4.15. Red Hat Enterprise Linux 系统角色
vpn RHEL 系统角色的新 IPsec 自定义参数
因为某些网络设备需要 IPsec 自定义才能正常工作,因此以下参数已添加到 vpn RHEL 系统角色中:
不要在没有较深理解的情况下更改以下参数。大多数场景不需要自定义。
此外,出于安全原因,使用 Ansible Vault 加密 shared_key_content 参数的值。
隧道参数:
-
shared_key_content -
ike -
esp -
ikelifetime -
salifetime -
retransmit_timeout -
dpddelay -
dpdtimeout -
dpdaction -
leftupdown
-
- 每个主机参数:
-
leftid -
rightid
因此,您可以使用 vpn 角色配置到大量网络设备的 IPsec 连接。
ha_cluster 系统角色现在支持自动化执行 firewall,selinux, 和 certificate 系统角色
ha_cluster RHEL 系统角色现在支持以下功能:
- 使用
firewall和selinux系统角色管理端口访问 -
要将集群的端口配置为运行
firewalld和selinux服务,您可以将新的角色变量ha_cluster_manage_firewall和ha_cluster_manage_selinux设为true。这将集群配置为使用firewall和selinux系统角色,并在ha_cluster系统角色中自动化并执行这些操作。如果将这些变量设为默认值false,则不会执行角色。有了这个版本,防火墙不再会被默认配置,因为它仅在ha_cluster_manage_firewall设为true时进行配置。 - 使用
certificate系统角色创建pcsd私钥和证书对 -
ha_cluster系统角色现在支持ha_cluster_pcsd_certificates角色变量。设置此变量,将其值传给certificate系统角色的certificate_requests变量。这提供了为pcsd创建私钥和证书对的替代方法。
ha_cluster 系统角色现在支持仲裁设备配置
仲裁设备充当集群的第三方仲裁设备。对于偶数节点的集群,建议使用仲裁设备。对于双节点集群,使用仲裁设备可以更好地决定在脑裂情况下保留哪些节点。您现在可以使用 ha_cluster 系统角色配置仲裁设备,qdevice 用于集群,qnetd 用于仲裁节点。
metrics 系统角色无法用于禁用的事实收集
由于性能或其他原因,可能会在您的环境中禁用 Ansible 事实收集。在这种配置中,目前无法使用 metrics 系统角色。要临时解决这个问题,请启用事实缓存,或者不使用 metrics 系统角色(如果无法使用事实收集)。
postfix RHEL 系统角色现在可以使用 firewall 和 selinux RHEL 系统角色来管理端口访问
有了这个增强,您可以使用新角色变量 postfix_manage_firewall 和 postfix_manage_selinux 自动管理端口访问:
-
如果它们设为
true,则每个角色都可用来管理端口访问。 -
如果它们设为
false(默认),则角色不参与。
vpn RHEL 系统角色现在可以使用 firewall 和 selinux 角色来管理端口访问
有了这个增强,您可以通过 firewall 和 selinux 角色,在 vpn RHEL 系统角色中自动管理端口访问。如果将新角色变量 vpn_manage_firewall 和 vpn_manage_selinux 设为 true,则角色将管理端口访问。
metrics RHEL 系统角色现在可以使用 firewall 角色和 selinux 角色来管理端口访问
有了这个增强,您可以控制对端口的访问。如果将新角色变量 metrics_manage_firewall 和 metrics_manage_firewall 设为 true,则角色将管理端口访问。现在,您可以使用 metrics 角色直接自动化并执行这些操作。
nbde_server RHEL 系统角色现在可以使用 firewall 和 selinux 角色来管理端口访问
有了这个增强,您可以使用 firewall 和 selinux 角色管理端口访问。如果将新角色变量 nbde_server_manage_firewall 和 nbde_server_manage_selinux 设为 true,则角色将管理端口访问。现在,您可以使用 nbde_server 角色直接自动化这些操作。
initscripts 网络供应商支持默认网关的路由指标配置
有了此更新,您可以在 rhel-system-roles.network RHEL 系统角色中使用 initscripts 网络提供者来配置默认网关的路由指标。
此类配置的原因可能是:
- 在不同路径中分发流量负载
- 指定主路由和备份路由
- 利用路由策略通过特定路径将流量发送到特定的目的地
network 系统角色支持设置 DNS 优先级值
此增强向 RHEL network 系统角色中添加了 dns_priority 参数。您可以将此参数设为 -2147483648 到 2147483647 的值。默认值为 0。较低的值具有较高的优先级。请注意,负值导致系统角色排除具有更大数字优先级值的其他配置。因此,如果存在至少一个负优先级值,系统角色只使用来自连接配置文件的具有最低优先级值的 DNS 服务器。
因此,您可以使用 network 系统角色在不同的连接配置文件中定义 DNS 服务器的顺序。
添加了对克隆的 MAC 地址的支持
克隆的 MAC 地址是设备 WAN 端口的 MAC 地址,它与机器的 MAC 地址相同。有了这个更新,用户可以使用 MAC 地址或策略(如 random 或 preserve)指定绑定或网桥接口,以获取绑定或网桥接口的默认 MAC 地址。
cockpit RHEL 系统角色与 firewall、selinux 和 certificate 角色集成
此功能增强使您能够将 cockpit 角色与 firewall 角色和 selinux 角色集成,来管理端口访问和 certificate 角色集成来生成证书。
要控制端口访问,请使用新的 cockpit_manage_firewall 和 cockpit_manage_selinux 变量。默认情况下,这两个变量都默认设为 false,并且不会被执行。将它们设为 true,以允许 firewall 和 selinux 角色管理 RHEL web 控制台服务端口访问。然后,操作将在 cockpit 角色内执行。
请注意,您负责管理防火墙和 SELinux 的端口访问。
要生成证书,请使用新的 cockpit_certificates 变量。变量默认设为 false,并且不会被执行。您可以与在 certificate 角色中使用 certificate_request 变量的相同方式使用此变量。然后 cockpit 角色将使用 certificate 角色来管理 RHEL web 控制台证书。
selinux RHEL 系统角色现在支持 local 参数
这个 selinux RHEL 系统角色的更新引进了对 local 参数的支持。通过使用此参数,您只能删除本地策略修改,并保留内置的 SELinux 策略。
用于直接与活动目录集成的新的 RHEL 系统角色
新的 rhel-system-roles.ad_integration RHEL 系统角色已添加到 rhel-system-roles 软件包中。因此,现在管理员可以自动将 RHEL 系统直接与活动目录域集成。
新的 Red Hat Insights 和订阅管理的 Ansible 角色
rhel-system-roles 软件包现在包含远程主机配置(rhc)系统角色。此角色使管理员能够轻松地将 RHEL 系统注册到 Red Hat Subscription Management (RHSM)和 Satellite 服务器。默认情况下,当使用 rhc 系统角色注册系统时,系统会连接到 Red Hat Insights。有了新的 rhc 系统角色,管理员现在可以在受管节点上自动执行以下任务:
- 配置到 Red Hat Insights 的连接,包括系统的自动更新、补救和标签。
- 启用和禁用存储库。
- 配置用于连接的代理。
- 设置系统的发行版本。
有关如何自动化这些任务的更多信息,请参阅 使用 RHC 系统角色注册系统。
Microsoft SQL Server Ansible 角色支持异步高可用性副本
在以前的版本中,Microsoft SQL Server Ansible 角色只支持主、同步和见证高可用性副本。现在,您可以将 mssql_ha_replica_type 变量设为 asynchronous,以使用新的或现有副本的异步副本类型对其进行配置。
Microsoft SQL Server Ansible 角色支持 read-scale 集群类型
在以前的版本中,Microsoft SQL Ansible 角色只支持外部集群类型。现在,您可以使用新的变量 mssql_ha_ag_cluster_type 配置角色。默认值为 external,使用它来配置具有 Pacemaker 的集群。要配置没有 Pacemaker 的集群,请对该变量使用值 none。
Microsoft SQL Server Ansible 角色可以生成 TLS 证书
在以前的版本中,您需要在配置 Microsoft SQL Ansible 角色前,手动在节点上生成 TLS 证书和私钥。有了这个更新,Microsoft SQL Server Ansible 角色可以使用 redhat.rhel_system_roles.certificate 角色来实现这一目的。现在,您可以使用 certificate 角色的 certificate_requests 变量格式设置 mssql_tls_certificates 变量,以便在节点上生成 TLS 证书和私钥。
Microsoft SQL Server Ansible 角色支持配置 SQL Server 版本 2022
在以前的版本中,Microsoft SQL Ansible 角色只支持配置 SQL Server 版本 2017 和版本 2019。这个更新为您提供对 Microsoft SQL Ansible 角色的 SQL Server 版本 2022 的支持。现在,您可以将 mssql_version 值设为 2022 ,以配置新的 SQL Server 2022 或将 SQL Server 从版本 2019 升级到版本 2022。请注意,不提供从 SQL Server 版本 2017 到版本 2022 的升级。
Microsoft SQL Server Ansible 角色支持活动目录身份验证的配置
有了这个更新,Microsoft SQL Ansible 角色支持 SQL Server 的活动目录身份验证的配置。现在,您可以使用 mssql_ad_ 前缀设置变量来配置活动目录身份验证。
日志记录 RHEL 系统角色与 firewall、selinux 和 certificate 角色集成
此增强允许您将 logging 角色与 firewall 角色和 selinux 角色集成,以管理端口访问和 certificate 角色来生成证书。
要控制端口访问,请使用新的 logging_manage_firewall 和 logging_manage_selinux 变量。默认情况下,这两个变量都默认设为 false,并且不会被执行。将它们设置为 true,以在 logging 角色中执行角色。
请注意,您负责管理防火墙和 SELinux 的端口访问。
要生成证书,请使用新的 logging_certificates 变量。变量默认设置为 false,不执行 certificate 角色。您可以与在 certificate 角色中使用 certificate_request 变量的相同方式使用此变量。然后,logging 角色将使用 certificate 角色管理证书。
路由规则可根据其名称查找路由表
有了此更新,rhel-system-roles.network RHEL 系统角色支持在定义路由规则时按名称查找路由表。此功能为复杂网络配置提供快速导航,其中您需要对不同的网络段有不同的路由规则。
Microsoft SQL Server Ansible 角色支持配置 SQL Server 版本 2022
在以前的版本中,Microsoft SQL Ansible 角色只支持配置 SQL Server 版本 2017 和版本 2019。这个更新为您提供对 Microsoft SQL Ansible 角色的 SQL Server 版本 2022 的支持。现在,您可以将 mssql_version 值设为 2022 ,以配置新的 SQL Server 2022 或将 SQL Server 从版本 2019 升级到版本 2022。请注意,不提供从 SQL Server 版本 2017 到版本 2022 的升级。
journald RHEL 系统角色现在可用
journald 服务收集日志数据并将其存储在集中式数据库中。有了此增强,您可以使用 journald 系统角色变量自动化 systemd 日志的配置,并使用 Red Hat Ansible Automation Platform 配置持久性日志记录。
sshd RHEL 系统角色现在可以使用 firewall 和 selinux RHEL 系统角色来管理端口访问
有了这个增强,您可以使用新的角色变量 sshd_manage_firewall 和 sshd_manage_selinux 自动管理端口访问。如果它们设为 true,则每个角色都可用来管理端口访问。如果它们设为 false (默认),则角色不参与。
