3.16. Red Hat Enterprise Linux 系统角色
postfix
RHEL 系统角色中的新变量: postfix_default_database_type
系统角色可以确定 postfix 使用的默认数据库类型,并将它导出为变量 postfix
postfix_default_database_type
。因此,您可以根据默认数据库类型设置配置参数。
Ansible 2.9 不支持在配置参数值中使用 postfix_default_database_type
。
microsoft.sql.server
系统角色中的新变量:mssql_tools_versions
和 mssql_tls_self_sign
新的 mssql-tools18
软件包提供了与之前版本的 mssql-tools
软件包不向后兼容的功能。因此,以下变量已添加到 microsoft.sql.server
系统角色中,以适应更改:
-
mssql_tools_versions
(列表,默认为版本 18):使您能够安装不同版本的mssql-tools
。 -
mssql_tls_self_sign
(布尔值):指定您使用的证书是否是自签名的。当您设置了mssql_tls_enable: true
变量时也适用。
当您将 mssql-tools18
与自签名 TLS 证书搭配使用时,您必须设置 mssql_tls_self_sign: true
,以便在 sqlcmd
命令行工具中设置 -C
标志,以便您的证书可以被信任。
因此,您可以使用这些配置来安装 mssql_tools
版本 17; 18; 或并行安装它们。
如需了解更多详细信息,请参阅 /usr/share/ansible/roles/microsoft.sql-server/
目录中的资源。
新的 RHEL 系统角色:aide
您可以使用新的 aide
RHEL 系统角色来检测对文件、目录和系统二进制文件的未授权更改。使用此角色,您可以完成以下任务:
-
在受管节点上安装
aide
软件包 -
生成
/etc/aide.conf
文件,并将其模板到受管节点 - 初始化(高级入侵检测环境)AIDE 数据库
- 在受管节点上运行 AIDE 完整性检查
角色不会解释如何创建一个合适的 AIDE 配置。
因此,您可以以自动化的方式大规模管理 AIDE,以解决您的安全、合规性或审计要求。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/aide/
目录中的资源。
sudo
RHEL 系统角色中的新变量:sudo_check_if_configured
sudo
RHEL 系统角色具有以下变量:
-
sudo_check_if_configured
(布尔值):提供已一个已配置的sudoers
文件的语义检查,以防不需要 Ansible 设置并跳过。
因此,如果不需要 Ansible 干预,您可以使用此设置来确保 sudo
角色幂等性。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/sudo/
目录中的资源。
microsoft.sql.server
系统角色为 AD 用户启用 AES 128 位和 AES 256 位加密
从 1.1.83 版本开始,adutil
工具在创建或修改活动目录(AD)用户时支持带有 AES 128 位和 AES 256 位加密的 Kerberos 协议。有了此更新,microsoft.sql.server
系统角色会在创建或修改 AD 用户时自动启用 Kerberos 协议提供的 AES 128 位和 AES 256 位加密。因此,不需要手动进行配置后任务。
systemd
RHEL 系统角色除系统单元外还可以管理用户单元
有了这个更新,systemd
RHEL 系统角色也可以管理用户单元。对于 systemd_unit_files
中指定的每个单元文件或单元,或者 systemd_unit_file_templates
,或者 systemd_started_units
等,如果您希望为给定用户管理,则可以添加一个 user: name
。默认为 root
,用于系统单元。
要获取由角色管理的系统中的单元,包括系统和用户单元,添加了一个新的返回变量:
-
systemd_units_user
(字典):每个键都是在传递给角色的一个列表中给出的用户名称,以及root
(即使没有给定root
)。每个值都是该用户的systemd
单元字典,或者root
系统单元。
该角色不会创建新用户,如果您指定不存在的用户,它将返回错误。
因此,您可以使用 systemd
RHEL 系统角色管理用户单元。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/systemd/
目录中的资源。
支持导出现有集群的 corosync
配置
ha_cluster
RHEL 系统角色支持以可反馈到角色的格式导出现有集群的 corosync
配置,以重新创建同一集群。如果您没有使用 ha_cluster
RHEL 系统角色创建集群,或者您 丢失了集群的原始 playbook,您可以使用此功能为集群构建一个新的 playbook。
podman
RHEL 系统角色可以管理类型 Pod
的四元组单元
版本 5 的 podman
工具添加了对 Pod
四元组类型的支持。因此,podman
RHEL 系统角色允许您管理类型为 Pod
的四let 单元。
如需了解更多详细信息,请参阅 上游文章。
新属性已添加到 network
RHEL 系统角色 network_connections
变量:autoconnect_retries
在 network
RHEL 系统角色中,没有对自动尝试重新连接网络连接的次数的精细控制。对于扩展重试过程至关重要的某些用例,这个限制可能会有问题,特别是在网络不稳定的环境中。添加到 network_connections
角色变量中的 autoconnect_retries
属性配置在自动连接失败后 NetworkManager 尝试重新连接网络连接的次数。因此,network
RHEL 系统角色允许使用 network_connections
变量中的 autoconnect_retries
属性来配置自动连接失败后自动重新连接尝试的数量。此增强对网络稳定性和性能提供了更好的控制,特别是在网络不稳定的环境中。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/network/
目录中的资源。
新属性已添加到 network
RHEL 系统角色 network_connections
变量:wait_ip
此更新增加了对 network_connections
角色变量中 ip
选项的 wait_ip
属性的支持。属性指定系统是否应在配置了特定 IP 堆栈时将网络连接视为已激活。您可以使用以下值配置 wait_ip
:
-
any
: 在配置了任何 IP 堆栈后,系统将连接视为已激活。 -
ipv4
:系统等待直到配置了 IPv4。 -
ipv6
:系统等待知道配置了 IPv6。 -
ipv4+ipv6
:系统等待,直到 IPv4 和 IPv6 都配置了。
因此,network
RHEL 系统角色允许您根据特定的 IP 堆栈配置网络连接。这可使连接保持已激活状态,即使没有分配 IP 地址,具体取决于所选的 wait_ip
设置。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/network/
目录中的资源。
metrics
RHEL 系统角色支持 Valkey 作为 Redis 的替代选择
在这个版本中,增加了对 metrics
RHEL 系统角色的 Valkey in-memory 数据结构存储的支持。它是 Redis 的一种替代方案,不再是开源,并已从 Linux 发行版中删除。Valkey 通常用作高性能缓存层。它在内存中存储数据,通过缓存频繁访问的数据来加快应用程序。另外,您可以对其他性能关键操作使用 Valkey ,例如:
- 存储和检索用户会话数据。
- 不同应用程序部分之间的实时通信。
- 为分析和监控提供快速数据访问。
logging
RHEL 系统角色中的新变量:logging_custom_templates
以下变量已添加到 logging
RHEL 系统角色中:
-
logging_custom_templates
:自定义模板定义的列表。当其选项为type: files
或type: forwards
时,您可以将其与logging_outputs
变量一起使用。您可以通过在特定的logging_outputs
规范中设置template
选项,来为每个输出指定此自定义模板。或者,您可以使用logging_files_template_format
和logging_forwards_template_format
全局选项将此自定义模板设置为默认被所有文件使用,并转发输出。
因此,您可以将日志条目设置为与内置默认值提供的不同的格式。
如需了解更多详细信息,请参阅 /usr/share/doc/rhel-system-roles/logging/
目录中的资源。
sshd
RHEL 系统角色验证命令和配置
在使用 command
或 shell
插件时,sshd
角色使用 quote
命令来确保您可以安全地使用这些命令。角色还会验证传递给这些插件的某些用户提供的角色变量。这提高了使用角色的安全性和稳健性,如果没有验证,用户提供的包含空格的变量可能会被分割,且无法正常工作。