红帽全球峰会4.13. Red Hat Enterprise Linux 系统角色
postgresql RHEL 系统角色现在可用
新的 postgresql RHEL 系统角色安装、配置、管理和启动 PostgreSQL 服务器。角色还优化了数据库服务器设置,以提高性能。
角色支持 RHEL 8 和 RHEL 9 管理的节点上 PostgreSQL 的当前发布的和支持的版本。
如需更多信息,请参阅使用 postgresql RHEL 系统角色安装和配置 PostgreSQL。
keylime_server RHEL 系统角色
使用新的 keylime_server RHEL 系统角色,您可以使用 Ansible playbook 在 RHEL 9 系统上配置 verifier 和 registrar Keylime 组件。Keylime 是一个使用可信平台模块(TPM)技术的远程机器验证工具。
支持新的 ha_cluster 系统角色功能
ha_cluster 系统角色现在支持以下功能:
- 资源配置和资源操作默认值,包括带有规则的多个默认值集合。
- 加载和阻止 SBD watchdog 内核模块。这使得安装的硬件 watchdog 可供集群使用。
-
向集群主机和仲裁设备分配不同的密码。因此,您可以配置一个部署,其中同一仲裁主机被加入到多个独立的集群,这些集群上的
hacluster用户的密码不一样。
有关您配置用于实现这些功能的参数的详情,请参考 使用 ha_cluster RHEL 系统角色配置高可用性集群。
Bugzilla:2190483,Bugzilla:2190478,Bugzilla:2216485
storage 系统角色支持为 RAID LVM 卷配置条带大小
有了此更新,您可以在创建 RAID LVM 设备时指定自定义条带大小。为了更好的性能,请为 SAP HANA 使用自定义条带大小。建议的 RAID LVM 卷的条带大小为 64 KB。
Podman RHEL 系统角色现在支持 Quadlets、healthchecks 和 secret
从 Podman 4.6 开始,您可以在 podman RHEL 系统角色中使用 podman_quadlet_specs 变量。您可以通过指定一个单元文件来定义一个 Quadlet,或按名称、单元类型和规范在清单中定义一个 Quadlet。单元类型可以是以下:container、kube、network 和 volume。请注意,Qadlets 仅适用于 RHEL 8 上的 root 容器。Quadlets 适用于 RHEL 9 上的无根容器。
healthcheck 只支持 Quadlet 容器类型。在 [Container] 部分中,指定 HealthCmd 字段来定义 healthcheck 命令和 HealthOnFailure 字段,以在容器不健康时定义操作。可能的选项为 none,kill,restart 和 stop。
您可以使用 podman_secrets 变量来管理 secret。详情请查看 上游文档。
Jira:RHELPLAN-154440[1]
RHEL 系统角色现在对挂载点自定义有新的卷选项
有了此更新,您现在可以为挂载目录指定 mount_user、mount_group 和 mount_permissions 参数。
kdump RHEL 系统角色更新
kdump RHEL 系统角色已更新至更新的版本,其带来以下值得注意的改进:
-
安装
kexec-tools后,工具套件不再产生/etc/sysconfig/kdump文件,因为您不再需要管理此文件。 -
角色支持
auto_reset_crashkernel和dracut_args变量。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/kdump/ 目录中的资源。
ad_integration RHEL 系统角色现在可以重新加入 AD 域
有了此更新,您可以使用 ad_integration RHEL 系统角色重新加入活动目录(AD)域。为此,请将 ad_integration_force_rejoin 变量设置为 true。如果 realm_list 输出显示该主机已在一个 AD 域中,则它将在重新加入前离开现有域。
rhc 系统角色现在支持设置代理服务器类型
rhc_proxy 参数下新引入的属性 scheme 使您可以使用 rhc 系统角色来配置代理服务器类型。您可以设置两个值:http 默认值和 https。
ssh 角色中禁用配置备份的新选项
现在,您可以通过将新的 ssh_backup 选项设置为 false 来防止旧配置文件被覆盖前备份它们。在以前的版本中,备份配置文件是自动创建的,这可能不是必需的。ssh_backup 选项的默认值为 true,其保留原始行为。
certificate RHEL 系统角色现在在使用 certmonger 时允许更改证书文件模式
在以前的版本中,由具有 certmonger 提供者的 certificate RHEL 系统角色创建的证书使用默认的文件模式。但是,在某些用例中,您可能需要更严格的模式。有了此更新,您现在可以使用 mode 参数设置一个不同的证书和密钥文件模式。
用于管理 systemd 单元的新的 RHEL 系统角色
rhel-system-role 软件包现在包含 systemd RHEL 系统角色。您可以使用此角色来部署单元文件,并在多个系统上管理 systemd 单元。您可以通过提供 systemd 单元文件和模板,并通过指定这些单元的状态(如 started、stoped、masked 和其他)来自动化 systemd 功能。
network RHEL 系统角色支持 no-aaaa DNS 选项
现在,您可以使用 no-aaaa 选项在受管节点上配置 DNS 设置。在以前的版本中,没有选项来抑制 stub 解析器生成的 AAAA 查询,包括由基于 NSS 的接口(如 getaddrinfo )触发的 AAAA 查找;只有 DNS 查找受到影响。有了这个增强,您可以压制由 stub 解析器产生的 AAAA 查询。
network RHEL 系统角色支持 auto-dns 选项,来控制自动 DNS 记录更新
此功能增强为定义的名称服务器和搜索域提供支持。现在,您只能使用 dns 和 dns_search 属性中指定的名称服务器和搜索域,同时禁用自动配置的名称服务器和搜索域,如 DHCP 中的 dns record。有了这个增强,您可以通过更改 auto-dns 设置来禁用自动 dns 记录。
firewall RHEL 系统角色支持与 ipset 相关的变量
有了 firewall RHEL 系统角色的这个更新,您可以定义、修改和删除 ipset。您还可以从防火墙区中添加和删除 ipset。或者,您可以在定义防火墙富规则时使用这些 ipset。
您可以使用以下变量,使用 firewall RHEL 系统角色管理 ipset :
-
ipset -
ipset_type -
ipset_entries -
short -
description -
state: present或state: absent -
permanent: true
以下是此改进的一些显著优点:
- 您可以降低为许多 IP 地址定义规则的富规则的复杂度。
- 您可以根据需要从集合中添加或删除 IP 地址,而无需修改多个规则。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/firewall/ 目录中的资源。
使用 restorecon -T 0 提高了 selinux 系统角色的性能
在所有适用的情况下,selinux 系统角色现在将 -T 0 选项和 restorecon 命令一起使用。这提高了在文件上恢复默认的 SELinux 安全上下文的任务的性能。
firewall RHEL 系统角色有一个禁用冲突服务的选项,如果 firewalld 被屏蔽,它不再失败
在以前的版本中,当角色运行时 firewalld 被屏蔽或存在冲突服务时,firewall 系统角色失败。这个更新引入了两个显著改进:
linux-system-roles.firewall 角色总是尝试在角色运行时安装、取消屏蔽,以及启用 firewalld 服务。您现在可以在 playbook 中添加一个新的变量 firewall_disable_conflicting_services ,来禁用已知的冲突服务,如 iptables.service、nftables.service 和 ufw.service。firewall_disable_conflicting_services 变量默认被设置为 false。要禁用冲突服务,请将变量设置为 true。
podman RHEL 系统角色现在使用 getsubids 获取子指南和子gid
podman RHEL 系统角色现在使用 getsubids 命令分别获取用户和组的 subuid 和 subgid 范围。podman RHEL 系统角色也使用这个命令来验证用户和组是否与身份管理一起使用。
Jira:RHEL-866[1]
podman_kube_specs 变量现在支持 pull_image 和 continue_if_pull_fails 字段
podman_kube_specs 变量现在支持新字段:
-
pull_image:确保镜像在使用前被拉取(pull)。默认值为true。如果您有一些其他机制来确保镜像在系统上存在,且您不想拉取镜像,请使用false。 -
continue_if_pull_fails:如果拉取镜像失败,它不会被视为一个致命错误,并使用角色继续执行。默认值为false。如果您有一些其他机制来确保正确的镜像在系统上存在,请使用true。
Jira:RHEL-858[1]
重置 firewall RHEL 系统角色配置现在需要较少的停机时间
在以前的版本中,当使用 previous: replaced 变量重置 firewall 角色配置时,firewalld 服务会重启。重启会增加停机时间并延长打开连接的时间,在此期间,firewalld 不会阻止来自活跃连接的流量。有了这个增强,firewalld 服务通过重新加载而不是重启来完成配置重置。重新加载最小化了停机时间,并减少了绕过防火墙规则的机会。因此,使用 previous: replaced 变量重置 firewall 角色配置现在需要最少的停机时间。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}