4.17. Red Hat Enterprise Linux 系统角色
用于管理 systemd 单元的新的 RHEL 系统角色
rhel-system-role 软件包现在包含 systemd RHEL 系统角色。您可以使用此角色在多个系统上部署单元文件并管理 systemd 单元。您可以通过提供 systemd 单元文件和模板,并通过指定这些单元的状态,如 started、stoped、masked 等,来自动执行 systemd 功能。
ssh 角色中的新选项,以禁用配置备份
现在,您可以通过将新的 ssh_backup 选项设置为 false 来防止在覆盖旧配置文件前备份它们。在以前的版本中,备份配置文件会自动创建,这可能是必需的。ssh_backup 选项的默认值为 true,它会保留原始行为。
keylime_server RHEL 系统角色
有了新的 keylime_server RHEL 系统角色,您可以使用 Ansible Playbook 在 RHEL 9 系统上配置验证器和注册器 Keylime 组件。Keylime 是一个使用可信平台模块(TPM)技术的远程机器认证工具。
支持新的 ha_cluster 系统角色功能
ha_cluster 系统角色现在支持以下功能:
- 资源配置和资源操作的默认值,包括带有规则的多组默认值。
- SBD watchdog 内核模块的加载和阻止。这使得安装的硬件 watchdog 可供集群使用。
-
为集群主机和仲裁设备分配不同的密码。这可让您配置一个部署,其中同一仲裁主机加入到多个独立的集群,这些集群上
hacluster用户的密码不同。
有关您配置实现这些功能的参数的详情,请参考 使用 ha_cluster RHEL 系统角色配置高可用性集群。
Bugzilla:2185065,Bugzilla:2185067,Bugzilla:2216481
storage 系统角色支持为 RAID LVM 卷配置条带大小
有了此更新,您现在可以在创建 RAID LVM 设备时指定自定义条带大小。为提高性能,请为 SAP HANA 使用自定义条带大小。建议的 RAID LVM 卷的条带大小为 64 KB。
network RHEL 系统角色支持 auto-dns 选项,以控制自动 DNS 记录更新
此功能增强位定义的名称服务器和搜索域提供支持。现在,您只能使用 dns 和 dns_search 属性中指定的名称服务器和搜索域,同时禁用自动配置的名称服务器和搜索域,如 DHCP 的 dns record。有了这个增强,您可以通过更改 auto-dns 设置来禁用自动 dns 记录。
network RHEL 系统角色支持 no-aaaa DNS 选项
现在,您可以使用 no-aaaa 选项在受管节点上配置 DNS 设置。在以前的版本中,没有选项来压制 stub 解析器产生的 AAAA 查询,包括由基于 NSS 的接口触发的 AAAA 查找(如 getaddrinfo );只有 DNS 查找会受到影响。有了这个增强,您可以压制由 stub 解析器生成的 AAAA 查询。
ad_integration RHEL 系统角色现在可以重新加入 AD 域
有了此更新,您可以使用 ad_integration RHEL 系统角色重新加入活动目录(AD)域。为此,请将 ad_integration_force_rejoin 变量设置为 true。如果 realm_list 输出显示该主机已在一个 AD 域中,则它将在重新加入前离开现有域。
certificate RHEL 系统角色现在在使用 certmonger 时允许更改证书文件模式
在以前的版本中,由具有 certmonger 提供者的 certificate RHEL 系统角色创建的证书使用默认的文件模式。但是,在某些用例中,您可能需要更严格的模式。有了此更新,您现在可以使用 mode 参数设置一个不同的证书和密钥文件模式。
postgresql RHEL 系统角色现在可用
新的 postgresql RHEL 系统角色安装、配置、管理和启动 PostgreSQL 服务器。该角色还优化了数据库服务器设置,以提高性能。
该角色在 RHEL 8 和 RHEL 9 受管节点上支持当前发布和支持的 PostgreSQL 版本。
如需更多信息,请参阅 使用 postgresql RHEL 系统角色安装和配置 PostgreSQL。
Podman RHEL 系统角色现在支持 Quadlets、健康检查和 secret
从 Podman 4.6 开始,您可以在 podman RHEL 系统角色中使用 podman_quadlet_specs 变量。您可以通过指定一个单元文件来定义 Quadlet,或通过名称、单元类型和规格在清单中定义 Quadlet。一个单元的类型可以是以下: container、kube、network 和 volume。请注意,Qadlets 仅适用于 RHEL 8 上的 root 容器。Quadlets 适用于 RHEL 9 上的无根容器。
健康检查只支持 Quadlet 容器类型。在 [Container] 部分中,指定 HealthCmd 字段来定义健康检查命令,指定 HealthOnFailure 字段来在容器不健康时定义操作。可能的选项为 none,kill,restart, and stop。
您可以使用 podman_secrets 变量来管理 secret。详情请查看 上游文档。
Jira:RHELPLAN-154441[1]
使用 restorecon -T 0 提高了 selinux 系统角色的性能
在所有适用的情况下,selinux 系统角色现在将 -T 0 选项和 restorecon 命令一起使用。这提高了在文件上恢复默认的 SELinux 安全上下文的任务的性能。
rhc 系统角色现在支持设置代理服务器类型
在 rhc_proxy 参数下新引入的属性 scheme,使您可以使用 rhc 系统角色配置代理服务器类型。您可以设置两个值:http,默认值和 https。
firewall RHEL 系统角色支持与 ipset 相关的变量
有了 firewall RHEL 系统角色的这个更新,您可以定义、修改和删除 ipset。您还可以从防火墙区中添加和删除 ipset。或者,您可以在定义防火墙富规则时使用这些 ipset。
您可以使用以下变量,使用 firewall RHEL 系统角色管理 ipset :
-
ipset -
ipset_type -
ipset_entries -
short -
description -
state: present或state: absent -
permanent: true
以下是此改进的一些显著优点:
- 您可以降低为许多 IP 地址定义规则的富规则的复杂度。
- 您可以根据需要从集合中添加或删除 IP 地址,而无需修改多个规则。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/firewall/ 目录中的资源。
RHEL 系统角色现在对挂载点自定义有新的卷选项
有了此更新,您现在可以为挂载目录指定 mount_user、mount_group 和 mount_permissions 参数。
firewall RHEL 系统角色有一个禁用冲突服务的选项,如果 firewalld 被屏蔽,它不再失败
在以前的版本中,当角色运行时 firewalld 被屏蔽或存在冲突服务时,firewall 系统角色失败。这个更新引入了两个显著改进:
linux-system-roles.firewall 角色总是尝试在角色运行时安装、取消屏蔽及启用 firewalld 服务。您现在可以在 playbook 中添加一个新的变量 firewall_disable_conflicting_services ,来禁用已知的冲突服务,如 iptables.service、nftables.service 和 ufw.service。firewall_disable_conflicting_services 变量默认被设置为 false。要禁用冲突服务,请将变量设置为 true。
重置 firewall RHEL 系统角色配置现在需要较少的停机时间
在以前的版本中,当使用 previous: replaced 变量重置 firewall 角色配置时,firewalld 服务会重启。重启会增加停机时间并延长打开连接的时间,其中firewalld 不会阻止来自活跃连接的流量。有了这个增强,firewalld 服务通过重新加载而不是重启来完成配置重置。重新加载会最大限度地减少停机时间,并减少绕过防火墙规则的机会。因此,使用 previous: replaced 变量重置 firewall 角色配置现在需要最少的停机时间。
