Nuove funzionalità e modifiche UEK 8

Di seguito è riportato un riepilogo delle caratteristiche, modifiche e miglioramenti introdotti in UEK 8, rispetto a UEK R7:

• Base kernel stabile Linux 6.12

  La release del kernel mainline 6.12 utilizzata come kernel di base per UEK 8 include molte funzionalità e miglioramenti del kernel upstream rispetto alle precedenti release UEK e su RHCK su Oracle Linux 9.

• Il packaging del modulo kernel è aggiornato

  I moduli kernel sono distribuiti in più pacchetti atomici per ridurre la superficie di attacco sul kernel, migliorare la manutenzione del modulo kernel e anche migliorare la visibilità della deprecazione del modulo. Per una visione completa del packaging del kernel in UEK 8, vedere Modifiche alla distribuzione e al packaging dei contenuti UEK.

• Dimensione pagina di base 64k sul braccio

  In questa release, una versione del kernel con una dimensione di pagina di base di 64 KB è disponibile solo per le forme di computazione basate su Ampere Arm in Oracle Cloud Infrastructure. La dimensione della pagina di base 64k migliora il modo in cui le piattaforme Arm elaborano i carichi di lavoro con set di dati di memoria di grandi dimensioni e contigui. Per ulteriori informazioni, vedere (aarch64) 64k Dimensione pagina di base su Arm.

• Altri aggiornamenti della piattaforma

  Sono inclusi diversi aggiornamenti generici della piattaforma. Vedere Generic Platform Updates. Sono disponibili altri aggiornamenti della piattaforma Intel specifici, tra cui funzioni di sicurezza come Intel Software Guard Extensions e nuovo supporto hardware per Intel Quick Assist Technology (QAT). Vedere Intel Platform Updates.

• Completamente Fair Scheduler (CFS) sostituito da Earliest Idoneble Virtual Deadline First (EEVDF)

  CFS viene sostituito dallo scheduler EEVDF per migliorare il comportamento di pianificazione e ridurre la complessità della configurazione. Vedere EEVDF Scheduler Replaces CFS.

• Gestione della memoria migliorata

  Molti miglioramenti alla gestione della memoria appaiono in UEK 8, tra cui diverse ottimizzazioni della mappatura della memoria, miglioramenti alle prestazioni attraverso l'introduzione di strutture folio e alcuni miglioramenti alla gestione di Huge Page. Vedere Gestione della memoria.

• Aggiornamenti dei file system

  Il supporto per i file system Btrfs e OCFS2 è abilitato in UEK 8. In questa release sono disponibili miglioramenti significativi per i file system Btrfs, XFS e NFS. Per ulteriori informazioni sulle nuove funzionalità dei file system introdotte in UEK 8, vedere File system

• ASMLib v3 e io_uring

  Diversi miglioramenti di io_uring sono inclusi in questa release di UEK, che supporta anche ASMLib v3. ASMLib v3 utilizza io_uring per la funzione Automatic Storage Management di Oracle Database. Vedere io_uring Enhancements e ASMLib v3.

• Aggiornamenti della rete

  Diversi miglioramenti generali di rete sono inclusi in UEK 8. Vedere Miglioramenti generali alla rete.

• Aggiornamenti relativi alla sicurezza

  Alcuni altri aggiornamenti relativi alla sicurezza sono inclusi in questa release di UEK, inclusi alcuni aggiornamenti al generatore di numeri casuali per migliorare le prestazioni e la sicurezza. Vedere Miglioramenti al generatore di numeri casuali. La funzionalità di offload TLS del kernel è abilitata in UEK 8. Vedere KTLS.

• Filtro pacchetti Berkeley

  Diversi miglioramenti sono disponibili nel Berkeley Packet Filter (BPF) utilizzato per il trace, tra cui un allocatore di memoria dedicato, un nuovo buffer user ring e l'uso di moduli resilienti BPF Type Format (BTF) per utilizzare BTF per i moduli out-of-tree. Vedere Miglioramenti a Berkeley Packet Filter (BPF).

• DTrace versione 2.0

  Dtrace v2.0 continua ad essere disponibile in UEK 8 e sfrutta le funzionalità di trace del kernel come eBPF. Informazioni dettagliate sulle release di DTrace e altre modifiche importanti sono disponibili nelle Note di rilascio di Oracle Linux: DTrace.

  .

La tabella seguente fornisce dettagli su come il contenuto UEK 8 viene distribuito e confezionato e include informazioni sulle dipendenze dei pacchetti e su qualsiasi altro requisito importante.

rpm -q -l kernel-uek-modules-<ext>

rpm -q -f /lib/modules/$(uname -r)/<path to module>

sudo modprobe wl1251_sdio

modprobe: FATAL: Module wl1251_sdio not found in directory /lib/modules/6.12.0-0.20.20.el9uek.x86_64, 
ensure the following package is installed: kernel-uek-modules-wireless-6.12.0-0.20.20.el9uek.x86_64
      

Per rafforzare la sicurezza, si consiglia di rimuovere tutti i pacchetti kernel-uek-modules-* non richiesti dal sistema. Per rimuovere i pacchetti:

1. Contrassegnare i pacchetti dei moduli principali richiesti sul sistema per impedire la loro rimozione. Ad esempio:

   sudo dnf mark install kernel-uek-core kernel-uek-modules

2. Rimuovere dal sistema i pacchetti dei moduli non utilizzati e il metapackage kernel-uek:

   sudo dnf erase kernel-uek-modules-desktop kernel-uek

Oltre alla build standard di UEK for Arm (aarch64), che imposta una dimensione di pagina di base 4k, un pacchetto kernel-uek64k che imposta una dimensione di pagina di base 64k è disponibile solo per le forme di computazione basate su Ampere Arm in Oracle Cloud Infrastructure. Per casi d'uso diversi da OCI, il package kernel-uek64 è disponibile solo come anteprima tecnica. Il pacchetto kernel-uek64k è disponibile per Oracle Linux 9 e versioni successive.

Il kernel di dimensioni di pagina 64k è un'opzione utile per le piattaforme Ampere (basate su Arm) che elaborano carichi di lavoro con set di dati di memoria grandi e contigui e possono ottenere prestazioni migliori per alcuni tipi di operazioni a uso intensivo di memoria e CPU.

Il kernel delle dimensioni delle pagine 4k è utile per ambienti più piccoli, dove ridurre al minimo l'uso della memoria del sistema fisico è una priorità.

Si noti che il kernel delle dimensioni di pagina 4k e il kernel delle dimensioni di pagina 64k non differiscono per l'esperienza utente in quanto lo spazio utente è lo stesso.

Dopo l'installazione di un sistema con kernel-uek64k, il passaggio a una dimensione della pagina del kernel 4k non è supportato.

Alcuni aggiornamenti generici della piattaforma sono disponibili in UEK 8. Gli aggiornamenti includono:

• Rilevamento split-lock per le operazioni sulla memoria che si estendono su due righe della cache, ad esempio l'accesso alla memoria non allineato. Vedere anche https://docs.kernel.org/arch/x86/buslock.html

• Shadow Stacks per lo spazio utente, utilizzando la tecnologia Control-flow Enforcement (CET) di x86 per fornire protezione dagli attacchi di programmazione orientati al ritorno. Questa implementazione funziona mantenendo uno stack secondario utilizzando un tipo di memoria speciale con protezioni contro le modifiche. Vedere anche https://docs.kernel.org/arch/x86/shstk.html.

• Il monitoraggio della profondità delle chiamate è implementato per migliorare le prestazioni nel codice di mitigazione delle vulnerabilità della sicurezza risolte.

• L'attivazione della CPU x86 viene aggiornata in modo che le memorie centrali CPU secondarie vengano avviate in parallelo per migliorare i tempi di avvio del kernel nei sistemi con conteggio delle memorie centrali elevato.

• Emulazione a 32 bit su kernel x86_64 con il parametro della riga di comando ia32_emulation. Se impostato su true, è possibile caricare programmi a 32 bit ed eseguire chiamate di sistema a 32 bit.

Alcuni aggiornamenti della piattaforma Intel a monte sono inclusi in UEK 8. Gli elementi degni di nota includono:

• Intel Software Guard Extensions (SGX2), un'implementazione basata su hardware di Enclave Dynamic Memory Management (EDMM), è una versione migliorata di una tecnologia di sicurezza in grado di proteggere dati e codice sensibili isolandoli in aree di memoria private chiamate enclave. SGX2 introduce nuove funzionalità come la gestione dinamica della memoria, in modo che le enclavi possano ridimensionare e gestire la propria memoria durante il runtime. Questo aggiornamento è importante per le applicazioni con carichi di lavoro dinamici o requisiti di memoria più grandi che richiedono un'architettura più scalabile. SGX2 offre una solida riservatezza e integrità per i carichi di lavoro sensibili sia in ambienti on-premise che cloud. Vedere https://www.intel.com/content/www/us/en/support/articles/000058764/software/intel-security-products.html.

• Interrupt dello spazio utente flessibile di restituzione ed consegna di eventi (FRED). Vedere anche https://docs.kernel.org/arch/x86/x86_64/fred.html.

• Scansione in-Field per aiutare a testare lo stato della CPU rilevando problemi che non vengono rilevati da controlli di parità o ECC. Vedere anche https://docs.kernel.org/arch/x86/ifs.html.

• La funzionalità Quick Assist Technology (QAT) viene aggiornata per supportare i processori Intel Xeon di 4a generazione.

• Mascheramento dell'indirizzo lineare (modalità LAM_U57) per modificare il controllo applicato agli indirizzi lineari a 64 bit, in modo che il software possa utilizzare bit di indirizzo non tradotti per memorizzare i metadati. LAM_U57 può utilizzare 6 bit di metadati in bit da 62 a 57.

Earliest Idoneble Virtual Deadline First (EEVDF) è un nuovo scheduler del kernel che sostituisce il CFS (Completely Fair Scheduler). EEVDF fornisce un criterio di pianificazione migliore per il kernel e riduce la complessità della configurazione e migliora il comportamento di pianificazione.

Diversi importanti aggiornamenti di gestione della memoria sono disponibili in UEK 8 con modifiche a monte che sono inclusi dalla v5.15 alla v6.12.

• La struttura dei conti sostituisce la pagina strutturata per fornire una migliore astrazione per la gestione delle pagine. I conti sono una nuova struttura di dati che rappresenta una o più pagine di memoria. La nuova struttura riduce la confusione di tipo e il sovraccarico di memoria.
• Le pagine enormi sono migliorate con diversi aggiornamenti utili, tra cui:
  • Aggiornamento per gestire errori enormiTLB quando si utilizza il blocco per VMA. Le operazioni di gestione della memoria come gli errori di pagina e la mappatura della memoria possono essere gestite in modo più dettagliato ed efficiente riducendo i conflitti e migliorando la concorrenza.
  • THP multidimensionale per la memoria anonima, che consente l'allocazione di conti più grandi della dimensione della pagina di base ma più piccoli della dimensione PMD.
  • Dividere i THP sottoutilizzati e migliorare i criteri THP=sempre. Queste modifiche migliorano il overprovisioning dei THP nelle aree di memoria scarsamente accessibili.
  • Il flag madvise() di MADV_DONTNEED funziona sulle pagine hugetlb e può essere utile per annullare il mapping e liberare le pagine hugetlb mappate private.
  • Il flag MADV_COLLAPSE madvise() comprime le pagine in una pagina enorme trasparente.
• Miglioramenti continui al codice dei gruppi di controllo della memoria, memcg, per scollegare i campi v1 nel codice dal codice base v2.
• È disponibile una nuova interfaccia sysfs, /proc/sys/vm/enable_soft_offline, che consente di disabilitare il soft-offlining automatico delle pagine. Questa funzione può essere utile per gestire l'offline delle pagine dallo spazio utente.

• Ottimizzazioni mapping di memoria:

  • Maple Tree ha sostituito Red-Black Trees (RB Trees) per la gestione delle aree di memoria virtuale (VMA) per prestazioni migliori con ricerche, inserimenti ed eliminazioni più veloci.
  • È stato introdotto un meccanismo per denominare VMA anonimi per migliorare il debug e la profilazione.
  • Blocco mmap per-VMA per migliorare la concorrenza e ridurre i conflitti nelle applicazioni multithread con molte VMA.
  • Introduzione della struttura dati ptdesc per ottimizzare la gestione delle tabelle di pagina disaccoppiando i metadati di pagina dalla struttura dati page.

In UEK 8 sono stati introdotti i seguenti miglioramenti e funzioni dei file system:

Diversi importanti aggiornamenti sono disponibili in UEK 8 per il Berkeley Packet Filter (BPF), tra cui:

• L'introduzione di un allocatore di memoria BPF dedicato viene aggiunta per migliorare l'affidabilità delle allocazioni effettuate all'interno dei programmi BPF, che possono essere eseguite in un'ampia varietà di contesti.

• Aggiunta di un nuovo tipo di mappa BPF del buffer dell'anello utente per il passaggio di messaggi asincroni e un trasferimento dati più rapido tra un programma BPF e lo spazio utente.

• I programmi BPF ora possono chiamare le funzioni kernel da un modulo caricabile, possono accedere e memorizzare oggetti task_struct e possono utilizzare valori di tempo assoluto.

• Sono incluse funzioni di aiuto più amichevoli, come bpf_trace_vprintk, e anche aiutanti distruttivi come crash_kexec.

• I programmi BPF possono collegare funzioni di filtro a kfuncs. Il filtro può limitare i contesti da cui il kfunc può essere richiamato.

• Le informazioni sul formato BTF (Resilient BPF Type Format) per i moduli sono incluse in modo che i moduli out-of-tree possano definire BTF che funziona per la durata di una release UEK.

• Il trampolino BPF è ora disponibile per le piattaforme aarch64 per fornire un'esecuzione più rapida del programma di tracciamento BPF utilizzando i programmi Fentry e Fexit.

• Ganci BPF:

  • Per visualizzare e filtrare i pacchetti completi.

  • Per modificare il protocollo richiesto per un nuovo socket, in particolare per far sì che i programmi che richiedono connessioni TCP utilizzino invece il TCP multipath.

io_uring è un'interfaccia di chiamata di sistema per gestire le operazioni di I/O asincrone del dispositivo di storage. Diverse funzionalità e miglioramenti sono forniti nell'implementazione disponibile in UEK 8 e alcuni di questi potrebbero essere stati riportati nelle precedenti versioni di UEK. Gli aggiornamenti includono molte ottimizzazioni per sicurezza e prestazioni. Nuove funzioni e modifiche significative includono:

• io_uring ora supporta l'invio e la ricezione di informazioni sulla protezione T10 insieme al buffer di dati.

• Operazioni per getsockopt(), setsockopt(), bind(), listen() e waitid().

• Meccanismo per omettere le chiamate di sistema con IORING_SETUP_SQPOLL al momento dell'impostazione. Una chiamata a io_uring_enter() avvia un thread del kernel che a volte esegue il polling della coda di invio e invia automaticamente le richieste trovate lì.

• Richiesta batch per chiamate recv() e per reads().

• IORING_OP_SENDZC per eseguire scritture a copia zero.

• Diverse ottimizzazioni del codice Ring:

  • Gli anelli e la coda di invio possono essere presenti nella memoria dello spazio utente, ad esempio pagine di grandi dimensioni.

  • Un anello è ora in grado di segnalare un altro per accelerare le richieste di messaggi.

  • Il lavoro correlato all'anello può essere differito fino a quando un'applicazione lo richiede.

• Miglioramenti di io_uring nelle scritture inserite nel buffer in XFS.

• L'ottimizzazione io_uring in XFS ed Ext4 può gestire più scritture di I/O diretto in un file in parallelo.

• I timeout assoluti, insieme ai relativi timeout già disponibili, sono ora possibili.

ASMLib è una libreria per la funzione Automatic Storage Management di Oracle Database. ASMLib v3 sfrutta le funzionalità io_uring incluse nel kernel per offrire prestazioni elevate. UEK 8 è testato e completamente supportato con Oracle ASMLib v3.

Si noti che con questo aggiornamento, il modulo kernel oracleasm non è più incluso, poiché Oracle ASMLib v3 non richiede più il funzionamento di questo modulo.

ASMLIB release 3.1 sfrutta i miglioramenti del passthrough delle informazioni di protezione aggiunti a io_uring in UEK 8. Attraverso questa interfaccia i checksum CRC possono essere collegati a ogni I/O, fornendo un ulteriore livello di protezione contro il danneggiamento dei dati.

Per utilizzare questa funzione, è necessario eseguire il provisioning dei dischi ASM sull'hardware di storage che implementa le informazioni di protezione T10 (controller SCSI con supporto DIX o NVMe).

Vedere Oracle Linux: Installing and Configuring Oracle ASMLIB v3.

UEK 8 include funzioni RDMA (Remote Direct Memory Access) fornite nel kernel a monte, con l'aggiunta delle funzionalità Ksplice e DTrace. RDMA consente l'accesso diretto alla memoria tra due sistemi connessi da una rete InfiniBand o RoCE. RDMA facilita la rete ad alto throughput e bassa latenza nei cluster.

I pacchetti Oracle RDMA sono disponibili nei seguenti canali ULN e repository yum:

• Oracle Linux 10

  • Canale ULN: ol10_x86_64_RDMA

  • Repository di server Oracle Linux yum: ol10_RDMA

• Oracle Linux 9

  • Canale ULN: ol9_x86_64_RDMA

  • Repository di server Oracle Linux yum: ol9_RDMA

Vedere Aggiornamento dei pacchetti Oracle RDMA su Oracle Linux se si sta eseguendo l'aggiornamento di un sistema in cui è installato il pacchetto oracle-rdma-release o oracle-rdma-release-guest.

Alcuni miglioramenti generali alla rete sono disponibili in UEK 8 con modifiche a monte incluse dalla versione 5.15 alla versione 6.12.

• BIG TCP, che utilizza pacchetti TSO/GRO più grandi per il traffico IPv6, è incluso per migliorare le prestazioni quando si inviano pacchetti TCP IPv6 di grandi dimensioni su reti di data center. Si noti che questa funzione non è abilitata per impostazione predefinita perché può influire sui programmi eBPF che potrebbero presumere che l'intestazione TCP segua immediatamente l'intestazione IPv6. BIG TCP è abilitato impostando gro_ipv6_max_size e gso_ipv6_max_size su un dispositivo di collegamento.

• È disponibile una nuova opzione di socket SO_RESERVE_MEM per fornire un meccanismo che consente agli utenti di riservare una certa quantità di memoria per il socket. Con questa opzione di socket impostata, lo stack di rete spende meno cicli eseguendo allocazioni e reclaim in avanti, il che può portare a migliori prestazioni del sistema, con il costo di una quantità di memoria preallocata e irrecuperabile, anche sotto pressione di memoria.

• Lo scheduler di pacchetti di accodamento equo ha ottenuto diversi miglioramenti delle prestazioni, tra cui un aumento del throughput del 5% del carico di lavoro intensivo di richiesta/risposta TCP (TCP_RR) e un aumento del 13% per i pacchetti UDP senza una frequenza di pacing impostata sul socket.

• Diverse strutture di dati di rete di base sono riorganizzate per una migliore efficienza della cache che può portare a un miglioramento delle prestazioni TCP in cui sono molte connessioni concorrenti.

KTLS gestisce i record TLS utilizzando la cifratura simmetrica o gli algoritmi di decifrazione nel kernel per la cifratura AES-GCM. KTLS è stato abilitato in UEK R7U3 per le connessioni cifrate TLS per NFS. KTLS continua ad essere disponibile in UEK 8.

RPC-With-TLS è abilitato nel server e nel client NFS Linux. Questo aggiornamento fornisce un meccanismo di autenticazione peer basato su standard su una connessione cifrata mediante TLS. Il protocollo TLS Record è gestito interamente da kTLS.

Si noti che sia il server che il client devono eseguire UEK R7U3 o versioni successive oppure devono eseguire un kernel e un client di spazio utente che supporta RFC 9289 per utilizzare questa funzionalità. È richiesto anche il pacchetto spazio utente ktls-utils che deve essere installato sia sul client che sul server. Assicurarsi inoltre di aver installato la versione più recente del pacchetto nfs-utils o di aver eseguito un aggiornamento completo del sistema.

RPC-With-TLS ha contribuito a monte da Oracle ed è descritto in RFC 9289.

Alcuni miglioramenti al generatore di numeri casuali (RNG) sono disponibili in UEK 8 con modifiche a monte incluse dalla versione 5.15 alla versione 6.12. In particolare, RNG è passato dall'algoritmo hash SHA1 all'algoritmo BLAKE2s più veloce e sicuro.

Inoltre, la chiamata di sistema getrandom() è ora implementata nell'area dell'oggetto condiviso dinamico virtuale (vDSO) del kernel. Questa implementazione migliora le prestazioni quando si ottengono dati numerici casuali rimuovendo la necessità di passare da un contesto di spazio utente al contesto kernel.

In questa release di UEK 8 sono incluse le seguenti modifiche a KVM e virtualizzazione:

• Il supporto MMU a paging bidimensionale (TDP) viene aggiunto per migliorare in modo significativo le prestazioni degli errori di pagina sulle VM con molte VCPU. Per impostazione predefinita, questa funzionalità è abilitata.

• La configurazione del kernel UEK 8 per le VCPU è aumentata a un limite teorico di 4096. Si noti che il limite effettivo della VCPU è specifico di un caso d'uso e dipende da molti fattori, tra cui la configurazione del sistema e della QEMU.

I driver inclusi in UEK 8 sono allineati con i driver nel kernel Linux 6.12 mainline upstream. Alcuni aggiornamenti importanti sono inclusi in cui i driver includono funzionalità o correzioni disponibili nelle versioni successive del kernel a monte.

Molti moduli driver non tengono più traccia delle informazioni sulla versione. Oracle collabora con i fornitori per allineare i driver dei dispositivi inclusi in UEK 8 al codice disponibile nelle versioni kernel a monte.

Nella tabella riportata di seguito vengono forniti importanti aggiornamenti dei driver.

Le seguenti funzionalità sono deprecate, rimosse o non sono più supportate in UEK 8: