4.18. Red Hat Enterprise Linux システムロール

ファイアウォール RHEL システムのロールが RHEL 8 に追加されました

rhel-system-roles.firewall RHEL System Role が rhel-system-roles パッケージに追加されました。その結果、管理者はマネージドノードのファイアウォール設定を自動化できます。

(BZ#1854988)

HA クラスター RHEL システムのロールの完全サポート

以前はテクノロジープレビューとして利用可能だった高可用性クラスター (HA クラスター) のロールが完全にサポートされるようになりました。次の注目すべき設定が利用可能です。

  • フェンスデバイス、リソース、リソースグループ、およびリソースクローン (メタ属性およびリソース操作を含む) の設定
  • リソースの場所の制約、リソースのコロケーションの制約、リソースの順序の制約、およびリソースチケットの制約の設定
  • クラスタープロパティーの設定
  • クラスターノード、カスタムクラスター名およびノード名の設定
  • マルチリンククラスターの設定
  • システムの起動時にクラスターが自動的に起動するかどうかの設定

ロールを実行すると、ロールでサポートされていない設定、またはロールの実行時に指定されていない設定が削除されます。

現在、HA Cluster システムロールは SBD をサポートしていません。

(BZ#1893743)

Networking システムロールが、OWE に対応するようになりました。

Opportunistic Wireless Encryption (OWE) は、Wi-Fi ネットワーク向けの日和見セキュリティーのモードで、ワイヤレスメディアの暗号化を提供しますが、公共のホットスポットなどの認証は提供しません。OWE は、Wi-Fi クライアントとアクセスポイント間で暗号化を使用し、クライアントを盗聴攻撃から保護します。この機能拡張により、Networking RHEL システムロールは OWE に対応します。これにより、管理者は Networking システムロールを使用して、OWE を使用する Wi-Fi ネットワークへの接続を設定できるようになりました。

(BZ#1993379)

Networking システムロールが、SAE に対応するようになりました。

Wi-Fi Protected Access バージョン 3 (WPA3) ネットワークでは、SAE (authentication of equals) 方法により、暗号鍵が送信されないようになります。この機能強化により、Networking RHEL システムロールは SAE に対応します。これにより、管理者は Networking RHEL System Role を使用して、WPA-SAE を使用する Wi-Fi ネットワークへの接続を設定できるようになりました。

(BZ#1993311)

Cockpit RHEL System Role がサポートされるようになりました

この機能拡張により、システムに Web コンソールをインストールして設定できます。そのため、Web コンソールを自動化された方法で管理できます。

(BZ#2021661)

LVM ボリュームの raid_level のサポートを追加しました

Storage RHEL System Role で、LVM ボリュームの raid_level パラメーターを指定できるようになりました。その結果、lvmraid 機能を使用して LVM ボリュームを RAID にグループ化できます。

(BZ#2016514)

NBDE クライアントシステムロールは、静的 IP アドレスを持つシステムをサポートします

以前は、静的 IP アドレスを使用してシステムを再起動し、NBDE クライアントシステムロールを使用して設定すると、システムの IP アドレスが変更されていました。この変更により、静的 IP アドレスを持つシステムは NBDE クライアントシステムロールによってサポートされ、それらの IP アドレスは再起動後に変更しません。

(BZ#1985022)

Storage システムロールでキャッシュされたボリュームのサポートを使用できます

Storage RHEL システムロールは、キャッシュされた LVM 論理ボリュームを作成および管理できるようになりました。LVM キャッシュを使用すると、LV のデータのサブセットを SSD などのより小さくて高速なデバイスに一時的に保存することで、より低速な論理ボリュームのパフォーマンスを向上させることができます。

(BZ#2016511)

rsyslog からの認証用に Elasticsearch のユーザー名とパスワードを追加するためのサポート

この更新では、Elasticsearch ユーザー名とパスワードのパラメーターが logging System Role に追加され、rsyslog がユーザー名とパスワードを使用して Elasticsearch に対して認証できるようになります。

(BZ#2010327)

RHEL System Roles の Ansible Core サポート

RHEL 8.6 GA リリースの時点で、サポートの範囲が限定された Ansible Core が提供され、RHEL でサポートされる自動化のユースケースが可能になります。Ansible Core は、以前は別のリポジトリーで提供されていた Ansible Engine を置き換えます。Ansible Core は、RHEL の AppStream リポジトリーで利用できます。サポートされているユースケースの詳細については RHEL 9 および RHEL 8.6 移行の AppStream リポジトリーに含まれている Ansible Core パッケージのサポート範囲 を参照してください。ユーザーは、システムを Ansible Engine から Ansible Core に手動で移行する必要があります。

詳細については、RHEL8.6 以降での Ansible の使用 を参照してください。

(BZ#2012316)

network RHEL System Role は、静的ルートで named ルーティングテーブルと numeric ルーティングテーブルの両方をサポートするようになりました。

この更新により、静的ルートの named ルーティングテーブルと numeric ルーティングテーブルの両方のサポートが追加されます。これは、ポリシールーティング (ソースルーティングなど) をサポートするための前提条件です。ユーザーは、後でポリシールーティングルールを定義して、正しいルートを決定するために使用するテーブルをシステムに指示できます。その結果、ユーザーが routetable 属性を指定した後、システムはルーティングテーブルにルートを追加できます。

(BZ#2031521)

Certificate ロールは、フックスクリプトで一貫して "Ansible_managed" コメントを使用します

この機能拡張により、Certificate ロールは、プロバイダーをサポートするためのプレスクリプトとポストスクリプトを生成します。ロールはこれに、Ansible 標準の "ansible_managed" 変数を使用して "Ansible managed" のコメントを挿入します。

  • /etc/certmonger/pre-scripts/script_name.sh
  • /etc/certmonger/post-scripts/script_name.sh

コメントは、Certificate ロールがファイルを上書きする可能性があるため、スクリプトファイルを直接編集してはならないことを示しています。その結果、設定ファイルには、設定ファイルが Ansible によって管理されていることを示す宣言が含まれています。

(BZ#2054364)

Terminal Session Recoring システムロールは、マネージド設定ファイルで "Ansible managed" コメントを使用します

Terminal Session Recording ロールは、以下の 2 つの設定ファイルを生成します。

  • /etc/sssd/conf.d/sssd-session-recording.conf
  • /etc/tlog/tlog-rec-session.conf

この更新により、Terminal Session Recoring ロールは、標準の Ansible 変数 ansible_managed を使用して、Ansible managed コメントを設定ファイルに挿入します。コメントは、Terminal Session Recorging ロールがファイルを上書きする可能性があるため、設定ファイルを直接編集してはならないことを示しています。その結果、設定ファイルには、設定ファイルが Ansible によって管理されていることを示す宣言が含まれています。

(BZ#2054363)

Microsoft SQL システムのロールは、切断されたサブスクリプションまたは Satellite サブスクリプション用にカスタマイズされたリポジトリーをサポートするようになりました

以前は、カスタムサーバーからパッケージをプルする必要がある切断された環境のユーザー、または Satellite または Capsule を指す必要がある Satellite ユーザーは、Microsoft SQL Role のサポートを受けていませんでした。この更新により、ユーザーが RPM キー、client、および server の mssql リポジトリーに使用するカスタマイズされた URL を提供できるようになり、問題が修正されます。URL が指定されていない場合、mssql ロールは公式の Microsoft サーバーを使用して RPM をダウンロードします。

(BZ#2038256)

Microsoft SQL ロールは、マネージド設定ファイルで一貫して "Ansible_managed" コメントを使用します

mssql ロールは、次の設定ファイルを生成します。

  • /var/opt/mssql/mssql.conf

この更新により、Microsoft SQL ロールは、Ansible 標準の ansible_managed 変数を使用して、設定ファイルに "Ansible managed" コメントを挿入します。コメントは、mssql ロールがファイルを上書きする可能性があるため、設定ファイルを直接編集してはならないことを示しています。その結果、設定ファイルには、設定ファイルが Ansible によって管理されていることを示す宣言が含まれています。

(BZ#2057651)

Networking システムロールに追加されたすべてのボンディングオプションのサポート

この更新は、Networking RHEL システムロールへのすべてのボンディングオプションをサポートします。その結果、ボンディングされたインターフェイスを介したネットワーク伝送を柔軟に制御できます。その結果、そのインターフェイスにいくつかのオプションを指定することにより、ボンディングされたインターフェイスを介したネットワーク伝送を制御できます。

(BZ#2008931)

NetworkManager は、PCI アドレスを使用したネットワークカードの指定をサポートしています

以前は、接続プロファイルの設定中に、NetworkManager は名前または MAC アドレスのいずれかを使用してネットワークカードを指定することしか許可されていませんでした。この場合、デバイス名は安定しておらず、MAC アドレスには、使用された MAC アドレスの記録を維持するためのインベントリーが必要です。これで、接続プロファイルの PCI アドレスに基づいてネットワークカードを指定できます。

(BZ#1695634)

新しいオプション auto_gateway は、デフォルトルートの動作を制御します

以前は、DEFROUTE パラメーターは設定ファイルで設定できませんでしたが、すべてのルートに名前を付けることによって手動で設定することしかできませんでした。この更新により、接続の ip 設定セクションに新しい auto_gateway オプションが追加されます。これを使用して、デフォルトルートの動作を制御できます。auto_gateway は、次の方法で設定できます。

  • true に設定すると、デフォルトゲートウェイ設定がデフォルトルートに適用されます。
  • false に設定すると、デフォルトルートが削除されます。
  • 指定しない場合、network ロールは選択した network_provider のデフォルトの動作を使用します。

(BZ#1897565)

VPN ロールは、マネージド設定ファイルで一貫して Ansible_managed コメントを使用します

VPN ロールは、次の設定ファイルを生成します。

  • /etc/ipsec.d/mesh.conf
  • /etc/ipsec.d/policies/clear
  • /etc/ipsec.d/policies/private
  • /etc/ipsec.d/policies/private-or-clear

この更新により、VPN ロールは、Ansible 標準の ansible_managed 変数を使用して、設定ファイルに Ansible managed コメントを挿入します。コメントは、VPN ロールがファイルを上書きする可能性があるため、設定ファイルを直接編集してはならないことを示しています。その結果、設定ファイルには、設定ファイルが Ansible によって管理されていることを示す宣言が含まれています。

(BZ#2054365)

Firewall システムロールの新しい source パラメーター

これで、Firewall システムロールの source パラメーターを使用して、ファイアウォール設定のソースを追加または削除できるようになりました。

(BZ#1932678)

Networking システムロールは、マネージド設定ファイルで ‘Ansible managed' コメントを使用します

initscripts プロバイダーを使用する場合、Networking システムロールにより、コメント付きの ifcfg ファイルが /etc/sysconfig/network-scripts ディレクトリーに生成されるようになりました。Networking ロールは、Ansible 標準の ansible_managed 変数を使用して Ansible managed コメントを挿入します。コメントは、ifcfg ファイルが Ansible によって管理されていることを宣言し、Networking ロールによってファイルが上書きされるため、ifcfg ファイルを直接編集してはならないことを示しています。プロバイダーが initscripts の場合、Ansible managed コメントが追加されます。nm (NetworkManager) プロバイダーで Networking ロールを使用する場合、ifcfg ファイルは Networking ロールではなく NetworkManager によって管理されます。

(BZ#2057656)

Firewall システムロールが、ファイアウォールデフォルトゾーンの設定に対応

Firewall System ロールでデフォルトのファイアウォールゾーンを設定できるようになりました。ゾーンは、着信トラフィックをより透過的に管理する概念を表しています。ゾーンはネットワークインターフェイスに接続されているか、ソースアドレスの範囲に割り当てられます。各ゾーンのファイアウォールルールは個別に管理されるため、管理者は複雑なファイアウォール設定を定義してトラフィックに適用できます。この機能を使用すると、firewall-cmd --set-default-zone zone-name と同じように、インターフェイスを割り当てるデフォルトゾーンとして使用されるデフォルトゾーンを設定できます。

(BZ#2022458)

Metrics システムロールは、ヘッダーに適切な ansible_managed コメントを含むファイルを生成するようになりました

以前は、Metrics ロールは、ロールによって生成されたファイルに ansible_managed ヘッダーコメントを追加しませんでした。この修正により、Metrics ロールは生成するファイルに ansible_managed ヘッダーコメントを追加するようになりました。その結果、ユーザーは Metrics ロールによって生成されたファイルを簡単に識別できます。

(BZ#2057645)

Postfix システムロールは、ヘッダーに適切な ansible_managed コメントを含むファイルを生成するようになりました

以前は、Postfix ロールは、ロールによって生成されたファイルに ansible_managed ヘッダーコメントを追加しませんでした。この修正により、Postfix ロールは生成するファイルに ansible_managed ヘッダーコメントを追加するようになりました。その結果、ユーザーは Postfix ロールによって生成されたファイルを簡単に識別できます。

(BZ#2057661)