强健的啄木鸟 · json的文件中生成路径,MATLAB进行调 ...· 2 月前 · |
机灵的炒面 · c3p0数据库连接池-阿里云开发者社区· 3 月前 · |
逆袭的红酒 · length - 技术 - ioDraw· 11 月前 · |
留胡子的毛豆 · LINK : error LNK2001: ...· 1 年前 · |
安静的消炎药 · 抬头见喜(2023年刘江江执导的电影)_搜狗百科· 1 年前 · |
无法使用 session_recording shell 登录到 RHEL web 控制台
目前,对于启用了 tlog 记录的用户,RHEL web 控制台登录会失败。RHEL web 控制台要求用户的 shell 存在于
/etc/shells
目录中,以允许成功登录。但是,如果将
tlog-rec-session
添加到
/etc/shells
中,则记录的用户可以通过使用 "chsh" 工具将 shell 从
tlog-rec-session
改为
/etc/shells
中的另一个 shell 来禁用记录。因此,红帽不推荐将
tlog-rec-session
添加到
/etc/shells 中
。
(BZ#1631905)
auth
和
authconfig
Kickstart 命令需要 AppStream 软件仓库
auth
和
authconfig
Kickstart 命令在安装过程中需要
authselect-compat
软件包。如果没有这个软件包,如果使用了
auth
或
authconfig
,则安装会失败。但根据设计,
authselect-compat
软件包只包括在 AppStream 仓库中。
要临时解决这个问题,请确定安装程序可使用 BaseOS 和 AppStream 软件仓库,或者在安装过程中使用
authselect
Kickstart 命令。
(BZ#1640697)
xorg-x11-drv-fbdev
,
xorg-x11-drv-vesa
和
xorg-x11-drv-vmware
视频驱动程序不会被默认安装
带有特定类型 NVIDIA 图形卡和带有特定 AMD 加速处理单元的工作站不会在 RHEL 8.0 服务器安装后显示图形登录窗口。
要临时解决这个问题,请在 workstation 计算机上执行 RHEL 8.0
工作站
安装。如果工作站上需要安装 RHEL 8.0
服务器
,请在安装后手动安装
base-x
软件包组,方法是运行
yum -y groupinstall base-x
命令。
此外,依赖 EFI 图形支持(如 Hyper-V)的虚拟机也受到影响。如果您在 Hyper-V 上选择了
Server with GUI
base 环境,则可能无法登录,因为重启时会显示一个黑色屏幕。要在 Hyper-v 中临时解决这个问题,请按照以下步骤启用多或单用户模式:
重启虚拟机。
在启动过程中,使用键盘上的上下箭头键选择所需的内核。
按键盘上的
e
键编辑内核命令行。
将
systemd.unit=multi-user.target
添加到 GRUB 中的内核命令行。
按
Ctrl-X
启动虚拟机。
登录后,运行
yum -y groupinstall base-x
命令。
重新引导虚拟机以访问图形模式。
(BZ#1687489)
使用
reboot --kexec
命令安装失败
当使用包含
reboot --kexec
命令的 Kickstart 文件时,RHEL 8 安装会失败。要避免这个问题,请在 Kickstart 文件中使用
reboot
命令而不是
reboot --kexec
。
(
BZ#1672405
)
将
Binary DVD.iso
文件的内容复制到分区会省略
.treeinfo
和
.discinfo
文件
在本地安装过程中,当将 RHEL 8 Binary DVD.iso 镜像文件的内容复制到分区时,
cp <path>/\* <mounted 分区>/dir
命令中的
*
无法复制
.treeinfo
和
.discinfo
文件。成功安装时需要这些文件。因此,BaseOS 和 AppStream 软件仓库不会被加载,在
anaconda.log
文件中与 debug 相关的日志消息是问题的唯一记录。
要临时解决这个问题,请将缺少的
.treeinfo
和
.discinfo
文件复制到分区。
(BZ#1692746)
Anaconda 安装包括最小资源设置要求的低限制
Anaconda 以最少的资源设置在系统中启动安装,并且不要提供有关成功执行安装所需的资源的先前消息警告。因此,安装可能会失败,输出错误不会为可能的调试和恢复提供清晰的信息。要临时解决这个问题,请确保系统具有安装所需的最少资源设置:2GB 内存在 PPC64(LE)和 1GB on x86_64 上。因此,应该可以成功执行安装。 (BZ#1696609)
reboot --kexec
和
inst.kexec
命令不提供可预测的系统状态
使用
reboot --kexec Kickstart
命令或
inst.kexec
内核引导参数执行 RHEL 安装不会提供与完全重启相同的可预期系统状态。因此,在不重启的情况下切换安装的系统可能会导致无法预计的结果。
请注意,
kexec
功能已弃用,并将在以后的 Red Hat Enterprise Linux 版本中删除。
(BZ#1697896)
i40iw 模块不会在引导时自动载入
由于许多 i40e NIC 不支持 iWarp,并且
i40iw
模块没有全面支持 suspend/resume,因此此模块默认不会自动加载,以确保暂停/恢复正常工作。要临时解决这个问题,请手动编辑
/lib/udev/rules.d/90-rdma-hw-modules.rules
文件,以启用
i40iw
的自动负载。
另请注意,如果同一机器上安装了另一个 RDMA 设备,非i40e RDMA 设备会触发
rdma
服务,它会加载所有已启用的 RDMA 堆栈模块,包括
i40iw
模块。
(BZ#1623712)
当很多设备被连接时,系统有时会变得无响应
当 Red Hat Enterprise Linux 8 配置大量设备时,系统控制台中会出现大量控制台信息。例如,当存在大量逻辑单元号(LUN)时,每个 LUN 都有多个路径。除了内核正在执行的其他工作外,控制台消息的激增可能会导致内核监视功能强制出现内核 panic,因为内核似乎处于挂起状态。
因为扫描在引导周期早期发生,所以连接很多设备时系统会变得无响应。这通常在系统启动时发生。
如果在启动后在机器上在设备扫描事件中启用了
kdump
,硬锁定会导致一个
vmcore
镜像的捕获。
要临时解决这个问题,增大 watchdog 锁定计时器。为此,请将
watchdog_thresh=
N
选项添加到内核命令行。将
N
替换为秒数:
如果少于一千台设备,请使用
30
个设备。
如果您有超过一千台设备,请使用
60
个设备。
对于存储,设备数量是到所有 LUN 的路径数:通常,
/dev/sd*
设备的数量。
应用临时解决方案后,系统在配置大量设备时不再响应。
(BZ#1598448)
KSM 有时会忽略 NUMA 内存策略
当内核共享内存(KSM)功能通过
merge_across_nodes=1
参数启用时,KSM 会忽略 mbind()函数设置的内存策略,并且可能会将某些内存区域的页面合并到与策略不匹配的非一致性内存访问(NUMA)节点。
要临时解决这个问题,如果使用 NUMA 内存与 QEMU 绑定,请禁用 KSM 或将
merge_across_nodes
参数设置为
0
。因此,为 KVM 虚拟机配置的 NUMA 内存策略可以正常工作。
(BZ#1153521)
qede
驱动程序挂起 NIC 并使其不可用
由于一个错误,41000 和 45000 QLogic 系列 NIC 的
qede
驱动程序可能会导致固件升级和调试数据收集操作失败,并使 NIC 不可用或处于挂起状态,直到主机重新引导(PCI 重置)使 NIC 再次正常运行。
在以下情况下都检测到了这个问题:
当使用 inbox 驱动程序升级 NIC 的固件时
在收集调试数据时,运行
ethtool -d ethx
命令
运行
sosreport
命令,因为它包含
ethtool -d ethx。
当 inbox 驱动程序启动自动调试数据收集,如 IO 超时、Mail Box 命令超时和硬件属性。
红帽的未来勘误将通过红帽漏洞公告(RHBA)发布来解决这个问题。要临时解决这个问题,请在
https://access.redhat.com/support
中创建一个问题单来请求受支持的修复程序,直到 RHBA 发布为止。
(BZ#1697310)
radix 树符号被添加到
kernel-abi-whitelists
在 Red Hat Enterprise Linux 8 中的
kernel-abi-whitelists
软件包中添加了以下 radix 树符号:
__radix_tree_insert
__radix_tree_next_slot
radix_tree_delete
radix_tree_gang_lookup
radix_tree_gang_lookup_tag
radix_tree_next_chunk
radix_tree_preload
radix_tree_tag_set
上面的符号不应存在,将从 RHEL8 白名单中删除。
(BZ#1695142)
Podman
无法检查 RHEL 8 中的容器
Checkpoint 和 Restore in Userspace(CRIU)软件包的版本在 Red Hat Enterprise Linux 8 中已经过时。因此,CRIU 不支持容器检查点和恢复功能,
podman
实用程序无法检查点容器。在运行
podman container checkpoint
命令时,会显示以下出错信息:'checkpointing a container requires at least CRIU 31100'
(BZ#1689746)
如果在
dracut.conf
中使用
add_dracutmodules+=earlykdump
选项,则
early-kdump
和标准的
kdump
会失败
目前,在为
early-kdump
安装的内核版本和为其生成的内核版本
initramfs
之间会发生不一致。因此,启用了
early-kdump
的引导会失败,
early-kdump
会失败。另外,如果
early-kdump
检测到它包含在标准
kdump
initramfs 镜像中,它会强制退出。因此,如果将
early-kdump
作为默认的
dracut
模块添加,则标准的
kdump
服务在尝试重建
kdump
时也会失败。因此,
early-kdump
和标准
kdump
都会失败。要临时解决这个问题,请不要在
dracut.conf
文件中添加
add_dracutmodules+=earlykdump
或任何等同的配置。因此,
dracut
默认不包含
early-kdump
,这可以防止问题的发生。但是,如果需要
early-kdump
镜像,则必须手动创建它。
(BZ#1662911)
Debug 内核无法在 RHEL 8 的崩溃捕获环境中引导
由于 debug 内核的内存需求特性,会在使用 debug 内核并触发内核 panic 时出现问题。因此,调试内核无法作为捕获内核引导,而是生成一个堆栈追踪。要临时解决这个问题,相应地增大崩溃内核内存。因此,debug 内核可以在崩溃捕获环境中成功引导。 (BZ#1659609)
当使用
fadump
时,网络接口被重命名为
kdump-<interface-name>
当固件辅助转储(
fadump
)用来捕获 vmcore ,并使用 SSH 或 NFS 协议将其保存到远程机器时,如果
<interface-name>
是通用的,则网络接口被重命名为
kdump-<interface-name>
。这是因为初始 RAM 磁盘(
initrd
)中的 vmcore 捕获脚本在网络接口名称中添加 kdump- 前缀来保护持久性命名。同一
initrd
也用于常规引导,因此生产内核的接口名称也会更改。
(BZ#1745507)
在非 root 用户下运行
yum list
会导致
YUM
崩溃
当在
libdnf
软件包已更新后在非 root 用户下运行
yum list
命令时,
YUM
可能会意外终止。如果您碰到这个 bug,请在 root 下运行
yum list
来解决此问题。因此,在非 root 用户下后续尝试运行
yum list
不再会导致
YUM
崩溃。
(BZ#1642458)
默认情况下, YUM v4 跳过不可用的软件仓库
YUM v4
默认为所有存储库的"skip_if_unavailable=True"设置。因此,如果所需的存储库不可用,则不会在安装、搜索或更新操作中考虑存储库中的软件包。因此,即使不存在存储库,某些
yum
命令和基于 yum 的脚本也会成功使用退出代码 0。
目前,除了更新
libdnf
软件包外,没有其他可用的临时解决方案。
(
BZ#1679509
)
nslookup
和
host
实用程序会忽略递归不可用的名称服务器的回复
如果配置了名称服务器,且递归不能用于名称服务器,则
nslookup
和
host
工具会忽略来自此类名称服务器的回复,除非它是最后配置的那个。如果是上次配置的名称服务器,即使没有
递归可用
标志,也会接受答案。但是,如果最后配置的域名服务器无法响应或者无法访问,名字解析会失败。
要临时解决这个问题:
确定配置的域名服务器总是使用
recursion available
进行回复。
允许为所有内部客户端进行 recursion。
若要对问题进行故障排除,您还可以使用
dig
实用程序检测递归是否可用。
(BZ#1599459)
绑定了
net-snmp
软件包的
Python
不可用
Net-SNMP
工具套件不为
Python 3
提供绑定,这是 RHEL 8 中默认的
Python
实现。因此,RHEL 8 不提供
python-net-snmp
、
python2-net-snmp
或
python3-net-snmp
软件包。
(BZ#1584510)
调试模式中的
systemd
生成不必要的日志消息
调试模式中的
systemd
系统和服务管理器会生成不必要的日志消息,其开头如下:
"Failed to add rule for system call ..."
运行以下命令列出信息:
journalctl -b _PID=1
这些调试消息毫无危害,您可以放心忽略它们。 目前,还没有可用的临时解决方案。 ( BZ#1658691 )
带有
KEYBD
陷阱字节字符的
ksh
当启用
KEYBD
陷阱时,Korn Shell(KSH)无法正确处理多字节字符。因此,当用户输入日语字符时,
ksh
显示一个不正确的字符串。要临时解决这个问题,注释掉以下行,在
/etc/kshrc
文件中禁用
KEYBD
陷阱:
trap keybd_trap KEYBD
如需了解更多详细信息,请参阅相关的 知识库解决方案 。 ( BZ#1503922 )
数据库服务器无法并行安装
由于 RPM 软件包冲突,RHEL 8.0 中无法并行安装
mariadb
和
mysql
模块。
按照设计,无法并行安装同一模块的多个版本(stream)。例如,您只需要从
postgresql
模块中选择一个可用的流,可以是
10
(默认)或
9.6
。在 RHEL 6 和 RHEL 7 的 Red Hat Software Collections 中可以并行安装组件。在 RHEL 8 中,可在容器中使用不同版本的数据库服务器。
(BZ#1566048)
mod_cgid
日志记录中的问题
如果在线程多处理模块(MPM)下使用
mod_cgid
Apache httpd 模块(这是 RHEL 8 中的默认情况),则会出现以下日志问题:
CGI 脚本的
stderr
输出未使用标准时间戳信息作为前缀。
如果已配置,CGI 脚本的
stderr
输出将无法正确重定向到特定于
VirtualHost
的日志文件。
(BZ#1633224)
IO::Socket::SSL
Perl 模块不支持 TLS 1.3
TLS 1.3 协议的新功能(如会话恢复或后握验证)是在 RHEL 8
OpenSSL
库中实现的,但未在
Net::SSLeay
Perl 模块中实现,因此在
IO::Socket::SSL
Perl 模块中不可用。因此,客户端证书身份验证可能会失败,重新建立会话可能比 TLS 1.2 协议慢。
要临时解决这个问题,请在创建
IO::Socket::SSL
对象时将
SSL_version
选项设置为
!TLSv1_3
值来禁用 TLS 1.3 的使用。
(BZ#1632600)
生成的 Scala 文档不可读取
使用
scaladoc
命令生成文档时,因为缺少 JavaScript 资源,生成的 HTML 页面将无法使用。
(BZ#1641744)
QXL
无法在基于 Wayland 的虚拟机上工作
qxl
驱动程序无法在特定系统管理程序上提供内核模式设置功能。因此,使用
qxl
的虚拟机(VM)不支持基于 Wayland 协议的图形,基于 Wayland 的登录屏幕也不会启动。
要临时解决这个问题,请使用 :
基于 QuarkXpress Element Library(QXL)图形的虚拟机上的
Xorg
显示服务器而不是
Wayland 上的 GNOME Shell
。
虚拟机的
virtio
驱动程序而不是
qxl
驱动程序。
(BZ#1641763)
运行
systemctl isolate multi-user.target
时不会显示控制台提示符
当在 GNOME 桌面会话中运行
systemctl isolate multi-user.target
命令时,只会显示光标,而不是控制台提示符。要临时解决这个问题,请按
Ctrl+Alt+F2
键。因此,会出现控制台提示符。
其行为适用于
Wayland 上的 GNOME Shell
和
X.Org
显示服务器。
(
BZ#1678627
)
X.Org 上运行的桌面在更改为低屏幕分辨率时挂起
将 GNOME 桌面与 X.Org 显示服务器搭配使用时,如果您尝试将屏幕分辨率更改为低值,桌面将变得无响应。要临时解决这个问题,请不要将屏幕分辨率设置为小于 800 x 600 像素的值。 (BZ#1655413)
radeon
无法正确重置硬件
radeon
内核驱动程序目前没有在 kexec 上下文中正确重置硬件。相反,
radeon
无法工作,从而导致剩余的
kdump
服务失败。
要临时解决这个问题,请通过在
/etc/kdump.conf
文件中添加以下行来在
kdump
中将
radeon
列入黑名单:
dracut_args --omit-drivers "radeon" force_rebuild 1
重启机器和
kdump
。启动
kdump
后,
force_rebuild 1
行可能会从配置文件中删除 。
请注意,在这种情况下,
kdump
不会提供图形,但
kdump
可成功运行。
(BZ#1694705)
使用 ARP 链接监控器时备份从 MII 状态不起作用
默认情况下,由 i40e 驱动程序管理的设备进行源修剪,这会丢弃具有源 Media Access Control(MAC)地址与其中一个接收过滤器匹配的数据包。因此,在通道绑定中使用地址解析协议(ARP)监控时,备份介质独立接口(MII)状态将无法正常工作。要临时解决这个问题,请使用以下命令禁用源修剪:
# ethtool --set-priv-flags <ethX> disable-source-pruning on
因此,备份从 MII 状态可以正常工作。 (BZ#1645433)
在某些情况下,HP NMI watchdog 不会生成崩溃转储
HP NMI watchdog 的
hpwdt
驱动程序有时无法声明由 HPE watchdog 计时器生成的不可屏蔽中断(NMI),因为 NMI 被
perfmon
驱动程序使用。
因此,
hpwdt
在某些情况下无法调用 panic 来生成崩溃转储。
(BZ#1602962)
KCM 凭证缓存不适用于单个凭证缓存中的大量凭证
Kerberos 凭据管理器(KCM)可以处理最多 64 kB 的 ccache 大小。如果它包含太多凭证,Kerberos 操作(如
kinit
)会失败,因为用于在
sssd-kcm
组件和底层数据库间传输数据的缓冲区存在硬编码限制。
要临时解决这个问题,请在
/etc/sssd/sssd.conf
文件的
kcm
部分添加
ccache_storage = memory
选项。这指示
kcm
响应器仅将凭证缓存存储在内存中,而不是永久存储。如果您这样做,重启系统或
sssd-kcm
会清除凭证缓存。
(BZ#1448094)
更改
/etc/nsswitch.conf
需要手动重启系统
对
/etc/nsswitch.conf
文件的任何更改(例如运行
authselect select profile_id
命令)都需要重启系统,以便所有相关进程使用更新版本的
/etc/nsswitch.conf
文件。如果无法重新启动系统,请重新启动将您的系统加入 Active Directory 的服务,即
系统安全服务后台程序
(SSSD)或
winbind
。
(
BZ#1657295
)
冲突的超时值阻止 SSSD 连接到服务器
与 System Security Services Daemon(SSSD)使用的故障转移操作相关的一些默认超时值相互冲突。因此,为 SSSD 与单个服务器进行通信的超时值会阻止 SSSD 在连接操作超时前尝试其他服务器。要临时解决这个问题,请设置
ldap_opt_timeout
超时参数的值,高于
dns_resolver_timeout
参数的值,并设置
dns_resolver_timeout
参数的值高于
dns_resolver_op_timeout
参数的值。
(BZ#1382750)
SSSD 只能查找 ID 覆盖中的唯一证书
当多个 ID 覆盖包含同一证书时,系统安全服务守护进程(SSSD)将无法解析与证书匹配的用户的查询。尝试查找这些用户不会返回任何用户。请注意,通过使用用户名或 UID 查找用户可以正常工作。 (BZ#1446101)
SSSD 无法正确处理具有相同优先级的多个证书匹配规则
如果给定证书与多个具有相同优先级的证书匹配规则匹配,系统安全服务守护进程(SSSD)只使用其中一个规则。作为临时解决方案,请使用单个证书匹配规则,该规则 LDAP 过滤器由与
|
(或)运算符串联的单独规则的过滤器组成。有关证书匹配规则的示例,请参阅 sss-certamp(5)man page。
(BZ#1447945)
SSSD 为本地用户返回不正确的 LDAP 组成员资格
如果系统安全服务守护进程(SSSD)从本地文件为用户提供服务,则文件提供商不包含来自其他域的组成员资格。因此,如果本地用户是 LDAP 组的成员,
id local_user
命令不会返回用户的 LDAP 组成员资格。要临时解决这个问题,可以恢复系统在
/etc/nsswitch.conf
文件中查找用户的组成员资格的数据库的顺序,将
sss files
替换为
files sss
,或隐式禁用
files
域,方法是添加
enable_files_domain=False
到
/etc/sssd/sssd.conf
文件中的
[sssd]
部分。
因此,
id local_user
会为本地用户返回正确的 LDAP 组成员资格。
(
BZ#1652562
)
如果 sudo 规则引用组名称,则 sudo 规则可能无法用于
id_provider=ad
在
initgroups
操作过程中,系统安全服务守护进程(SSSD)不会解析 Active Directory 组名称,因为使用缓存优化了 AD 和 SSSD 之间的通信。缓存条目仅包含安全标识符(SID),在按名称或 ID 请求组之前,不包含组名称。因此,sudo 规则与 AD 组不匹配,除非在运行 sudo 之前完全解析了这些组。
要临时解决这个问题,您需要禁用优化:打开
/etc/sssd/sssd.conf
文件,并在
[domain/example.com]
部分中添加
ldap_use_tokengroups = false
参数。
(
BZ#1659457
)
RHEL 8 中已更改了
systemd-user
的默认 PAM 设置,这可能会影响 SSSD 行为
Red Hat Enterprise Linux 8 中更改了可插拔验证模块(PAM)堆栈。例如,systemd 用户会话现在使用
systemd
-user
PAM 服务启动 PAM 对话。此服务现在递归包含
system-auth
PAM 服务,其中可能包括
pam_sss.so
接口。这意味着始终调用 SSSD 访问控制。
请注意为 RHEL 8 系统设计访问控制规则时的更改。例如,您可以将
systemd-user
服务添加到允许的服务列表中。
请注意,对于某些访问控制机制,如 IPA HBAC 或 AD GPOs,默认情况下
systemd-user
服务已添加到允许的服务列表中,您不需要进行任何操作。
(
BZ#1669407
)
IdM 服务器在 FIPS 中无法工作
由于 Tomcat 的 SSL 连接器实现不完整,装有证书服务器的身份管理(IdM)服务器在启用了 FIPS 模式的机器上无法正常工作。 ( BZ#1673296 )
使用
sss
ID 映射插件时,Samba 拒绝访问
要将 Samba 用作加入 Active Directory(AD)域的 RHEL 主机上的文件服务器,必须运行 Samba Winbind 服务,即使 SSSD 用于管理 AD 中的用户和组。如果您使用
realm join --client-software=sssd
命令加入域,或者在此命令中未指定
--client-software
参数,则
realm
仅创建
/etc/sssd/sssd.conf
文件。当您使用此配置在域成员上运行 Samba 并添加使用
sss
ID 映射后端到
/etc/samba/smb.conf
文件以共享目录的配置时,ID 映射后端的更改可能会导致错误。因此,Samba 在某些情况下拒绝访问文件,即使存在用户或组且 SSSD 已知的。
如果您计划从以前的 RHEL 版本升级,
/etc/sssd/sssd.conf
文件中的
ldap_id_mapping
参数被设置为
True
(这是默认值),则没有可用的临时解决方案。在这种情况下,不要将主机升级到 RHEL 8,直到问题解决为止。
在其他情况下可能解决这一问题:
对于新安装,请使用
realm join --client-software=winbind
命令加入域。这会将系统配置为在所有用户和组查找中使用 Winbind 而不是 SSSD。在这种情况下,Samba 根据您是否将
--automatic-id-mapping
选项设置为
yes
(默认)或
no
来在
/etc/samba/smb.conf
中使用
rid
或
ad
ID 映射插件。如果您计划在将来或其他系统中使用 SSSD,使用
--automatic-id-mapping=no
允许更轻松地迁移,但要求您在 AD 中为所有用户和组存储 POSIX UID 和 GID。
当从以前的 RHEL 版本升级时,如果
/etc/sssd/sssd.conf
文件中的
ldap_id_mapping
参数被设置为
False
,系统使用 AD 中的
uidNumber
和
gidNumber
属性进行 ID 映射:
将
/etc/samba/smb.conf
文件中的
idmap config <domain> : backend = sss
条目改为
idmap config <domain> : backend = ad
使用
systemctl status winbind
命令重新启动 Winbind。
(
BZ#1657665
)
nuxwdog
服务在 HSM 环境中失败,且需要在非 HSM 环境中安装
keyutils
软件包
nuxwdog
watchdog 服务已集成到证书系统中。因此,
nuxwdog
不再作为单独的软件包提供。要使用 watchdog 服务,请安装
pki-server
软件包。
请注意,
nuxwdog
服务有以下已知问题:
如果您使用硬件存储模块(HSM),
nuxwdog
服务将无法工作。对于这个问题,没有可用的临时解决方案。
在非 HSM 环境中,Red Hat Enterprise Linux 8.0 不自动安装
keyutils
软件包作为依赖项。要手动安装 软件包,请使用
dnf install keyutils
命令。
(
BZ#1652269
)
仅可在 IdM CLI 中添加 AD 用户的 ID 覆盖
目前,将 Active Directory(AD)用户的 ID 覆盖添加到 Identity Management(IdM)组中,以便在 IdM Web UI 中授予对管理角色的访问权限。要临时解决这个问题,请使用 IdM 命令行界面(CLI)。
请注意,如果在之前使用
ipa
工具执行了某些操作后,在 IdM 服务器上安装了
ipa-idoverride-memberof-plugin
软件包,红帽建议清理
ipa
工具的缓存,以强制它刷新其有关 IdM 服务器元数据的视图。
为此,请删除在其下执行
ipa
实用程序的用户
~/.cache/ipa
目录的内容。例如,对于 root:
# rm -r /root/.cache/ipa
( BZ#1651577 )
在 IdM 中启用 AD 信任时,没有显示有关所需 DNS 记录的信息
当通过外部 DNS 管理启用对 Red Hat Enterprise Linux Identity Management(IdM)安装中的 Active Directory(AD)信任时,不会显示有关所需 DNS 记录的信息。只有添加所需的 DNS 记录后,林信任才会成功。要临时解决这个问题,请运行 'ipa dns-update-system-records --dry-run' 命令,以获取 IdM 所需的所有 DNS 记录列表。当 IdM 域的外部 DNS 定义所需的 DNS 记录时,有可能建立对 AD 的林信任。 ( BZ#1665051 )
对
ldap_id_use_start_tls
选项使用默认值时的潜在风险
当使用没有 TLS 的
ldap://
进行身份查找时,可能会对攻击向量构成风险。特别是中间人(MITM)攻击,例如,攻击者可以通过更改 LDAP 搜索中返回的对象的 UID 或 GID 来冒充用户。
目前,强制 TLS 的 SSSD 配置选项
ldap_id_use_start_tls
默认为
false
。确保您的设置在可信环境中操作,并决定对
id_provider = ldap
使用未加密的通信是否是安全的。注意
id_provider = ad
和
id_provider = ipa
不受影响,因为它们使用 SASL 和 GSSAPI 保护的加密连接。
如果使用未加密的通信不安全,请在
/etc/sssd/sssd.conf
文件中将
ldap_id_use_start_tls
选项设置为
true
来强制使用 TLS。计划在以后的 RHEL 版本中更改的默认行为。
(JIRA:RHELPLAN-155168)
GCC confuse SystemTap 生成的复合功能
GCC 优化可以为其他函数的部分内嵌副本生成复合函数。SystemTap 和 GDB 等工具无法区分这些复合函数和实际功能。因此,SystemTap 可以在复合和真实功能入口点上放置探测,从而为单个实际函数调用注册多个探测命中。 要临时解决这个问题,SystemTap 脚本必须经过相应调整,如检测递归和抑制与内联部分功能相关的探测。例如,一个脚本
probe kernel.function("can_nice").call { }
可以尝试避免描述的问题,如下所示:
global in_can_nice% probe kernel.function("can_nice").call { in_can_nice[tid()] ++; if (in_can_nice[tid()] > 1) { next } /* code for real probe handler */ probe kernel.function("can_nice").return { in_can_nice[tid()] --; 请注意,这个示例脚本没有考虑所有可能的情况,如错过的 kprobes 或 kretprobes 或真正的预期递归。 (BZ#1169184)
ltrace
工具不报告函数调用由于改进了应用于所有 RHEL 组件的二进制强化,
ltrace
工具无法再检测 RHEL 组件的二进制文件中的功能调用。因此,ltrace
输出为空,因为在用于此类二进制文件时,其不报告任何检测到的调用。目前还没有可用的临时解决方案。 作为备注,ltrace
可以正确报告自定义二进制文件中的调用,而无需相应的强化标记。 (BZ#1618748, BZ#1655368)
无法使用
iscsiuio
软件包发现 iSCSI 目标
Red Hat Enterprise Linux 8 不允许并发访问 PCI 寄存器区域。因此,
无法设置主机 net 参数(err 29)错误
,到发现门户的连接会失败。要临时解决这个问题,请在内核命令行中设置 iSCSI 卸载的内核参数
iomem=relaxed
。这专门涉及使用
bnx2i
驱动程序进行卸载。因此,到发现门户的连接现在是成功的,
iscsiuio
软件包现在可以正常工作。
(BZ#1626629)
迁移到不同的终端平台后,VDO 卷会丢失重复数据删除建议
Virtual Data Optimizer(VDO)以您的平台原生的 endian 格式写入通用重复数据删除服务(UDS)索引标头。如果您将 VDO 卷移至使用其他 endian 的平台,VDO 会考虑 UDS 索引损坏,并使用新的空白索引覆盖它。 因此,覆盖前保存在 UDS 索引中的任何重复数据删除建议都会丢失。然后 VDO 无法根据在移动卷前存储的数据删除新写入的数据,从而减少空间。 ( BZ#1696492 )
XFS DAX 挂载选项与共享写时复制数据扩展不兼容
使用共享写时复制数据扩展功能格式化的 XFS 文件系统与
-o dax
挂载选项不兼容。因此,使用
-o dax
挂载这样的文件系统会失败。
要临时解决这个问题,使用
reflink=0
metadata 选项格式化文件系统以禁用共享复制时写入数据扩展:
# mkfs.xfs -m reflink=0 block-device
因此,使用
-o dax
挂载文件系统会成功。
如需更多信息,请参阅
在 NVDIMM 上创建文件系统 DAX 命名空间
。
(BZ#1620330)
某些 SCSI 驱动程序有时可能会使用过多的内存
某些 SCSI 驱动程序使用的内存比 RHEL 7 中的内存更大。在某些情况下,比如在光纤通道主机总线适配器(HBA)上创建 vPort,内存用量可能会过大,具体取决于系统配置。 内存用量增加是由块层中内存预分配造成的。多队列块设备调度(BLK-MQ)和多队列 SCSI 堆栈(SCSI-MQ)预分配 RHEL 8 中每个 I/O 请求的内存,从而提高了内存用量。 (BZ#1733278)
nftables
不支持多组 IP 设置类型
nftables
数据包过滤框架不支持设置具有串联和间隔的类型。因此,您无法使用带有
nftables
的多维 IP 设置类型,如
hash:net,port
。
要临时解决这个问题,如果您需要多组 IP 设置类型,请将
iptables
框架与
ipset
工具一起使用。
(BZ#1593711)
iptables-extensions(8)man
page 中的
TRACE
目标不参考 the
nf_tables
变体
iptables-extensions(8)
手册页中
TRACE
目标的描述只指向
compat
变体,但 Red Hat Enterprise Linux(RHEL)8.0 使用
nf_tables
变体。RHEL 中的基于
nftables
的
iptables
实用程序在内部使用
meta nftrace
表达式。因此,内核不会在内核日志中打印
TRACE
事件,而是将它们发送到用户空间。但是,man page 不引用
xtables-monitor
命令行实用程序来显示这些事件。
(
BZ#1658734
)
RHEL 8 在交换机在长时间不可用后显示 802.3ad 绑定的状态为"Churned"
目前,当您配置 802.3ad 网络绑定并且交换机长时间停机时,Red Hat Enterprise Linux 会正确地将绑定的状态显示为"Churned",即使连接返回到工作状态后也是如此。但是,这是预期的行为,因为"Churned"状态旨在告知管理员发生了重大链接中断。要清除此状态,请重新启动网络绑定或重新引导主机。 (BZ#1708807)
ebtables
命令不支持
broute
表
Red Hat Enterprise Linux 8.0 中的
nftables
-based
ebtables
命令不支持
broute
表。因此,用户无法使用这个功能。
(BZ#1649790)
当禁用 GRO 时,IPsec 网络流量在 IPsec 卸载过程中失败
当在该设备中禁用通用接收 Offload(GRO)时,IPsec 卸载将不会正常工作。如果在一个网络接口中配置了 IPsec 卸载,且在该设备中禁用 GRO,IPsec 网络流量会失败。 要临时解决这个问题,在该设备中启用 GRO。 (BZ#1649647)
NetworkManager
现在默认使用
内部
DHCP 插件
NetworkManager
支持
internal
和
dhclient
DHCP 插件。默认情况下, Red Hat Enterprise Linux(RHEL)7 中的
NetworkManager
使用
dhclient
,RHEL 8 使用
internal
插件。在某些情况下,插件的行为不同。例如:
dhclient
可以使用在
/etc/dhcp/
目录里指定的附加设置。
如果您从 RHEL 7 升级到 RHEL 8,且
NetworkManager
的行为不同,请在
/etc/NetworkManager/NetworkManager.conf
文件中的
[main]
部分添加以下设置以使用
dhclient
插件:
[main] dhcp=dhclient
(BZ#1571655)
不能使用
gnome-control-center
更改
基于 IPsec 的 VPN
高级选项
当使用
gnome-control-center
应用程序配置
基于 IPsec 的 VPN
连接时,
高级
对话框将仅显示配置,但不允许进行任何更改。因此,用户无法更改任何高级 IPsec 选项。要临时解决这个问题,请使用
nm-connection-editor
或
nmcli
工具来执行高级属性的配置。
(
BZ#1697326
)
/etc/hosts.allow 和 /etc/hosts.deny 文件包含不准确的信息
在 Red Hat Enterprise Linux(RHEL)8 中删除 tcp_wrappers 软件包,但不删除其文件 /etc/hosts.allow 和 /etc/hosts.deny。因此,这些文件包含过时的信息,不适用于 RHEL 8。 要临时解决这个问题,请使用防火墙规则过滤对服务的访问。要根据用户名和主机名进行过滤,请使用特定于应用程序的配置。 ( BZ#1663556 )
在网络流量过载下,IP 碎片整理无法持续
在 Red Hat Enterprise Linux 8 中,垃圾回收内核线程已被删除,IP 片段仅在超时后过期。因此,在 Denial of Service(DoS)下的 CPU 使用率低得多,且最大可持续发展片段丢弃率会受到为 IP 回配单元配置的内存量的限制。使用默认设置工作负载需要存在数据包丢弃的碎片流量时,数据包重新排序或多个并发碎片流可能会发生相关的性能回归。
在这种情况下,用户可以在
/proc/sys/net/ipv4
目录设置
ipfrag_high_thresh
变量来限制内存量和
ipfrag_time
变量,从而在内存中保持每秒的 IP 碎片。例如,
echo 419430400 > /proc/sys/net/ipv4/ipfrag_high_thresh echo 1 > /proc/sys/net/ipv4/ipfrag_time
以上命令适用于 IPv4 流量。对于 IPv6 ,相关可调项是:
/proc/sys/net/ipv6/
目录中的
ip6frag_high_thresh
和
ip6frag_time
。
请注意,任何依赖于高速碎片流量的工作负载都可能导致稳定性和性能问题,特别是在数据包丢弃方面,因此生产环境中强烈建议进行此类部署。
(BZ#1597671)
RHEL 8 中的网络接口名称更改
在 Red Hat Enterprise Linux 8 中,默认使用与 RHEL 7 相同的一致的网络设备命名方案。但是,有些内核驱动程序,如
e1000e
、
nfp
、
qede
、
sfc
、
tg3
和
bnxt_en
在 RHEL 8 的新安装中更改了它们的一致性名称。但是,名称会在从 RHEL 7 升级时保留。
(
BZ#1701968
)
libselinux-python
只能通过其模块提供
libselinux-python
软件包只包含用于开发 SELinux 应用程序的 Python 2 绑定,它用于向后兼容。因此,通过
dnf install libselinux-python
命令,默认的 RHEL 8 软件仓库不再提供
libselinux-python
。
要临时解决这个问题,请启用
libselinux-python
和
python27
模块,并使用以下命令安装
libselinux-python
软件包及其相依性软件包:
# dnf module enable libselinux-python # dnf install libselinux-python
或者,使用它的安装配置集在一个命令中安装
libselinux-python
:
# dnf module install libselinux-python:2.8/common
因此,您可以使用相关的模块安装
libselinux-python
。
(BZ#1666328)
libssh
不遵循系统范围的加密策略
libssh
库不遵循系统范围的加密策略设置。因此,当管理员使用
update-crypto-policies
命令更改 crypto 策略级别时,支持的算法集合不会被改变。
要临时解决这个问题,需要使用
libssh
的每个应用程序单独设置一组公告的算法。因此,当系统被设置为 criACY 或 FUTURE 策略级别时,使用
libssh
的应用程序与
OpenSSH
相比的行为不一致。
(BZ#1646563)
某些
rsyslog
优先级字符串无法正常工作
对于允许对加密进行精细控制的
imtcp
的
GnuTLS
优先级字符串的支持并不完整。因此,以下优先级字符串无法在
rsyslog
中正常工作:
NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+DHE-RSA:+AES-256-GCM:+SIGN-RSA-SHA384:+COMP-ALL:+GROUP-ALL
要临时解决这个问题,请只使用正确的优先级字符串:
NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+ECDHE-RSA:+AES-128-CBC:+SIGN-RSA-SHA1:+COMP-ALL:+GROUP-ALL
因此,当前的配置必须仅限于可正常工作的字符串。 ( BZ#1679512 )
默认日志设置在性能上的负面影响
默认日志环境设置可能会消耗 4 GB 内存甚至更多,当
systemd-journald
使用
rsyslog
运行时,速率限制值的调整会很复杂。
如需更多信息,请参阅
RHEL 默认日志设置对性能的负面影响及环境方案
。
(JIRA:RHELPLAN-10431)
OpenSCAP
rpmverifypackage
无法正常工作
rpmverifypackage
探测调用
chdir
和
chroot
系统调用两次。因此,在使用自定义 Open Vulnerability 和评估语言(OVAL)内容的
OpenSCAP
扫描中使用探测时会出现错误。
要临时解决这个问题,请不要在您的内容中使用
rpmverifypackage_test
OVAL 测试,或者仅使用未使用
rpmverifypackage_test
的
scap-security-guide
软件包中的内容。
(BZ#1646197)
SCAP Workbench 无法从定制的配置集生成基于结果的补救方法
当尝试使用 SCAP Workbench 工具从自定义配置文件生成基于结果的补救角色时,会发生以下错误:
Error generating remediation role .../remediation.sh: Exit code of oscap was 1: [output truncated]
要临时解决这个问题,请使用带有
--tailoring-file
选项的
oscap
命令。
(BZ#1640715)
Kickstart 在 RHEL 8 中使用
org_fedora_oscap
而不是
com_redhat_oscap
Kickstart 将 Open Security Content Automation Protocol(OSCAP)Anaconda 附加组件引用为
org_fedora_oscap
而不是
com_redhat_oscap
,这可能会导致混乱。这样做可以保持与 Red Hat Enterprise Linux 7 的向后兼容性。
(BZ#1665082)
OpenSCAP
rpmverifyfile
无法正常工作
OpenSCAP
扫描程序无法以脱机模式正确更改当前工作目录,并且不使用
OpenSCAP
rpmverifyfile
探测中的正确参数调用
fchdir
功能。因此,如果在 SCAP 内容中使用
rpmverifyfile_test
,则使用一个
oscap-chroot
命令扫描任意文件系统会失败。因此,在上述场景中,
oscap-chroot
中止。
(BZ#1636431)
OpenSCAP
不提供虚拟机和容器的离线扫描
重构
OpenSCAP
代码库会导致某些 RPM 探测无法在离线模式下扫描虚拟机和容器文件系统。因此,以下工具已从
openscap-utils
软件包中删除:
oscap-vm
和
oscap-chroot
。另外,opens
cap-containers
软件包已被完全删除。
(BZ#1618489)
不提供容器安全和合规性扫描的实用程序
在 Red Hat Enterprise Linux 7 中,
oscap-docker
工具可用于根据原子技术扫描 Docker 容器。在 Red Hat Enterprise Linux 8 中,Docker 和 Atomic 相关的
OpenSCAP
命令不可用。因此,RHEL 8 当前无法使用,
oscap-docker
或等同的工具用于容器的安全性和合规性扫描。
(BZ#1642373)
OpenSSL TLS
库不会检测到
PKCS#11
令牌是否支持创建原始
RSA
或
RSA-PSS
签名
TLS-1.3
协议需要支持
RSA-PSS
签名。如果
PKCS#11
令牌不支持
raw RSA
或
RSA-PSS
签名,使用
OpenSSL
TLS
库的服务器应用程序将无法使用
RSA
密钥(如果
PKCS#11
令牌持有)。因此,
TLS
通信将失败。
要临时解决这个问题,将服务器或客户端配置为使用
TLS-1.2
版本作为可用最高
TLS
协议版本。
(
BZ#1681178
)
如果 Apache
httpd
使用存储在 PKCS#11 设备和 RSA-PSS 证书中的 RSA 私钥,则无法启动
PKCS#11 标准不会区分 RSA 和 RSA-PSS 密钥对象,并为这两者使用
CKK_RSA
类型。但是,OpenSSL 将不同类型的用于 RSA 和 RSA-PSS 密钥。因此,
openssl-pkcs11
引擎无法决定为 OpenSSL 提供 PKCS#11 RSA 密钥对象的类型。目前,引擎会将所有 PKCS#11
CKK_RSA
对象的密钥类型设置为 RSA 密钥。当 OpenSSL 将从证书获得的 RSA-PSS 公钥的类型与引擎提供的 RSA 私钥对象中包含的类型进行比较时,则得出不同类型的结果。因此,证书和私钥不匹配。
X509_check_private_key()
OpenSSL 函数中执行的检查在此场景中返回一个错误。
httpd
Web 服务器在其启动过程中调用此功能,以检查提供的证书和密钥是否匹配。由于对包含 RSA-PSS 公钥和 PKCS#11 模块中存储的 RSA-PSS 公钥和 RSA 私钥的证书进行这个检查总会失败,所以
httpd
无法开始使用此配置。这个问题没有可用的临时解决方案。
(
BZ#1664802
)
如果
httpd
使用 ECDSA 私钥,且未存储在 PKCS#11 设备中的对应公钥,则 httpd 无法启动
与 RSA 密钥不同,ECDSA 私钥不一定包含公钥信息。在这种情况下,您无法从 ECDSA 私钥获取公钥。因此,PKCS#11 设备将公钥信息存储在单独的对象中,无论是公钥对象还是证书对象。OpenSSL 期望引擎提供的
EVP_PKEY
结构用于存放公钥信息的私钥。填写要提供给 OpenSSL 的
EVP_PKEY
结构时,
openssl-pkcs11
软件包中的引擎会尝试仅从匹配的公钥对象获取公钥信息,并忽略当前的证书对象。
当 OpenSSL 从引擎请求 ECDSA 私钥时,提供的
EVP_PKEY
结构不包含公钥信息,如果 PKCS#11 设备中没有公钥,即使有匹配的证书可用,也是如此。因此,因为 Apache
httpd
web 服务器调用
X509_check_private_key()
函数,因此在启动过程中需要公钥,
httpd
无法在此场景中启动。要临时解决这个问题,使用 ECDSA 密钥将私钥和公钥保存在 PKCS#11 设备中。因此,当 ECDSA 密钥存储在 PKCS#11 设备中时,
httpd
可正确启动。
(
BZ#1664807
)
OpenSSH 无法正确处理不匹配标签的密钥的 PKCS #11 URI
OpenSSH 套件可以通过标签识别密钥对。该标签可能会在保存在智能卡中的私钥和公钥上有所不同。因此,使用对象部分(密钥标签)指定 PKCS #11 URI 可以阻止 OpenSSH 在 PKCS #11 中查找适当的对象。 要临时解决这个问题,请指定 PKCS #11 URIs,但没有对象部分。因此,OpenSSH 可以在使用 PKCS #11 URI 引用的智能卡上使用密钥。 (BZ#1671262)
iptables-ebtables
输出不与
ebtables
100% 兼容
在 RHEL 8 中,
ebtables
命令由
iptables-ebtables
软件包提供,该软件包包含一个基于
nftables
的工具的重新实现。此工具具有不同的代码库,其输出在诸多方面有偏差,这些代码可忽略或谨慎设计选择。
因此,在迁移用于解析
ebtables
输出脚本时,需要对脚本进行以下调整:
将 MAC 地址格式化改为固定长度。必要时,在独立的字节值的开始包含一个 0,用于维护每个字段值带有两个字符。
已更改 IPv6 前缀的格式以符合 RFC 4291。斜杠字符后的结尾部分不再包含 IPv6 地址格式的子网掩码,而是一个前缀长度。这个更改只适用于有效的(left-contiguous)掩码,其他更改则仍然以旧格式打印。
(
BZ#1674536
)
OpenSSH 中默认不支持
curve25519-sha256
OpenSSH 客户端和服务器的系统范围的加密策略配置中缺少
curve25519-sha256
SSH 密钥交换算法,即使它符合默认的策略级别。因此,如果客户端或服务器使用
curve25519-sha256
且主机不支持这个算法,则连接可能会失败。
要临时解决这个问题,您可以通过为 OpenSSH 客户端和服务器修改
/etc/crypto-policies/back-ends/
目录中的
openssh.config
和
opensshserver.config
文件来手动覆盖系统范围加密策略的配置。请注意,这个配置在每次系统范围的加密策略更改中都会被覆盖。如需更多信息,请参阅
update-crypto-policies(8)
man page。
(
BZ#1678661
)
OpenSSL
错误处理 PKCS #11 tokens 不支持原始 RSA 或 RSA-PSS 签名
OpenSSL
库不会检测到 PKCS #11 令牌的与键相关的功能。因此,当使用不支持原始 RSA 或 RSA-PSS 签名的令牌创建签名时,建立 TLS 连接会失败。
要临时解决这个问题,请在
/etc/pki/tls/openssl.cnf
文件的
crypto_policy
部分的
.include
行后面添加以下行:
SignatureAlgorithms = RSA+SHA256:RSA+SHA512:RSA+SHA384:ECDSA+SHA256:ECDSA+SHA512:ECDSA+SHA384 MaxProtocol = TLSv1.2
因此,可以在描述的场景中建立 TLS 连接。 ( BZ#1685470 )
与 VMware 托管系统的 SSH 连接无法正常工作
OpenSSH
套件的当前版本在 SSH 数据包中引入了对默认 IP 服务质量(IPQoS)标记的更改,这是 VMware 虚拟化平台无法正确处理的。因此,无法与 VMware 上的系统建立 SSH 连接。
要临时解决这个问题,请在
ssh_config
文件中包含
IPQoS=throughput
。因此,与 VMware 托管系统的 SSH 连接可以正常工作。
如需更多信息,请参阅
在 VMWare 工作站中运行的 RHEL 8 无法通过 SSH 连接到其他主机
知识库解决方案。
(BZ#1651763)
没有打印成功设置和取消设置
服务级别
的消息
当
candlepin
服务没有"syspurpose"功能时,订阅管理器会使用不同的代码路径来设置
service-level
参数。这个代码路径不会打印操作的结果。因此,当订阅管理器设置了服务级别时,不会显示任何信息。当
service-level
集有拼写错误或不可用时,这尤其成问题。
(
BZ#1661414
)
syspurpose addons
对
subscription-manager attach --auto
输出没有影响。
在 Red Hat Enterprise Linux 8 中,添加了
syspurpose
命令行工具的四个属性:
role
、
usage
、
service_level_agreement
和
addons
目前,只有
role
、
usage
和
service_level_agreement
会影响到运行
subscription-manager attach --auto
命令的输出。试图为
addons
参数设置值的用户不会观察到对自动附加的订阅有任何影响。
(
BZ#1687900
)
ESXi 虚拟机使用 cloud-init 自定义并克隆的启动非常慢
目前,如果
cloud-init
服务用于修改在 VMware ESXi 管理程序上运行的虚拟机(VM),以使用静态 IP,然后克隆虚拟机,则新的克隆虚拟机在某些情况下需要很长时间才能重新引导。这是因为
cloud-init
将虚拟机的静态 IP 重写为 DHCP,然后搜索可用的数据源。
要临时解决这个问题,您可以在虚拟机第一次引导后卸载
cloud-init
。因此,后续重启不会减慢。
(BZ#1666961,
BZ#1706482
)
启用嵌套虚拟化阻止实时迁移
目前,嵌套虚拟化功能与实时迁移不兼容。因此,在 RHEL 8 主机上启用嵌套虚拟化会阻止从主机迁移任何虚拟机(VM),并保存虚拟机状态快照到磁盘。
请注意,嵌套虚拟化目前在 RHEL 8 中作为技术预览提供,因此不受支持。此外,默认禁用嵌套虚拟化。如果要启用它,请使用
kvm_intel.nested
或
kvm_amd.nested
模块参数。
(
BZ#1689216
)
使用
cloud-init
在 Microsoft Azure 上置备虚拟机会失败
目前,无法使用
cloud-init
工具在 Microsoft Azure 平台上置备 RHEL 8 虚拟机(VM)。要临时解决这个问题,请使用以下方法之一:
使用
WALinuxAgent
软件包而不是
cloud-init
在 Microsoft Azure 上调配虚拟机。
在
/etc/NetworkManager/NetworkManager.conf
文件中的
[main]
部分添加以下设置:
[main] dhcp=dhclient
(BZ#1641190)
第二代 RHEL 8 虚拟机有时无法在 Hyper-V Server 2016 主机上引导
当使用 RHEL 8 作为在 Microsoft Hyper-V Server 2016 主机上运行的虚拟机(VM)中的客户机操作系统时,虚拟机在某些情况下无法引导,并返回到 GRUB 引导菜单。另外,会在 Hyper-V 事件日志中记录以下错误:
The guest operating system reported that it failed with the following error code: 0x1E
这个错误是由 Hyper-V 主机上的 UEFI 固件错误造成的。要临时解决这个问题,,使用 Hyper-V Server 2019 作为主机。 (BZ#1583445)
virsh iface-\*
命令无法一致性地工作
因为配置的依赖关系,目前
virsh iface-*
命令(如
virsh iface-start
和
virsh iface-destroy
会经常失败。因此,建议您不要使用
virsh iface-\*
命令配置和管理主机网络连接。反之,使用 NetworkManager 程序及其相关管理程序。
(BZ#1664592)
Azure 的 Linux 虚拟机扩展有时无法正常工作
默认情况下,RHEL 8 不包含
python2
软件包。因此,在某些情况下,在 RHEL 8 虚拟机上为 Azure 运行 Linux 虚拟机扩展(也称为
azure-linux-extensions
)会失败。
要提高
azure-linux-extensions
按预期工作的可能性,请手动在 RHEL 8 虚拟机上安装
python2
:
#
yum install python2
(BZ#1561132)
redhat-support-tool
不从
opencase
中自动收集
sosreport
redhat-support-tool
命令无法创建
sosreport
归档。要临时解决这个问题,请单独运行
sosreport
命令,然后输入
redhat-support-tool addattachment -c
命令以上传归档或在客户门户网站中使用 Web UI。因此,会创建一个问题单并上传
sosreport
。
请注意,
findkerneldebugs
、
btextract
、
analyze
、
diagnose
命令无法按预期工作,并将在以后的版本中修复。
(
BZ#1688274
)
机灵的炒面 · c3p0数据库连接池-阿里云开发者社区 3 月前 |
逆袭的红酒 · length - 技术 - ioDraw 11 月前 |
留胡子的毛豆 · LINK : error LNK2001: unresolved external symbol mexFunction - MATLAB Answers - MATLAB Central 1 年前 |
安静的消炎药 · 抬头见喜(2023年刘江江执导的电影)_搜狗百科 1 年前 |