UEK 8の新機能と変更点

次に、UEK R7と比較して、UEK 8で導入された機能、変更および改善のサマリーを示します。

• Linux 6.12の安定したカーネル・ベース

  UEK 8のベース・カーネルとして使用される6.12メインライン・カーネル・リリースには、以前のUEKリリースおよびOracle Linux 9のRHCKよりも多くのアップストリーム・カーネル機能および改善が含まれています。

• カーネル・モジュール・パッケージが更新されました

  カーネル・モジュールは、カーネル上の攻撃対象領域を減らし、カーネル・モジュールのメンテナンスを改善し、モジュールの非推奨の可視性を向上させるために、より原子性の高いパッケージに配布されます。UEK 8でのカーネル・パッケージングの完全なビューは、UEKコンテンツの配布およびパッケージ化の変更を参照してください。

• アームの64kベース・ページ・サイズ

  このリリースでは、ベース・ページ・サイズが64kのカーネルのバージョンは、Oracle Cloud InfrastructureのAmpere Armベースのコンピュート・シェイプでのみ使用可能です。64kのベース・ページ・サイズは、Armプラットフォームが大規模な連続したメモリー・データセットを使用してワークロードを処理する方法を改善します。詳細は、(aarch64) 64k Base Page Size on Armを参照してください。

• その他のプラットフォームの更新

  いくつかの汎用プラットフォーム更新が含まれています。Generic Platform Updatesを参照してください。Intel Software Guard Extensionsなどのセキュリティー機能や Intel Quick Assist Technology (QAT)の新しいハードウェアサポートなど、その他の Intel固有のプラットフォーム更新も利用できます。Intel Platform Updatesを参照してください。

• 完全公正スケジューラ(CFS)は、Earliest Eligible Virtual Deadline First(EEVDF)に置き換えられました。

  CFSはEEVDFスケジューラに置き換えられ、スケジューリング動作を改善し、構成の複雑さを軽減します。EEVDF Scheduler Replaces CFSを参照してください。

• メモリー管理の改善

  UEK 8では、いくつかのメモリー・マッピングの最適化、フォリオ構造の導入によるパフォーマンスの向上、ヒュージ・ページ処理の機能拡張など、多くのメモリー管理の改善が現れています。Memory Managementを参照してください。

• ファイル・システムの更新

  BtrfsおよびOCFS2ファイル・システムののサポートは、UEK 8で有効になっています。このリリースのbtrfs、XFSおよびNFSファイル・システムでは、大幅な機能拡張が使用可能です。UEK 8で導入された新しいファイル・システム機能の詳細は、ファイル・システムを参照してください

• ASMLib v3およびio_uring

  このリリースのUEKには、ASMLib v3もサポートするio_uringの機能拡張がいくつか含まれています。ASMLib v3では、Oracle Databaseの自動ストレージ管理機能にio_uringを使用します。io_uring EnhancementsおよびASMLib v3を参照してください。

• ネットワークの更新

  UEK 8には、一般的なネットワーク拡張がいくつか含まれています。General Networking Enhancementsを参照してください。

• セキュリティ関連の更新

  このリリースのUEKには、他のセキュリティ関連の更新が含まれており、乱数ジェネレータの更新によってパフォーマンスとセキュリティが向上します。Random Number Generator Enhancementsを参照してください。カーネルTLSオフロード機能はUEK 8で有効になっています。KTLSを参照してください。

• Berkeley Packet Filter

  Berkeley Packet Filter (BPF)では、専用のメモリー・アロケータ、新しいユーザー・リング・バッファ、およびツリー外モジュールにBTFを使用するための回復性BPF Type Format (BTF)モジュールの使用など、トレースに使用されるいくつかの拡張機能を使用できます。Berkeley Packet Filter (BPF) Enhancementsを参照してください。

• DTrace v2.0

  Dtrace v2.0は引き続きUEK 8で使用でき、eBPFなどのカーネル・トレース機能を利用します。DTraceリリースおよびその他の重要な変更の詳細は、Oracle Linux: DTraceリリース・ノートを参照してください。

  .

次の表に、UEK 8コンテンツの配布およびパッケージ化方法の詳細と、パッケージの依存関係、およびその他の重要な要件に関する情報を示します。

rpm -q -l kernel-uek-modules-<ext>

rpm -q -f /lib/modules/$(uname -r)/<path to module>

sudo modprobe wl1251_sdio

modprobe: FATAL: Module wl1251_sdio not found in directory /lib/modules/6.12.0-0.20.20.el9uek.x86_64, 
ensure the following package is installed: kernel-uek-modules-wireless-6.12.0-0.20.20.el9uek.x86_64
      

セキュリティ強化のために、システムで必要とされないkernel-uek-modules-*パッケージを削除することをお薦めします。パッケージを削除するには:

1. システムで必要なコア・モジュール・パッケージをマークして、それらが削除されないようにします。例:

   sudo dnf mark install kernel-uek-core kernel-uek-modules

2. 未使用のモジュール・パッケージおよびkernel-uekメタパッケージをシステムから削除します。

   sudo dnf erase kernel-uek-modules-desktop kernel-uek

基本の4kページ・サイズを設定するUEK for Arm (aarch64)の標準ビルドに加えて、64kベース・ページ・サイズを設定するkernel-uek64kパッケージは、Oracle Cloud InfrastructureのAmpere Armベースのコンピュート・シェイプでのみ使用できます。OCI以外のユース・ケースでは、kernel-uek64パッケージはテクニカル・プレビューとしてのみ使用できます。kernel-uek64kパッケージは、Oracle Linux 9以降で使用できます。

64kページ・サイズのカーネルは、大規模で連続したメモリー・データセットを持つワークロードを処理し、一部のタイプのメモリーおよびCPU集中型の操作でパフォーマンスを向上させることができるAmpere (Armベース)プラットフォームにとって有用なオプションです。

4kページ・サイズのカーネルは、物理システムのメモリー使用量を最小限に抑えることが優先される小規模な環境に役立ちます。

4kページ・サイズのカーネルと64kページ・サイズのカーネルは、ユーザー・スペースが同じであるため、ユーザー・エクスペリエンスが異なります。

kernel-uek64kを使用してインストールしたシステムの4kカーネルページサイズへの切り替えはサポートされません。

一部の汎用プラットフォーム更新は、UEK 8で使用できます。更新には次のものが含まれます。

• 境界整列が誤っているメモリーアクセスなど、2つのキャッシュ行にまたがるメモリー上の操作に対するスプリットロック検出。https://docs.kernel.org/arch/x86/buslock.htmlも参照してください。

• ユーザー空間用のシャドウスタック。x86のControl-flow Enforcement Technology (CET)を使用して、リターン指向プログラミング攻撃に対する保護を提供します。この実装は、変更から保護される特殊なメモリー・タイプを使用してセカンダリ・スタックを維持することで機能します。https://docs.kernel.org/arch/x86/shstk.htmlも参照してください。

• コール深度追跡は、Retbleedセキュリティ脆弱性軽減コードのパフォーマンスを向上させるために実装されています。

• 高いコア数システムでカーネルブート時間を改善するために、x86 CPUの立ち上げが更新され、セカンダリCPUコアが並行してブートされます。

• ia32_emulationコマンドライン・パラメータを使用したx86_64カーネルでの32ビット・エミュレーション。trueに設定すると、32ビット・プログラムをロードし、32ビット・システム・コールを実行できます。

一部のアップストリームIntelプラットフォーム更新は、UEK 8に含まれています。注目すべき項目は次のとおりです。

• Enclave Dynamic Memory Management (EDMM)のハードウェアベースの実装である Intel Software Guard Extensions (SGX2)は、機密データとコードをenclavesと呼ばれるプライベートメモリー領域に分離することによって保護できるセキュリティーテクノロジの拡張バージョンです。SGX2では、動的メモリー管理などの新機能が導入され、エンクレーブでは実行時にメモリーのサイズを変更および管理できます。この更新は、よりスケーラブルなアーキテクチャを必要とする動的ワークロードまたはより大きなメモリー要件を持つアプリケーションにとって重要です。SGX2は、オンプレミス環境とクラウド環境の両方で、機密性の高いワークロードに対して堅牢な機密性と整合性を提供します。https://www.intel.com/content/www/us/en/support/articles/000058764/software/intel-security-products.htmlを参照してください。

• Flexible Return and Event Delivery (FRED)ユーザー・スペース割込み。https://docs.kernel.org/arch/x86/x86_64/fred.htmlも参照してください。

• パリティーまたはECCチェックで捕捉されない問題を検出してCPUの健全性をテストするのに役立つフィールド内スキャン。https://docs.kernel.org/arch/x86/ifs.htmlも参照してください。

• Quick Assist Technology (QAT)の機能は、第4世代の Intel Xeonプロセッサをサポートするように更新されます。

• リニアアドレスマスキング(LAM_U57モード)は、64ビットのリニアアドレスに適用されるチェックを変更し、ソフトウェアが未変換のアドレスビットを使用してメタデータを格納できるようにします。LAM_U57は、62ビットから57ビットで6ビットのメタデータを使用できます。

Earliest Eligible Virtual Deadline First (EEVDF)は、Completely Fair Scheduler (CFS)に代わる新しいカーネル・スケジューラです。EEVDFは、カーネルのスケジューリング・ポリシーを改善し、構成の複雑さを軽減し、スケジューリング動作を改善します。

UEK 8では、v5.15からv6.12へのアップストリーム変更を含むいくつかの重要なメモリー管理更新を使用できます。

• フォリオ・データ構造は、構造ページを置き換えて、ページの管理をより適切に抽象化します。フォリオは、1つ以上のメモリー・ページを表す新しいデータ構造です。この新しい構造により、型の混乱とメモリーのオーバーヘッドが減少します。
• ヒュージ・ページは、次のような有用な更新によって改善されます。
  • VMAごとのロックの使用時に巨大なTLB障害を処理するように更新します。ページ・フォルトやメモリー・マッピングなどのメモリー管理操作は、よりきめ細かく効率的に処理できるため、競合が減少し、同時実行性が向上します。
  • ベース・ページ・サイズより大きくPMDサイズより小さいフォリオの割当てを可能にする、匿名メモリー用のマルチサイズTHP。
  • 未使用のTHPを分割し、THP=alwaysポリシーを改善します。これらの変更により、疎アクセスメモリー領域でのTHPのオーバープロビジョニングが改善されます。
  • MADV_DONTNEED madvise()フラグはhugetlbページ上で動作し、プライベートマップされたhugetlbページのマッピング解除と解放に役立ちます。
  • MADV_COLLAPSE madvise()フラグは、ページを透過的なヒュージ・ページに縮小します。
• メモリー制御グループコードmemcgの継続的な改善により、コード内のv1フィールドをv2コードベースから切り離します。
• ページの自動ソフトオフライン化を無効にできるように、新しいsysfsインタフェース/proc/sys/vm/enable_soft_offlineを使用できます。この機能は、ユーザー空間からのページ・オフラインの管理に役立ちます。

• メモリー・マッピングの最適化:

  • 仮想メモリー領域(VMA)を管理するためのレッド・ブラック・ツリー(RBツリー)をメープル・ツリーに置き換え、ルックアップ、挿入および削除を高速化してパフォーマンスを向上させました。
  • デバッグおよびプロファイリングを改善するために、匿名VMAに名前を付けるメカニズムが導入されました。
  • VMAが多いマルチスレッドアプリケーションで同時実行性を向上させ、競合を削減するための、VMAごとのmmapロック。
  • pageデータ構造からページ・メタデータを分離して、ページ表の管理を最適化するためのptdescデータ構造の概要。

UEK 8では、次のファイル・システムの機能および拡張機能が導入されています。

Berkeley Packet Filter (BPF)のUEK 8には、次のような重要な更新プログラムがあります。

• 専用のBPFメモリーアロケータの導入により、さまざまなコンテキストで実行できるBPFプログラム内での割り当ての信頼性が向上します。

• 非同期メッセージ・パス用の新しいユーザー・リング・バッファBPFマップ・タイプを追加し、BPFプログラムとユーザー空間間のデータ転送を高速化します。

• BPFプログラムは、ロード可能なモジュールからカーネル関数を呼び出したり、task_structオブジェクトにアクセスして格納したり、絶対時間値を使用できるようになりました。

• bpf_trace_vprintkなどのFriendlierヘルパー関数、およびcrash_kexecなどの破壊的ヘルパーも含まれます。

• BPFプログラムはkfuncにフィルタ関数を付加できます。フィルタは、kfuncを呼び出すことができるコンテキストを制限できます。

• モジュールの回復性BPFタイプ・フォーマット(BTF)情報が含まれているため、アウトオブツリー・モジュールはUEKリリースの存続期間にわたって動作するBTFを定義できます。

• BPFトランポリンがaarch64プラットフォームで使用可能になり、FentryおよびFexitプログラムを使用したBPFトレース・プログラムの実行が高速になりました。

• BPFフック:

  • 完全なパケットを表示およびフィルタします。

  • 要求されたプロトコルを新しいソケット用に変更するため、主にTCP接続を要求するプログラムが代わりにマルチパスTCPを使用するように透過的にします。

io_uringは、ストレージ・デバイスの非同期I/O操作を管理するシステム・コール・インタフェースです。UEK 8で使用可能な実装にはいくつかの機能と改善が提供されており、それらのいくつかは以前のUEKリリースにバックポートされている可能性があります。更新には、セキュリティとパフォーマンスのための多くの最適化が含まれています。重要な新機能および変更点は次のとおりです。

• io_uringでは、データ・バッファとともにT10保護情報の送受信がサポートされるようになりました。

• getsockopt()、setsockopt()、bind()、listen()およびwaitid()の操作。

• 設定時にIORING_SETUP_SQPOLLを使用してシステムコールを省略するメカニズム。io_uring_enter()をコールすると、発行キューをポーリングし、そこで見つかったリクエストを自動的に送信するカーネル・スレッドが開始されます。

• recv()コールおよびreads()に対するバッチ・リクエスト。

• IORING_OP_SENDZC: ゼロコピー書込みを実行します。

• いくつかのリングコードの最適化:

  • リングおよび送信キューは、ヒュージ・ページなどのユーザー領域メモリー内に存在できます。

  • 1つのリングが、メッセージ要求を高速化するために別のリングにシグナルを送信できるようになりました。

  • リング関連の作業は、アプリケーションが要求するまで延期できます。

• XFSでのバッファ書込みのio_uring改善。

• XFSおよびExt4でのio_uring最適化では、ファイルへの複数のダイレクトI/O書込みをパラレルで処理できます。

• 絶対タイムアウトと、すでに使用可能な相対タイムアウトを使用できるようになりました。

ASMLibは、Oracle Databaseの自動ストレージ管理機能のライブラリです。ASMLib v3では、カーネルに含まれるio_uring機能を利用して高パフォーマンスを実現します。UEK 8は、Oracle ASMLib v3でテストされ、完全にサポートされています。

Oracle ASMLib v3ではこのモジュールが機能する必要がなくなったため、この更新ではoracleasmカーネル・モジュールは含まれなくなりました。

ASMLIBリリース3.1では、UEK 8のio_uringに追加された保護情報パススルー拡張機能が利用されます。このインタフェースを通じて、CRCチェックサムを各 I/Oに接続できるため、データ破損に対する追加の保護レイヤーが提供されます。

この機能を使用するには、T10保護情報(DIXサポートまたはNVMeを備えたSCSIコントローラ)を実装するストレージ・ハードウェアにASMディスクをプロビジョニングする必要があります。

Oracle Linux: Oracle ASMLIB v3のインストールと構成を参照してください。

UEK 8には、アップストリーム・カーネルで提供されるRDMA (Remote Direct Memory Access)機能と、KspliceおよびDTrace機能が追加されています。RDMAは、InfiniBandまたはRoCEネットワークによって接続されている2つのシステム間のダイレクト・メモリー・アクセスを可能にします。RDMAにより、クラスタ内の高スループットおよび低レイテンシ・ネットワーキングが容易になります。

Oracle RDMAパッケージは、次のULNチャネルおよびyumリポジトリで使用できます。

• Oracle Linux 10

  • ULNチャネル: ol10_x86_64_RDMA

  • Oracle Linux yumサーバー・ リポジトリ: ol10_RDMA

• Oracle Linux 9

  • ULNチャネル: ol9_x86_64_RDMA

  • Oracle Linux yumサーバー・ リポジトリ: ol9_RDMA

oracle-rdma-releaseまたはoracle-rdma-release-guestパッケージがインストールされているシステムをアップグレードする場合は、Oracle LinuxでのOracle RDMAパッケージのアップグレードを参照してください。

UEK 8では、v5.15からv6.12へのアップストリーム変更を含む一般的なネットワーク拡張の一部を使用できます。

• IPv6トラフィックに大きいTSO/GROパケットサイズを使用するBIG TCPは、データセンターネットワーク上で大きな IPv6 TCPパケットを送信するときのパフォーマンスを向上させるために含まれています。この機能は、TCPヘッダーが IPv6ヘッダーの直後に続く可能性があるeBPFプログラムに影響を与える可能性があるため、デフォルトでは有効になっていません。BIG TCPを有効にするには、リンク・デバイスでgro_ipv6_max_sizeおよびgso_ipv6_max_sizeを設定します。

• 新しいソケットオプションSO_RESERVE_MEMは、ユーザーがソケットに一定量のメモリーを予約するメカニズムを提供するために使用できます。このソケットオプションを設定すると、ネットワークスタックは前方割り当てとリクレイムにかかるサイクルが少なくなり、メモリー不足の場合でも、事前に割り当てられて再生不可能なメモリーの量が多くなるため、システムパフォーマンスが向上する可能性があります。

• フェア・キューイング・パケット・スケジューラでは、集中的なTCPリクエスト/レスポンス(TCP_RR)ワークロードのスループットが5%向上し、ソケットにペース・レートが設定されていないUDPパケットが13%増加するなど、いくつかのパフォーマンスが向上しました。

• 複数のコア・ネットワーク・データ構造が再編成され、キャッシュ効率が向上するため、多数の同時接続でTCPパフォーマンスが向上する可能性があります。

KTLSは、AES-GCM暗号のカーネル内の対称暗号化または復号化アルゴリズムを使用してTLSレコードを処理します。KTLSは、NFSのTLS暗号化接続に対してUEK R7U3で有効になりました。KTLSは引き続きUEK 8で使用可能です。

RPC-With-TLSは、Linux NFSサーバーおよびクライアントで有効になっています。この更新では、TLSを使用した暗号化された接続を介した標準ベースのピア認証メカニズムが提供されます。TLSレコードプロトコルはkTLSによって完全に処理されます。

この機能を使用するには、サーバー・システムとクライアント・システムの両方でUEK R7U3以降を実行するか、RFC 9289をサポートするカーネルおよびユーザー領域クライアントを実行する必要があることに注意してください。ユーザー領域パッケージktls-utilsも必要であり、クライアント・システムとサーバー・システムの両方にインストールする必要があります。また、最新バージョンのnfs-utilsパッケージがインストールされていること、または完全なシステム更新が完了していることも確認します。

RPC-With-TLSは、Oracleによってアップストリームに寄与し、RFC 9289で説明されています。

UEK 8では、乱数ジェネレータ(RNG)の一部の機能拡張が利用でき、アップストリームの変更はv5.15からv6.12に含まれています。特に、RNGはSHA1ハッシュ・アルゴリズムから、より高速で安全なBLAKE2sアルゴリズムに切り替えました。

また、getrandom()システム・コールがカーネルの仮想動的共有オブジェクト(vDSO)領域に実装されるようになりました。この実装により、ユーザー・スペース・コンテキストからカーネル・コンテキストに切り替える必要がなくなり、乱数データを取得する際のパフォーマンスが向上します。

このリリースのUEK 8には、次のKVMおよび仮想化の変更が含まれています。

• 2次元ページング(TDP) MMUのサポートが追加され、多数のVCPU VMでのページ障害パフォーマンスが大幅に向上します。この機能は、デフォルトで有効になっています。

• VCPUのUEK 8カーネル構成は、理論上の制限である4096に増やされています。実際のVCPU制限はユースケース固有であり、システムおよびQEMU構成を含む多くの要因に依存することに注意してください。

UEK 8に含まれるデバイス・ドライバは、アップストリーム・メインラインLinux 6.12カーネルのドライバと連携しています。ドライバに、以降のアップストリームカーネルバージョンで使用可能な機能または修正が含まれるいくつかの重要な更新が含まれています。

多くのドライバモジュールはバージョン情報を追跡しなくなりました。Oracleはベンダーと連携して、UEK 8に含まれるデバイス・ドライバをアップストリーム・カーネル・バージョンで使用可能なコードに連携させます。

次の表に、重要なドライバ更新を示します。

UEK 8では、次の機能が非推奨、削除またはサポートされなくなりました。