Novos Recursos e Alterações UEK 8

A seguir, um resumo dos recursos, alterações e melhorias introduzidas no UEK 8, em relação ao UEK R7:

• Base de kernel estável do Linux 6.12

  A release do kernel principal 6.12 usada como kernel base para o UEK 8 inclui muitos recursos e melhorias de kernel upstream em relação às releases anteriores do UEK e ao RHCK no Oracle Linux 9.

• O empacotamento do módulo do kernel foi atualizado

  Os módulos do kernel são distribuídos em pacotes mais atômicos para reduzir a superfície de ataque no kernel, melhorar a manutenção do módulo do kernel e também melhorar a visibilidade da descontinuação do módulo. Consulte Alterações na Distribuição e no Pacote de Conteúdo do UEK para obter uma visão completa do empacotamento do kernel no UEK 8.

• 64k Tamanho da página base no braço

  Nesta release, uma versão do kernel com um tamanho de página base de 64k só está disponível para formas de Computação baseadas em Ampere Arm no Oracle Cloud Infrastructure. O tamanho da página base de 64k melhora a forma como as plataformas Arm processam cargas de trabalho com conjuntos de dados de memória grandes e contíguos. Consulte (aarch64) 64k Tamanho da Página Base no Arm para obter mais informações.

• Outras atualizações da plataforma

  Várias atualizações genéricas da plataforma estão incluídas. Consulte Atualizações Genéricas da Plataforma. Algumas outras atualizações de plataforma específicas da Intel estão disponíveis, incluindo recursos de segurança, como extensões do Intel Software Guard e novo suporte de hardware para a tecnologia Intel Quick Assist (QAT). Consulte Atualizações da Plataforma Intel.

• Programador Completamente Justo (CFS) substituído pelo Primeiro Prazo Virtual Qualificado Mais Antigo (EEVDF)

  O CFS é substituído pelo agendador EEVDF para melhorar o comportamento do agendamento e reduzir a complexidade da configuração. Consulte EEVDF Scheduler Replaces CFS.

• Gerenciamento de memória aprimorado

  Muitas melhorias no gerenciamento de memória aparecem no UEK 8, incluindo várias otimizações de mapeamento de memória, melhorias no desempenho por meio da introdução de estruturas de fólio e alguns aprimoramentos no manuseio de Huge Page. Consulte Memory Management.

• Atualizações dos sistemas de arquivos

  O suporte para os sistemas de arquivos Btrfs e OCFS2 está ativado no UEK 8. Há aprimoramentos significativos disponíveis para os sistemas de arquivos Btrfs, XFS e NFS nesta versão. Para obter mais informações sobre novos recursos de sistemas de arquivos introduzidos no UEK 8, consulte Sistemas de arquivos

• ASMLib v3 e io_uring

  Vários aprimoramentos do io_uring estão incluídos nesta versão do UEK, que também suporta ASMLib v3. O ASMLib v3 usa io_uring para o recurso Gerenciamento Automático de Armazenamento do Oracle Database. Consulte io_uring Enhancements e ASMLib v3.

• Atualizações de rede

  Vários aprimoramentos gerais de rede estão incluídos no UEK 8. Consulte Aperfeiçoamentos Gerais de Rede.

• Atualizações relacionadas à segurança

  Algumas outras atualizações relacionadas à segurança estão incluídas nesta versão do UEK, incluindo algumas atualizações do Gerador de Números Aleatórios que ajudam a melhorar o desempenho e a segurança. Consulte Aprimoramentos do Gerador de Números Aleatórios. O recurso de offload do kernel TLS é ativado no UEK 8. Consulte KTLS.

• Filtro de Pacotes Berkeley

  Vários aprimoramentos estão disponíveis no Berkeley Packet Filter (BPF) usado para rastreamento, incluindo um alocador de memória dedicado, um novo buffer de anel de usuário e o uso de módulos BTF (Resilient BPF Type Format) para usar o BTF para módulos fora da árvore. Consulte Aprimoramentos do Berkeley Packet Filter (BPF).

• DTrace v2.0

  O Dtrace v2.0 continua disponível no UEK 8 e aproveita recursos de rastreamento de kernel, como o eBPF. Informações detalhadas sobre releases do DTrace e outras alterações notáveis estão disponíveis em Notas da Release do Oracle Linux: DTrace.

  .

A tabela a seguir fornece detalhes sobre como o conteúdo do UEK 8 é distribuído e empacotado e inclui informações sobre dependências de pacotes e quaisquer outros requisitos notáveis.

rpm -q -l kernel-uek-modules-<ext>

rpm -q -f /lib/modules/$(uname -r)/<path to module>

sudo modprobe wl1251_sdio

modprobe: FATAL: Module wl1251_sdio not found in directory /lib/modules/6.12.0-0.20.20.el9uek.x86_64, 
ensure the following package is installed: kernel-uek-modules-wireless-6.12.0-0.20.20.el9uek.x86_64
      

Para proteção de segurança, recomendamos que você remova qualquer um dos pacotes kernel-uek-modules-* que não sejam exigidos pelo sistema. Para remover pacotes:

1. Marque os pacotes de módulos principais necessários no sistema para impedir que sejam removidos. Por exemplo:

   sudo dnf mark install kernel-uek-core kernel-uek-modules

2. Remova do sistema os pacotes de módulos não utilizados e a metapackage kernel-uek:

   sudo dnf erase kernel-uek-modules-desktop kernel-uek

Além da compilação padrão do UEK para Arm (aarch64), que define um tamanho de página base de 4k, um pacote kernel-uek64k que define um tamanho de página base de 64k está disponível apenas para formas de Computação baseadas em Ampere Arm no Oracle Cloud Infrastructure. Para casos de uso diferentes do OCI, o pacote kernel-uek64 só está disponível como uma visualização técnica. O pacote kernel-uek64k está disponível para o Oracle Linux 9 e versões posteriores.

O kernel de tamanho de página 64k é uma opção útil para plataformas Ampere (baseadas em Arm) que processam cargas de trabalho com conjuntos de dados de memória grandes e contíguos e podem obter melhor desempenho para alguns tipos de operações com uso intensivo de memória e CPU.

O kernel de tamanho de página 4k é útil para ambientes menores, onde minimizar o uso da memória do sistema físico é uma prioridade.

Observe que o kernel de tamanho de página 4k e o kernel de tamanho de página 64k não diferem na experiência do usuário, pois o espaço do usuário é o mesmo.

Depois que um sistema é instalado com a alternância de kernel-uek64k para um tamanho de página do kernel 4k, não há suporte.

Algumas atualizações genéricas da plataforma estão disponíveis no UEK 8. As atualizações incluem:

• Detecção de bloqueio dividido para operações na memória que abrangem duas linhas de cache, como acesso à memória desalinhado. Consulte também https://docs.kernel.org/arch/x86/buslock.html

• Shadow Stacks para o espaço do usuário, usando a tecnologia de aplicação de fluxo de controle (CET) do x86 para fornecer proteção contra ataques de programação orientados a retorno. Essa implementação funciona mantendo uma pilha secundária usando um tipo de memória especial que tem proteções contra modificação. Consulte também https://docs.kernel.org/arch/x86/shstk.html.

• O rastreamento de profundidade de chamada é implementado para melhorar o desempenho no código de mitigação de vulnerabilidade de segurança Retbleed.

• O recurso de CPU x86 é atualizado para que núcleos de CPU secundários sejam inicializados em paralelo a fim de melhorar os tempos de inicialização do kernel em sistemas com alta contagem de núcleos.

• Emulação de 32 bits em kernels x86_64 com o parâmetro de linha de comando ia32_emulation. Quando definido como verdadeiro, você pode carregar programas de 32 bits e executar chamadas de sistema de 32 bits.

Algumas atualizações da plataforma Intel upstream estão incluídas no UEK 8. Os itens notáveis incluem:

• O Intel Software Guard Extensions (SGX2), uma implementação baseada em hardware do Enclave Dynamic Memory Management (EDMM), é uma versão aprimorada de uma tecnologia de segurança que pode proteger dados e códigos confidenciais, isolando-os em regiões de memória privada chamadas enclaves. O SGX2 apresenta novos recursos, como gerenciamento dinâmico de memória, para que os enclaves possam redimensionar e gerenciar sua memória durante o tempo de execução. Essa atualização é importante para aplicativos com cargas de trabalho dinâmicas ou requisitos de memória maiores, que exigem uma arquitetura mais escalável. O SGX2 fornece confidencialidade e integridade robustas para cargas de trabalho confidenciais em ambientes on-premises e na nuvem. Consulte https://www.intel.com/content/www/us/en/support/articles/000058764/software/intel-security-products.html.

• Interrupções de espaço de usuário do FRED (Flexible Return and Event Delivery). Consulte também https://docs.kernel.org/arch/x86/x86_64/fred.html.

• Verificação em campo para ajudar a testar a integridade da CPU, detectando problemas que não são detectados pelas verificações de paridade ou ECC. Consulte também https://docs.kernel.org/arch/x86/ifs.html.

• A funcionalidade de tecnologia de assistência rápida (QAT) é atualizada para suportar processadores Intel Xeon de 4ª geração.

• Máscara de endereço linear (modo LAM_U57) para alterar a verificação aplicada a endereços lineares de 64 bits, para que o software possa usar bits de endereço não traduzidos para armazenar metadados. LAM_U57 pode usar 6 bits de metadados nos bits 62 a 57.

O Early Eligible Virtual Deadline First (EEVDF) é um novo agendador de kernel que substitui o Completely Fair Scheduler (CFS). O EEVDF fornece uma melhor política de agendamento para o kernel e reduz a complexidade da configuração e melhora o comportamento do agendamento.

Várias atualizações importantes de gerenciamento de memória estão disponíveis no UEK 8 com alterações upstream incluídas da v5.15 para a v6.12.

• A estrutura de dados das contas substitui a página struct para fornecer melhor abstração para o gerenciamento de páginas. Folios é uma nova estrutura de dados que representa uma ou mais páginas de memória. A nova estrutura reduz a confusão de tipos e a sobrecarga de memória.
• Huge Pages são melhoradas com várias atualizações úteis, incluindo:
  • Atualize para tratar falhas enormes do TLB ao usar o bloqueio por VMA. As operações de gerenciamento de memória, como falhas de página e mapeamento de memória, podem ser tratadas de maneira mais precisa e eficiente, reduzindo a disputa e melhorando a simultaneidade.
  • THP de vários tamanhos para memória anônima, que permite a alocação de fólios maiores que o tamanho da página base, mas menores que o tamanho PMD.
  • Dividir THPs subutilizados, e melhorar THP = sempre política. Essas mudanças melhoram o provisionamento excessivo de THPs em áreas de memória pouco acessadas.
  • O flag MADV_DONTNEED madvise() funciona em páginas hugetlb e pode ser útil para desmapear e liberar páginas hugetlb mapeadas privadas.
  • O flag MADV_COLLAPSE madvise() recolhe as páginas em uma enorme página transparente.
• Melhorias contínuas no código de grupos de controle de memória, memcg, para desacoplar campos v1 no código da base de código v2.
• Uma nova interface sysfs, /proc/sys/vm/enable_soft_offline, está disponível para que você possa desativar o soft-offlining automático das páginas. Esse recurso pode ser útil para gerenciar o offlining da página do espaço do usuário.

• Otimizações de mapeamento de memória:

  • O Maple Tree substituiu o Red-Black Trees (RB Trees) para gerenciar áreas de memória virtual (VMAs) para melhor desempenho com pesquisas, inserções e exclusões mais rápidas.
  • Foi introduzido um mecanismo para nomear VMAs anônimos para depuração e criação de perfil aprimoradas.
  • Bloqueio de mmap por VMA para melhorar a simultaneidade e reduzir a contenção em aplicativos multithread com muitos VMAs.
  • Introdução da estrutura de dados ptdesc para otimizar o gerenciamento de tabelas de página desacoplando metadados de página da estrutura de dados page.

Os seguintes recursos e aprimoramentos de sistemas de arquivos foram introduzidos no UEK 8:

Várias atualizações importantes estão disponíveis no UEK 8 para o Filtro de Pacotes Berkeley (BPF), incluindo:

• A introdução de um alocador de memória BPF dedicado é adicionada para melhorar a confiabilidade das alocações feitas dentro de programas BPF, que podem ser executados em uma ampla variedade de contextos.

• Adição de um novo tipo de mapa BPF de buffer de anel de usuário para transmissão de mensagem assíncrona e transferência de dados mais rápida entre um programa BPF e o espaço do usuário.

• Programas BPF agora podem chamar funções do kernel a partir de um módulo carregável, podem acessar e armazenar objetos task_struct e podem usar valores de tempo absoluto.

• Estão incluídas funções auxiliares mais amigáveis, como bpf_trace_vprintk, e também ajudantes destrutivos, como crash_kexec.

• Os programas BPF podem anexar funções de filtro a kfuncs. O filtro pode limitar os contextos de onde o kfunc pode ser chamado.

• As informações do BTF (Resilient BPF Type Format) para módulos são incluídas para que os módulos fora da árvore possam definir o BTF que funciona durante a vida útil de uma versão UEK.

• O BPF trampoline agora está disponível para plataformas aarch64 para fornecer uma execução mais rápida do programa de rastreamento BPF usando programas Fentry e Fexit.

• Ganchos BPF:

  • Para ver e filtrar pacotes completos.

  • Para alterar o protocolo solicitado para um novo soquete, principalmente para fazer com que os programas que solicitam conexões TCP usem TCP de vários caminhos de forma transparente.

io_uring é uma interface de chamada do sistema para gerenciar operações de E/S assíncronas do dispositivo de armazenamento. Vários recursos e melhorias são fornecidos na implementação que está disponível no UEK 8 e alguns deles podem ter sido retroportados para versões anteriores do UEK. As atualizações incluem muitas otimizações para segurança e desempenho. Novos recursos e mudanças significativas incluem:

• O io_uring agora suporta o envio e o recebimento de Informações de Proteção T10 junto com o buffer de dados.

• Operações para getsockopt(), setsockopt(), bind(), listen() e waitid().

• Mecanismo para omitir chamadas do sistema com IORING_SETUP_SQPOLL no momento da configuração. Uma chamada para io_uring_enter() inicia um thread de kernel que ocasionalmente sonda a fila de submissão e envia automaticamente quaisquer solicitações encontradas lá.

• Solicitação em batch para chamadas recv() e para reads().

• IORING_OP_SENDZC para realizar gravações com cópia zero.

• Várias otimizações de código Ring:

  • Anéis e fila de submissão podem estar na memória de espaço do usuário, como páginas enormes.

  • Um anel agora é capaz de sinalizar outro para acelerar as solicitações de mensagens.

  • O trabalho relacionado ao anel pode ser adiado até que um aplicativo o solicite.

• Aprimoramentos do io_uring em gravações em buffer, no XFS.

• A otimização io_uring em XFS e Ext4 pode tratar várias gravações de E/S direta em um arquivo em paralelo.

• Timeouts absolutos, juntamente com os timeouts relativos que já estavam disponíveis, agora são possíveis.

ASMLib é uma biblioteca para o recurso Gerenciamento Automático de Armazenamento do Oracle Database. O ASMLib v3 aproveita os recursos io_uring incluídos no kernel para oferecer alto desempenho. O UEK 8 é testado e totalmente compatível com o Oracle ASMLib v3.

Observe que com essa atualização, o módulo do kernel oracleasm não está mais incluído, pois o Oracle ASMLib v3 não requer mais que esse módulo funcione.

A release 3.1 do ASMLIB aproveita os aprimoramentos de transferência de informações de proteção adicionados ao io_uring no UEK 8. Através desta interface, as somas de verificação CRC podem ser anexadas a cada E/S, fornecendo uma camada adicional de proteção contra corrupção de dados.

Para usar esse recurso, os discos ASM devem ser provisionados no hardware de armazenamento que implementa Informações de Proteção T10 (controlador SCSI com suporte a DIX ou NVMe).

Consulte Oracle Linux: Instalando e Configurando o Oracle ASMLIB v3.

O UEK 8 inclui recursos RDMA (Remote Direct Memory Access) que são fornecidos no kernel upstream, com a adição da funcionalidade Ksplice e DTrace. O RDMA permite acesso direto à memória entre dois sistemas conectados por uma rede InfiniBand ou RoCE. O RDMA facilita a rede de alto rendimento e baixa latência em clusters.

Os pacotes do Oracle RDMA estão disponíveis nos seguintes canais ULN e repositórios yum:

• Oracle Linux 10

  • Canal ULN: ol10_x86_64_RDMA

  • Repositório de servidores yum do Oracle Linux: ol10_RDMA

• Oracle Linux 9

  • Canal ULN: ol9_x86_64_RDMA

  • Repositório de servidores yum do Oracle Linux: ol9_RDMA

Consulte Fazendo Upgrade de Pacotes do Oracle RDMA no Oracle Linux se estiver fazendo upgrade de um sistema que tenha o pacote oracle-rdma-release ou oracle-rdma-release-guest instalado.

Alguns aprimoramentos gerais de rede estão disponíveis no UEK 8 com alterações upstream incluídas da v5.15 para a v6.12.

• O BIG TCP, que usa tamanhos maiores de pacotes TSO/GRO para tráfego IPv6, é incluído para melhorar o desempenho ao enviar pacotes TCP IPv6 grandes em redes de data center. Observe que esse recurso não é ativado por padrão porque ele pode afetar programas eBPF que podem assumir que o cabeçalho TCP segue imediatamente o cabeçalho IPv6. O BIG TCP é ativado definindo o gro_ipv6_max_size e o gso_ipv6_max_size em um dispositivo de link.

• Uma nova opção de soquete SO_RESERVE_MEM está disponível para fornecer um mecanismo para que os usuários reservem uma certa quantidade de memória para o soquete. Com este conjunto de opções de soquete, a pilha de rede gasta menos ciclos fazendo alocações e recuperações futuras, o que pode levar a um melhor desempenho do sistema, com o custo de uma quantidade de memória pré-alocada e irrecuperável, mesmo sob pressão de memória.

• O agendador de pacotes de enfileiramento justo obteve várias melhorias de desempenho, incluindo um aumento de throughput de 5% na carga de trabalho intensiva de Solicitação/Resposta TCP (TCP_RR) e um aumento de 13% para pacotes UDP sem uma taxa de estimulação definida no soquete.

• Várias estruturas de dados de rede principal são reorganizadas para melhorar a eficiência do cache, o que pode resultar na melhoria do desempenho do TCP em que há muitas conexões simultâneas.

O KTLS lida com registros TLS usando os algoritmos de criptografia simétrica ou decriptografia no kernel para a cifra AES-GCM. O KTLS foi ativado no UEK R7U3 para conexões criptografadas TLS para NFS. O KTLS continua disponível no UEK 8.

RPC-With-TLS está ativado no servidor NFS Linux e no cliente. Esta atualização fornece um mecanismo de autenticação de pares baseado em padrões por uma conexão criptografada utilizando TLS. O protocolo TLS Record é tratado inteiramente por kTLS.

Observe que os sistemas de servidor e cliente devem executar o UEK R7U3 ou posterior, ou devem estar executando um kernel e um cliente de espaço do usuário que suporte a RFC 9289, para usar essa funcionalidade. O pacote de espaço do usuário, ktls-utils, também é necessário e deve ser instalado nos sistemas cliente e servidor. Certifique-se também de ter instalado a versão mais recente do pacote nfs-utils ou de ter feito uma atualização completa do sistema.

A RPC-With-TLS é contribuída upstream pela Oracle e é descrita na RFC 9289.

Alguns aprimoramentos no RNG (Random Number Generator) estão disponíveis no UEK 8 com alterações upstream incluídas de v5.15 para v6.12. Mais notavelmente, o RNG mudou do algoritmo hash SHA1 para o algoritmo BLAKE2s mais rápido e seguro.

Além disso, a chamada do sistema getrandom() agora é implementada na área do objeto virtual dinâmico compartilhado (vDSO) do kernel. Essa implementação melhora o desempenho ao obter dados de números aleatórios ao remover a necessidade de alternar de um contexto de espaço do usuário para o contexto do kernel.

As seguintes alterações no KVM e na virtualização estão incluídas nesta versão do UEK 8:

• O suporte à MMU de paginação bidimensional (TDP) é adicionado para melhorar significativamente o desempenho de falhas de página em VMs de muitas VCPUs. Essa funcionalidade é ativada por padrão.

• A configuração do kernel UEK 8 para VCPUs foi aumentada para um limite teórico de 4096. Observe que o limite real da VCPU é específico do caso de uso e depende de muitos fatores, incluindo configuração do sistema e QEMU.

Os drivers de dispositivo incluídos no UEK 8 estão alinhados com os drivers no kernel mainline Linux 6.12. Algumas atualizações notáveis estão incluídas onde os drivers incluem funcionalidade ou correções disponíveis em versões posteriores do kernel upstream.

Muitos módulos de driver não rastreiam mais informações de versão. A Oracle trabalha com fornecedores para alinhar os drivers de dispositivos incluídos no UEK 8 com o código disponível nas versões do kernel upstream.

Atualizações notáveis de driver são apresentadas na seguinte tabela:

Os seguintes recursos foram descontinuados, removidos ou não são mais suportados no UEK 8: