4.16. Red Hat Enterprise Linux 系统角色
路由规则可根据其名称查找路由表
有了此更新,rhel-system-roles.network
RHEL 系统角色支持在定义路由规则时按名称查找路由表。此功能为复杂网络配置提供快速导航,其中您需要对不同的网络段有不同的路由规则。
network
系统角色支持设置 DNS 优先级值
此增强向 RHEL network
系统角色中添加了 dns_priority
参数。您可以将此参数设为 -2147483648
到 2147483647
的值。默认值为 0
。较低的值具有较高的优先级。请注意,负值导致系统角色排除具有更大数字优先级值的其他配置。因此,如果存在至少一个负优先级值,系统角色只使用来自连接配置文件的具有最低优先级值的 DNS 服务器。
因此,您可以使用 network
系统角色在不同的连接配置文件中定义 DNS 服务器的顺序。
vpn
RHEL 系统角色的新 IPsec 自定义参数
因为某些网络设备需要 IPsec 自定义才能正常工作,因此以下参数已添加到 vpn
RHEL 系统角色中:
不要在没有较深理解的情况下更改以下参数。大多数场景不需要自定义。
此外,出于安全原因,使用 Ansible Vault 加密 shared_key_content
参数的值。
隧道参数:
-
shared_key_content
-
ike
-
esp
-
ikelifetime
-
salifetime
-
retransmit_timeout
-
dpddelay
-
dpdtimeout
-
dpdaction
-
leftupdown
-
每个主机参数:
-
leftid
-
rightid
-
因此,您可以使用 vpn
角色配置到大量网络设备的 IPsec 连接。
selinux
RHEL 系统角色现在支持 local
参数
这个 selinux
RHEL 系统角色的更新引进了对 local
参数的支持。通过使用此参数,您只能删除本地策略修改,并保留内置的 SELinux 策略。
ha_cluster
系统角色现在支持自动化执行 firewall
,selinux
, 和 certificate
系统角色
ha_cluster RHEL 系统角色现在支持以下功能:
- 使用
firewall
和selinux
系统角色管理端口访问 -
要将集群的端口配置为运行
firewalld
和selinux
服务,您可以将新的角色变量ha_cluster_manage_firewall
和ha_cluster_manage_selinux
设为true
。这将集群配置为使用firewall
和selinux
系统角色,并在ha_cluster
系统角色中自动化并执行这些操作。如果将这些变量设为默认值false
,则不会执行角色。有了这个版本,防火墙不再会被默认配置,因为它仅在ha_cluster_manage_firewall
设为true
时进行配置。 - 使用
certificate
系统角色创建pcsd
私钥和证书对 -
ha_cluster
系统角色现在支持ha_cluster_pcsd_certificates
角色变量。设置此变量,将其值传给certificate
系统角色的certificate_requests
变量。这提供了为pcsd
创建私钥和证书对的替代方法。
postfix
RHEL 系统角色现在可以使用 firewall
和 selinux
RHEL 系统角色来管理端口访问
有了这个增强,您可以使用新角色变量 postfix_manage_firewall
和 postfix_manage_selinux
自动管理端口访问:
-
如果它们设为
true
,则每个角色都可用来管理端口访问。 -
如果它们设为
false
(默认),则角色不参与。
vpn
RHEL 系统角色现在可以使用 firewall
和 selinux
角色来管理端口访问
有了这个增强,您可以通过 firewall
和 selinux
角色,在 vpn
RHEL 系统角色中自动管理端口访问。如果将新角色变量 vpn_manage_firewall
和 vpn_manage_selinux
设为 true
,则角色将管理端口访问。
logging
RHEL 系统角色现在支持端口访问和证书的生成
有了这个增强,您可以使用 logging 角色来管理端口访问,并使用新角色变量生成证书。如果将新角色变量 logging_manage_firewall
和 logging_manage_selinux
设为 true
,则角色将管理端口访问。用于生成证书的新角色变量是 logging_certificates
。类型和用法与 certificate
角色 certificate_requests
相同。现在,您可以使用 logging
角色直接自动化执行这些操作。
metrics
RHEL 系统角色现在可以使用 firewall
角色和 selinux
角色来管理端口访问
有了这个增强,您可以控制对端口的访问。如果将新角色变量 metrics_manage_firewall
和 metrics_manage_firewall
设为 true
,则角色将管理端口访问。现在,您可以使用 metrics
角色直接自动化并执行这些操作。
nbde_server
RHEL 系统角色现在可以使用 firewall
和 selinux
角色来管理端口访问
有了这个增强,您可以使用 firewall
和 selinux
角色管理端口访问。如果将新角色变量 nbde_server_manage_firewall
和 nbde_server_manage_selinux
设为 true
,则角色将管理端口访问。现在,您可以使用 nbde_server
角色直接自动化这些操作。
initscripts
网络供应商支持默认网关的路由指标配置
有了此更新,您可以在 rhel-system-roles.network
RHEL 系统角色中使用 initscripts
网络提供者来配置默认网关的路由指标。
此类配置的原因可能是:
- 在不同路径中分发流量负载
- 指定主路由和备份路由
- 利用路由策略通过特定路径将流量发送到特定的目的地
cockpit
RHEL 系统角色与 firewall
、selinux
和 certificate
角色集成
此功能增强使您能够将 cockpit
角色与 firewall
角色和 selinux
角色集成,来管理端口访问和 certificate
角色集成来生成证书。
要控制端口访问,请使用新的 cockpit_manage_firewall
和 cockpit_manage_selinux
变量。默认情况下,这两个变量都默认设为 false
,并且不会被执行。将它们设为 true
,以允许 firewall
和 selinux
角色管理 RHEL web 控制台服务端口访问。然后,操作将在 cockpit
角色内执行。
请注意,您负责管理防火墙和 SELinux 的端口访问。
要生成证书,请使用新的 cockpit_certificates
变量。变量默认设为 false
,并且不会被执行。您可以与在 certificate
角色中使用 certificate_request
变量的相同方式使用此变量。然后 cockpit
角色将使用 certificate
角色来管理 RHEL web 控制台证书。
用于直接与活动目录集成的新的 RHEL 系统角色
新的 rhel-system-roles.ad_integration
RHEL 系统角色已添加到 rhel-system-roles
软件包中。因此,现在管理员可以自动将 RHEL 系统直接与活动目录域集成。
新的 Red Hat Insights 和订阅管理的 Ansible 角色
rhel-system-roles
软件包现在包含远程主机配置(rhc
)系统角色。此角色使管理员能够轻松地将 RHEL 系统注册到 Red Hat Subscription Management (RHSM)和 Satellite 服务器。默认情况下,当使用 rhc
系统角色注册系统时,系统会连接到 Red Hat Insights。有了新的 rhc
系统角色,管理员现在可以在受管节点上自动执行以下任务:
- 配置到 Red Hat Insights 的连接,包括系统的自动更新、补救和标签。
- 启用和禁用存储库。
- 配置用于连接的代理。
- 设置系统的发行版本。
有关如何自动化这些任务的更多信息,请参阅 使用 RHC 系统角色注册系统。
添加了对克隆的 MAC 地址的支持
克隆的 MAC 地址是设备 WAN 端口的 MAC 地址,它与机器的 MAC 地址相同。有了这个更新,用户可以使用 MAC 地址或策略(如 random
或 preserve
)指定绑定或网桥接口,以获取绑定或网桥接口的默认 MAC 地址。
Microsoft SQL Server Ansible 角色支持异步高可用性副本
在以前的版本中,Microsoft SQL Server Ansible 角色只支持主、同步和见证高可用性副本。现在,您可以将 mssql_ha_replica_type
变量设为 asynchronous
,以使用新的或现有副本的异步副本类型对其进行配置。
Microsoft SQL Server Ansible 角色支持 read-scale 集群类型
在以前的版本中,Microsoft SQL Ansible 角色只支持外部集群类型。现在,您可以使用新的变量 mssql_ha_ag_cluster_type
配置角色。默认值为 external
,使用它来配置具有 Pacemaker 的集群。要配置没有 Pacemaker 的集群,请对该变量使用值 none
。
Microsoft SQL Server Ansible 角色可以生成 TLS 证书
在以前的版本中,您需要在配置 Microsoft SQL Ansible 角色前,手动在节点上生成 TLS 证书和私钥。有了这个更新,Microsoft SQL Server Ansible 角色可以使用 redhat.rhel_system_roles.certificate
角色来实现这一目的。现在,您可以使用 certificate
角色的 certificate_requests
变量格式设置 mssql_tls_certificates
变量,以便在节点上生成 TLS 证书和私钥。
Microsoft SQL Server Ansible 角色支持配置 SQL Server 版本 2022
在以前的版本中,Microsoft SQL Ansible 角色只支持配置 SQL Server 版本 2017 和版本 2019。这个更新为您提供对 Microsoft SQL Ansible 角色的 SQL Server 版本 2022 的支持。现在,您可以将 mssql_version
值设为 2022
,以配置新的 SQL Server 2022 或将 SQL Server 从版本 2019 升级到版本 2022。请注意,不提供从 SQL Server 版本 2017 到版本 2022 的升级。
Microsoft SQL Server Ansible 角色支持活动目录身份验证的配置
有了这个更新,Microsoft SQL Ansible 角色支持 SQL Server 的活动目录身份验证的配置。现在,您可以使用 mssql_ad_
前缀设置变量来配置活动目录身份验证。
journald
RHEL 系统角色现在可用
journald
服务收集日志数据并将其存储在集中式数据库中。有了此增强,您可以使用 journald
系统角色变量自动化 systemd
日志的配置,并使用 Red Hat Ansible Automation Platform 配置持久性日志记录。
ha_cluster
系统角色现在支持仲裁设备配置
仲裁设备充当集群的第三方仲裁设备。对于偶数节点的集群,建议使用仲裁设备。对于双节点集群,使用仲裁设备可以更好地决定在脑裂情况下保留哪些节点。您现在可以使用 ha_cluster
系统角色配置仲裁设备,qdevice
用于集群,qnetd
用于仲裁节点。