Выпущен Unbreakable Enterprise Kernel 8.2 с поддержкой конфиденциальных вычислений и живым исправлением XFS

Многие корпоративные развертывания Linux полагаются на аппаратную изоляцию памяти для защиты критически важных рабочих нагрузок от соседних процессов и скомпрометированных гипервизоров. Неразрушаемое корпоративное ядро Oracle версии 8.2 (UEK 8.2) расширяет эту возможность в Oracle Linux, добавляя поддержку Intel Trust Domain Extensions, а также ряд изменений в файловых системах и управлении памятью, призванных сократить время простоя и улучшить диагностику.

UEK 8.2 основано на основном долгосрочно поддерживаемом ядре Linux 6.12 и имеет номер версии 6.12.0-200. Оно предназначено для 64-разрядных систем Intel и AMD (x86-64), а также 64-разрядных Arm (aarch64).

Intel TDX обеспечивает аппаратно-принудительную изоляцию рабочих нагрузок

Intel Trust Domain Extensions (TDX) — это технология конфиденциальных вычислений Intel для создания доверенных сред исполнения. Технология развертывает виртуальные рабочие нагрузки в изолированных доверенных доменах, используя аппаратные механизмы для шифрования и управления памятью с целью сохранения целостности и конфиденциальности состояния процессора внутри этих доменов.

UEK 8.2 включает поддержку TDX как для гостевых систем, так и для гипервизора в Oracle Linux 9 и Oracle Linux 10. Организации, запускающие рабочие нагрузки в Oracle Cloud Infrastructure, получают поддержку этой функции производственного уровня. Для развертываний вне OCI поддержка TDX имеет статус предварительной версии, что означает её доступность для оценки и тестирования, в то время как использование в производственной среде пока не полностью поддерживается Oracle.

Это дополнение выводит UEK в соответствие с растущим набором ядер, поддерживающих примитивы конфиденциальных вычислений — областью, которая набирает популярность в регулируемых отраслях и многопользовательских облачных средах, где данные рабочих нагрузок требуют защиты на аппаратном уровне.

Онлайн-восстановление XFS устраняет необходимость в размонтировании для обслуживания

Администраторам файловых систем, управляющим крупномасштабными развертываниями XFS, исторически приходилось переводить файловые системы в автономный режим для выполнения операций восстановления. UEK 8.2 меняет это благодаря поддержке онлайн-восстановления XFS, которое позволяет администраторам проверять и исправлять файловые системы XFS без их размонтирования.

Функциональность реализована через утилиту xfs_scrub. Этот инструмент проверяет метаданные файловой системы и, обнаруживая повреждения или несоответствия, может применять точечные исправления, пока файловая система продолжает обслуживать активные рабочие нагрузки. Для сред, где отключение хранилища нарушает работу баз данных или доступность приложений, это снимает серьёзное ограничение по обслуживанию.

Облегчённые защитные страницы снижают потребление памяти на поток

UEK 8.2 представляет облегчённые защитные страницы — механизм для маркировки областей виртуальной памяти, при котором несанкционированный доступ вызывает ошибку сегментации (SIGSEGV). Эта функция предназначена для стеков потоков и аллокаторов памяти пользовательского пространства.

Ранее аналогичная защита требовала отображения памяти с ограниченными разрешениями. В крупных масштабах, при большом количестве процессов и потоков, такой подход увеличивал потребление памяти за счёт создания или разделения областей виртуальной памяти. Облегчённая реализация использует защитные маркеры, которые избегают этих накладных расходов, полностью обходясь без создания и разделения областей виртуальной памяти. В результате снижаются затраты памяти для систем с высоким числом потоков.

Профилирование выделения памяти расширяет диагностические возможности

Профилирование выделения памяти, также новое в UEK 8.2, даёт разработчикам возможность наблюдать, как ядро выделяет и освобождает память. Функция отслеживает источник выделений, момент освобождения памяти, количество текущих выделений и объём памяти, остающийся в использовании в любой момент времени. Эти данные предоставляют разработчикам инструмент для выявления утечек памяти и анализа паттернов выделения без необходимости полагаться на внешние агенты профилирования.

Обновления драйверов расширяют поддержку оборудования

UEK 8.2 включает ряд обновлений драйверов устройств, синхронизированных с версиями вышестоящего ядра, а также выбранные обратные порты из более поздних выпусков. Основной драйвер серии NVIDIA ConnectX (mlx5) получил исправления и улучшения, портированные из ядра 6.16. Драйвер платформенного интерфейса AMD HSMP был обновлён с изменениями из ядра 6.18 для систем AMD EPYC Zen6. Драйвер Broadcom Emulex lpfc обновлён для поддержки адаптеров Fibre Channel серий LPe37000 и LPe38000 на 32 Гбит/с и 64 Гбит/с. Драйвер Intel ixgbe добавил поддержку сетевых устройств серии E610.

UEK 8.2 доступен через Unbreakable Linux Network, сервер yum Oracle Linux, Oracle Container Registry и Oracle Software Delivery Cloud.