Alibaba Cloud Linux 3 Pro镜像发布记录

• 进程管理技术优化。

  新增自研的async-fork组件，针对大内存进程的fork操作实施专项优化，显著缩短处理时间，加速系统响应。

• 内核态网络监控。

  新增tcprt组件，提供针对请求-响应通信模式的TCP监控能力。

• BaseOS增强。

  • gcc 10、gcc-toolset-12和binutils 2.35等核心组件自维护。

  • 通过module化的方式实现对Python多版本的支持。

• 标准合规性增强。

  内置了对GB18030-2022编码支持，确保与最新国际中文编码标准保持一致。

• 编程环境与性能优化。

  • 新增java-1.8.0-alibaba-jdk和java-11-alibaba-jdk组件。

  • 新增Alibaba-cloud-compiler组件：基于Clang/LLVM开发的面向大规模云业务场景的C/C++编译器。

• 智能化系统调优工具。

  默认提供keentune智能化全栈调优工具，该工具能够自动化执行操作系统调优，通过一键操作即可实现专家级配置带来的性能提升。

内核

提供kernel-5.10.134-010.ali5000.pro.al8版本的内核。

• 回合上游社区的动态内核抢占特性，用户可以通过cmdline或sysfs接口切换抢占模型。

• 回合上游社区的core scheduling安全特性，该特性仅允许受信任的同组进程在同一物理核的超线程上同时运行。该特性与Group Identity存在不兼容，请勿同时启用。

• 提供Group Identity 2.0细粒度优先级特性。

  • Group Identity 2.0 CPU Share比例校准。

  • 增加Group Identity 2.0 force idled time指标。

  • 优化Group Identity，增强不同优先级任务的负载控制。

• 提供cgroup v2 IO SLI。

• ACPU（Assess CPU）支持，ACPU可统计任务运行时HT对端空闲的时间，并提供per-cgroup统计，可以用于评估任务运行时共享CPU核心的硬件资源竞争情况。

• 自研HT-aware-quota特性，基于cfs带宽控制和core scheduling的算力稳定方案，在混合部署场景下，通过感知HT对端是否空闲来校准Quota，使任务每个调度周期内都能够得到相对稳定的算力，适用于计算密集型任务。

• 引入cgroup级别的SCHED_IDLE特性，可通过设置目标cgroup的cpu.idle属性，将该cgroup的调度策略调整为SCHED_IDLE。该特性适用于批量管理离线任务。

• 在离线和在线业务混合部署的场景下，通过CPU动态隔离技术，并结合G11.0/2.0的调度优化，确保在线业务的延迟保持在合理范围内。

• 通过对Kfence的二次开发，支持动态开关、全量捕获、定向监控及Order-0 Page监控，增强了其在生产环境中诊断内存问题的能力。

• 通过EROFS（高效只读文件系统）和Fscache（文件系统缓存）的结合，提升Nydus容器镜像的按需加载性能。

• 跨处理器节点内存访问的优化。

• 使用io-uring提升数据库场景性能。

内存

• 新增对OOT模块的slab内存隔离的特性，以便快速定位OOT模块内存越界或资源泄漏的问题。

• 新增快速OOM特性，以防止在多核大内存环境中因内存紧张导致的长时间机器无响应，能够协助业务提升内存部署密度，提高水位运行时在线业务性能的稳定性。

• Batch TLB flushing支持，Batch migration特性实现了在内存页面迁移过程中批量进行TLB flushing和页面拷贝操作，从而提升了内核页面迁移操作的性能。该版本基于上游代码对之前内核中原有的Batch migration特性进行了重构和优化。重构后端主要变化：

  • 移除cmdline参数batch_migrate，移除/sys/kernel/mm/migrate/batch_migrate_enabled接口，Batch migration变为页面迁移时的默认采用的配置。

  • 增加/sys/kernel/mm/migrate/dma_migration_min_pages接口，默认值为32。该接口仅适用于开启DMA page copy特性的场景，当且仅当/sys/kernel/mm/migrate/dma_migrate_enabled处于开启状态且migrate pages数量达到/sys/kernel/mm/migrate/dma_migration_min_pages所设定的值时，才会启用DMA page copy特性。

• 回合cachestat特性，在内核中引入了cachestat系统调用，通过该系统调用可查看指定文件的详细page cache统计数据。

• 提供memcg THP控制接口，用于禁止指定memcg的TH的申请。

• 支持页表绑定核，提供跨die的页表统计。页表绑定核的能力能够在内存紧张时，尽可能将QoS敏感型业务的页表分配到当前NUMA节点，从而减少内存访问延迟，实现更快速和更高效的内存访问。

• KFence增强与修复。

  • arm64架构新增了自研的KFence增强功能，该功能能够灵活地动态开启或关闭KFence，全面捕获内存污染问题，从而兼顾线上探测与线下调试。

  • 新增了在捕获到内存问题时立即触发系统宕机的特性，以帮助开发者在调试环境中更有效地分析问题。通过设置boot cmdline “kfence.fault=panic”或执行echo panic > /sys/module/kfence/xparameters/fault命令来开启此功能。

  • 修复在开启cgroup kmem统计计数时，KFence会导致内核宕机的问题。

BPF

• 新增特性/helper。

  • bpf_for_each_map_elem：遍历BPF Map的helper。

  • bpf_snprintf：格式化字符串的helper。

  • bpf_timer：定时器，可以在指定时间后触发回调函数。

  • bpf_loop：摆脱常量有限循环的限制，实现更灵活的循环编写。

  • bpf_strncmp：比较字符串的helper。

  • bpf_ktime_get_tai_ns：获取CLOCK_TAI类型的时间。

  • bpf_skb_load_bytes：raw_tp类型支持，可以在raw_tp类型程序中读取skb数据，包括非线性区数据。

• arm64架构支持fentry、fexit、fmod_ret、bpf_lsm等与trampoline相关的特性，从而提供更强的跟踪诊断和安全功能。bpf_trampoline支持与livepatch共存。

网络

• virtio-net新增特性

  • virtio支持control vq超时机制，防止由于设备无响应而导致虚拟机CPU持续处于高负荷轮询状态。默认超时时间为7天。

  • 支持virtio-net设备统计，实现内核对设备统计数据的获取，以提升故障定位和问题诊断的能力。

  • 引入队列重置功能，该功能允许调整虚拟机的队列尺寸，从而减少数据包丢失并优化延迟性能。

  • 动态中断调节（netdim）支持根据实时流量智能地调整中断聚合参数，以优化数据接收性能。

  • 优化virtio checksum：修复了virtio网卡验证checksum被特定feature控制的问题；在XDP应用场景中，无需Guest OS重新验证校验和，从而显著降低了CPU使用率。

• SMC

  • 同步社区缓冲区相关的修复补丁。

  • 优化SMC fallback原因的返回值。

  • 修复与上游IPPROTO_SMC定义冲突。

  • 优化SMC与eRDMA场景下的可达性检查。

  • 修复低概率的内核崩溃问题。

  • SMC-D loopback特性，加速本地进程间的TCP通信以及容器间的TCP通信。

• TCP

  数据路径新增tracepoint：对TCP数据的send、recv、ack各添加一个tracepoint。

存储

• erofs

  • 支持在rafsv6模式下传入zero-length iovec。

  • 在rafsv6模式下，允许回收dax映射，以避免由于固定占用内存而导致的OOM和fuse hang等问题。

  • 通过kconfig限制rafsv6仅在安全容器场景中使用。fscache以按需加载模式支持故障转移。

  • 同步社区主线稳定性补丁。

• ext4

  • 修复O_DIRECT与O_SYNC的语义问题，该问题自iomap框架引入以来一直存在。其原因在于generic_write_sync()是在iomap框架中调用，而i_disksize的更新则发生在iomap_dio_rw()之后。这将导致在进行append写操作时，文件落盘的长度未能及时更新，从而在异常掉电情况下无法读取已写入的数据。

  • 同步社区Stable分支的稳定性补丁。

• XFS

  • 支持XFS文件系统的FSDAX、Reflink和Dedupe功能，并针对Tair PMEM实例进行了专门优化，包括快照源文件的连续性、脏页回写的效率提升，以及去除reverse map btree的依赖，以优化Page Fault时延等问题。

  • 回合延迟inode inactivation特性。该特性将回收操作委托给后台的kworker进程执行，从而减少前台应用因删除操作而导致的卡顿。此外，该特性对Tair PMEM实例中的快照清除场景也进行了优化。

• fuse

  • 支持cache=none模式下的shared mmap。

  • 支持strict limit特性的动态开关。fuse模块将设置strict limit，在特定场景下可能导致回写速度极慢甚至卡住，引入该sysfs knobs可以动态地解决此问题。

  • 同步社区Stable分支稳定性补丁。

• cgroup writeback

  修复在启用lazytime的情况下，memory cgroup长期不释放的问题。该问题可能导致容器化部署环境中的memory cgroup数量长时间保持在高位，从而造成内存占用增加，并引发遍历cgroup时系统负载过高等问题。

• io_uring

  • 修复io_uring codebase更新至5.15.85版本后io_uring percpu sqthread的问题。

  • 同步社区Stable分支稳定性补丁。

• block

  • 增加blkio cgroup v2的IO SLI，包括wait time、service time、complete time、io queued和bytes queued等。

  • 简化BDI的逻辑，以修复BDI引用计数的BUG。

  • 支持2 M IO。在极端情况下，如果每个bio_vec仅包含一个4 K页面，则在当前5.10内核下，最大仅支持1 M IO，这额外的处理拆分逻辑可能会对某些业务场景造成性能影响。

  • 使blk-iocost与writeback throttling互斥，以解决iocost与wbt无法协同工作的问题。

  • 修复在设置blk-iocost QoS过程中因竞争条件导致的ABBA死锁问题。

  • 为了优化virtio-blk设备的IO内存占用，建议避免预分配较大的SGL缓冲区，这在高密安全容器场景中尤为重要。

  • 同步社区Stable分支稳定性补丁。

• nvme

  修复了在nvme_reset和nvme_rescan并发场景下出现的空指针问题。

• tcmu

  tcmu_loop设备支持参数的可配置性，例如can_queue、nr_hw_queues、cmd_per_lun以及sg_tablesize等。在后端设备能力足够强大的情况下，适当增大这些参数能够显著提升性能。

• 优化kernfs全局锁的竞争，降低因监控程序的并发访问所导致的loadD上升的影响。

安全

• 使能TDX Guest相关配置，以支持TDX机密虚拟机场景。

• 添加TDX Guest获取attestation quota通用API的支持。

• 添加对TDX Guest事件通知中断的支持。

配置

开启CONFIG_IPMI_HANDLER和CONFIG_IPMI_PANIC_EVENT，用于宕机监控和诊断。

x86

• 提供对兆芯KH-40000平台的基础支持和问题修复。

• 海光平台

  • 全面支持海光四号处理器（749X、748X、34XX）所具有的各类特性，包括全新CPU拓扑、x2APIC、微码加载、MCA RA功能、DDR5、SR-IOV、QoS、L3 Perf/PMU以及温度监控等。

  • 修复KVM模块与CCP模块之间的依赖关系。

  • 新增CSV3安全虚拟机支持，包括热迁移功能、硬件保护虚拟机页表及硬件隔离虚拟机内存功能，同时修复了主机VMM无法读写虚拟机内存的问题。此外，对CSV3共享页面管理进行了优化，包括合并连续页面，并采用rbtree对页面进行管理。

  • 提供了两个通用的API，用于加密和解密用户空间进程页。

  • 支持海光密钥管理（TKM）虚拟化功能。

  • 支持海光DCU直通给虚拟机。

• Intel平台

  • 支持Intel-idle GNR/SRF。

  • 支持Sched change for GNR/SRF (extra L2 domain)。

  • 支持AMX 2.0 w/ FP16 data type。

  • 支持GNR/SRF RAS EDAC。

  • 支持IOMMU Perf。

  • 支持GNR PerfMon/PEBS Enhancements - Timed PEBS。

  • 支持LBR event logging feature。

  • 支持GNR PMU Core/uncore event。

  • 支持RDT： L2/L3 Non-contiguous way masks。

  • IDXD（DSA/IAA 2.0）功能增强。

  • Icelake HWDRC支持。

• AMD平台

  • AMD平台CVE-2023-20569完整修复支持。

  • AMD LBRv2支持以及相关错误修复支持。

  • AMD Perf UMC支持以及相关错误修复支持。

  • AMD Perf DF支持。

  • AMD Perf ibrs或其他相关错误修复支持。

  • AMD QoS BMEC支持。

  • AMD IOMMU io page table支持。

  • AMD IOMMU PCI segment支持。

  • AMD IOMMU X2AVIC及相关IOMMU错误修复支持。

ARM平台

• 调整cmdline默认设置，以启用irqtime_account特性。

• 添加开关控制crashkernel的提前预留。

• MPAM虚拟化支持。

• 支持CMN和DDR PMU的Perf Metric功能。

已修复273个已知的重要漏洞。

• erofs压缩模式的稳定性修复。

• erofs over fscache的稳定性修复。

• 修复BDI在使用STRICTLIMIT特性且BDI份额为0时导致的回写性能下降的问题。

• 修复seccomp内存泄露问题。

• 修复用户操作可能导致ZERO_PAGE引用计数不正确的问题。

• 修复TCMU潜在的内存递归回收问题。

• 修复ioasids子系统迁移内核线程时导致内核crash的问题。

• 修复在未配置限流规则的情况下IO重复统计的问题。

• 修复在同时启用Group Identity和core scheduling时导致内核崩溃的问题。

• 将CFS带宽控制的限流解除方式由同步改为异步，以优化在CPU数量较大场景下的带宽控制效率。

• 修复关闭core sched总开关时潜在的race condition。

• 修复在IRQ高负载情况下sibidle统计不准确的问题。