4.15. Red Hat Enterprise Linux 系统角色
支持新的 ha_cluster 系统角色功能
ha_cluster 系统角色现在支持以下功能:
- 为节点和原语资源配置 utilization 属性。
-
使用
ha_cluster_node_options变量配置节点地址和 SBD 选项。如果同时定义了ha_cluster_node_options和ha_cluster变量,则会合并对应的值,并从ha_cluster_node_options的值具有优先权。 - 配置访问控制列表(ACL)。
- 当集群事件,如节点失败或发生资源启动或停止时,将 Pacemaker 警报配置为采取外部操作。
-
通过将
ha_cluster_install_cloud_agents变量设置为true,为云环境轻松安装代理。
JIRA:RHEL-30111,JIRA:RHEL-33532,JIRA:RHEL-27186, JIRA:RHEL-17271
支持使用 RHEL 系统角色配置 GFS2 文件系统
Red Hat Enterprise Linux 9.5 支持使用 gfs2 RHEL 系统角色配置和管理 Red Hat Global File System 2 (GFS2)。角色使用 pcs 命令行界面在 Pacemaker 集群中创建 GFS2 文件系统。
在以前的版本中,在支持的配置中设置 GFS2 文件系统需要您遵循一系列步骤,来配置存储和集群资源。gfs2 角色简化了这个过程。使用该角色,您可以在 RHEL 高可用性集群中只指定配置 GFS2 文件系统所需的最少信息。
gfs2 角色执行以下任务:
- 为在红帽高可用性集群中配置 GFS2 文件系统安装所需的软件包
-
设置
dlm和lvmlockd集群资源 - 创建 GFS2 文件系统所需的 LVM 卷组和逻辑卷
- 使用必要的资源约束创建 GFS2 文件系统和集群资源
Jira:RHELDOCS-18629[1]
新的 sudo RHEL 系统角色
sudo 是 RHEL 系统配置的关键部分。使用新的 sudo RHEL 系统角色,您可以在 RHEL 系统中扩展管理 sudo 配置。
storage RHEL 系统角色现在可以管理 Stratis 池
在这个版本中,您可以使用 storage RHEL 系统角色完成以下任务:
- 创建新的加密和未加密的 Stratis 池
- 在现有 Stratis 池中添加新卷
- 在 Stratis 池中添加新磁盘
有关如何管理 Stratis 池和其他相关信息的详情,请查看 /usr/share/doc/rhel-system-roles/storage/ 目录中的资源。
journald RHEL 系统角色中的新变量:journald_rate_limit_interval_sec 和 journald_rate_limit_burst
以下两个变量已添加到 journald RHEL 系统角色中:
-
journald_rate_limit_interval_sec(整数,默认为 30):配置一个时间间隔(以秒为单位),在这期间,只处理journald_rate_limit_burst日志消息。journald_rate_limit_interval_sec变量对应于journald.conf文件中的RateLimitIntervalSec设置。 -
journald_rate_limit_burst(整数,默认为 10 000):配置日志消息的上限,日志消息在journald_rate_limit_interval_sec定义的时间内被处理。journald_rate_limit_burst变量对应于journald.conf文件中的RateLimitBurst设置。
因此,您可以使用这些设置调优 journald 服务的性能,以便在短时间内处理记录很多消息的应用程序。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/journald/ 目录中的资源。
podman RHEL 系统角色中的新变量:podman_registry_username 和 podman_registry_password
podman RHEL 系统角色现在使您能够全局或在每个规范的基础上指定容器镜像注册中心凭证。为此,您必须配置两个角色变量:
-
podman_registry_username(字符串,默认为 unset):配置使用容器镜像注册中心进行身份验证的用户名。您还必须设置podman_registry_password变量。您可以使用registry_username变量,根据每个规范覆盖podman_registry_username。然后,每个涉及凭证的操作都会根据该规范中定义的详细规则和协议来执行。 -
podman_registry_password(字符串,默认为 unset):配置使用容器镜像注册中心进行身份验证的密码。您还必须设置podman_registry_username变量。您可以使用registry_password变量,根据每个规范覆盖podman_registry_password。然后,每个涉及凭证的操作都会根据该规范中定义的详细规则和协议来执行。为安全起见,使用 Ansible Vault 功能加密密码。
因此,您可以使用 podman RHEL 系统角色管理带有镜像的容器,其注册中心需要进行身份验证才能访问。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/podman/ 目录中的资源。
postfix RHEL 系统角色中的新变量:postfix_files
postfix RHEL 系统角色现在使您能够为 Postfix 邮件传输代理配置额外的文件。为此,您可以使用以下角色变量:
postfix_files-
定义要放入
/etc/postfix/目录中的文件的列表,如果需要,它们可以转换为 Postfix 查找表。此变量使您能够配置简单身份验证和安全层(SASL)凭证等。为安全起见,使用 Ansible Vault 功能加密包含凭据和其他 secret 的文件。
因此,您可以使用 postfix RHEL 系统角色创建这些额外文件,并将其集成到 Postfix 配置中。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/postfix/ 目录中的资源。
snapshot RHEL 系统角色现在支持管理 LVM 精简池的快照
有了精简配置,您可以使用 snapshot RHEL 系统角色管理 LVM 精简池的快照。这些精简快照可以节省空间,并且仅在进行快照后写入或修改数据时才增长。角色自动检测指定的卷是否被计划用于精简池。添加的功能在频繁进行快照,而无需消耗大量物理存储的环境中非常有用。
logging RHEL 系统角色中的新选项:reopen_on_truncate
logging_inputs 变量的 files 输入类型现在支持以下选项:
reopen_on_truncate(布尔值,默认为 false)-
将
rsyslog服务配置为在输入日志文件被截断时重新打开,如在日志轮转期间。reopen_on_truncate角色选项对应于rsyslog的reopenOnTruncate参数。
因此,您可以通过 logging RHEL 系统角色以自动的方式配置 rsyslog,以便在输入日志文件被截断时重新打开它。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/logging/ 目录中的资源。
Jira:RHEL-46590[1]
logging RHEL 系统角色中的新变量:logging_custom_config_files
您可以使用以下变量,为 logging RHEL 系统角色提供自定义日志配置文件:
logging_custom_config_files(列表)-
配置要复制到默认日志记录配置目录的配置文件的列表。例如,对于
rsyslog服务,它是/etc/rsyslog.d/目录。这假设默认日志记录配置加载并处理该目录中的配置文件。默认的rsyslog配置有一个指令,如$IncludeConfig /etc/rsyslog.d86].conf。
因此,您可以使用不是由 logging RHEL 系统角色提供的自定义配置。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/logging/ 目录中的资源。
logging RHEL 系统角色可以为 rsyslog 文件和目录设置所有权和权限
logging_outputs 变量的 files 输出类型现在支持以下选项:
-
mode(raw,默认为 null):配置与rsyslog服务中的omfile模块关联的FileCreateMode参数。 -
owner(字符串,默认为 null):配置与rsyslog中的omfile模块关联的fileOwner或fileOwnerNum参数。如果值为整数,它会设置fileOwnerNum。否则,它会设置fileOwner。 -
group(字符串,默认为 null):配置与rsyslog中的omfile模块关联的fileGroup或fileGroupNum参数。如果值为整数,它会设置fileGroupNum。否则,它会设置fileGroup。 -
dir_mode(默认为 null):配置与rsyslog中的omfile模块关联的DirCreateMode参数。 -
dir_owner(默认为 null):配置与rsyslog中的omfile模块关联的dirOwner或dirOwnerNum参数。如果值为整数,它会设置dirOwnerNum。否则,它会设置dirOwner。 -
dir_group(默认为 null):配置与rsyslog中的omfile模块关联的dirGroup或dirGroupNum参数。如果值为整数,它会设置dirGroupNum。否则,它会设置dirGroup。
因此,您可以为 rsyslog 创建的文件和目录设置所有权和权限。
请注意,文件或目录属性与 Ansible file 模块中相应的变量相同。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/logging/ 目录中的资源。或者,检查 ansible-doc file 命令的输出。
Jira:RHEL-34935[1]
使用 storage RHEL 系统角色在受管节点上创建指纹
如果不存在,storage 会在每次运行此角色时创建一个唯一标识符(指纹)。指纹具有 # system_role:storage 字符串的形式,写到受管节点上的 /etc/fstab 文件中。因此,您可以跟踪哪些节点由 storage 管理。
podman RHEL 系统角色中的新变量:podman_registry_certificates 和 podman_validate_certs
以下两个变量已添加到 podman RHEL 系统角色中:
-
podman_registry_certificates(字典元素的列表):使您能够管理用于连接到指定的容器镜像注册中心的 TLS 证书和密钥。 -
podman_validate_certs(布尔值,默认为 null):控制从容器镜像注册中心拉取镜像是否将验证 TLS 证书。默认的 null 值意味着无论containers.podman.podman_image模块配置的默认值是什么,都会使用它。您可以使用validate_certs变量,根据每个规范覆盖podman_validate_certs变量。
因此,您可以使用 podman RHEL 系统角色配置 TLS 设置,以连接到容器镜像注册中心。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/podman/ 目录中的资源。或者,您可以查看 containers-certs (5) 手册页。
podman RHEL 系统角色中的新变量:podman_credential_files
有些操作需要以自动或无人值守的方式从注册中心拉取容器镜像,且不能使用 podman_registry_username 和 podman_registry_password 变量。
因此,podman RHEL 系统角色现在接受 containers-auth.json 文件,来对容器镜像注册中心进行身份验证。为此,您可以使用以下角色变量:
podman_credential_files(字典元素的列表)- 列表中的每个字典元素定义都定义了一个带有用户凭据的文件,来向私有容器镜像注册中心进行身份验证。为安全起见,请使用 Ansible Vault 功能加密这些凭据。您可以指定文件名、模式、所有者、文件的组,并且可以以不同的方式指定内容。如需了解更多详细信息,请参阅角色文档。
因此,您可以输入容器镜像注册中心凭证来执行自动和无人值守的操作。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/podman/ 目录中的资源。或者,您可以查看 containers-auth.json (5) 和 containers-registries.conf (5) 手册页。
nbde_client RHEL 系统角色现在可让您跳过运行某些配置
使用 nbde_client RHEL 系统角色,您现在可以禁用以下机制:
- 初始 ramdisk
- NetworkManager flush 模块
- Dracut flush 模块
clevis-luks-askpass 工具在 NetworkManager 服务将 OS 放到网络上后,会在引导过程的后期解锁一些存储卷。因此,不需要对上述机制进行配置更改。
因此,您可以禁止运行上述配置,来支持高级网络设置,或者将在引导过程后期发生的卷解密。
ssh RHEL 系统角色现在可以识别 ObscureKeystrokeTiming 和 ChannelTimeout 配置选项
ssh RHEL 系统角色已更新,以反映在 OpenSSH 工具套件中添加以下配置选项:
-
ObscureKeystrokeTiming(yes|no|interval 指定符,默认为 20):配置ssh工具是否应该隐藏来自网络流量被动观察者中的按键间隔时间。 -
ChannelTimeout:配置ssh工具是否应该关闭不活跃的渠道,以及关闭的速度。
使用 ssh RHEL 系统角色时,您可以使用类似此 play 示例中的新选项:
---
- name: Non-exclusive sshd configuration
hosts: managed-node-01.example.com
tasks:
- name: Configure ssh to obscure keystroke timing and set 5m session timeout
ansible.builtin.include_role:
name: rhel-system-roles.ssh
vars:
ssh_ObscureKeystrokeTiming: "interval:80"
ssh_ChannelTimeout: "session=5m"src 参数已添加到 network RHEL 系统角色中
已向 network_connections 变量的 ip 选项 的 route 子选项中添加了 src 参数。这个参数指定路由的源 IP 地址。通常,它可用于多 WAN 连接。这些设置可确保机器有多个公共 IP 地址,且出站流量使用绑定到特定网络接口的特定 IP 地址。因此,支持 src 参数通过在上述场景中确保更健壮且更灵活的网络配置功能,来更好地控制流量路由。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/network/ 目录中的资源。
storage RHEL 系统角色现在可以重新定义 LVM 物理卷的大小
如果块设备的大小已更改,且您在 LVM 中使用这个设备,您也可以调整 LVM 物理卷。有了这个增强,您可以使用 storage RHEL 系统角色重新定义 LVM 物理卷大小,以便在调整大小后与底层块设备的大小匹配。要启用自动调整大小,请在 playbook 中的池上设置 grow_to_fill: true。
