4.19. Red Hat Enterprise Linux システムロール
Networking システムロールが SAE をサポートするようになりました
Wi-Fi Protected Access バージョン 3 (WPA3) ネットワークでは、SAE (simultaneous authentication of equals) 方法により、暗号鍵が送信されないようになります。この機能拡張により、Networking RHEL システムロールは SAE をサポートするようになりました。その結果、管理者は Networking システムロールを使用して、WPA-SAE を使用する Wi-Fi ネットワークへの接続を設定できるようになりました。
Networking システムロールが owe をサポートするようになりました
Networking RHEL システムロールは、Opportunistic Wireless Encryption (owe) をサポートするようになりました。owe
は、Wi-Fi クライアントとアクセスポイント間の暗号化を使用し、Wi-Fi クライアントをスニッフィング攻撃から保護するワイヤレス認証キー管理タイプです。owe を使用するには、ワイヤレス認証キー管理タイプの key_mgmt
フィールドを owe
に設定します。
Firewall システムロールが、ファイアウォールのデフォルトゾーンの設定をサポートするようになりました
ゾーンは、着信トラフィックをより透過的に管理する概念を表しています。ゾーンはネットワークインターフェイスに接続されているか、ソースアドレスの範囲に割り当てられます。各ゾーンのファイアウォールルールは個別に管理されるため、管理者は複雑なファイアウォール設定を定義してトラフィックに適用できます。この機能を使用すると、firewall-cmd --set-default-zone zone-name
と同じように、インターフェイスを割り当てるデフォルトゾーンとして使用されるデフォルトゾーンを設定できます。
Storage RHEL システムロールが LVM VDO ボリュームをサポートするようになりました
この機能拡張により、Storage システムロールを使用して、論理マネージャーボリューム (LVM) の Virtual Data Optimizer (VDO) ボリュームを管理できるようになりました。LVM ファイルシステムは VDO ボリュームを管理し、この機能を使用して、LVM ボリュームを圧縮して重複排除できるようになりました。その結果、VDO はストレージボリュームの使用を最適化するのに役立ちます。
Storage システムロールで、パーセンテージで表現されたボリュームサイズのサポートが利用可能になりました
この機能拡張により、Storage RHEL システムロールにサポートが追加され、LVM ボリュームサイズをプールの合計サイズのパーセンテージとして表現できるようになります。LVM ボリュームのサイズをプール/VG サイズの割合として指定できます。以下に例を示します。ファイルシステムの人間が読めるサイズに加えて 50%、たとえば 10g、50 GiB。
Storage システムロールでキャッシュされたボリュームのサポートを使用できます
この機能拡張により、キャッシュされた LVM 論理ボリュームを作成および管理するためのストレージ RHEL システムロールのサポートが追加されます。LVM キャッシュを使用すると、SSD などの小規模なデバイスに論理ボリュームのサブセットを一時的に格納することにより、低速な論理ボリュームのパフォーマンスを向上させることができます。
ファイアウォールロールにソースを追加または削除する機能
この更新により、source
パラメーターを使用してファイアウォール設定でソースを追加または削除できます。
Microsoft SQL Server Management 用の新しい Ansible ロール
新しい microsoft.sql.server
ロールは、IT およびデータベース管理者が、Red Hat Enterprise Linux で SQL Server の設定、設定、およびパフォーマンスチューニングに関連するプロセスを自動化するのに役立ちます。
Microsoft SQL システムロールが、非接続環境または Satellite サブスクリプション用のカスタマイズされたリポジトリーをサポートするようになりました
以前は、カスタムサーバーからパッケージをプルする必要がある切断された環境のユーザー、または Satellite または Capsule を指す必要がある Satellite ユーザーは、microsoft.sql.server
ロールからのサポートがありませんでした。この更新プログラムは、パッケージをダウンロードするリポジトリーをカスタマイズするために使用できる mssql_rpm_key
、mssql_server_repository
、および mssql_client_repository
変数を提供することで修正されています。URL が指定されていない場合、mssql
ロールは公式の Microsoft サーバーを使用して RPM をダウンロードします。
MSSQL ロールは、マネージド設定ファイルで一貫して "Ansible_managed" コメントを使用します
MSSQL ロールは、/var/opt/mssql/mssql.conf
設定ファイルを生成します。この更新により、MSSQL ロールは、Ansible 標準の ansible_managed
変数を使用して、設定ファイルに "Ansible managed" コメントを挿入します。コメントは、MSSQL ロールによってファイルが上書きされるため、設定ファイルを直接編集してはならないことを示します。その結果、設定ファイルには、設定ファイルが Ansible によって管理されていることを示す宣言が含まれています。
Ansible Core による RHEL システムロールのサポート
RHEL 9 GA リリース以降、RHEL でサポートされる自動化ユースケースを可能にするために、サポート範囲が限定された Ansible Core が提供されています。Ansible Core は、別のリポジトリーで以前のバージョンの RHEL で提供されていた Ansible Engine に代わるものです。Ansible Core は、RHEL の AppStream リポジトリーで利用できます。サポートされているユースケースの詳細は、RHEL 9 および RHEL 8.6 以降の AppStream リポジトリーに含まれる Ansible Core パッケージのサポート対象範囲 を参照してください
Ansible Engine のサポートが必要な場合、または RHEL 以外の自動化のユースケースのサポートが必要な場合は、Red Hat Support で Red Hat を作成してください。
(JIRA:RHELPLAN-103540)
1 つの elasticsearch 出力ディクショナリーで複数の elasticsearch ホストの設定に対応
以前は、server_host
パラメーターは、1 台のホストで文字列を取得するのに使用されていました。この改善により、基本となる rsyslog omelasticsearch
の仕様に合わせて調整されたため、複数のホストに対応するために、文字列のリストが取得されるようになりました。その結果、基本的な rsyslog omelasticsearch
の指定に従って、ホストに調整されます。その結果、1 つの elasticsearch
出力ディクショナリーで複数の elasticsearch
ホストを設定できます。
RHEL システムロールが VPN 管理をサポートするようになりました
以前のリリースでは、Linux で安全で適切な IPsec トンネリングおよび仮想プライベートネットワーク (VPN) ソリューションを設定するのが困難でした。この機能拡張により、VPN RHEL システムロールを使用して、多数のホスト間でホスト間およびメッシュ接続用の VPN トンネルをより簡単にセットアップおよび設定できるようになります。これにより、RHEL システムロールプロジェクト内で、VPN および IPsec トンネリング設定用の一貫した安定した設定インターフェイスが得られます。
SSHD RHEL システムロールが非排他的設定スニペットをサポートするようになりました
この機能を使用すると、名前空間を使用して以前の設定を書き換えることなく、さまざまなロールや Playbook で SSHD を設定できます。名前空間はドロップインディレクトリーと似ており、SSHD 用に非排他設定スニペットを定義します。そのため、設定ファイル全体ではなく、設定のごく一部のみを設定する必要がある場合は、別のロールの SSHD RHEL システムロールを使用できます。
timesync
RHEL システムロールに Network Time Security (NTS) オプションが追加されました
クライアントサーバーで NTS
を有効にするために、Timesync RHEL システムロールに NTS
オプションが追加されました。NTS は、Network Time Protocol (NTP) に指定されている新しいセキュリティーメカニズムです。NTS は、クライアント固有の設定がなくても NTP クライアントの同期をセキュアにでき、大量のクライアントにスケーリングできます。NTS
オプションは、バージョン 4.0 以降の chrony
NTP プロバイダーでのみ対応しています。
HA Cluster RHEL システムロールのサポート
High Availability Cluster (HA Cluster) ロールが完全にサポートされるようになりました。次の注目すべき設定が利用可能です。
- フェンスデバイス、リソース、リソースグループ、およびリソースクローン (メタ属性およびリソース操作を含む) の設定
- リソースの場所の制約、リソースのコロケーションの制約、リソースの順序の制約、およびリソースチケットの制約の設定
- クラスタープロパティーの設定
- クラスターノード、カスタムクラスター名およびノード名の設定
- マルチリンククラスターの設定
- システムの起動時にクラスターが自動的に起動するかどうかの設定
ロールを実行すると、ロールでサポートされていない設定、またはロールの実行時に指定されていない設定が削除されます。
現在、HA Cluster システムロールは SBD をサポートしていません。
Elasticsearch への Rsyslog ユーザー名およびパスワード認証のサポート
この更新により、Elasticsearch のユーザー名とパスワードのパラメーターが Logging システムロールに追加されました。その結果、Rsyslog がユーザー名とパスワードを使用して Elasticsearch に対して認証できるようになります。
NBDE Client システムロールが静的 IP アドレスをサポートするようになりました
以前のバージョンの RHEL では、静的 IP アドレスを持ち、Network Bound Disk Encryption (NBDE) Client システムロールが設定されたシステムを再起動すると、システムの IP アドレスが変更されていました。この変更により、静的 IP アドレスを持つシステムが NBDE Client システムロールによってサポートされるようになり、再起動後も IP アドレスが変更されなくなります。
デフォルトでは、NBDE ロールは起動時に DHCP を使用し、システムの起動時に設定済みの静的 IP に切り替えることに注意してください。
(BZ#2031555)
LVM に raid_level
を指定するサポートが追加されました。
RHEL 9.0 は、lvmraid
機能を使用して、論理ボリューム管理 (LVM) ボリュームの RAID へのグループ化に対応しています。
Certificate ロールは、フックスクリプトで一貫して "Ansible_managed" コメントを使用します
この機能拡張により、Certificate ロールは、プロバイダーをサポートするためのプレスクリプトとポストスクリプトを生成します。ロールはこれに、Ansible 標準の "ansible_managed" 変数を使用して "Ansible managed" のコメントを挿入します。
-
/etc/certmonger/pre-scripts/script_name.sh
-
/etc/certmonger/post-scripts/script_name.sh
コメントは、Certificate ロールがファイルを上書きする可能性があるため、スクリプトファイルを直接編集してはならないことを示しています。その結果、設定ファイルには、設定ファイルが Ansible によって管理されていることを示す宣言が含まれています。
新しいオプション auto_gateway
は、デフォルトルートの動作を制御します
以前は、DEFROUTE
パラメーターは設定ファイルで設定できませんでしたが、すべてのルートに名前を付けることによって手動で設定することしかできませんでした。この更新により、接続の ip
設定セクションに新しい auto_gateway
オプションが追加されます。これを使用して、デフォルトルートの動作を制御できます。auto_gateway
は、次の方法で設定できます。
-
true
に設定すると、デフォルトゲートウェイ設定がデフォルトルートに適用されます。 -
false
に設定すると、デフォルトルートが削除されます。 -
指定しない場合、
network
ロールは選択したnetwork_provider
のデフォルトの動作を使用します。
network
システムロールにすべてのボンディングオプションのサポートが追加されました
この更新により、network
RHEL システムロールへのすべてのボンディングオプションがサポートされます。その結果、ボンディングされたインターフェイスを介したネットワーク伝送を柔軟に制御できます。その結果、そのインターフェイスにいくつかのオプションを指定することにより、ボンディングされたインターフェイスを介したネットワーク伝送を制御できます。
NetworkManager は、PCI アドレスを使用したネットワークカードの指定をサポートしています
以前は、接続プロファイルの設定中に、NetworkManager は名前または MAC アドレスのいずれかを使用してネットワークカードを指定することしか許可されていませんでした。この場合、デバイス名は安定しておらず、MAC アドレスには、使用された MAC アドレスの記録を維持するためのインベントリーが必要です。これで、接続プロファイルの PCI アドレスに基づいてネットワークカードを指定できます。
Network システムロールが、Ansible の設定ファイルを直接管理するようになりました
今回の機能拡張により、network
ロールにより、/etc/sysconfig/network-scripts
に ifcfg
ファイルが生成されるようになりました。次に、標準の ansible_managed
変数を使用してコメント "Ansible managed" を挿入します。このコメントは、network
ロールによって上書きされる可能性があるため、ifcfg
ファイルを直接編集できないことを示します。ifcfg
ファイルを処理して "Ansible managed" コメントを追加する際の重要な相違点は、network
ロールでは initscripts
パッケージを使用し、NetworkManager は nm
パッケージを使用するためです。
Ansible Core による RHEL システムロールのサポート
RHEL 9.0 では、RHEL でサポートされる自動化ユースケースを可能にするために、サポート範囲が限定された Ansible Core が提供されています。Ansible Core は、以前は別のリポジトリーで提供されていた Ansible Engine に代わるものです。Ansible Core は、RHEL の AppStream リポジトリーで利用できます。サポートされているユースケースの詳細は、RHEL 9 および RHEL 8.6 移行の AppStream リポジトリーに含まれている Ansible Core パッケージのサポート範囲 を参照してください。ユーザーは、システムを Ansible Engine から Ansible Core に手動で移行する必要があります。
Cockpit システムロールがサポートされるようになりました
この機能拡張により、システムに Web コンソールをインストールして設定できます。そのため、Web コンソールを自動化された方法で管理できます。
Terminal Session Recording システムロールが、マネージド設定ファイルで "Ansible managed" コメントを使用するようになりました
Terminal Session Recording ロールは、以下の 2 つの設定ファイルを生成します。
-
/etc/sssd/conf.d/sssd-session-recording.conf
-
/etc/tlog/tlog-rec-session.conf
今回の更新により、ターミナルセッションの録画ロールで、標準の Ansible 変数 ansible_managed
を使用して、"Ansible managed" コメントが設定ファイルに挿入されるようになりました。コメントは、Terminal Session Recording ロールがファイルを上書きする可能性があるため、設定ファイルを直接編集してはならないことを示しています。その結果、設定ファイルには、設定ファイルが Ansible によって管理されていることを示す宣言が含まれています。
VPN ロールは、管理された設定ファイルで "Ansible managed" コメントを一貫して使用します。
VPN ロールは、次の設定ファイルを生成します。
-
/etc/ipsec.d/mesh.conf
-
/etc/ipsec.d/policies/clear
-
/etc/ipsec.d/policies/private
-
/etc/ipsec.d/policies/private-or-clear
この更新により、VPN ロールは、Ansible 標準の ansible_managed
変数を使用して、設定ファイルに "Ansible managed" コメントを挿入します。コメントは、VPN ロールがファイルを上書きする可能性があるため、設定ファイルを直接編集してはならないことを示しています。その結果、設定ファイルには、設定ファイルが Ansible によって管理されていることを示す宣言が含まれています。
Postfix ロールは、管理設定ファイル内で常に "Ansible_managed" コメントを使用します。
Postfix ロールは /etc/postfix/main.cf
設定ファイルを生成します。今回の更新で、Postfix ロールは、Ansible 標準の ansible_managed
変数を使用して、設定ファイルに "Ansible managed" コメントを挿入します。コメントは、Postfixrole がファイルを上書きする可能性があるため、設定ファイルを直接編集しないことを示しています。その結果、設定ファイルには、設定ファイルが Ansible によって管理されていることを示す宣言が含まれています。
Firewall RHEL システムロールが RHEL 9 に追加されました
この機能拡張により、rhel-system-roles.firewall
RHEL システムロールが rhel-system-roles
パッケージに追加されました。その結果、管理者はマネージドノードのファイアウォール設定を自動化できます。
(BZ#2021665)
SSH client RHEL システムロールが、OpenSSH 8.7 の新しい設定オプションをサポートするようになりました
今回の機能強化により、OpenSSH が最新バージョンに更新され、新規ホストを設定するための SSH クライアントロールで利用可能な新しい設定オプションが提供されます。