4.15. Red Hat Enterprise Linux システムロール
ha_cluster システムロールの新機能のサポート
ha_cluster システムロールは、次の機能をサポートするようになりました。
- ノードおよびプリミティブリソースの使用属性の設定。
-
ha_cluster_node_options変数を使用したノードアドレスと SBD オプションの設定。'ha_cluster_node_options' と 'ha_cluster' 変数の両方が定義されている場合、それらの値はマージされ、'ha_cluster_node_options' の値が優先されます。 - アクセス制御リスト (ACL) の設定。
- クラスターイベント (ノード障害やリソースの起動または停止など) の発生時に外部アクションを実行するように Pacemaker アラートを設定できます。
-
ha_cluster_install_cloud_agents変数をtrueに設定すると、クラウド環境のエージェントを簡単にインストールできます。
Jira:RHEL-30111、Jira:RHEL-27186、Jira:RHEL-33532、Jira:RHEL-17271
RHEL システムロールを使用した GFS2 ファイルシステムの設定をサポート
Red Hat Enterprise Linux 9.5 では、gfs2 RHEL システムロールを使用して Red Hat Global File System 2 (GFS2) の設定と管理がサポートされます。このロールにより、pcs コマンドラインインターフェイスで管理される Pacemaker クラスターに GFS2 ファイルシステムが作成されます。
以前は、サポートされる設定で GFS2 ファイルシステムをセットアップするには、長い一連の手順を実行してストレージおよびクラスターリソースを設定する必要がありました。gfs2 ロールは、このプロセスを単純化します。このロールを使用すると、RHEL 高可用性クラスターで GFS2 ファイルシステムの設定に必要な最小限の情報のみ指定します。
gfs2 ロールは以下のタスクを実行します。
- Red Hat 高可用性クラスターで GFS2 ファイルシステムを設定するために必要なパッケージをインストールする
-
dlmおよびlvmlockdクラスターリソースを設定する - GFS2 ファイルシステムに必要な LVM ボリュームグループと論理ボリュームを作成する
- 必要なリソース制約を備えた GFS2 ファイルシステムとクラスターリソースを作成する
Jira:RHELDOCS-18629[1]
新しい sudo RHEL システムロール
sudo は RHEL システム設定の重要な部分です。新しい sudo RHEL システムロールを使用すると、RHEL システム全体で sudo 設定を大規模に一貫して管理できます。
ストレージ RHEL システムロールが Stratis プールを管理できるようになりました
この機能強化により、ストレージ RHEL システムロールを使用して次のタスクを実行できるようになります。
- 新しい暗号化された Stratis プールと暗号化されていない Stratis プールを作成する
- 既存の Stratis プールに新しいボリュームを追加する
- Stratis プールに新しいディスクを追加する
Stratis プールの管理方法やその他の関連情報の詳細は、/usr/share/doc/rhel-system-roles/storage/ ディレクトリー内のリソースを参照してください。
journald RHEL システムロールの新しい変数: journald_rate_limit_interval_sec および journald_rate_limit_burst
次の 2 つの変数が journald RHEL システムロールに追加されました。
-
journald_rate_limit_interval_sec(整数、デフォルトは 30):journald_rate_limit_burstログメッセージのみが処理される時間間隔を秒単位で設定します。journald_rate_limit_interval_sec変数は、journald.confファイルのRateLimitIntervalSec設定に対応します。 -
journald_rate_limit_burst(整数、デフォルトは 10,000):journald_rate_limit_interval_secで定義された時間内に処理されるログメッセージの上限を設定します。journald_rate_limit_burst変数は、journald.confファイルのRateLimitBurst設定に対応します。
その結果、これらの設定を使用して journald サービスのパフォーマンスを調整し、短期間に多数のメッセージを記録するアプリケーションを処理できるようになります。
詳細は、/usr/share/doc/rhel-system-roles/journald/ ディレクトリー内のリソースを参照してください。
podman RHEL システムロールの新しい変数: podman_registry_username および podman_registry_password
podman RHEL システムロールを使用すると、コンテナーイメージレジストリーの認証情報をグローバルに、または仕様ごとに指定できるようになりました。そのためには、両方のロール変数を設定する必要があります。
-
podman_registry_username(文字列、デフォルトは未設定): コンテナーイメージレジストリーでの認証に使用するユーザー名を設定します。podman_registry_password変数も設定する必要があります。registry_username変数を使用して、仕様ごとにpodman_registry_username を上書きできます。認証情報に関連する各操作は、その仕様で定義された詳細なルールとプロトコルに従って実行されます。 -
podman_registry_password(文字列、デフォルトは未設定): コンテナーイメージレジストリーでの認証用のパスワードを設定します。podman_registry_username変数も設定する必要があります。registry_password変数を使用して、仕様ごとにpodman_registry_password を上書きできます。認証情報に関連する各操作は、その仕様で定義された詳細なルールとプロトコルに従って実行されます。セキュリティーのため、Ansible Vault 機能を使用してパスワードを暗号化します。
その結果、podman RHEL システムロールを使用して、レジストリーへのアクセスに認証が必要なイメージを含むコンテナーを管理できるようになります。
詳細は、/usr/share/doc/rhel-system-roles/podman/ ディレクトリー内のリソースを参照してください。
postfix RHEL システムロールの新しい変数: postfix_files
postfix RHEL システムロールを使用すると、Postfix メール転送エージェントの追加ファイルを設定できるようになりました。この目的のために、次のロール変数を使用できます。
postfix_files-
必要に応じて Postfix ルックアップテーブルに変換できる、
/etc/postfix/ディレクトリーに配置されるファイルのリストを定義します。この変数を使用すると、Simple Authentication and Security Layer (SASL) 認証情報などを設定できます。セキュリティーのため、Ansible Vault 機能を使用して、認証情報やその他の秘密を含むファイルを暗号化します。
その結果、postfix RHEL システムロールを使用してこれらの追加ファイルを作成し、Postfix 設定に統合することができます。
詳細は、/usr/share/doc/rhel-system-roles/postfix/ ディレクトリー内のリソースを参照してください。
スナップショット RHEL システムロールは、LVM シンプールのスナップショットの管理をサポートするようになりました。
シンプロビジョニングを使用すると、スナップショット RHEL システムロールを使用して、LVM シンプールのスナップショットを管理できます。これらのシンスナップショットはスペース効率に優れており、スナップショットの作成後にデータが書き込まれたり変更されたりした場合にのみサイズが大きくなります。ロールは、指定されたボリュームがシンプールにスケジュールされているかどうかを自動的に検出します。追加された機能は、大量の物理ストレージを消費せずに頻繁にスナップショットを取得する必要がある環境で役立つ可能性があります。
ログ RHEL システムロールの新しいオプション: reopen_on_truncate
logging_inputs 変数の ファイル 入力タイプは、次のオプションをサポートするようになりました。
reopen_on_truncate(ブール値、デフォルトは false)-
ログのローテーション中などに入力ログファイルが切り捨てられた場合に、
rsyslogサービスが入力ログファイルを再度開くように設定します。reopen_on_truncateロールオプションは、rsyslogのreopenOnTruncateパラメーターに対応します。
その結果、ロギング RHEL システムロールを通じて rsyslog を 自動的に設定し、切り捨てられた入力ログファイルを再度開くことができます。
詳細は、/usr/share/doc/rhel-system-roles/logging/ ディレクトリー内のリソースを参照してください。
Jira:RHEL-46590[1]
ログ RHEL システムロールの新しい変数: logging_custom_config_files
ログ記録 RHEL システムロールに次の変数を使用して、カスタムログ記録設定ファイルを提供できます。
ログ記録カスタム設定ファイル(リスト)-
デフォルトのログ記録設定ディレクトリーにコピーする設定ファイルのリストを設定します。たとえば、
rsyslogサービスの場合は/etc/rsyslog.d/ディレクトリーになります。これは、デフォルトのログ記録設定がそのディレクトリー内の設定ファイルをロードして処理することを前提としています。デフォルトのrsyslog設定には、$IncludeConfig/etc/rsyslog.d/*.confなどのディレクティブがあります。
その結果、ログ記録 RHEL システムロールでは提供されないカスタマイズされた設定を使用できるようになります。
詳細は、/usr/share/doc/rhel-system-roles/logging/ ディレクトリー内のリソースを参照してください。
ロギング RHEL システムロールは、rsyslog ファイルとディレクトリーの所有権と権限を設定できます。
logging_outputs 変数の ファイル 出力タイプは、次のオプションをサポートするようになりました。
-
mode(raw、デフォルトは null):rsyslogサービスのomfileモジュールに関連付けられたFileCreateModeパラメーターを設定します。 -
owner(文字列、デフォルトは null):rsyslogのomfileモジュールに関連付けられたfileOwnerまたはfileOwnerNumパラメーターを設定します。値が整数の場合、fileOwnerNumが設定されます。それ以外の場合は、fileOwner を設定します。 -
group(文字列、デフォルトは null):rsyslogのomfileモジュールに関連付けられたfileGroupまたはfileGroupNumパラメーターを設定します。値が整数の場合、fileGroupNumが設定されます。それ以外の場合は、fileGroupを設定します。 -
dir_mode(デフォルトは null):rsyslogのomfileモジュールに関連付けられたDirCreateModeパラメーターを設定します。 -
dir_owner(デフォルトは null):rsyslogのomfileモジュールに関連付けられたdirOwnerまたはdirOwnerNumパラメーターを設定します。値が整数の場合、dirOwnerNumが設定されます。それ以外の場合は、dirOwner を設定します。 -
dir_group(デフォルトは null):rsyslogのomfileモジュールに関連付けられたdirGroupまたはdirGroupNumパラメーターを設定します。値が整数の場合、dirGroupNumが設定されます。それ以外の場合は、dirGroup を設定します。
その結果、rsyslog によって作成されたファイルとディレクトリーの所有権と権限を設定できます。
ファイルまたはディレクトリーのプロパティーは、Ansible ファイル モジュール内の対応する変数と同じであることに注意してください。
詳細は、/usr/share/doc/rhel-system-roles/logging/ ディレクトリー内のリソースを参照してください。または、ansible-doc ファイル コマンドの出力を確認します。
Jira:RHEL-34935[1]
ストレージ RHEL システムロールを使用すると、管理対象ノードにフィンガープリントが作成されます。
まだ存在しない場合は、このロールを実行するたびに、ストレージによって 一意の識別子 (フィンガープリント) が作成されます。フィンガープリントは、管理対象ノードの /etc/fstab ファイルに書き込まれる # system_role:storage 文字列の形式になります。その結果、ストレージ によって管理されているノードを追跡できます。
podman RHEL システムロールの新しい変数: podman_registry_certificates および podman_validate_certs
次の 2 つの変数が podman RHEL システムロールに追加されました。
-
podman_registry_certificates(辞書要素のリスト): 指定されたコンテナーイメージレジストリーに接続するために使用される TLS 証明書とキーを管理できます。 -
podman_validate_certs(ブール値、デフォルトは null): コンテナーイメージレジストリーからイメージをプルするときに TLS 証明書を検証するかどうかを制御します。デフォルトの null 値は、containers.podman.podman_imageモジュールによって設定されたデフォルトが使用されることを意味します。podman_validate_certs変数は、validate_certs変数を使用して仕様ごとに上書きできます。
その結果、podman RHEL システムロールを使用して、コンテナーイメージレジストリーに接続するための TLS 設定を設定できるようになります。
詳細は、/usr/share/doc/rhel-system-roles/podman/ ディレクトリー内のリソースを参照してください。または、containers-certs (5) の man ページを確認することもできます。
podman RHEL システムロールの新しい変数: podman_credential_files
一部の操作では、レジストリーからコンテナーイメージを自動または無人でプルする必要があり、podman_registry_username および podman_registry_password 変数は使用できません。
したがって、podman RHEL システムロールは、コンテナーイメージレジストリーに対して認証するために containers-auth.json ファイルを受け入れるようになりました。この目的のために、次のロール変数を使用できます。
podman_credential_files(辞書要素のリスト)- リスト内の各辞書要素は、プライベートコンテナーイメージレジストリーへの認証用のユーザー認証情報を含むファイルを定義します。セキュリティーのため、Ansible Vault 機能を使用してこれらの認証情報を暗号化します。ファイル名、モード、所有者、ファイルグループを指定でき、さまざまな方法で内容を指定できます。詳細は、ロールのドキュメントを参照してください。
その結果、自動化された無人操作のためにコンテナーイメージレジストリーの認証情報を入力できるようになります。
詳細は、/usr/share/doc/rhel-system-roles/podman/ ディレクトリー内のリソースを参照してください。または、containers-auth.json (5) および containers-registries.conf (5) の man ページを確認することもできます。
nbde_client RHEL システムロールにより、特定の設定の実行をスキップできるようになりました。
nbde_client RHEL システムロールを使用すると、次のメカニズムを無効にできるようになりました。
- 初期 RAM ディスク
- NetworkManager フラッシュモジュール
- Dracut フラッシュモジュール
clevis-luks-askpass ユーティリティーは、NetworkManager サービスが OS をネットワークに接続した後、ブートプロセスの後半で一部のストレージボリュームのロックを解除します。したがって、前述のメカニズムの設定変更は必要ありません。
その結果、高度なネットワーク設定をサポートするために上記の設定が実行されないようにしたり、ブートプロセスの後半でボリュームの暗号化解除が行われないようにしたりすることができます。
ssh RHEL システムロールは、ObscureKeystrokeTiming および ChannelTimeout 設定オプションを認識するようになりました。
ssh RHEL システムロールは、OpenSSH ユーティリティースイートの次の設定オプションの追加を反映するように更新されました。
-
ObscureKeystrokeTiming(yes|no| 間隔指定子、デフォルトは 20):sshユーティリティーがネットワークトラフィックのパッシブオブザーバーからキーストローク間のタイミングを隠すかどうかを設定します。 -
ChannelTimeout:sshユーティリティーが非アクティブなチャネルを閉じるかどうか、また閉じる場合の速さを設定します。
ssh RHEL システムロールを使用する場合は、次の例のように新しいオプションを使用できます。
---
- name: Non-exclusive sshd configuration
hosts: managed-node-01.example.com
tasks:
- name: Configure ssh to obscure keystroke timing and set 5m session timeout
ansible.builtin.include_role:
name: rhel-system-roles.ssh
vars:
ssh_ObscureKeystrokeTiming: "interval:80"
ssh_ChannelTimeout: "session=5m"src パラメーターが ネットワーク RHEL システムロールに追加されました
network_connections 変数の ip オプションの route サブオプションに src パラメーターが追加されました。このパラメーターは、ルートの送信元 IP アドレスを指定します。通常、マルチ WAN 接続に役立ちます。これらの設定により、マシンに複数のパブリック IP アドレスが確保され、送信トラフィックでは特定のネットワークインターフェイスに関連付けられた特定の IP アドレスが使用されるようになります。その結果、src パラメーターのサポートにより、説明したシナリオでより堅牢で柔軟なネットワーク設定機能が確保され、トラフィックルーティングをより適切に制御できるようになります。
詳細は、/usr/share/doc/rhel-system-roles/network/ ディレクトリー内のリソースを参照してください。
ストレージ RHEL システムロールは LVM 物理ボリュームのサイズを変更できるようになりました
ブロックデバイスのサイズが変更され、このデバイスを LVM で使用する場合は、LVM 物理ボリュームも調整できます。この機能強化により、ストレージ RHEL システムロールを使用して、LVM 物理ボリュームのサイズを変更し、サイズを変更した後、基礎となるブロックデバイスのサイズと一致させることができます。自動サイズ変更を有効にするには、Playbook のプールで grow_to_fill: true を設定します。
