Nouvelles fonctionnalités et modifications UEK 8

Voici un résumé des caractéristiques, modifications et améliorations introduites dans UEK 8, par rapport à UEK R7 :

• Base de noyau stable Linux 6.12

  La version 6.12 du noyau de la ligne principale qui est utilisée comme noyau de base pour UEK 8 inclut de nombreuses fonctionnalités et améliorations du noyau en amont par rapport aux versions précédentes d'UEK et par rapport à RHCK sur Oracle Linux 9.

• L'emballage du module de noyau est mis à jour

  Les modules de noyau sont distribués dans des packages plus atomiques pour réduire la surface d'attaque sur le noyau, pour améliorer la maintenance des modules de noyau et également pour améliorer la visibilité de l'abandon des modules. Reportez-vous à la section Changes to UEK Content Distribution and Packaging pour obtenir une vue complète des packages de noyau dans UEK 8.

• Taille de la page de base 64k sur le bras

  Dans cette version, une version du noyau avec une taille de page de base de 64 Ko est disponible pour les formes de calcul Ampere Arm dans Oracle Cloud Infrastructure uniquement. La taille de page de base 64k améliore la façon dont les plates-formes Arm traitent les charges de travail avec des ensembles de données de mémoire contigus volumineux. Pour plus d'informations, reportez-vous à (aarch64) 64k Base Page Size on Arm.

• Autres mises à jour de plate-forme

  Plusieurs mises à jour de plate-forme génériques sont incluses. Reportez-vous à Mises à jour génériques de plate-forme. D'autres mises à jour de plate-forme spécifiques à Intel sont disponibles, notamment des fonctions de sécurité telles que les extensions Intel Software Guard et la prise en charge matérielle de la technologie d'assistance rapide (QAT) Intel. Voir la section Intel Platform Updates.

• Entièrement juste planificateur (CFS) remplacé par la première date limite virtuelle admissible en premier (EEVDF)

  CFS est remplacé par le planificateur EEVDF pour améliorer le comportement de planification et réduire la complexité de la configuration. Reportez-vous à EEVDF Scheduler Replaces CFS.

• Gestion améliorée de la mémoire

  De nombreuses améliorations de gestion de la mémoire apparaissent dans UEK 8, notamment plusieurs optimisations de mappage de la mémoire, des améliorations des performances grâce à l'introduction de structures folio et certaines améliorations de la gestion des pages de grande taille. Reportez-vous à Gestion de la mémoire.

• Mises à jour des systèmes de fichiers

  La prise en charge des systèmes de fichiers Btrfs et OCFS2 est activée dans UEK 8. Des améliorations importantes sont disponibles pour les systèmes de fichiers Btrfs, XFS et NFS dans cette version. Pour plus d'informations sur les nouvelles fonctionnalités des systèmes de fichiers introduites dans UEK 8, reportez-vous à Systèmes de fichiers.

• ASMLib v3 et io_uring

  Plusieurs améliorations io_uring sont incluses dans cette version de UEK, qui prend également en charge ASMLib v3. ASMLib v3 utilise io_uring pour la fonctionnalité Automatic Storage Management d'Oracle Database. Reportez-vous à io_uring Enhancements et à ASMLib v3.

• Mises à jour réseau

  Plusieurs améliorations générales de mise en réseau sont incluses dans UEK 8. Reportez-vous à General Networking Enhancements.

• Mises à jour liées à la sécurité

  D'autres mises à jour liées à la sécurité sont incluses dans cette version de UEK, y compris certaines mises à jour du générateur de nombres aléatoires pour améliorer les performances et la sécurité. Voir Améliorations apportées au générateur de nombres aléatoires. La fonction de déchargement TLS du noyau est activée dans UEK 8. Reportez-vous à KTLS.

• Filtre de paquets Berkeley

  Plusieurs améliorations sont disponibles dans le Berkeley Packet Filter (BPF) utilisé pour le traçage, notamment un programme d'allocation de mémoire dédié, un nouveau tampon d'anneau utilisateur et l'utilisation de modules de format de type BPF résilients (BTF) pour utiliser BTF pour les modules hors arbre. Voir la section Berkeley Packet Filter (BPF) Enhancements.

• DTrace v2.0

  Dtrace v2.0 continue d'être disponible dans UEK 8 et tire parti des fonctions de traçage du noyau telles que eBPF. Des informations détaillées sur les versions de DTrace et d'autres modifications importantes sont disponibles dans Oracle Linux : Notes sur la version de DTrace.

  .

Le tableau suivant fournit des détails sur la façon dont le contenu UEK 8 est distribué et packagé, ainsi que des informations sur les dépendances de packages et toute autre exigence notable.

rpm -q -l kernel-uek-modules-<ext>

rpm -q -f /lib/modules/$(uname -r)/<path to module>

sudo modprobe wl1251_sdio

modprobe: FATAL: Module wl1251_sdio not found in directory /lib/modules/6.12.0-0.20.20.el9uek.x86_64, 
ensure the following package is installed: kernel-uek-modules-wireless-6.12.0-0.20.20.el9uek.x86_64
      

Pour renforcer la sécurité, nous vous recommandons de supprimer tous les packages kernel-uek-modules-* qui ne sont pas requis par le système. Pour supprimer des packages :

1. Marquez les packages de modules de base dont vous avez besoin sur le système pour les empêcher de les supprimer. Par exemple :

   sudo dnf mark install kernel-uek-core kernel-uek-modules

2. Supprimez les packages de modules inutilisés et la métapackage kernel-uek du système :

   sudo dnf erase kernel-uek-modules-desktop kernel-uek

Outre la version standard de UEK for Arm (aarch64), qui définit une taille de page de base de 4 Ko, un package kernel-uek64k qui définit une taille de page de base de 64 Ko est disponible pour les formes de calcul Ampere Arm dans Oracle Cloud Infrastructure uniquement. Pour les cas d'utilisation autres qu'OCI, le package kernel-uek64 n'est disponible qu'en tant qu'aperçu technique. Le package kernel-uek64k est disponible pour Oracle Linux 9 et versions ultérieures.

Le noyau de taille de page 64k est une option utile pour les plates-formes Ampere (Arm) qui traitent des charges de travail avec des ensembles de données de mémoire contigus volumineux et peuvent obtenir de meilleures performances pour certains types d'opérations de mémoire et de CPU.

Le noyau de taille de page 4k est utile pour les environnements plus petits, où la réduction de l'utilisation de la mémoire du système physique est une priorité.

Notez que le noyau de taille de page 4k et le noyau de taille de page 64k ne diffèrent pas en termes d'expérience utilisateur car l'espace utilisateur est le même.

Une fois qu'un système est installé avec kernel-uek64k, le basculement vers une taille de page de noyau 4 Ko n'est pas pris en charge.

Certaines mises à jour de plate-forme génériques sont disponibles dans UEK 8. Les mises à jour incluent :

• Détection de verrouillage fractionné pour les opérations sur la mémoire qui s'étendent sur deux lignes de cache, telles que l'accès à la mémoire mal alignée. Voir aussi https://docs.kernel.org/arch/x86/buslock.html

• Shadow Stacks pour l'espace utilisateur, en utilisant la technologie CET (Control-flow Enforcement Technology) de x86 pour fournir une protection contre les attaques de programmation orientées retour. Cette implémentation fonctionne en maintenant une pile secondaire à l'aide d'un type de mémoire spécial qui dispose de protections contre la modification. Reportez-vous également à https://docs.kernel.org/arch/x86/shstk.html.

• Le suivi de la profondeur des appels est implémenté pour améliorer les performances dans le code d'atténuation des vulnérabilités de sécurité Retbleed.

• L'activation de la CPU x86 est mise à jour afin que les coeurs de CPU secondaires soient initialisés en parallèle pour améliorer les temps d'initialisation du noyau sur les systèmes à nombre élevé de coeurs.

• Emulation 32 bits sur les noyaux x86_64 avec le paramètre de ligne de commande ia32_emulation. Lorsque la valeur est définie sur True, vous pouvez charger des programmes 32 bits et exécuter des appels système 32 bits.

Certaines mises à jour de plate-forme Intel en amont sont incluses dans UEK 8. Les éléments notables sont les suivants :

• Intel Software Guard Extensions (SGX2), une implémentation matérielle d'Enclave Dynamic Memory Management (EDMM), est une version améliorée d'une technologie de sécurité qui peut protéger les données sensibles et le code en les isolant dans des régions de mémoire privées appelées enclaves. SGX2 introduit de nouvelles fonctionnalités telles que la gestion dynamique de la mémoire, afin que les enclaves puissent redimensionner et gérer leur mémoire lors de l'exécution. Cette mise à jour est importante pour les applications avec des charges de travail dynamiques ou des besoins en mémoire plus importants, qui nécessitent une architecture plus évolutive. SGX2 assure une confidentialité et une intégrité robustes pour les charges de travail sensibles dans les environnements on-premise et cloud. Reportez-vous à https://www.intel.com/content/www/us/en/support/articles/000058764/software/intel-security-products.html.

• L'espace utilisateur FRED (Flexible Return and Event Delivery) s'interrompt. Reportez-vous également à https://docs.kernel.org/arch/x86/x86_64/fred.html.

• Balayage sur site pour aider à tester l'état de la CPU en détectant les problèmes qui ne sont pas détectés par les vérifications de parité ou ECC. Reportez-vous également à https://docs.kernel.org/arch/x86/ifs.html.

• La fonctionnalité Quick Assist Technology (QAT) est mise à jour pour prendre en charge les processeurs Intel Xeon de 4e génération.

• Masquage d'adresse linéaire (mode LAM_U57) pour modifier la vérification appliquée aux adresses linéaires 64 bits, afin que le logiciel puisse utiliser des bits d'adresse non traduits pour stocker les métadonnées. LAM_U57 peut utiliser 6 bits de métadonnées en bits 62 à 57.

EEVDF (First Eligible Virtual Deadline First) est un nouveau planificateur de noyau qui remplace le CFS (Completely Fair Scheduler). EEVDF fournit une meilleure stratégie de planification pour le noyau, réduit la complexité de la configuration et améliore le comportement de planification.

Plusieurs mises à jour importantes de gestion de la mémoire sont disponibles dans UEK 8 avec des modifications en amont qui sont incluses de v5.15 à v6.12.

• La structure de données des folios remplace la page struct pour fournir une meilleure abstraction pour la gestion des pages. Folios est une nouvelle structure de données qui représente une ou plusieurs pages de mémoire. La nouvelle structure réduit la confusion de type et la surcharge de mémoire.
• Les pages de grande taille sont améliorées avec plusieurs mises à jour utiles, notamment :
  • Mettez à jour pour gérer les pannes TLB énormes lors de l'utilisation du verrouillage par VMA. Les opérations de gestion de la mémoire, telles que les erreurs de page et le mappage de la mémoire, peuvent être gérées de manière plus précise et plus efficace, ce qui réduit les conflits et améliore la simultanéité d'accès aux données.
  • Multi-size THP pour la mémoire anonyme, ce qui permet d'allouer des folios plus grands que la taille de page de base mais plus petits que la taille PMD.
  • Diviser les THP sous-utilisés et améliorer la stratégie THP=always. Ces modifications améliorent le surprovisionnement des THP dans les zones de mémoire peu accessibles.
  • L'indicateur madvise() de MADV_DONTNEED fonctionne sur les pages hugetlb et peut être utile pour le démappage et la libération des pages hugetlb mappées privées.
  • L'indicateur madvise() de MADV_COLLAPSE réduit les pages en une énorme page transparente.
• Améliorations continues du code des groupes de contrôle de mémoire, memcg, pour découpler les champs v1 dans le code de la base de code v2.
• Une nouvelle interface sysfs, /proc/sys/vm/enable_soft_offline, est disponible afin que vous puissiez désactiver la mise hors ligne automatique des pages. Cette fonctionnalité peut être utile pour gérer le décalage de page à partir de l'espace utilisateur.

• Optimisations du mapping de mémoire :

  • Maple Tree a remplacé les arbres rouges-noirs (arbres RB) pour la gestion des zones de mémoire virtuelle (VMA) afin d'améliorer les performances grâce à des recherches, des insertions et des suppressions plus rapides.
  • Introduction d'un mécanisme pour nommer les VMAs anonymes afin d'améliorer le débogage et le profilage.
  • Verrouillage mmap par VMA pour améliorer la simultanéité et réduire les conflits dans les applications multithread avec de nombreux VMA.
  • Introduction de la structure de données ptdesc pour optimiser la gestion des tables de pages en dissociant les métadonnées de page de la structure de données page.

Les fonctions et améliorations suivantes des systèmes de fichiers sont introduites dans UEK 8 :

Plusieurs mises à jour importantes sont disponibles dans UEK 8 pour le filtre de paquets Berkeley (BPF), notamment :

• L'introduction d'un répartiteur de mémoire BPF dédié est ajoutée pour améliorer la fiabilité des allocations effectuées dans les programmes BPF, qui peuvent s'exécuter dans une grande variété de contextes.

• Ajout d'un nouveau type de mappe BPF de tampon d'anneau utilisateur pour la transmission de messages asynchrones et un transfert de données plus rapide entre un programme BPF et l'espace utilisateur.

• Les programmes BPF peuvent désormais appeler des fonctions de noyau à partir d'un module chargeable, accéder à des objets task_struct et les stocker et utiliser des valeurs temporelles absolues.

• Des fonctions d'aide conviviales, telles que bpf_trace_vprintk, ainsi que des aides destructrices telles que crash_kexec, sont incluses.

• Les programmes BPF peuvent associer des fonctions de filtre à des kfuncs. Le filtre peut limiter les contextes à partir desquels le kfunc peut être appelé.

• Des informations de format de type BPF (BTF) résilientes pour les modules sont incluses afin que les modules hors arbre puissent définir des BTF qui fonctionnent pendant la durée de vie d'une version UEK.

• Le trampoline BPF est désormais disponible pour les plates-formes aarch64 afin d'accélérer l'exécution du programme de traçage BPF à l'aide des programmes Fentry et Fexit.

• Crochets BPF :

  • Pour afficher et filtrer les paquets complets.

  • Pour modifier le protocole demandé pour un nouveau socket, principalement pour faire en sorte que les programmes demandant des connexions TCP utilisent le protocole TCP à chemins d'accès multiples à la place.

io_uring est une interface d'appel système permettant de gérer les opérations d'E/S asynchrones de périphérique de stockage. Plusieurs fonctionnalités et améliorations sont fournies dans l'implémentation qui est disponible dans UEK 8 et certaines d'entre elles peuvent avoir été rétroportées vers des versions précédentes d'UEK. Les mises à jour incluent de nombreuses optimisations pour la sécurité et les performances. Les nouvelles fonctionnalités et modifications importantes sont les suivantes :

• io_uring prend désormais en charge l'envoi et la réception d'informations de protection T10 avec le tampon de données.

• Opérations pour getsockopt(), setsockopt(), bind(), listen() et waitid().

• Mécanisme permettant d'omettre les appels système avec IORING_SETUP_SQPOLL au moment de la configuration. Un appel à io_uring_enter() démarre un thread de noyau qui interroge occasionnellement la file d'attente de soumission et soumet automatiquement toutes les demandes qui y sont trouvées.

• Demande par lots pour les appels recv() et pour reads().

• IORING_OP_SENDZC pour effectuer des écritures à copie zéro.

• Plusieurs optimisations de code Ring :

  • Les anneaux et la file d'attente de soumission peuvent se trouver dans la mémoire de l'espace utilisateur, comme des pages volumineuses.

  • Un anneau peut maintenant en signaler un autre pour accélérer les demandes de message.

  • Le travail lié à l'anneau peut être différé jusqu'à ce qu'une application le demande.

• Améliorations io_uring des écritures mises en mémoire tampon, dans XFS.

• L'optimisation io_uring dans XFS et Ext4 peut gérer plusieurs écritures d'E/S directes dans un fichier en parallèle.

• Les délais d'attente absolus, ainsi que les délais d'attente relatifs qui étaient déjà disponibles, sont désormais possibles.

ASMLib est une bibliothèque pour la fonctionnalité Automatic Storage Management d'Oracle Database. ASMLib v3 tire parti des fonctionnalités io_uring incluses dans le noyau pour offrir des performances élevées. UEK 8 est testé et entièrement pris en charge avec Oracle ASMLib v3.

Notez qu'avec cette mise à jour, le module de noyau oracleasm n'est plus inclus, car Oracle ASMLib v3 ne nécessite plus ce module pour fonctionner.

ASMLIB version 3.1 tire parti des améliorations apportées aux informations de protection passthrough à io_uring dans UEK 8. Grâce à cette interface, les sommes de contrôle CRC peuvent être attachées à chaque E/S, ce qui fournit une couche supplémentaire de protection contre l'altération des données.

Pour utiliser cette fonctionnalité, les disques ASM doivent être provisionnés sur du matériel de stockage qui implémente les informations de protection T10 (contrôleur SCSI avec prise en charge DIX ou NVMe).

Reportez-vous à Oracle Linux : installation et configuration d'Oracle ASMLIB v3.

UEK 8 inclut des fonctions RDMA (Remote Direct Memory Access) qui sont fournies dans le noyau en amont, avec l'ajout de fonctionnalités Ksplice et DTrace. RDMA permet un accès direct à la mémoire entre deux systèmes connectés par un réseau InfiniBand ou RoCE. RDMA facilite la mise en réseau haut débit et à faible latence dans les clusters.

Les packages RDMA Oracle sont disponibles dans les canaux ULN et les référentiels yum suivants :

• Oracle Linux 10

  • Canal ULN : ol10_x86_64_RDMA

  • Référentiel de serveurs yum Oracle Linux : ol10_RDMA

• Oracle Linux 9

  • Canal ULN : ol9_x86_64_RDMA

  • Référentiel de serveurs yum Oracle Linux : ol9_RDMA

Reportez-vous à Mise à niveau de packages RDMA Oracle sur Oracle Linux si vous mettez à niveau un système sur lequel le package oracle-rdma-release ou oracle-rdma-release-guest est installé.

Certaines améliorations générales de mise en réseau sont disponibles dans UEK 8 avec des modifications en amont qui sont incluses de v5.15 à v6.12.

• BIG TCP, qui utilise de plus grandes tailles de paquets TSO/GRO pour le trafic IPv6, est inclus pour améliorer les performances lors de l'envoi de paquets TCP IPv6 volumineux sur des réseaux de centres de données. Notez que cette fonctionnalité n'est pas activée par défaut car elle peut affecter les programmes eBPF qui peuvent supposer que l'en-tête TCP suit immédiatement l'en-tête IPv6. Le protocole TCP BIG est activé en définissant gro_ipv6_max_size et gso_ipv6_max_size sur un périphérique de liaison.

• Une nouvelle option de socket SO_RESERVE_MEM permet aux utilisateurs de réserver une certaine quantité de mémoire pour le socket. Avec cette option de socket définie, la pile réseau passe moins de cycles à l'allocation et à la récupération en aval, ce qui peut améliorer les performances du système, avec le coût d'une quantité de mémoire préallouée et irrévocable, même sous la pression de la mémoire.

• Le planificateur de paquets de mise en file d'attente équitable a obtenu plusieurs améliorations de performances, notamment une augmentation du débit de 5 % de la charge globale de demande/réponse TCP intensive (TCP_RR) et une augmentation de 13 % pour les paquets UDP sans taux de stimulation défini sur le socket.

• Plusieurs structures de données réseau principales sont réorganisées pour améliorer l'efficacité du cache, ce qui peut améliorer les performances TCP lorsque les connexions simultanées sont nombreuses.

KTLS gère les enregistrements TLS à l'aide des algorithmes de chiffrement ou de déchiffrement symétriques du noyau pour le chiffrement AES-GCM. KTLS a été activé dans UEK R7U3 pour les connexions chiffrées TLS pour NFS. KTLS est toujours disponible dans UEK 8.

Le protocole RPC-With-TLS est activé dans le client et le serveur NFS Linux. Cette mise à jour fournit un mécanisme d'authentification homologue basé sur des normes via une connexion chiffrée à l'aide de TLS. Le protocole TLS Record est entièrement géré par kTLS.

Notez que le serveur et les systèmes client doivent exécuter UEK R7U3 ou une version ultérieure, ou doivent exécuter un client de noyau et d'espace utilisateur prenant en charge RFC 9289, pour utiliser cette fonctionnalité. Le package d'espace utilisateur, ktls-utils, est également requis et doit être installé sur les systèmes client et serveur. Vérifiez également que vous avez installé la version la plus récente du package nfs-utils ou que vous avez effectué une mise à jour complète du système.

RPC-With-TLS est fourni en amont par Oracle et est décrit dans le document RFC 9289.

Certaines améliorations apportées au générateur de nombres aléatoires (RNG) sont disponibles dans UEK 8 avec des modifications en amont qui sont incluses de v5.15 à v6.12. Plus particulièrement, RNG est passé de l'algorithme de hachage SHA1 à l'algorithme BLAKE2s plus rapide et plus sécurisé.

En outre, l'appel système getrandom() est désormais implémenté dans la zone d'objet partagé dynamique virtuel (vDSO) du noyau. Cette implémentation améliore les performances lors de l'obtention de données de nombres aléatoires en supprimant la nécessité de passer d'un contexte d'espace utilisateur au contexte de noyau.

Les modifications de KVM et de virtualisation suivantes sont incluses dans cette version de UEK 8 :

• La prise en charge de MMU de pagination bidimensionnelle (TDP) est ajoutée pour améliorer considérablement les performances des pannes de page sur les machines virtuelles à plusieurs UC virtuelles. Cette fonctionnalité est activée par défaut.

• La configuration du noyau UEK 8 pour les VCPU est augmentée à une limite théorique de 4096. Notez que la limite de VCPU réelle est propre au cas d'utilisation et dépend de nombreux facteurs, notamment la configuration du système et de la QEMU.

Les pilotes de périphériques inclus dans UEK 8 sont alignés avec les pilotes du noyau Linux 6.12 de la ligne principale en amont. Quelques mises à jour notables sont incluses où les pilotes incluent des fonctionnalités ou des correctifs disponibles dans les versions ultérieures du noyau en amont.

De nombreux modules de pilote ne suivent plus les informations de version. Oracle collabore avec les fournisseurs pour aligner les pilotes de périphérique inclus dans UEK 8 sur le code disponible dans les versions de noyau en amont.

Les mises à jour notables des pilotes sont présentées dans le tableau suivant :

Les fonctionnalités suivantes sont en phase d'abandon, supprimées ou ne sont plus prises en charge dans UEK 8 :