4.17. Red Hat Enterprise Linux 系统角色

用于管理 systemd 单元的新的 RHEL 系统角色

rhel-system-role 软件包现在包含 systemd RHEL 系统角色。您可以使用此角色在多个系统上部署单元文件并管理 systemd 单元。您可以通过提供 systemd 单元文件和模板，并通过指定这些单元的状态，如 started、stoped、masked 等，来自动执行 systemd 功能。

ssh 角色中的新选项，以禁用配置备份

现在，您可以通过将新的 ssh_backup 选项设置为 false 来防止在覆盖旧配置文件前备份它们。在以前的版本中，备份配置文件会自动创建，这可能是必需的。ssh_backup 选项的默认值为 true，它会保留原始行为。

keylime_server RHEL 系统角色

有了新的 keylime_server RHEL 系统角色，您可以使用 Ansible Playbook 在 RHEL 9 系统上配置验证器和注册器 Keylime 组件。Keylime 是一个使用可信平台模块(TPM)技术的远程机器认证工具。

支持新的 ha_cluster 系统角色功能

ha_cluster 系统角色现在支持以下功能：

storage 系统角色支持为 RAID LVM 卷配置条带大小

有了此更新，您现在可以在创建 RAID LVM 设备时指定自定义条带大小。为提高性能，请为 SAP HANA 使用自定义条带大小。建议的 RAID LVM 卷的条带大小为 64 KB。

network RHEL 系统角色支持 auto-dns 选项，以控制自动 DNS 记录更新

此功能增强位定义的名称服务器和搜索域提供支持。现在，您只能使用 dns 和 dns_search 属性中指定的名称服务器和搜索域，同时禁用自动配置的名称服务器和搜索域，如 DHCP 的 dns record。有了这个增强，您可以通过更改 auto-dns 设置来禁用自动 dns 记录。

network RHEL 系统角色支持 no-aaaa DNS 选项

现在，您可以使用 no-aaaa 选项在受管节点上配置 DNS 设置。在以前的版本中，没有选项来压制 stub 解析器产生的 AAAA 查询，包括由基于 NSS 的接口触发的 AAAA 查找（如 getaddrinfo ）；只有 DNS 查找会受到影响。有了这个增强，您可以压制由 stub 解析器生成的 AAAA 查询。

ad_integration RHEL 系统角色现在可以重新加入 AD 域

有了此更新，您可以使用 ad_integration RHEL 系统角色重新加入活动目录(AD)域。为此，请将 ad_integration_force_rejoin 变量设置为 true。如果 realm_list 输出显示该主机已在一个 AD 域中，则它将在重新加入前离开现有域。

certificate RHEL 系统角色现在在使用 certmonger 时允许更改证书文件模式

在以前的版本中，由具有 certmonger 提供者的 certificate RHEL 系统角色创建的证书使用默认的文件模式。但是，在某些用例中，您可能需要更严格的模式。有了此更新，您现在可以使用 mode 参数设置一个不同的证书和密钥文件模式。

postgresql RHEL 系统角色现在可用

新的 postgresql RHEL 系统角色安装、配置、管理和启动 PostgreSQL 服务器。该角色还优化了数据库服务器设置，以提高性能。

Podman RHEL 系统角色现在支持 Quadlets、健康检查和 secret

从 Podman 4.6 开始，您可以在 podman RHEL 系统角色中使用 podman_quadlet_specs 变量。您可以通过指定一个单元文件来定义 Quadlet，或通过名称、单元类型和规格在清单中定义 Quadlet。一个单元的类型可以是以下： container、kube、network 和 volume。请注意，Qadlets 仅适用于 RHEL 8 上的 root 容器。Quadlets 适用于 RHEL 9 上的无根容器。

使用 restorecon -T 0 提高了 selinux 系统角色的性能

在所有适用的情况下，selinux 系统角色现在将 -T 0 选项和 restorecon 命令一起使用。这提高了在文件上恢复默认的 SELinux 安全上下文的任务的性能。

rhc 系统角色现在支持设置代理服务器类型

在 rhc_proxy 参数下新引入的属性 scheme，使您可以使用 rhc 系统角色配置代理服务器类型。您可以设置两个值：http，默认值和 https。

firewall RHEL 系统角色支持与 ipset 相关的变量

有了 firewall RHEL 系统角色的这个更新，您可以定义、修改和删除 ipset。您还可以从防火墙区中添加和删除 ipset。或者，您可以在定义防火墙富规则时使用这些 ipset。

RHEL 系统角色现在对挂载点自定义有新的卷选项

有了此更新，您现在可以为挂载目录指定 mount_user、mount_group 和 mount_permissions 参数。

firewall RHEL 系统角色有一个禁用冲突服务的选项，如果 firewalld 被屏蔽，它不再失败

在以前的版本中，当角色运行时 firewalld 被屏蔽或存在冲突服务时，firewall 系统角色失败。这个更新引入了两个显著改进：

重置 firewall RHEL 系统角色配置现在需要较少的停机时间

在以前的版本中，当使用 previous: replaced 变量重置 firewall 角色配置时，firewalld 服务会重启。重启会增加停机时间并延长打开连接的时间，其中firewalld 不会阻止来自活跃连接的流量。有了这个增强，firewalld 服务通过重新加载而不是重启来完成配置重置。重新加载会最大限度地减少停机时间，并减少绕过防火墙规则的机会。因此，使用 previous: replaced 变量重置 firewall 角色配置现在需要最少的停机时间。