4.19. Red Hat Enterprise Linux 系统角色
Networking 系统角色现在支持 SAE
在 Wi-Fi 保护的访问版本 3(WPA3)网络中,等同(SAE)方法的同步身份验证可确保不会传输加密密钥。有了这个增强,Networking RHEL 系统角色支持 SAE。因此,管理员现在可以使用 Networking 系统角色来配置到 Wi-Fi 网络(其使用 WPA-SAE)的连接。
Networking 系统角色现在支持 owe
Networking RHEL 系统角色现在支持 Opportunistic Wireless Encryption (owe)。owe 是一个无线验证密钥管理类型,它在 Wi-Fi 客户端和访问点之间使用加密,并保护 Wi-Fi 客户端免受嗅探攻击。要使用 owe,将无线验证密钥管理类型key_mgmt 字段设置为 owe。
Firewall 系统角色现在支持设置防火墙默认区域
zones 代表一种更透明管理传入流量的概念。这些区域连接到联网接口或者分配一系列源地址。每个区域的防火墙规则可以独立管理,使管理员能够定义复杂的防火墙设置并将其应用到流量。此功能允许设置用作分配接口的默认区域,与 firewall-cmd --set-default-zone zone-name 相同。
Storage RHEL 系统角色现在支持 LVM VDO 卷
有了这个增强,您可以使用 Storage 系统角色来管理逻辑卷管理器卷(LVM)虚拟数据优化器(VDO)卷。LVM 文件系统管理 VDO 卷并使用这个功能,现在可以在 LVM 卷上压缩和重复数据删除。因此,VDO 有助于优化存储卷的使用。
Storage 系统角色支持以百分比表示卷大小
此增强添加了对存储 RHEL 系统角色以池总大小的百分比表示 LVM 卷大小的支持。您可以将 LVM 卷大小指定为池/VG 大小的百分比,例如:除文件系统可读大小(如 10g、50 GiB)之外,还有 50%。
Storage 系统角色支持缓存卷
此增强添加了对存储 RHEL 系统角色创建和管理缓存的 LVM 逻辑卷的支持。LVM 缓存可用于提高较慢的逻辑卷的性能,方法是将 LV 的数据的子集临时存储在较小的、更快的设备上,例如 SSD。
在 Firewall 角色中添加或删除源
在这个版本中,您可以使用 source 参数在防火墙设置配置中添加或删除源。
Microsoft SQL Server Management 的新 Ansible 角色
新的 microsoft.sql.server 角色旨在帮助 IT 和数据库管理员自动处理 Red Hat Enterprise Linux 上 SQL Server 的设置、配置和性能调优的过程。
Microsoft SQL 系统角色现在支持对断开连接的或 Satellite 订阅的自定义存储库
在以前的版本中,在断开连接的环境中,用户需要从自定义服务器拉取软件包或需要指向 Satellite 或 Capsule 的 Satellite 用户没有 microsoft.sql.server 的支持。在这个版本中,您可以通过提供 mssql_rpm_key、mssql_server_repository 和 mssql_client_repository 变量来解决它,您可以用来自定义存储库以从中下载软件包。如果没有提供 URL,mssql 角色将使用官方 Microsoft 服务器来下载 RPM。
MSSQL 角色会在其受管配置文件中始终使用 "Ansible_managed" 注释
MSSQL 角色生成 /var/opt/mssql/mssql.conf 配置文件。在这个版本中,MSSQL 角色使用 Ansible 标准 ansible_managed 变量将"Ansible managed"注释插入到配置文件。注释指示不应直接编辑配置文件,因为 MSSQL 角色将覆盖该文件。因此,配置文件包含一个声明,表示配置文件由 Ansible 管理。
RHEL 系统角色的 Ansible Core 支持
在 RHEL 9 GA 发行版中,提供了 Ansible Core,它的支持范围有限,以便启用 RHEL 支持的自动化用例。Ansible Core 替换了 Ansible Engine,它在以前的 RHEL 版本中提供的是一个独立的存储库中。Ansible Core 在 RHEL 的 AppStream 存储库中提供。有关支持的用例的详情,请参阅 RHEL 9 AppStream 中包含的 Ansible Core 软件包的支持范围。
如果您需要 Ansible Engine 支持,或者需要支持非 RHEL 自动化用例,请创建一个红帽支持问题单。
(JIRA:RHELPLAN-103540)
支持在一个 elasticsearch 输出字典中配置多个 elasticsearch 主机
在以前的版本中,server_host 参数用于为单个主机取字符串值。此功能增强将其调整为底层的 rsyslog omelasticsearch 规格,因此它现在也取一个字符串列表来支持多个主机。因此,它会被调整为主机,符合底层 rsyslog omelasticsearch 的规格。因此,用户可以在一个 elasticsearch 输出字典中配置多个 elasticsearch 主机。
RHEL 系统角色现在支持 VPN 管理
在以前的版本中,在 Linux 中设置安全且正确配置的 IPsec 隧道和虚拟专用网络(VPN)解决方案很难。有了这个增强,您可以使用 VPN RHEL 系统角色更轻松地在大量主机之间设置和配置用于主机到主机和网格连接的 VPN 隧道。因此,您在 RHEL 系统角色项目中有一个用于 VPN 和 IPsec 隧道配置的一致且稳定的配置接口。
SSHD RHEL 系统角色现在支持非排他配置片断
借助此功能,您可以通过不同的角色和 playbook 配置 SSHD,而不必使用命名空间重写以前的配置。命名空间类似于置入目录,并为 SSHD 定义非专用配置片断。因此,如果您需要只配置一小部分配置,而不是整个配置文件,您可以使用来自不同角色的 SSHD RHEL 系统角色。
Network Time Security (NTS)选项添加到 timesync RHEL 系统角色中
NTS 选项被添加到 Timesync RHEL 系统角色中,以便在客户端服务器上启用 NTS。NTS 是为网络时间协议(NTP)指定的新安全机制。NTS 可以安全同步 NTP 客户端,无需特定于客户端,并可扩展到大量客户端。NTS 选项只支持版本 4.0 及之后的版本中的 chrony NTP 供应商。
支持 HA Cluster RHEL 系统角色
High Availability Cluster(HA Cluster)角色现已获得全面支持。以下是值得注意的配置:
- 配置隔离设备、资源、资源组和包括元数据属性和资源操作的资源克隆
- 配置资源位置约束、资源托管约束、资源顺序约束和资源票据约束
- 配置集群属性
- 配置集群节点、自定义集群名称和节点名称
- 配置多链接集群
- 配置集群在引导时是否自动启动
运行该角色会删除会删除角色不支持或者运行角色时未指定的任何配置。
HA 集群系统角色目前不支持 SBD。
支持 Elasticsearch 的 Rsyslog 用户名和密码验证
此更新将 Elasticsearch 用户名和密码参数添加到 Logging 系统角色中。因此,您可以启用 Rsyslog 使用用户名和密码进行 Elasticsearch 验证。
NBDE 客户端系统角色支持静态 IP 地址
在之前的 RHEL 版本中,重启具有静态 IP 地址的系统,并使用 Network Bound Disk Encryption (NBDE)Client 系统角色配置将更改系统的 IP 地址。有了此更改,NBDE 客户端系统角色支持具有静态 IP 地址的系统,重启后它们的 IP 地址不会改变。
请注意,默认情况下,NBDE 角色在启动时使用 DHCP,并在系统引导时切换到配置的静态 IP。
(BZ#2031555)
添加了对为 LVM 指定 raid_level 的支持
RHEL 9.0 支持使用 lvmraid 功能将逻辑卷管理(LVM)卷分组到 RAID 中。
证书角色在其 hook 脚本中一致使用 "Ansible_managed" 注释
在这个版本中,证书角色生成 pre-scripts 和 post-scripts 以支持提供程序,该角色使用 Ansible 标准 "ansible_managed" 变量插入 "Ansible managed" 注释:
-
/etc/certmonger/pre-scripts/script_name.sh -
/etc/certmonger/post-scripts/script_name.sh
注释指示不应直接编辑脚本文件,因为证书角色可覆盖该文件。因此,配置文件包含一个声明,表示配置文件由 Ansible 管理。
新的选项 auto_gateway 控制默认的路由行为
在以前的版本中,DEFROUTE 参数无法通过配置文件进行配置,只能通过命名每个路由来手动进行配置。这个更新在 ip 配置部分中为连接添加了一个新的 auto_gateway 选项,您可以使用它来控制默认的路由行为。您可以使用以下方法配置 auto_gateway :
-
如果设置为
true,则默认网关设置适用于默认路由。 -
如果设置为
false,则删除默认路由。 -
如果未指定,
network角色将使用所选network_provider的默认行为。
支持 network 系统角色中添加的所有绑定选项
这个更新提供了对 network RHEL 系统角色的所有绑定选项的支持。因此,它可让您灵活地控制绑定接口上的网络传输。因此,您可以通过为该接口指定多个选项来控制绑定接口上的网络传输。
NetworkManager 支持使用其 PCI 地址指定网卡
在以前的版本中,在设置连接配置文件的过程中,只允许 NetworkManager 使用其名称或 MAC 地址来指定网卡。在本例中,设备名称不稳定,并且 MAC 地址需要清单来维护使用 MAC 地址的记录。现在,您可以根据连接配置文件中的 PCI 地址来指定网卡。
Network 系统角色现在直接管理 Ansible 的配置文件
在这个版本中,network 角色在 /etc/sysconfig/network-scripts 中生成 ifcfg 文件。然后,它会使用标准的 ansible_managed 变量插入注释"Ansible managed"。此注释表示 ifcfg 文件无法直接编辑,因为 network 角色可能会覆盖它。处理 ifcfg 文件以添加 "Ansible managed" 注释的主要不同之处是,network 角色使用 initscripts 软件包,NetworkManager 使用 nm 软件包。
RHEL 系统角色的 Ansible Core 支持
在 RHEL 9.0 中,提供了 Ansible Core,其支持范围有限,以便启用 RHEL 支持的自动化用例。Ansible Core 替换了之前在其它存储库中提供的 Ansible Engine。Ansible Core 在 RHEL 的 AppStream 存储库中提供。有关支持的用例的详情,请参阅 RHEL 9 和 RHEL 8.6 及更新的 AppStream 软件仓库中包含的 Ansible Core 软件包的范围支持。用户必须手动将他们的系统从 Ansible Engine 迁移到 Ansible Core。
现在支持 Cockpit 系统角色
在这个版本中,您可以在系统中安装和配置 web 控制台。因此,您可以自动管理 Web 控制台。
Terminal session recording 系统角色在其管理的配置文件中使用"Ansible managed"注释
Terminal 会话记录角色会生成 2 配置文件:
-
/etc/sssd/conf.d/sssd-session-recording.conf -
/etc/tlog/tlog-rec-session.conf
在这个版本中,Terminal 会话记录角色使用标准的 Ansible 变量 ansible_managed,将 "Ansible managed" 注释插入到配置文件中。注释指示不应直接编辑配置文件,因为 Terminal 会话记录角色会覆盖该文件。因此,配置文件包含一个声明,表示配置文件由 Ansible 管理。
VPN 角色在其受管配置文件中以统一的方式使用"Ansible_managed"注释
VPN 角色生成以下配置文件:
-
/etc/ipsec.d/mesh.conf -
/etc/ipsec.d/policies/clear -
/etc/ipsec.d/policies/private -
/etc/ipsec.d/policies/private-or-clear
在这个版本中,VPN 角色使用 Ansible 标准 ansible_managed 变量将"Ansible managed"注释插入到配置文件。注释表示不应直接编辑配置文件,因为 VPN 角色可以覆盖该文件。因此,配置文件包含一个声明,表示配置文件由 Ansible 管理。
Postfix 角色在其受管配置文件中以统一的方式使用"Ansible_managed"注释
Postfix 角色生成 /etc/postfix/main.cf 配置文件。在这个版本中,Postfix 角色使用 Ansible 标准 ansible_managed 变量将"Ansible managed"注释插入到配置文件。这个注释指示,不应直接编辑配置文件,因为 Postfixrole 可以覆盖该文件。因此,配置文件包含一个声明,表示配置文件由 Ansible 管理。
已在 RHEL 9 中添加了 Firewall RHEL 系统角色
有了此增强,rhel-system-roles.firewall RHEL 系统角色被添加到 rhel-system-roles 软件包中。因此,管理员可以为受管节点自动执行其防火墙设置。
(BZ#2021665)
SSH 客户端 RHEL 系统角色现在在 OpenSSH 8.7 中支持新的配置选项
在这个版本中,OpenSSH 更新至最新版本,它提供了新的配置选项,可在 SSH 客户端角色中配置新主机。
