4.17. Red Hat Enterprise Linux システムロール
ha_cluster
システムロールの新機能のサポート
ha_cluster
システムロールは、次の機能をサポートするようになりました。
- ノードおよびプリミティブリソースの使用属性の設定。
-
ha_cluster_node_options
変数を使用したノードアドレスと SBD オプションの設定。ha_cluster_node_options
とha_cluster
変数の両方が定義されている場合、それらの値はマージされ、ha_cluster_node_options
の値が優先されます。 - アクセス制御リスト (ACL) の設定。
- クラスターイベント (ノード障害やリソースの起動または停止など) の発生時に外部アクションを実行するように Pacemaker アラートを設定できます。
-
ha_cluster_install_cloud_agents
変数をtrue
に設定すると、クラウド環境のエージェントを簡単にインストールできます。
Jira:RHEL-30111、Jira:RHEL-17271、Jira:RHEL-27186、Jira:RHEL-33532
RHEL システムロールを使用した GFS2 ファイルシステムの設定をサポート
Red Hat Enterprise Linux 9.5 では、gfs2
RHEL システムロールを使用して Red Hat Global File System 2 (GFS2) の設定と管理がサポートされます。このロールにより、pcs
コマンドラインインターフェイスで管理される Pacemaker クラスターに GFS2 ファイルシステムが作成されます。
以前は、サポートされる設定で GFS2 ファイルシステムをセットアップするには、長い一連の手順を実行してストレージおよびクラスターリソースを設定する必要がありました。gfs2
ロールは、このプロセスを単純化します。このロールを使用すると、RHEL 高可用性クラスターで GFS2 ファイルシステムの設定に必要な最小限の情報のみ指定します。
gfs2 ロールは以下のタスクを実行します。
- Red Hat 高可用性クラスターで GFS2 ファイルシステムを設定するために必要なパッケージをインストールする
-
dlm
およびlvmlockd
クラスターリソースを設定する - GFS2 ファイルシステムに必要な LVM ボリュームグループと論理ボリュームを作成する
- 必要なリソース制約を備えた GFS2 ファイルシステムとクラスターリソースを作成する
Jira:RHELDOCS-18629[1]
新しい sudo
RHEL システムロール
sudo
は、RHEL システム設定の重要な部分です。新しい sudo
RHEL システムロールを使用すると、RHEL システム全体で sudo 設定をスケーリングし、一貫して管理できます。
storage
RHEL システムロールが Stratis プールを管理できるようになる
この機能拡張により、storage
RHEL システムロールを使用して次のタスクを実行できるようになります。
- 新しい暗号化された Stratis プールと暗号化されていない Stratis プールを作成する
- 既存の Stratis プールに新しいボリュームを追加する
- Stratis プールに新しいディスクを追加する
Stratis プールの管理方法やその他の関連情報の詳細は、/usr/share/doc/rhel-system-roles/storage/
ディレクトリー内のリソースを参照してください。
journald
RHEL システムロールの新しい変数: journald_rate_limit_interval_sec
および journald_rate_limit_burst
次の 2 つの変数が journald
RHEL システムロールに追加されました。
-
journald_rate_limit_interval_sec
(整数、デフォルトは 30):journald_rate_limit_burst
ログメッセージのみが処理される時間間隔を秒単位で設定します。journald_rate_limit_interval_sec
変数は、journald.conf
ファイルのRateLimitIntervalSec
設定に対応します。 -
journald_rate_limit_burst
(整数、デフォルトは 10,000):journald_rate_limit_interval_sec
で定義された時間内に処理されるログメッセージの上限を設定します。journald_rate_limit_burst
変数は、journald.conf
ファイルのRateLimitBurst
設定に対応します。
その結果、これらの設定を使用して journald
サービスのパフォーマンスを調整し、短期間に多数のメッセージを記録するアプリケーションを処理できるようになります。
詳細は、/usr/share/doc/rhel-system-roles/journald/
ディレクトリー内のリソースを参照してください。
podman
RHEL システムロールの新しい変数: podman_registry_username
および podman_registry_password
podman
RHEL システムロールを使用すると、コンテナーイメージレジストリーの認証情報をグローバルに、または仕様ごとに指定できるようになりました。そのためには、両方のロール変数を設定する必要があります。
-
podman_registry_username
(文字列、デフォルトは unset): コンテナーイメージレジストリーでの認証に使用するユーザー名を設定します。podman_registry_password
変数も設定する必要があります。registry_username
変数を使用して、仕様ごとにpodman_registry_username
をオーバーライドできます。認証情報に関連する各操作は、その仕様で定義された詳細なルールとプロトコルに従って実行されます。 -
podman_registry_password
(文字列、デフォルトは unset): コンテナーイメージレジストリーでの認証用のパスワードを設定します。podman_registry_username
変数も設定する必要があります。registry_password
変数を使用して、仕様ごとにpodman_registry_password
をオーバーライドできます。認証情報に関連する各操作は、その仕様で定義された詳細なルールとプロトコルに従って実行されます。セキュリティーのため、Ansible Vault 機能を使用してパスワードを暗号化します。
その結果、podman
RHEL システムロールを使用して、レジストリーへのアクセスに認証が必要なイメージを含むコンテナーを管理できるようになります。
詳細は、/usr/share/doc/rhel-system-roles/podman/
ディレクトリー内のリソースを参照してください。
postfix
RHEL システムロールの新しい変数: postfix_files
postfix
RHEL システムロールを使用すると、Postfix メール転送エージェントの追加ファイルを設定できるようになりました。この目的用に、次のロール変数を使用できます。
postfix_files
-
必要に応じて Postfix ルックアップテーブルに変換できる、
/etc/postfix/
ディレクトリーに配置されるファイルのリストを定義します。この変数を使用すると、Simple Authentication and Security Layer (SASL) 認証情報などを設定できます。セキュリティーのため、Ansible Vault 機能を使用して、認証情報やその他のシークレットを含むファイルを暗号化します。
その結果、postfix
RHEL システムロールを使用してこれらの追加ファイルを作成し、Postfix 設定に統合することができます。
詳細は、/usr/share/doc/rhel-system-roles/postfix/
ディレクトリー内のリソースを参照してください。
snapshot
RHEL システムロールは、LVM シンプールのスナップショットの管理をサポートするようになりました。
シンプロビジョニングを使用すると、snapshot
RHEL システムロールを使用して、LVM シンプールのスナップショットを管理できます。これらのシンスナップショットはスペース効率に優れており、スナップショットの作成後にデータが書き込まれたり変更されたりした場合にのみサイズが大きくなります。ロールは、指定されたボリュームがシンプールにスケジュールされているかどうかを自動的に検出します。追加された機能は、大量の物理ストレージを消費せずに頻繁にスナップショットを取得する必要がある環境で役立つ可能性があります。
logging
RHEL システムロールの新しいオプション: reopen_on_truncate
logging_inputs
変数の files
入力タイプは、次のオプションをサポートするようになりました。
reopen_on_truncate
(ブール値、デフォルトは false)-
ログのローテーション中などに入力ログファイルが切り捨てられた場合に、
rsyslog
サービスが入力ログファイルを再度開くように設定します。reopen_on_truncate
ロールオプションは、rsyslog
のreopenOnTruncate
パラメーターに対応します。
その結果、logging
RHEL システムロールを通じて rsyslog
を自動的に設定し、切り捨てられた入力ログファイルを再度開くことができます。
詳細は、/usr/share/doc/rhel-system-roles/logging/
ディレクトリー内のリソースを参照してください。
Jira:RHEL-46590[1]
logging
RHEL システムロールの新しい変数: logging_custom_config_files
logging
RHEL システムロールに次の変数を使用して、カスタムロギング設定ファイルを提供できます。
logging_custom_config_files
(リスト)-
デフォルトのロギング設定ディレクトリーにコピーする設定ファイルのリストを設定します。たとえば、
rsyslog
サービスの場合は/etc/rsyslog.d/
ディレクトリーになります。これは、デフォルトのロギング設定がそのディレクトリー内の設定ファイルをロードして処理することを前提としています。デフォルトのrsyslog
設定には、$IncludeConfig /etc/rsyslog.d/*.conf
などのディレクティブがあります。
その結果、logging
RHEL システムロールでは提供されないカスタマイズされた設定を使用できるようになります。
詳細は、/usr/share/doc/rhel-system-roles/logging/
ディレクトリー内のリソースを参照してください。
logging
RHEL システムロールは、rsyslog
ファイルとディレクトリーの所有権と権限を設定できます。
logging_outputs
変数の files
出力タイプは、次のオプションをサポートするようになりました。
-
mode
(raw、デフォルトは null):rsyslog
サービスのomfile
モジュールに関連付けられたFileCreateMode
パラメーターを設定します。 -
owner
(文字列、デフォルトは null):rsyslog
のomfile
モジュールに関連付けられたfileOwner
またはfileOwnerNum
パラメーターを設定します。値が整数の場合、fileOwnerNum
が設定されます。それ以外の場合は、fileOwner
を設定します。 -
group
(文字列、デフォルトは null):rsyslog
のomfile
モジュールに関連付けられたfileGroup
またはfileGroupNum
パラメーターを設定します。値が整数の場合、fileGroupNum
が設定されます。それ以外の場合は、fileGroup
を設定します。 -
dir_mode
(デフォルトは null):rsyslog
のomfile
モジュールに関連付けられたDirCreateMode
パラメーターを設定します。 -
dir_owner
(デフォルトは null):rsyslog
のomfile
モジュールに関連付けられたdirOwner
またはdirOwnerNum
パラメーターを設定します。値が整数の場合、dirOwnerNum
が設定されます。それ以外の場合は、dirOwner
を設定します。 -
dir_group
(デフォルトは null):rsyslog
のomfile
モジュールに関連付けられたdirGroup
またはdirGroupNum
パラメーターを設定します。値が整数の場合、dirGroupNum
が設定されます。それ以外の場合は、dirGroup
を設定します。
その結果、rsyslog
によって作成されたファイルとディレクトリーの所有権と権限を設定できます。
ファイルまたはディレクトリーのプロパティーは、Ansible file
モジュール内の対応する変数と同じであることに注意してください。
詳細は、/usr/share/doc/rhel-system-roles/logging/
ディレクトリー内のリソースを参照してください。または、ansible-doc file
コマンドの出力を確認します。
Jira:RHEL-34935[1]
storage
RHEL システムロールを使用すると、マネージドノードにフィンガープリントが作成されます。
まだ存在しない場合は、このロールを実行するたびに、storage
は一意の識別子 (フィンガープリント) を作成します。フィンガープリントは、マネージドノードの /etc/fstab
ファイルに書き込まれる # system_role:storage
文字列の形式になります。その結果、storage
によって管理されているノードを追跡できます。
podman
RHEL システムロールの新しい変数: podman_registry_certificates
および podman_validate_certs
次の 2 つの変数が podman
RHEL システムロールに追加されました。
-
podman_registry_certificates
(辞書要素のリスト): 指定されたコンテナーイメージレジストリーに接続するために使用される TLS 証明書とキーを管理できます。 -
podman_validate_certs
(ブール値、デフォルトは null): コンテナーイメージレジストリーからイメージをプルするときに TLS 証明書を検証するかどうかを制御します。デフォルトの null 値は、containers.podman.podman_image
モジュールによって設定されたデフォルトが使用されることを意味します。podman_validate_certs
変数は、validate_certs
変数を使用して仕様ごとにオーバーライドできます。
その結果、podman
RHEL システムロールを使用して、コンテナーイメージレジストリーに接続するための TLS 設定を設定できるようになります。
詳細は、/usr/share/doc/rhel-system-roles/podman/
ディレクトリー内のリソースを参照してください。または、containers-certs(5)
の man ページを確認することもできます。
podman
RHEL システムロールの新しい変数: podman_credential_files
一部の操作では、レジストリーからコンテナーイメージを自動または無人でプルする必要がありpodman_registry_username
および podman_registry_password
変数は使用できません。
したがって、podman
RHEL システムロールは、コンテナーイメージレジストリーに対して認証するために containers-auth.json
ファイルを受け入れるようになりました。この目的用に、次のロール変数を使用できます。
podman_credential_files
(辞書要素のリスト)- リスト内の各辞書要素は、プライベートコンテナーイメージレジストリーへの認証用のユーザー認証情報を含むファイルを定義します。セキュリティーのため、Ansible Vault 機能を使用してこれらの認証情報を暗号化します。ファイル名、モード、所有者、ファイルグループを指定でき、さまざまな方法で内容を指定できます。詳細は、ロールのドキュメントを参照してください。
その結果、自動化された無人操作のためにコンテナーイメージレジストリーの認証情報を入力できるようになります。
詳細は、/usr/share/doc/rhel-system-roles/podman/
ディレクトリー内のリソースを参照してください。または、containers-auth.json(5)
および containers-registries.conf(5)
の man ページを確認することもできます。
nbde_client
RHEL システムロールにより、特定の設定の実行をスキップできるようになりました。
nbde_client
RHEL システムロールを使用すると、次のメカニズムを無効にできるようになりました。
- 初期 ramdisk
- NetworkManager フラッシュモジュール
- Dracut フラッシュモジュール
clevis-luks-askpass
ユーティリティーは、NetworkManager サービスが OS をネットワークに接続した後、ブートプロセスの後半で一部のストレージボリュームのロックを解除します。したがって、前述のメカニズムの設定変更は必要ありません。
その結果、前述の設定を無効にすることで、より高度なネットワークのセットアップをサポートしたり、起動プロセスの後半でボリューム復号化を実現したりできるようになります。
ssh
RHEL システムロールは、ObscureKeystrokeTiming
および ChannelTimeout
設定オプションを認識するようになりました。
ssh
RHEL システムロールは、OpenSSH ユーティリティースイートの次の設定オプションの追加を反映するように更新されました。
-
ObscureKeystrokeTiming
(yes|no| 間隔指定子、デフォルトは 20):ssh
ユーティリティーが、ネットワークトラフィックのパッシブオブザーバーからキーストローク間のタイミングを隠すかどうかを設定します。 -
ChannelTimeout
:ssh
ユーティリティーが非アクティブなチャネルを閉じるかどうか、また閉じる場合の速さを設定します。
ssh
RHEL システムロールを使用する場合は、次の例のように新しいオプションを使用できます。
--- - name: Non-exclusive sshd configuration hosts: managed-node-01.example.com tasks: - name: Configure ssh to obscure keystroke timing and set 5m session timeout ansible.builtin.include_role: name: rhel-system-roles.ssh vars: ssh_ObscureKeystrokeTiming: "interval:80" ssh_ChannelTimeout: "session=5m"
src
パラメーターが network
RHEL システムロールに追加される
network_connections
変数の ip
オプションの route
サブオプションに src
パラメーターが追加されました。このパラメーターは、ルートの送信元 IP アドレスを指定します。通常、マルチ WAN 接続に役立ちます。これらのセットアップにより、マシンに複数のパブリック IP アドレスが確保され、送信トラフィックでは特定のネットワークインターフェイスに関連付けられた特定の IP アドレスが使用されるようになります。その結果、src
パラメーターのサポートにより、説明したシナリオでより堅牢で柔軟なネットワーク設定機能が確保され、トラフィックルーティングをより適切に制御できるようになります。
詳細は、/usr/share/doc/rhel-system-roles/network/
ディレクトリー内のリソースを参照してください。
storage
RHEL システムロールが LVM 物理ボリュームのサイズを変更できるようになる
ブロックデバイスのサイズが変更され、このデバイスを LVM で使用する場合は、LVM 物理ボリュームも調整できます。この機能拡張により、storage
RHEL システムロールを使用して、LVM 物理ボリュームのサイズを変更し、サイズを変更した後、基礎となるブロックデバイスのサイズと一致させることができます。自動サイズ変更を有効にするには、Playbook のプールで grow_to_fill: true
を設定します。