ProHoster > بلوق > أخبار الإنترنت > أوراكل تُصدر Unbreakable Enterprise Kernel 6

أوراكل تُصدر Unbreakable Enterprise Kernel 6

شركة أوراكل مقدم أول إصدار مستقر نواة المؤسسة غير القابلة للكسر 6 (UEK R6) ، بناء ممتد من Linux kernel ، تم وضعه للاستخدام في توزيع Oracle Linux كبديل لحزمة kernel stock من Red Hat Enterprise Linux. النواة متاحة فقط لمعماري x86_64 و ARM64 (aarch64). الكود المصدري للنواة ، بما في ذلك التقسيم إلى تصحيحات فردية ، نشرت في مستودع Oracle Git العام.

تعتمد نواة المؤسسة غير القابلة للكسر 6 على النواة لينكس شنومكس (استند UEK R5 إلى 4.14 kernel) ، والذي تم تحديثه بميزات وتحسينات وإصلاحات جديدة ، وتم اختباره للتوافق مع معظم التطبيقات التي تعمل على RHEL ، وتم تحسينه خصيصًا للعمل مع البرامج والأجهزة الصناعية من Oracle. تثبيت UEK R6 kernel وحزم src المعدة لنظام Oracle Linux 7.x и 8.x. تم إيقاف دعم فرع 6.x ، لاستخدام UEK R6 ، يجب ترقية النظام إلى Oracle Linux 7 (لا توجد عقبات أمام استخدام هذه النواة في إصدارات مماثلة من RHEL و CentOS و Scientific Linux).

مفتاح الابتكارات نواة المؤسسة غير القابلة للكسر 6:

  • دعم موسع للأنظمة القائمة على معمارية ARM 64 بت (aarch64).
  • تم تنفيذ الدعم لجميع ميزات Cgroup v2.
  • تم تنفيذ إطار عمل ktask لموازنة المهام في النواة التي تستهلك موارد كبيرة من وحدة المعالجة المركزية. على سبيل المثال ، بمساعدة ktask ، يمكن تنظيم موازاة العمليات لمسح نطاقات صفحات الذاكرة أو معالجة قائمة inodes ؛
  • تم تضمين إصدار متوازي من kswapd لمعالجة مقايضات الصفحات بشكل غير متزامن ، مما يقلل من عدد المقايضات المباشرة (المتزامنة). عندما ينخفض ​​عدد صفحات الذاكرة الخالية ، يقوم kswapd بمسح الصفحات غير المستخدمة التي يمكن تحريرها.
  • دعم للتحقق من سلامة صورة kernel والبرامج الثابتة الموقعة رقمياً عند تحميل النواة باستخدام آلية Kexec (تحميل النواة من نظام تم تحميله بالفعل).
  • تم تحسين أداء نظام إدارة الذاكرة الظاهرية ، وتحسين كفاءة مسح الذاكرة وصفحات التخزين المؤقت ، وتحسين معالجة الوصول إلى صفحات الذاكرة غير المخصصة (أخطاء الصفحات).
  • تم توسيع دعم NVDIMM ، ويمكن الآن استخدام الذاكرة الدائمة المحددة كذاكرة وصول عشوائي تقليدية.
  • تم الانتقال إلى نظام التصحيح الديناميكي DTrace 2.0 ، والذي مترجم لاستخدام النظام الفرعي eBPF kernel. يعمل DTrace الآن أعلى eBPF ، على غرار كيفية عمل أدوات تتبع Linux الحالية أعلى eBPF.
  • تم إجراء تحسينات على نظام الملفات OCFS2 (Oracle Cluster File System).
  • دعم محسّن لنظام الملفات Btrfs. تمت إضافة القدرة على استخدام Btrfs على أقسام الجذر. تمت إضافة خيار إلى برنامج التثبيت لتحديد Btrfs عند تنسيق الأجهزة. تمت إضافة القدرة على وضع ملفات الترحيل على أقسام باستخدام Btrfs. يضيف Btrfs دعمًا للضغط باستخدام خوارزمية ZStandard.
  • تمت إضافة دعم لواجهة الإدخال / الإخراج غير المتزامن - io_uring ، والتي تتميز بدعم استقصاء الإدخال / الإخراج والقدرة على العمل مع التخزين المؤقت وبدون التخزين المؤقت. من حيث الأداء ، فإن io_uring قريب جدًا من SPDK ويتفوق بشكل كبير على libaio عند تمكين الاقتراع. لاستخدام io_uring في التطبيقات النهائية التي تعمل في مساحة المستخدم ، تم إعداد مكتبة liburing ، مما يوفر ارتباطًا عالي المستوى عبر واجهة kernel ؛
  • دعم الوضع الإضافي كزبرة البئر للتشفير السريع لمحركات الأقراص.
  • دعم إضافي للضغط باستخدام خوارزمية زستاندارد (زستد).
  • يستخدم نظام الملفات ext4 طوابع زمنية 64 بت في حقول superblock.
  • يتضمن XFS تسهيلات للإبلاغ عن حالة تكامل نظام الملفات في وقت التشغيل وللحصول على حالة تنفيذ fsck أثناء التنقل.
  • تم تعيين مكدس TCP بشكل افتراضي إلى "وقت المغادرة المبكر"بدلاً من" في أسرع وقت ممكن "عند إرسال الحزم. تم تمكين دعم GRO (إلغاء تحميل الاستلام العام) لـ UDP. تمت إضافة دعم لتلقي حزم TCP وإرسالها في وضع النسخ الصفري.
  • يتم تضمين تنفيذ بروتوكول TLS على مستوى النواة (KTLS) ، والذي يمكن استخدامه الآن ليس فقط للبيانات المرسلة ، ولكن أيضًا للبيانات المستلمة.
  • يتم التمكين كواجهة خلفية لجدار الحماية افتراضيًا
    nftables. تمت إضافة الدعم الاختياري com.bpfilter.

  • تمت إضافة دعم للنظام الفرعي XDP (مسار بيانات eXpress) ، والذي يسمح بتشغيل برامج BPF على Linux على مستوى برنامج تشغيل الشبكة مع القدرة على الوصول مباشرة إلى المخزن المؤقت لحزمة DMA وفي المرحلة قبل أن يخصص مكدس الشبكة المخزن المؤقت skbuff.
  • تم تحسينه وتمكينه عند استخدام وضع التمهيد الآمن UEFI تأمين، والذي يقيد وصول المستخدم الجذر إلى النواة ويمنع مسارات تجاوز التمهيد الآمن لـ UEFI. على سبيل المثال ، يقيد وضع التأمين الوصول إلى / dev / mem و / dev / kmem و / dev / port و / proc / kcore و debugfs و kprobes debug mode و mmiotrace و tracefs و BPF و PCMCIA CIS (بنية معلومات البطاقة) وبعض الواجهات يتم حظر سجلات ACPI و MSR لوحدة المعالجة المركزية ، والمكالمات إلى kexec_file و kexec_load ، والانتقال إلى وضع السكون محظور ، واستخدام DMA لأجهزة PCI محدود ، واستيراد رمز ACPI من متغيرات EFI محظور ، والتلاعب باستخدام I / O المنافذ غير مسموح بها ، بما في ذلك تغيير رقم المقاطعة ومنفذ الإدخال / الإخراج للمنفذ التسلسلي.
  • تمت إضافة دعم لإرشادات المضاربة المقيدة من الفروع المحسّنة غير المباشرة (IBRS) التي تسمح لك بتمكين وتعطيل تنفيذ التعليمات التخمينية بشكل متكيف أثناء المقاطعات واستدعاءات النظام ومفاتيح السياق. إذا تم دعم IBRS المحسن ، يتم استخدام هذه الطريقة للحماية من هجمات Specter V2 بدلاً من Retpoline ، لأنها توفر أداءً أفضل.
  • تحسين الحماية في الدلائل التي يكتبها الجميع. في مثل هذه الدلائل ، يُحظر إنشاء ملفات وملفات FIFO مملوكة للمستخدمين ولا تتطابق مع مالك الدليل بالعلامة اللاصقة.
  • افتراضيًا في أنظمة ARM ، يتم تمكين التوزيع العشوائي لمساحة عنوان kernel على الأنظمة (KASLR). تم تمكين مصادقة المؤشر في Aarch64.
  • تمت إضافة دعم لـ "NVMe over Fabrics TCP".
  • تمت إضافة برنامج تشغيل Virtio-pmem لتوفير الوصول إلى أجهزة تخزين مساحة العنوان الفعلية مثل NVDIMMs.

المصدر: opennet.ru

إضافة تعليق