UPDATER ..... 21 第4章 内核模块管理 OPERATOR ..... 25 4.1. 关于内核模块管理 OPERATOR ..... 25 4.2. 安装内核模块管理 OPERATOR ..... 25 4.3. 内核模块部署 ..... 29 4.4. 使用 MODULELOADER 镜像 ..... 33 4.5. 使用内核模块管理 (KMM) 的签名 ..... 镜像包含通常作为构建或安装内核模块的依赖项所需的内核软件包，以及驱动程序容器所需的一些工具。这些软件包的版本将与相应 OpenShift Container Platform 发行版本中 RHCOS 节点上运行的内核版本匹配。 驱动程序容器是容器镜像，用于在容器操作系统（如 Red Hat Enterprise Linux CoreOS (RHCOS)）上构建和部署树外内核模块和驱动程序。内核模块和驱动程序是 权限运行的软件库。它们扩展了内核功能，或者提供控制新设备所需的硬件特定代码。例如，硬件设备，如现场可编程阵列 (FPGA) 或图形处理单元 (GPU)，以及软件定义的存储解决方案（客户端机器上需要内核模块）。驱动程序容器是用于在 OpenShift Container Platform 部署中启用这些技术的软件堆栈的第一层。 ## 第 2 章 驱动程序工具包 了解驱动程序工具包以及如何将其用作驱动程序容器的基础镜像，以便在

许多应用程序需要依赖于内核模块或驱动程序的专用硬件或软件。您可以使用驱动程序容器在 Red Hat Enterprise Linux CoreOS (RHCOS) 节点上载入树外内核模块。要在集群安装过程中部署树外驱动程序，请使用 kmodsvia-containers 框架。为了在现有 OpenShift Container Platform 集群中载入驱动程序或内核模块，OpenShift Container Platform 版本的一部分。它包含构建驱动程序或内核模块所需的内核软件包和其他常见依赖项。Driver Toolkit 可用作 OpenShift Container Platform 上构建的驱动程序容器镜像的基础镜像。 - 特殊资源 Operator (SRO) 编配驱动程序容器的构建和管理，以便在现有 OpenShift 或 Kubernetes 集群上加载内核模块和驱动程序。 - Node Feature 镜像包含通常作为构建或安装内核模块的依赖项所需的内核软件包，以及驱动程序容器所需的一些工具。这些软件包的版本将与相应 OpenShift Container Platform 发行版本中的 Red Hat Enterprise Linux CoreOS（RHCOS）节点上运行的内核版本匹配。 驱动程序容器是容器镜像，用于在容器操作系统（如 RHCOS）上构建和部署树外内核模块和驱动程序。内核模块和驱动程序是在

2. 在节点中添加内核模块 对于大多数常用硬件，在计算机启动时，Linux 内核会包括使用这些硬件所需的设备驱动程序模块。但是对于一些硬件来说，在 Linux 中不提供它们的模块。因此，您必须找到一种方法来为每个主机计算机提供这些模块。此流程介绍了如何为 OpenShift Container Platform 集群中的节点进行此操作。 当首先按照这些说明部署了一个内核模块后，这个模块就可用于 红帽不支持您通过这些步骤添加的第三方内核模块。 在本流程中，构建您的内核模块所需的软件部署在 RHEL 8 容器中。请记住，当节点有新内核时，每个节点上会自动重新构建模块。因此，每个节点都需要访问一个 yum 存储库，该程序存储库包含重建该模块所需的内核和相关软件包。该内容最好由一个有效的 RHEL 订阅提供。 ###### 3.2.2.1. 构建并测试内核模块容器 在将内核模块部署到 OpenShift OpenShift Container Platform 集群之前，您可以在单独的 RHEL 系统中测试此过程。收集内核模块的源代码、KVC 框架和 kmod-via-containers 软件。然后构建并测试模块。要在 RHEL 8 系统中做到这一点，请执行以下操作： ## 流程 1. 获取 RHEL 8 系统，然后注册并订阅它： # subscription-manager register Username:

启动 ..... 34 4. Linux Lab 进阶 ..... 37 4.1 Linux 内核 ..... 37 4.1.1 非交互方式配置 ..... 37 4.1.2 使用内核模块 ..... 38 4.1.3 使用内核特性 ..... 39 4.1.4 新建开发分支 ..... 40 4.1.5 启用独立内核仓库 ..... 41 4.2 U-Boot 引导程序 al/getstate” 内核选项的操作。 获取一个内核模块的状态： $ make kernel-getconfig m=minix_fs Getting kernel config: MINIX_FS ... build/aarch64/linux-v5.1-virt/.config:CONFIG_MINIX_FS=m 使能一个内核模块： $ make kernel-setconfig m=minix_fs kernel-setconfig 命令的控制选项：y, n, c, o, s, v: 选项 | 说明 ---|--- y | 编译内核中的模块或者使能其他内核选项 c | 以插件方式编译内核模块，类似 m 选项 o | 以插件方式编译内核模块，类似 m 选项 n | 关闭一个内核选项 s | RTC_SYSTOHC_DEVICE="rtc0"，设置 RTC 设备为 RTC0 v | PANIC_TIMEOUT=5，设置内核

启动 ..... 33 4. Linux Lab 进阶 ..... 36 4.1 Linux 内核 ..... 36 4.1.1 非交互方式配置 ..... 36 4.1.2 使用内核模块 ..... 37 4.1.3 使用内核特性 ..... 38 4.1.4 新建开发分支 ..... 39 4.1.5 启用独立内核仓库 ..... 40 4.2 U-Boot 引导程序 l/getstate” 内核选项的操作。 获取一个内核模块的状态： $ make kernel-getconfig m=minix_fs Getting kernel config: MINIX_FS ... build/aarch64/linux-v5.1-virt/.config:CONFIG_MINIX_FS=m 使能一个内核模块： $ make kernel-setconfig kernel-setconfig 命令的控制选项：y, n, c, o, s, v: 选项 | 说明 ---|--- y | 编译内核中的模块或者使能其他内核选项 c | 以插件方式编译内核模块，类似 m 选项 o | 以插件方式编译内核模块，类似 m 选项 n | 关闭一个内核选项 s | RTC_SYSTOHC_DEVICE="rtc0"，设置 RTC 设备为 RTC0 v | PANIC_TIMEOUT=5，设置内核

3.3.6 保存 34 3.3.7 启动 34 4. Linux Lab 进阶 37 4.1 Linux 内核 37 4.1.1 非交互方式配置 37 4.1.2 使用内核模块 38 4.1.3 使用内核特性 39 4.1.4 新建开发分支 40 4.1.5 启用独立内核仓库 41 4.2 U-Boot 引导程序 41 4.3 QEMU 模拟器 43 al/getstate” 内核选项的操作。 获取一个内核模块的状态： $ make kernel-getconfig m=minix_fs Getting kernel config: MINIX_FS ... build/aarch64/linux-v5.1-virt/.config:CONFIG_MINIX_FS=m 使能一个内核模块： $ make kernel-setconfig m=minix_fs kernel-setconfig 命令的控制选项：y, n, c, o, s, v: 选项 | 说明 ---|--- y | 编译内核中的模块或者使能其他内核选项 c | 以插件方式编译内核模块，类似 m 选项 o | 以插件方式编译内核模块，类似 m 选项 n | 关闭一个内核选项 s | RTC_SYSTOHC_DEVICE="rtc0"，设置 RTC 设备为 RTC0 v | PANIC_TIMEOUT=5，设置内核

. 29 5.3.1 启动控制台 ..... 29 5.3.2 Debian 安装程序的参数 ..... 29 5.3.3 使用内核模块参数回答提问 ..... 31 5.3.4 给内核模块传递参数 ..... 31 5.3.5 内核模块黑名单 ..... 32 5.4 安装过程中的故障修复 ..... 32 5.4.1 CD-ROM 的可靠性 ..... 32 5 盘引导准备文件 为了准备 U 盘，您需要一台运行的支持 USB 的 GNU/Linux 系统。当前的 GNU/Linux 系统会在您插入 U 盘的时候自动识别。如果没有，您应该确认 usb-storage 内核模块是否已经被加载。U 盘插入后，它将被映射到名为 /dev/sdX 的设备，其中的 “X” 是 a-z 的字母。您可以通过运行 dmesg 在插入 U 盘后确认是否被正确映射。要写入信息，请要先打开它上面的写保护开关。 密钥认证仓库。设为 true 可以禁止认证。警告：不安全，不推荐使用。 rescue/enable 设为 true 进入 rescue 模式，而不是执行普通安装。参阅第 8.6 节。 #### 5.3.3 使用内核模块参数回答提问 对于一些例外，可以在引导提示符后设置值来回答安装过程中的提问，在某些情况下，它是惟一真正有效的。有关如何操作的说明可以在第 B.2.2 节找到。下面是一些具体的例子。 debia

已安装系统的辅助功能 29 5.3 引导参数 29 5.3.1 启动控制台 29 5.3.2 Debian 安装程序的参数 29 5.3.3 使用内核模块参数回答提问 31 5.3.4 给内核模块传递参数 31 5.3.5 内核模块黑名单 32 5.4 安装过程中的故障修复 32 5.4.1 CD-ROM 的可靠性 32 5.4.1.1 常见问题 32 5.4.1.2 盘引导准备文件 为了准备 U 盘，您需要一台运行的支持 USB 的 GNU/Linux 系统。当前的 GNU/Linux 系统会在您插入 U 盘的时候自动识别。如果没有，您应该确认 usb-storage 内核模块是否已经被加载。U 盘插入后，它将被映射到名为 /dev/sdX 的设备，其中的 “X” 是 a-z 的字母。您可以通过运行 dmesg 在插入 U 盘后确认是否被正确映射。要写入信息，请要先打开它上面的写保护开关。 密钥认证仓库。设为 true 可以禁止认证。警告：不安全，不推荐使用。 rescue/enable 设为 true 进入 rescue 模式，而不是执行普通安装。参阅第 8.6 节。 #### 5.3.3 使用内核模块参数回答提问 对于一些例外，可以在引导提示符后设置值来回答安装过程中的提问，在某些情况下，它是惟一真正有效的。有关如何操作的说明可以在第 B.2.2 节找到。下面是一些具体的例子。 debia

引导控制台 ..... 18 5.3.2 Debian 安装程序的参数 ..... 18 5.3.3 使用引导参数来回答问题 ..... 20 5.3.4 将参数传递给内核模块 ..... 21 5.3.5 内核模块黑名单 ..... 21 5.4 安装过程中的故障修复 ..... 21 5.4.1 光盘媒体的可靠性 ..... 21 5.4.1.1 常见问题 ..... 21 可以用来选择不在交互式任务列表中出现的任务，如 kde-desktop 任务。另外的信息请参见第 6.3.6.2 节。 #### 5.3.4 将参数传递给内核模块 如果驱动程序编译进内核中，那么可以像内核文档中描述的那样将参数传递给内核。然而，如果驱动程序编译为模块，并且由于在安装过程中内核模块的加载与引导安装好的系统有些不同，像平时那样将参数传递给模块是不可能的。需要使用安装程序所识别的特定语法来替代，它们将确保参数能 ，只需要重复上面内容即可。例如，要设置老式的 3Com 网卡来使用 BNC（同轴）端子和 IRQ 10，则需要传递： 3c509.xcvr=3 3c509.irq=10 #### 5.3.5 内核模块黑名单 有时需要将一个模块加入黑名单以阻止它被内核和 udev 自动加载。一个原因会是特别的模块会与您的硬件产生问题。内核有时会为相同的硬件列出两个不同的驱动程序。如果驱动程序冲突或者首先加载了

openEuler 在支持安全启动的基础上，还通过支持内核模块签名、IMA 文件完整性保护等机制，将基于数字签名的保护链路进一步延伸至内核模块和应用程序文件（广义安全启动），整个验证过程可包含如下四个部分： 启动阶段：BIOS->shim->grub->内核（EFI加载前进行签名校验）； 运行阶段（模块加载）：内核 -> 内核模块（模块插入时进行签名校验）； 运行阶段（文件访问）：内核 签名接口为目标文件执行添加数字签名； 3. 具备签名验证功能的组件（如 shim、kernel 等），在构建阶段预置相应的验签证书； 4. 用户安装 openEuler 镜像后，开启安全启动、内核模块校验、IMA、RPM 校验等按机制，在系统启动和运行阶段使能相应的签名验证功能，保障系统组件的真实性和完整性。 openEuler 签名根证书可在证书中心获取： https://www.openeuler openEuler 24.03 LTS 版本已默认集成如下签名： |文件类型|文件格式|签名格式| |---|---|---| |EFI 文件|EFI Image|authenticode| |内核模块文件|Kernel Module|CMS| |IMA 摘要列表文件|Binary|CMS| |RPM 软件包文件|RPM Package|openPGP| ![Image](/uploads/d