliorations de la gestion de la mémoire apparaissent dans UEK 8, y compris plusieurs optimisations de mappage de la mémoire, des améliorations des performances grâce à l'introduction de structures folio et certaines améliorations de la gestion des larges pages. Voir Gestion de la mémoire.

• Mises à jour des systèmes de fichiers

  La prise en charge des systèmes de fichiers Btrfs et OCFS2 est activée dans UEK 8. Des améliorations importantes sont disponibles pour les systèmes de fichiers Btrfs, XFS et NFS dans cette version. Pour plus d'informations sur les nouvelles fonctions de systèmes de fichiers introduites dans UEK 8, voir Systèmes de fichiers

• ASMLib v3 et io_uring

  Plusieurs améliorations de io_uring sont incluses dans cette version d'UEK, qui prend également en charge ASMLib v3. ASMLib v3 utilise io_uring pour la fonction Automatic Storage Management d'Oracle Database. Voir Améliorations d'io_uring et ASMLib v3.

• Mises à jour de réseau

  Plusieurs améliorations générales de la mise en réseau sont incluses dans UEK 8. Voir Améliorations générales apportées au réseau.

• Mises à jour liées à la sécurité

  D'autres mises à jour liées à la sécurité sont incluses dans cette version d'UEK, y compris certaines mises à jour du générateur de nombres aléatoires qui aident à améliorer les performances et la sécurité. Voir Améliorations apportées au générateur de nombres aléatoires. L'installation de déchargement TLS du noyau est activée dans UEK 8. Voir KTLS.

• Filtre de paquets Berkeley

  Plusieurs améliorations sont disponibles dans le Berkeley Packet Filter (BPF) utilisé pour le traçage, y compris un alloueur de mémoire dédié, un nouveau tampon anneau utilisateur et l'utilisation de modules de format de type BPF résilients (BTF) pour utiliser BTF pour les modules hors arbre. Voir Améliorations apportées au filtre de paquets Berkeley (BPF).

• DTrace v2.0

  Dtrace v2.0 continue d'être disponible dans UEK 8 et tire parti des installations de traçage du noyau telles que eBPF. Des informations détaillées sur les versions de DTrace et d'autres changements notables sont disponibles sur Oracle Linux : Notes de version de DTrace.

  .

Le tableau suivant fournit des détails sur la façon dont le contenu UEK 8 est distribué et emballé et comprend des informations sur les dépendances de package, ainsi que toute autre exigence notable.

rpm -q -l kernel-uek-modules-<ext>

rpm -q -f /lib/modules/$(uname -r)/<path to module>

sudo modprobe wl1251_sdio

modprobe: FATAL: Module wl1251_sdio not found in directory /lib/modules/6.12.0-0.20.20.el9uek.x86_64, 
ensure the following package is installed: kernel-uek-modules-wireless-6.12.0-0.20.20.el9uek.x86_64
      

Pour renforcer la sécurité, nous vous recommandons de supprimer les ensembles kernel-uek-modules-* qui ne sont pas requis par le système. Pour supprimer des ensembles :

1. Marquez les ensembles de modules de base dont vous avez besoin sur le système pour empêcher leur suppression. Par exemple :

   sudo dnf mark install kernel-uek-core kernel-uek-modules

2. Supprimez du système les ensembles de modules non utilisés et le méta-ensemble kernel-uek :

   sudo dnf erase kernel-uek-modules-desktop kernel-uek

Outre la version standard d'UEK pour ARM (aarch64), qui définit une taille de page de base de 4 Ko, un ensemble kernel-uek64k qui définit une taille de page de base de 64 Ko est disponible uniquement pour les formes de calcul basées sur ARM Ampere dans Oracle Cloud Infrastructure. Pour les cas d'utilisation autres qu'OCI, l'ensemble kernel-uek64 est disponible uniquement en tant que prévisualisation technique. L'ensemble kernel-uek64k est disponible pour Oracle Linux 9 et versions ultérieures.

Le noyau de taille de page 64k est une option utile pour les plates-formes Ampere (basées sur ARM) qui traitent des charges de travail avec des jeux de données de mémoire contigus volumineux et peuvent obtenir de meilleures performances pour certains types d'opérations de mémoire et de CPU intensives.

Le noyau de taille de page 4K est utile pour les environnements plus petits, où la réduction de l'utilisation de la mémoire physique du système est une priorité.

Notez que le noyau de taille de page 4K et le noyau de taille de page 64K ne diffèrent pas dans l'expérience utilisateur car l'espace utilisateur est le même.

Une fois qu'un système est installé avec kernel-uek64k, le passage à une taille de page de noyau 4k n'est pas pris en charge.

Certaines mises à jour génériques de plate-forme sont disponibles dans UEK 8. Mises à jour :

• Détection de verrouillage partagé pour les opérations sur la mémoire qui couvre deux lignes de mémoire cache, telles que l'accès à la mémoire mal aligné. Voir aussi https://docs.kernel.org/arch/x86/buslock.html

• Shadow Stacks pour l'espace utilisateur, en utilisant la technologie d'application de flux de contrôle (CET) de x86 pour fournir une protection contre les attaques de programmation orientées retour. Cette implémentation fonctionne en maintenant une pile secondaire à l'aide d'un type de mémoire spécial qui dispose de protections contre les modifications. Voir aussi https://docs.kernel.org/arch/x86/shstk.html.

• Le suivi de la profondeur des appels est mis en oeuvre pour améliorer les performances du code d'atténuation des vulnérabilités de sécurité Retbleed.

• La mise à jour de la CPU x86 est mise à jour afin que les coeurs d'UC secondaires soient démarrés en parallèle afin d'améliorer les temps de démarrage du noyau sur les systèmes à nombre de coeurs élevé.

• Émulation 32 bits sur les noyaux x86_64 avec le paramètre de ligne de commande ia32_emulation. Lorsque cette option est réglée à Vrai, vous pouvez charger des programmes 32 bits et exécuter des appels système 32 bits.

Certaines mises à jour de plate-forme Intel en amont sont incluses dans UEK 8. Les éléments notables sont les suivants :

• Intel Software Guard Extensions (SGX2), une implémentation matérielle d'EDMM (Enclave Dynamic Memory Management), est une version améliorée d'une technologie de sécurité qui peut protéger les données sensibles et le code en les isolant dans des zones de mémoire privées appelées enclaves. SGX2 introduit de nouvelles fonctionnalités telles que la gestion dynamique de la mémoire, afin que les enclaves puissent redimensionner et gérer leur mémoire lors de l'exécution. Cette mise à jour est importante pour les applications nécessitant des charges de travail dynamiques ou une mémoire plus importante, qui nécessitent une architecture plus évolutive. SGX2 assure une confidentialité et une intégrité robustes pour les charges de travail sensibles dans les environnements sur place et en nuage. Consultez la page https://www.intel.com/content/www/us/en/support/articles/000058764/software/intel-security-products.html.

• Interruptions de l'espace utilisateur FRED (Flexible Return and Event Delivery). Voir aussi https://docs.kernel.org/arch/x86/x86_64/fred.html.

• Balayage sur place pour aider à tester l'état de l'UC en détectant les problèmes qui ne sont pas détectés par les vérifications de parité ou du Centre de contrôle. Voir aussi https://docs.kernel.org/arch/x86/ifs.html.

• La fonctionnalité Quick Assist Technology (QAT) est mise à jour pour prendre en charge les processeurs Intel Xeon de 4e génération.

• Masquage d'adresse linéaire (mode LAM_U57) pour modifier la vérification appliquée aux adresses linéaires 64 bits, de sorte que le logiciel puisse utiliser des bits d'adresse non traduits pour stocker les métadonnées. LAM_U57 peut utiliser 6 bits de métadonnées en bits 62 à 57.

La première échéance virtuelle admissible (EEVDF) est un nouveau programmateur de noyau qui remplace le programmateur entièrement équitable (CFS). EEVDF fournit une meilleure politique de planification pour le noyau et réduit la complexité de la configuration et améliore le comportement de planification.

Plusieurs mises à jour importantes de la gestion de la mémoire sont disponibles dans UEK 8 avec des modifications en amont qui sont incluses de v5.15 à v6.12.

• La structure de données folios remplace la page struct pour fournir une meilleure abstraction pour la gestion des pages. Folios est une nouvelle structure de données qui représente une ou plusieurs pages de mémoire. La nouvelle structure réduit la confusion de type et la surcharge de mémoire.
• Les larges pages sont améliorées avec plusieurs mises à jour utiles, notamment :
  • Mise à jour pour gérer les erreurs énormesTLB lors de l'utilisation du verrouillage par VMA. Les opérations de gestion de la mémoire telles que les pannes de page et le mapping de la mémoire peuvent être gérées de manière plus précise et plus efficace, ce qui réduit les conflits et améliore les accès simultanés.
  • Multi-taille THP pour la mémoire anonyme, qui permet l'allocation de folios plus grand que la taille de la page de base mais plus petit que la taille PMD.
  • Fractionner les THP sous-utilisés et améliorer la politique THP=toujours. Ces changements améliorent le surprovisionnement des THP dans les zones de mémoire peu accessibles.
  • L'indicateur MADV_DONTNEED madvise() fonctionne sur les pages hugetlb et peut être utile pour le démappage et la libération des pages hugetlb mappées privées.
  • L'indicateur MADV_COLLAPSE madvise() réduit les pages en une énorme page transparente.
• Améliorations continues au code des groupes de contrôle de mémoire, memcg, pour découpler les champs v1 du code de la base de code v2.
• Une nouvelle interface sysfs, /proc/sys/vm/enable_soft_offline, est disponible afin que vous puissiez désactiver la suppression automatique des pages. Cette fonctionnalité peut être utile pour gérer la mise hors ligne des pages à partir de l'espace utilisateur.

• Optimisations de mappage de mémoire :

  • Maple Tree a remplacé Red-Black Trees (RB Trees) pour la gestion des zones de mémoire virtuelle (VMA) afin d'améliorer les performances avec des recherches, des insertions et des suppressions plus rapides.
  • Introduit un mécanisme pour nommer les VMAs anonymes afin d'améliorer le débogage et le profilage.
  • Verrouillage mmap par VMA pour améliorer la concurrence et réduire les conflits dans les applications multithread avec de nombreuses VMAs.
  • Introduction de la structure de données ptdesc pour optimiser la gestion des tables de page en découplant les métadonnées de page de la structure de données page.

Les caractéristiques et améliorations suivantes des systèmes de fichiers sont introduites dans UEK 8 :

Plusieurs mises à jour importantes sont disponibles dans UEK 8 pour le Berkeley Packet Filter (BPF), notamment :

• L'introduction d'un répartiteur de mémoire BPF dédié est ajoutée pour améliorer la fiabilité des répartitions effectuées dans les programmes BPF, qui peuvent fonctionner dans une grande variété de contextes.

• Ajout d'un nouveau type de carte BPF tampon de sonnerie utilisateur pour la transmission de messages asynchrones et un transfert de données plus rapide entre un programme BPF et l'espace utilisateur.

• Les programmes BPF peuvent désormais appeler les fonctions du noyau à partir d'un module chargeable, accéder aux objets task_struct et les stocker, et utiliser des valeurs de temps absolues.

• Des fonctions d'aide plus conviviales, telles que bpf_trace_vprintk, ainsi que des fonctions d'aide destructrices telles que crash_kexec, sont incluses.

• Les programmes BPF peuvent attacher des fonctions de filtre à kfuncs. Le filtre peut limiter les contextes à partir desquels le kfunc peut être appelé.

• Des informations BTF (Resilient BPF Type Format) pour les modules sont incluses afin que les modules hors arbre puissent définir BTF qui fonctionne pendant la durée de vie d'une version UEK.

• Le trampoline BPF est maintenant disponible pour les plates-formes aarch64 afin de fournir une exécution plus rapide du programme de traçage BPF à l'aide des programmes Fentry et Fexit.

• Crochets BPF :

  • Pour voir et filtrer les paquets complets.

  • Pour modifier le protocole demandé pour un nouveau socket, principalement pour faire en sorte que les programmes demandant des connexions TCP utilisent plutôt TCP multichemin.

io_uring est une interface d'appel système permettant de gérer les opérations d'E/S asynchrones d'un périphérique de stockage. Plusieurs fonctionnalités et améliorations sont fournies dans l'implémentation disponible dans UEK 8 et certaines d'entre elles pourraient avoir été rétroportées aux versions précédentes d'UEK. Les mises à jour comprennent de nombreuses optimisations pour la sécurité et les performances. Les nouvelles fonctionnalités et les modifications importantes incluent :

• io_uring prend désormais en charge l'envoi et la réception des informations de protection T10 ainsi que la mémoire tampon de données.

• Opérations pour getsockopt(), setsockopt(), bind(), listen() et waitid().

• Mécanisme permettant d'omettre les appels système avec IORING_SETUP_SQPOLL au moment de la configuration. Un appel à io_uring_enter() démarre une unité d'exécution de noyau qui interroge occasionnellement la file d'attente de soumission et soumet automatiquement toutes les demandes qui y sont trouvées.

• Demande par lots pour les appels recv() et pour reads().

• IORING_OP_SENDZC pour effectuer des écritures sans copie.

• Plusieurs optimisations de code Ring :

  • Les anneaux et la file d'attente de soumission peuvent être dans la mémoire de l'espace utilisateur, comme les pages volumineuses.

  • Un anneau est maintenant capable de signaler un autre pour accélérer les demandes de messages.

  • Les travaux liés aux anneaux peuvent être différés jusqu'à ce qu'une application le demande.

• Améliorations apportées à io_uring dans les écritures en mémoire tampon, dans XFS.

• L'optimisation io_uring dans XFS et Ext4 peut gérer plusieurs écritures d'E/S directes dans un fichier en parallèle.

• Les temporisations absolues, ainsi que les temporisations relatives qui étaient déjà disponibles, sont désormais possibles.

ASMLib est une bibliothèque pour la fonction Automatic Storage Management d'Oracle Database. ASMLib v3 tire parti des fonctions io_uring incluses dans le noyau pour offrir des performances élevées. UEK 8 est testé et entièrement pris en charge avec Oracle ASMLib v3.

Notez qu'avec cette mise à jour, le module de noyau oracleasm n'est plus inclus, car Oracle ASMLib v3 ne nécessite plus ce module pour fonctionner.

ASMLIB version 3.1 tire parti des améliorations apportées aux informations de protection au passage à io_uring dans UEK 8. Grâce à cette interface, des sommes de contrôle CRC peuvent être attachées à chaque E/S, fournissant une couche supplémentaire de protection contre la corruption des données.

Pour utiliser cette fonction, les disques ASM doivent être provisionnés sur du matériel de stockage qui met en oeuvre les informations de protection T10 (contrôleur SCSI avec prise en charge DIX ou NVMe).

Voir Oracle Linux : Installation et configuration d'Oracle ASMLIB v3.

UEK 8 comprend des fonctionnalités d'accès direct à la mémoire distant (RDMA) fournies dans le noyau amont, avec l'ajout des fonctionnalités Ksplice et DTrace. RDMA permet un accès direct à la mémoire entre deux systèmes connectés par un réseau InfiniBand ou RoCE. RDMA facilite la mise en réseau à haut débit et à faible latence dans les grappes.

Les ensembles Oracle RDMA sont disponibles dans les canaux ULN et les référentiels yum suivants :

• Oracle Linux 10

  • Canal ULN : ol10_x86_64_RDMA

  • Référentiel de serveur yum Oracle Linux : ol10_RDMA

• Oracle Linux 9

  • Canal ULN : ol9_x86_64_RDMA

  • Référentiel de serveur yum Oracle Linux : ol9_RDMA

Voir Mise à niveau des ensembles Oracle RDMA sur Oracle Linux si vous mettez à niveau un système sur lequel l'ensemble oracle-rdma-release ou oracle-rdma-release-guest est installé.

Certaines améliorations générales de la mise en réseau sont disponibles dans UEK 8 avec des modifications en amont qui sont incluses de v5.15 à v6.12.

• BIG TCP, qui utilise des tailles de paquets TSO/GRO plus importantes pour le trafic IPv6, est inclus pour améliorer les performances lors de l'envoi de paquets TCP IPv6 volumineux sur des réseaux de centres de données. Notez que cette fonction n'est pas activée par défaut car elle peut affecter les programmes eBPF qui peuvent supposer que l'en-tête TCP suit immédiatement l'en-tête IPv6. BIG TCP est activé en définissant les paramètres gro_ipv6_max_size et gso_ipv6_max_size sur un périphérique de liaison.

• Une nouvelle option de socket SO_RESERVE_MEM est disponible pour fournir un mécanisme permettant aux utilisateurs de réserver une certaine quantité de mémoire pour le socket. Avec cette option de socket définie, la pile réseau passe moins de cycles à allouer et récupérer, ce qui peut conduire à de meilleures performances du système, avec le coût d'une quantité de mémoire préallouée et irréprochable, même sous pression de mémoire.

• Le planificateur de paquets de mise en file d'attente équitable a obtenu plusieurs améliorations de performance, notamment une augmentation de 5 % du débit de la charge de travail intensive TCP Request/Response (TCP_RR) et une augmentation de 13 % pour les paquets UDP sans qu'un taux de stimulation soit défini sur le socket.

• Plusieurs structures de données de réseau de base sont réorganisées pour une meilleure efficacité du cache, ce qui peut entraîner une amélioration des performances TCP dans les cas où il existe de nombreuses connexions simultanées.

KTLS gère les enregistrements TLS à l'aide des algorithmes de chiffrement symétrique ou de déchiffrement du noyau pour le chiffrement AES-GCM. KTLS a été activé dans UEK R7U3 pour les connexions chiffrées TLS pour NFS. KTLS continue d'être disponible dans UEK 8.

RPC-With-TLS est activé sur le serveur et le client NFS Linux. Cette mise à jour fournit un mécanisme d'authentification par pair basé sur des normes sur une connexion chiffrée à l'aide de TLS. Le protocole TLS Record est entièrement géré par kTLS.

Notez que le serveur et les systèmes clients doivent exécuter UEK R7U3 ou une version ultérieure, ou doivent exécuter un noyau et un client d'espace utilisateur prenant en charge la RFC 9289, pour utiliser cette fonctionnalité. L'ensemble d'espace utilisateur, ktls-utils, est également requis et doit être installé sur les systèmes client et serveur. Assurez-vous également d'avoir installé la version la plus récente de l'ensemble nfs-utils ou d'avoir effectué une mise à jour complète du système.

La connexion d'appairage distant avec TLS est fournie en amont par Oracle et est décrite dans le document RFC 9289.

Certaines améliorations du générateur de nombres aléatoires (RNG) sont disponibles dans UEK 8 avec des modifications en amont qui sont incluses de v5.15 à v6.12. Plus particulièrement, RNG est passé de l'algorithme de hachage SHA1 à l'algorithme BLAKE2s plus rapide et plus sécurisé.

En outre, l'appel système getrandom() est maintenant mis en oeuvre dans la zone vDSO (Virtual Dynamic Shared Object) du noyau. Cette implémentation améliore les performances lors de l'obtention de données numériques aléatoires en supprimant la nécessité de passer d'un contexte d'espace utilisateur au contexte du noyau.

Les modifications KVM et de virtualisation suivantes sont incluses dans cette version d'UEK 8 :

• La prise en charge de MMU de pagination bidimensionnelle (TDP) est ajoutée pour améliorer considérablement les performances des pannes de page sur les machines virtuelles à plusieurs unités centrales virtuelles. Cette fonctionnalité est activée par défaut.

• La configuration du noyau UEK 8 pour les VCPU est augmentée jusqu'à une limite théorique de 4096. Notez que la limite réelle des unités centrales virtuelles est propre au cas d'utilisation et dépend de nombreux facteurs, notamment la configuration système et QEMU.

Les pilotes de périphériques inclus dans UEK 8 sont alignés avec les pilotes du noyau Linux 6.12 en amont de la ligne principale. Quelques mises à jour notables sont incluses dans lesquelles les pilotes incluent des fonctionnalités ou des correctifs disponibles dans des versions ultérieures du noyau en amont.

De nombreux modules de pilote ne suivent plus les informations de version. Oracle travaille avec les fournisseurs pour aligner les pilotes de périphérique inclus dans UEK 8 avec le code disponible dans les versions de noyau en amont.

Les mises à jour notables des pilotes sont présentées dans le tableau suivant :

Les fonctionnalités suivantes sont obsolètes, supprimées ou ne sont plus prises en charge dans UEK 8 :