4.17. Red Hat Enterprise Linux システムロール
systemd
ユニットを管理するための新しい RHEL システムロール
rhel-system-role
パッケージに systemd
RHEL システムロールが含まれるようになりました。このロールを使用して、ユニットファイルをデプロイし、複数のシステム上で systemd
ユニットを管理できます。systemd
ユニットファイルとテンプレートを提供し、それらのユニットの状態 (開始、停止、マスクなど) を指定することで、systemd
の機能を自動化できます。
設定バックアップを無効にする ssh
ロールの新しいオプション
新しい ssh_backup
オプションを false
に設定することで、古い設定ファイルが上書きされる前にバックアップされることを阻止できるようになりました。以前は、バックアップ設定ファイルが自動的に作成されていましたが、これは不要な場合がありました。ssh_backup
オプションのデフォルト値は true
で、元の動作が保持されます。
keylime_server
RHEL システムロール
新しい keylime_server
RHEL システムロールを使用すると、Ansible Playbook を使用して、RHEL 9 システム上で verifier および registrar Keylime コンポーネントを設定できます。Keylime は、Trusted Platform Module (TPM) テクノロジーを使用するリモートマシン証明ツールです。
新しい ha_cluster
システムロール機能のサポート
ha_cluster
システムロールは、次の機能をサポートするようになりました。
- リソースおよびリソース操作のデフォルトの設定 (ルールを含む複数のデフォルトのセットを含む)。
- SBD watchdog カーネルモジュールのロードとブロック。これにより、インストールされているハードウェアウォッチドッグをクラスターで使用できるようになります。
-
クラスターホストとクォーラムデバイスへの個別のパスワードの割り当て。これにより、同じクォーラムホストが複数の個別のクラスターに参加し、これらのクラスター上の
hacluster
ユーザーのパスワードが異なるデプロイメントを設定できます。
これらの機能を実装するために設定するパラメーターの詳細は、ha_cluster RHEL システムロールを使用した高可用性クラスターの設定 を参照してください。
Bugzilla:2185065, Bugzilla:2185067, Bugzilla:2216481
storage
システムのロールは、RAID LVM ボリュームのストライプサイズの設定をサポートする
この更新により、RAID LVM デバイスの作成時に、カスタムストライプサイズを指定できるようになりました。パフォーマンスを向上させるには、SAP HANA のカスタムストライプサイズを使用してください。RAID LVM ボリュームの推奨ストライプサイズは 64 KB です。
network
RHEL システムロールは、DNS レコードの自動更新を制御する auto-dns
オプションをサポートする
この機能拡張により、定義されたネームサーバーと検索ドメインのサポートが提供されます。DHCP からの dns record
など、自動的に設定されたネームサーバーと検索ドメインを無効にしながら、dns
および dns_search
プロパティーで指定されたネームサーバーと検索ドメインのみを使用できるようになりました。この機能拡張により、auto-dns
設定を変更することで、自動 DNS 記録を自動的に無効にすることができます。
network
RHEL システムロールは、no-aaaa
DNS オプションをサポートする
no-aaaa
オプションを使用して、マネージドノードで DNS 設定を設定できるようになりました。以前は、getaddrinfo
などの NSS ベースのインターフェイスによってトリガーされる AAAA ルックアップを含む、スタブリゾルバーによって生成される AAAA クエリーを抑制するオプションはありませんでした。DNS ルックアップのみが影響を受けていました。この機能拡張により、スタブリゾルバーによって生成された AAAA クエリーを抑制できるようになりました。
ad_integration
RHEL システムロールが AD ドメインに再参加できるようになる
この更新により、ad_integration
RHEL システムロールを使用して Active Directory (AD) ドメインに再参加できるようになりました。これを行うには、ad_integration_force_rejoin
変数を true
に設定します。realm_list
の出力で、ホストがすでに AD ドメインに存在していることが示されている場合、ホストは再参加する前に既存のドメインから離脱します。
certificate
RHEL システムロールで、certmonger
の使用時に証明書ファイルモードを変更できるようになる
以前は、certmonger
プロバイダーを使用して certificate
RHEL システムロールによって作成された証明書で、デフォルトのファイルモードが使用されていました。ただし、ユースケースによっては、より制限のあるモードが必要になる場合があります。この更新により、mode
パラメーターを使用して別の証明書とキーファイルモードを設定できるようになりました。
postgresql
RHEL システムロールが利用可能になる
新しい postgresql
RHEL システムロールは、PostgreSQL
サーバーをインストール、設定、管理、起動します。このロールは、データベースサーバー設定を最適化してパフォーマンスを向上させます。
このロールは、RHEL 8 および RHEL 9 マネージドノード上で現在リリースされサポートされているバージョンの PostgreSQL
をサポートします。
詳細は、postgresql RHEL システムロールを使用した PostgreSQL のインストールと設定 を参照してください。
podman
RHEL システムロールが Quadlets、ヘルスチェック、シークレットをサポートするようになる
Podman 4.6 以降では、podman
RHEL システムロールで podman_quadlet_specs
変数を使用できるようになりました。Quadlet は、ユニットファイルを指定するか、インベントリー内で名前、ユニットのタイプ、仕様を指定して定義できます。ユニットのタイプは次のとおりです: container
、kube
、network
、および volume
。Quadlet は RHEL 8 上のルートコンテナーでのみ機能することに注意してください。Quadlet は、RHEL 9 上のルートレスコンテナーで動作します。
ヘルスチェックは、Quadlet コンテナータイプに対してのみサポートされます。[Container]
セクションで、HealthCmd
フィールドを指定してヘルスチェックコマンドを定義し、HealthOnFailure
フィールドを指定してコンテナーが異常な場合のアクションを定義します。可能なオプションは、none
、kill
、restart
、および stop
です。
podman_secrets
変数を使用してシークレットを管理できます。詳細は、アップストリームのドキュメント を参照してください。
Jira:RHELPLAN-154441[1]
restorecon -T 0
による selinux
システムロールのパフォーマンスの向上
selinux
システムロールは、該当するすべてのケースで、restorecon
コマンドで -T 0
オプションを使用するようになりました。これにより、ファイル上でデフォルトの SELinux セキュリティーコンテキストを復元するタスクのパフォーマンスが向上します。
rhc
システムロールがプロキシーサーバータイプの設定をサポートするようになる
rhc_proxy
パラメーターの下に新しく導入された属性 スキーム
により、rhc
システムロールを使用してプロキシーサーバータイプを設定できるようになります。デフォルトの http
と https
の 2 つの値を設定できます。
firewall
RHEL システムロールが、ipsets
に関連する変数をサポートするようになる
firewall
RHEL システムロールの今回の更新により、ipsets
を定義、変更、削除できるようになりました。また、これらの ipsets
をファイアウォールゾーンに追加したり、ファイアウォールゾーンから削除したりすることもできます。あるいは、ファイアウォールのリッチルールを定義するときに、これらの ipsets
を使用することもできます。
次の変数を使用して、firewall
RHEL システムロールで ipsets
を管理できます。
-
ipset
-
ipset_type
-
ipset_entries
-
short
-
description
-
state: present
またはstate: absent
-
permanent: true
この機能拡張の主な利点は次のとおりです。
- 多くの IP アドレスのルールを定義するリッチルールの複雑さを軽減できます。
- 複数のルールを変更せずに、必要に応じてセットに IP アドレスを追加または削除できます。
詳細は、/usr/share/doc/rhel-system-roles/firewall/
ディレクトリー内のリソースを参照してください。
マウントポイントカスタマイズ用の新しいボリュームオプションが RHEL システムロールに追加される
この更新により、マウントディレクトリーに mount_user
、mount_group
、および mount_permissions
パラメーターを指定できるようになりました。
firewall
RHEL システムロールに競合するサービスを無効にするオプションが追加され、firewalld
がマスクされている場合でもロールが失敗しなくなる
以前は、ロールの実行時に firewalld
サービスがマスクされていた場合、または競合するサービスが存在した場合に、firewall
システムロールは失敗していました。この更新では、次の 2 つの主な機能拡張が提供されます。
linux-system-roles.firewall
ロールは、ロールの実行時に常に firewalld
サービスのインストール、マスク解除、および有効化を試みます。新しい変数 firewall_disable_conflicting_services
を Playbook に追加して、競合する既知のサービス (iptables.service
、nftables.service
、ufw.service
など) を無効化できるようになりました。firewall_disable_conflicting_services
変数はデフォルトで false
に設定されます。競合するサービスを無効にするには、変数を true
に設定します。
firewall
RHEL システムロール設定をリセットしたときに、ダウンタイムが最小限で済むようになる
以前は、previous: replace
変数を使用して firewall
ロール設定をリセットすると、firewalld
サービスが再起動されました。再起動するとダウンタイムが追加され、firewalld
がアクティブな接続からのトラフィックをブロックしないオープン接続の期間が長くなります。この機能拡張により、firewalld
サービスは再起動ではなく再ロードすることで、設定のリセットを完了します。リロードによりダウンタイムが最小限に抑えられ、ファイアウォールルールをバイパスする機会が減ります。その結果、以前の: replace
変数を使用して firewall
ロール設定をリセットすると、ダウンタイムが最小限で済むようになりました。