Oracle a publicat versiuni stabile ale distribuției Oracle Linux 9 și Unbreakable Enterprise Kernel 7 (UEK R7), poziționate pentru utilizare în distribuția Oracle Linux ca alternativă la pachetul standard de kernel de la Red Hat Enterprise Linux. Distribuția Oracle Linux 9 se bazează pe baza pachetului Red Hat Enterprise Linux 9 și este complet compatibilă cu aceasta.
Imaginile ISO de instalare de 8.6 GB și 840 MB, pregătite pentru arhitecturile x86_64 și ARM64 (aarch64), sunt oferite pentru descărcare fără restricții. Oracle Linux 9 are acces nelimitat și gratuit la depozitul yum cu actualizări de pachete binare care remediază erorile (eratele) și problemele de securitate. De asemenea, au fost pregătite pentru descărcare arhive acceptate separat cu seturi de pachete Application Stream și CodeReady Builder.
Pe lângă pachetul de kernel de la RHEL (bazat pe kernel 5.14), Oracle Linux oferă propriul kernel, Unbreakable Enterprise Kernel 7, bazat pe kernel-ul Linux 5.15 și optimizat pentru lucrul cu software industrial și hardware Oracle. Sursele nucleului, inclusiv defalcarea în patch-uri individuale, sunt disponibile în depozitul public Oracle Git. Unbreakable Enterprise Kernel este instalat implicit, poziționat ca o alternativă la pachetul standard de kernel RHEL și oferă o serie de caracteristici avansate, cum ar fi integrarea DTrace și suport îmbunătățit pentru Btrfs. În afară de nucleul suplimentar, versiunile Oracle Linux 9 și RHEL 9 sunt complet identice ca funcționalitate (lista modificărilor poate fi găsită în anunțul RHEL9).
Inovații cheie în Unbreakable Enterprise Kernel 7:
- Suport îmbunătățit pentru arhitectura Aarch64. Dimensiunea implicită a paginilor de memorie pe sistemele ARM pe 64 de biți a fost redusă de la 64 KB la 4 KB, ceea ce se potrivește mai bine cu dimensiunile de memorie și sarcinile de lucru tipice sistemelor ARM.
- Livrarea sistemului de depanare dinamică DTrace 2.0 a continuat, care a fost trecut la utilizarea subsistemului kernel eBPF. DTrace 2.0 rulează pe eBPF, similar modului în care instrumentele de urmărire Linux existente funcționează pe deasupra eBPF.
- Capacitățile sistemului de fișiere Btrfs au fost extinse. O implementare asincronă a operațiunii DISCARD a fost adăugată la Btrfs pentru a marca blocurile eliberate care nu mai trebuie să fie stocate fizic. Implementarea asincronă vă permite să nu așteptați ca unitatea să finalizeze DISCARD și să efectuați această operație în fundal. S-au adăugat noi opțiuni de montare pentru a simplifica recuperarea datelor dintr-un sistem de fișiere deteriorat: „rescue=ignorebadroots” pentru montare în ciuda deteriorării unor arbori rădăcină (extent, uuid, data reloc, device, csum, free space), „rescue=ignoredatacsums” pentru a dezactiva verificarea sumelor de verificare pentru date și „rescue=all” pentru a activa simultan modurile „ignorebadroots”, „ignoredatacsums” și „nologreplay”. S-au realizat optimizări semnificative de performanță legate de operațiunile fsync(). S-a adăugat suport pentru fs-verity (autentificare și verificare a integrității fișierelor) și maparea ID-ului utilizatorului.
- XFS acceptă operațiuni DAX pentru acces direct la fișiere, ocolind memoria cache a paginii pentru a elimina dubla stocare în cache. S-au adăugat modificări pentru a rezolva problemele de depășire cu tipul de date time_t pe 32 de biți în 2038, inclusiv noi opțiuni de montare bigtime și inobtcount.
- Au fost aduse îmbunătățiri sistemului de fișiere OCFS2 (Oracle Cluster File System).
- S-a adăugat sistemul de fișiere ZoneFS, care simplifică lucrul la nivel scăzut cu dispozitivele de stocare zonate. Unitățile zonate înseamnă dispozitive de pe hard disk-uri magnetice sau SSD-uri NVMe, spațiul de stocare în care este împărțit în zone care alcătuiesc grupuri de blocuri sau sectoare, în care este permisă doar adăugarea secvențială de date, actualizându-se întregul grup de blocuri. ZoneFS FS asociază fiecare zonă de pe unitate cu un fișier separat, care poate fi folosit pentru a stoca date în modul brut fără manipulare la nivel de sector și bloc, de exemplu. Permite aplicațiilor să folosească fișierul API în loc să acceseze direct dispozitivul de blocare folosind un ioctl.
- Suportul pentru protocolul VPN WireGuard a fost stabilizat.
- Capacitățile subsistemului eBPF au fost extinse. A fost implementat mecanismul CO-RE (Compile Once - Run Everywhere), care rezolvă problema portabilității programelor eBPF compilate și vă permite să compilați codul programelor eBPF o singură dată și să utilizați un încărcător universal special care adaptează programul încărcat la nucleul actual și formatul de tipuri BPF). S-a adăugat mecanismul „trambuline BPF”, care vă permite să reduceți practic cheltuielile generale atunci când transferați apelurile între kernel și programele BPF la zero. Este oferită capacitatea de a accesa direct funcționalitatea kernel-ului din programele BPF și de a suspenda handlerul.
- Un detector integrat pentru blocări divizate apare la accesarea datelor nealiniate din memorie datorită faptului că la executarea unei instrucțiuni atomice, datele traversează două linii de cache a CPU. Nucleul poate identifica din mers astfel de blocaje care cauzează o degradare semnificativă a performanței și poate emite avertismente sau trimite un semnal SIGBUS către aplicația care provoacă blocarea.
- Oferă suport pentru Multipath TCP (MPTCP), o extensie a protocolului TCP pentru organizarea funcționării unei conexiuni TCP cu livrarea de pachete simultan pe mai multe rute prin diferite interfețe de rețea asociate cu diferite adrese IP.
- Programatorul de sarcini implementează modul de planificare SCHED_CORE, care vă permite să controlați ce procese pot fi executate împreună pe același nucleu CPU. Fiecărui proces i se poate atribui un identificator cookie care definește domeniul de încredere dintre procese (de exemplu, aparținând aceluiași utilizator sau aceluiași container). Atunci când organizează execuția codului, planificatorul se poate asigura că un nucleu CPU este partajat numai între procesele asociate aceluiași proprietar, care poate fi folosit pentru a bloca unele atacuri Spectre, împiedicând rularea sarcinilor de încredere și care nu sunt de încredere pe același fir SMT (Hyper Threading). .
- Pentru cgroups, a fost implementat un controler de memorie slab, care este remarcabil pentru transferul contabilității slab de la nivelul paginilor de memorie la nivelul obiectelor kernel, ceea ce face posibilă partajarea paginilor slab în diferite cgroups, în loc să aloce cache-uri slab separate pentru fiecare cgroup. Abordarea propusă face posibilă creșterea eficienței utilizării plăcii, reducerea dimensiunii memoriei utilizate pentru slab cu 30-45%, reducerea semnificativă a consumului total de memorie al nucleului și reducerea fragmentării memoriei.
- Livrarea datelor de depanare este furnizată în formatul CTF (Compact Type Format), care oferă stocare compactă a informațiilor despre tipurile C, conexiuni între funcții și simboluri de depanare.
- Modulul DRBD (Distributed Replicated Block Device) și dispozitivul /dev/raw au fost întrerupte (utilizați indicatorul O_DIRECT pentru acces direct la fișiere).
Sursa: opennet.ru